时间:
一、数据安全治理及其主要问题
数据是电子化的信息,数据安全治理与信息保护密切相关,以信息涉及的个人、组织权益及国家利益保护为主要治理内容。另外,数据安全治理应结合数据的性质特点,以规范数据活动,促进数据价值释放,平衡数据保护与数据发展为治理目标。不同类型数据要素呈现的数据安全问题各异,数据安全治理的主要问题既要综合分析当前数据安全问题的共性,又要结合不同类型数据要素的安全治理需求突出治理侧重点。
数据安全治理的内容构成:在数字化时代,数据因与信息紧密结合而被视为信息的新型表现形式,主要是以计算机语言对信息作出记录,经计算机读取、处理后为人们所识别和理解。数据安全与信息内容安全密切相关,信息内容既涉及财产权益,也涉及人身权益,还可能涉及社会公共利益与国家利益。故此,数据安全治理要平衡协调多重利益。数据具有明显的非竞争性、可复制性、非排他性的特征,数据安全治理还应当保障商事主体享有的数据资源竞争权益。
数据安全治理的价值目标:根据《数据安全法》第三条第三款的规定,“数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。” 数据安全以数据存在状态为安全衡量标准,这种状态应具有 “有效保护”“合法利用” 和 “可持续性” 三种特征。数据安全治理应实现数据 “有效保护” 和 “合法利用” 的平衡,并促进数字经济的发展。
数据安全治理的主要问题:数据的内部管理与外部流通构成了数据安全治理的两类基本领域,目前立法与实践中普遍使用的数据要素类型依据数据活动主体、数据信息内容、数据产生及应用场景等维度划分。结合当前普遍存在的数据安全损害事实,数据安全治理应着重于数据管理安全领域的个人信息保护、数据流通安全领域的企业数据流通与公共数据开放利用两方面。
数据安全治理的基本领域:数据安全管理和数据安全流通共同构成了数据安全治理的基本领域。数据安全管理指的是各行业或组织内部为实现数据安全防护目标而对其享有的数据资源、资产进行有效计划、组织、控制、执行的活动过程,各行业部门或组织的数据安全管理能力与经验不足,数据泄露等安全事件频发。数据安全流通指的是不同行业或组织间对其享有的数据资源、数字资产进行合法合规交换、共享等数据流转过程,数据流通利用主体、环节、场景的复杂多样引发了诸多数据权属纠纷等数据流通失序事件。
数据要素的类型划分:《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》将数据要素的基本类型划分为个人数据、企业数据、公共数据。个人信息(数据)的特征是具备 “可识别性”;企业数据大体是指企业在生产经营过程中收集的各类数据信息的集合;公共数据的产生主体为公共管理和服务机构,是其在履职过程中收集、产生的数据。
数据安全治理的主要问题分析:不同数据要素的安全治理问题既有共性,又有区别。现有数据安全治理制度要么难以落实执行,要么因 “碎片化” 而治理效果不佳。个人数据面临泄露、滥用风险,根源在于数据安全管理责任主体缺位、管理责任边界不清;数据流通规则缺失限制了企业数据高效流通,阻碍了公共数据面向市场供给,数据流通安全的法律治理重点应聚焦于交易数据来源可信和数据交易可溯及。
二、数据安全治理的经济法理念基础
经济法的目的价值主要体现为效率与公平、自由与秩序、发展与安全等多种相互关联的价值,可以有效平衡不同主体在相互作用、彼此影响的数据活动中的安全需求,兼顾数据安全与数字经济发展。经济法的独特性在于注重整体性、公共性、系统性、全局性。全国人大常委会已将有关信息、数据、网络的重要法律,均归入经济法部门,经济法的特有视角对于解决数据安全治理的主要问题具有独特优势。
数据安全治理的经济法理念:经济法的公平、秩序和风险理念与数据安全治理的主要问题高度契合,能够为数据安全法律治理提供理论基础。
公平理念:经济法追求的价值目标是实质公平,将外部性内部化,化解外部成本促进社会实质公平,任何市场主体都不能忽视对社会实质公平的关注。
秩序理念:经济法以维护良好的市场秩序实现市场资源优化配置为目标,其核心是维持市场竞争秩序,保障交易安全,形成良好的宏观经济运行秩序和微观市场秩序。
风险理念:风险规制是经济法的特有规制手段,经济法从宏观性视角与社会本位视角出发,确定制造风险的主体,设定义务、规范行为、设定法律责任,并由监管机构严格监管。
经典经济法理念与数据安全治理的关联分析:经济法的公平理念为确定数据安全管理责任主体提供了理论依据,数据控制者和利用者应负担个人数据安全受损的治理成本,并对被数据化对象作出补偿。经济法的秩序理念着力于构建数据安全流通的整体状态,市场竞争法与规则统筹平衡数据安全利益与数据发展利益,促进数据交易的可信有序开展。经济法的风险规制理念对防范公共数据开放风险具有理论价值,可形成风险治理系统,判断是否开放公共数据,促进《数据安全法》立法目标的实现。
三、数据安全治理的制度构建
经济法的公平理念解释了倾斜性保护个人信息的正当性与合法性;秩序理念证立了企业数据安全建立在数据有序流通的基础之上;风险理念则从宏观性与整体性的视角出发,以事前规制的方式预防公共数据开放的风险。数据安全治理法律制度的构建应当遵循上述理念及其相应规制手段。
个人数据保护的多元治理:解决个人数据泄露与滥用问题可以通过增加数据保护主体的类型与增强数据保护主体的责任实现。认证机构、消费者协会在个人数据保护中具有重要作用。数据安全认证制度可以消解信息不对称、分担政府管理成本、激励数据处理者采取更严密的安全保护措施;消费者协会应建立并完善个人数据保护的工作体系,受理投诉、督促调查并监督整改,必要时提起行政公益诉讼。
企业数据流通的秩序建设:企业数据的流通安全风险与商事主体间的数据竞争相关,应形成合法合规的企业数据流通的市场秩序。《反不正当竞争法》应将数据商业利用行为纳入规制范围,以保护市场主体的合法数据权益、保障企业数据安全流通。自律秩序对实现企业数据安全流通具有重要作用,行业内自发形成的数据流通规则能够细化相关法律条款,为事实认定提供标准,有影响力的行业规约还能促进数据的国际流通。
公共数据开放的风险防范:加强公共管理和服务机构的数据管理义务,明确其数据安全责任,能够实现对风险的源头防控。应提高公共数据管理、开放立法的效力层级,对公共管理和服务机构的数据活动进行双向监督。公共数据分类分级应遵循系统性、整体性的规制思路,明确细化规则,将技术措施纳入法律规制体系。在公共数据开放涉及利益冲突时,国家安全、公共安全与个人安全应受到优先保护。
结语
个人、企业与公共机构之间的数据提供、使用、开放行为既繁荣了数字经济活动,也引发了安全风险。国家出台一系列数据(信息)治理法律法规保障数据安全,但数据安全法律体系的构建和完善还需要多种有效法律理念的配合。现代经济法理念与数据安全治理的价值取向契合,能够指导数据安全治理法律制度的构建。在制度构建层面,多主体协同可增强个人数据保护效果;法律秩序与自律秩序协同配合可构建有效流通规则;降低公共数据利用风险可为其进入流通领域奠定基础。数据安全法律体系的丰富需要各个法律部门互相协作,随着认识的深化,数据安全治理将不断完善。
胡俊宏;仲瑞洋,北京师范大学法学院,202405