充满动荡和意外的2022年是必将载入史册的一年。在数据治理领域,从数据跨境流动制度到数据要素市场建设,从数据算法应用监管到网络安全审查相关行政处罚决定,中国在2021年《个人信息保护法》《数据安全法》的基础上,数据规则在不断细化、拓展、落地。在后疫情时代,我国数据治理将走向何方?在新年伊始,姑且借箸代筹,回顾过往并对新的一年略作展望。
2022年:数据安全与利用的失衡
尽管《数据安全法》开宗明义将“保障数据安全,促进数据开发利用”作为并置的立法目标,但在“安全泛在化”的趋势下,过去一年恰恰体现出数据安全与利用之间的价值失衡。为了更直观地展现其症结所在,这里以数据安全为横轴,以数据利用为纵轴,以《数据安全法》为参照,标注出2022年数据若干进展。
如图所示,《数据安全法》一方面通过核心数据、重要数据的加强保护,凸显了安全目标,另一方面为数据交易、数据开放和数据权益保护奠定了制度架构,基本上平衡了数据安全与利用。不过,囿于其主旨,数据安全考量还是稍重于数据利用。与之相比,在数据利用重要场景的算法领域,《关于加强互联网信息服务算法综合治理的指导意见》《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》等监管制度就将“安全”置于更重要的位置上。
《关于加强互联网信息服务算法综合治理的指导意见》中“安全”一词出现频次高达36次之多,可作明证。但与一系列数据出境规则以及网信办对滴滴公司作出网络安全审查相关行政处罚决定相比,算法治理制度的失衡就不再突兀了。2022年7月的《数据出境安全评估办法》将“累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息”列入安全评估的门槛之一,仅仅关注“定量因素”,而忽略了个人信息的性质、用途、处理方式、信息主体身份、是否可公开获得等“定性因素”,可能导致以安全为名过分阻碍了数据跨境流动。
同样的问题也出现在《个人信息出境标准合同规定(征求意见稿)》中。虽然其重申了《个人信息保护法》第38条第三款“个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准”的立法依据,旨在“确保境外接收方处理个人信息的活动达到中华人民共和国相关法律法规规定的个人信息保护标准”,但相关强制性规定与多个合同条款却从“保护个人权益“转向了“防范出境安全风险”上,未免偏移了规则重心。
最后,《网络安全审查办法》修改和对滴滴公司做出的处罚决定,进一步揭示出全球博弈背景下数据安全向国家安全延伸的复杂形势。较诸偏向数据安全的众多立法,在均衡线的上方,只有被称为《数据二十条》的《关于构建数据基础制度更好发挥数据要素作用的意见》,该意见以激励数据生产、促进数据流通、优化数据分配为线索,为最大化释放数据要素价值、推动数据要素市场化配置提出了指引。不过,由于《数据二十条》只是一份政策导向性文件,有待后续法律、法规、规章的落实,其实施和成效仍有待观察。
2023年:如何再平衡?
在《后疫情时代:大重构》一书中,世界经济论坛创始人克劳斯·施瓦布告诫我们:“有两条道路可以选择:一条道路通向光明的未来,社会经济更加包容、更可持续、更有韧性;另一条道路则带领我们走向更加动荡、危险和不宜居住的世界”。没有人愿意选择后一条,但更难的问题时:如何走上第一条道路?一年前,在展望2022年数据治理时,我曾建议:
“我们依然身处一个‘乌卡(VUCA)时代’。在数据治理领域,监管者则因复杂(complexity)、混沌(ambiguity)的未来而难以作出有效决策,被监管者因动荡(volatility)、不定(uncertainty)的局面而难以作出有效应对。面对这一窘境,我们亟待引入“敏态治理”(Agile governance)的逻辑:治理既要‘相时而动、随势而变’,又要坚持‘宁小勿大、宁浅勿深’的策略,在发生意料之外的影响后及时回调,因为保持弹性或者说‘反脆弱’是在不确定性中获益的唯一方式。”
这一观点并未过时。事实上,2022年顶层的认知也在调整:针对“平台经济”,从“强化反垄断与防止资本无序扩张”转向“支持平台企业在引领发展、创造就业、国际竞争中大显身手”;春节刚过,“加快构建新发展格局、增强发展的安全性主动权”也成为“统筹安全与发展”的新方向。在此背景下,如何矫正数据安全与利用的失衡,自然成为2023年关切所在。
平衡永远是动态的和场景化的,我们无法奢求在任何时间、任何情形下的均衡,而只能因地制宜和因时而异。就此而言,“深一脚浅一脚”恰恰是敏态治理的常态。故此,数据安全与利用的一时失衡并不可怕,值得担忧的长时期和系统性的失衡。放眼未来,在新发展格局下,数据安全与利用的再平衡不妨从以下几方面入手。
一、充实基于风险的分类分级监管原则
作为不确定性的法律概念,“安全”只有类型化才能被相对精确的度量,未来立法亟待采取“基于风险的规制”方法而非“基于统一规则的规制”路径,对不同风险类别和等级的数据处理活动施行差别化的监管。数据处理活动的风险评估由处理主体、处理方式、处理对象的风险因素组成,分别对应着“平台的分类分级”(处理主体)、“算法的分类分级”(处理方式)和“数据的分类分级”(处理对象)。
当前,尽管分类分级的初步规则已经出现在《互联网平台分类分级指南(征求意见稿)》《互联网信息服务算法推荐管理规定》《数据安全法》《工业数据分类分级指南(试行)》中,但分类分级的标准尚未细化,统合主体、方式、对象的体系性分类分级框架尚未建立。
2023年,或可从两方面着力:一是制定平台、算法、数据的分类分级细则,根据风险高低匹配监管措施,指引各方开展可操作和可预期的风险管理;二是在《网络数据安全管理条例(征求意见稿)》中推动分类分级的整体架构,从基于数据规模的分类分级,迈向涵盖更多维度的综合性分类分级,从而为超级平台治理、重要数据出境、高风险算法监管提供协同规则。
二、优化数据出境宏观制度
数据跨境流动是数字经济全球化的关键环节。2019年,世界银行在《东亚数字经济创新:限制性数字政策重要吗?》报告中梳理了东亚15国的数字经济法律政策,并使用定量研究的方法得出“数字限制指数”,直观展现出数据跨境管控与企业创新之间的负相关关系。2022年,欧盟对27个成员国数据跨境流动开展实证调查后发现,数据流入量与国家经贸发展水平密切相关,德国毫无意外地居于首位。我国是经济全球化和自由贸易的参与者、受益者和倡导者,始终坚定支持开放、包容、共赢的全球化,促进全球贸易和投资自由化和便利化。
同时,我国还是数字经济的引领者,自然应是数据跨境流动自由化的主要受益者。为此,我国亟待出台一部系统性的数据出境管理办法,以《数据安全法》所确立的“数据安全、自由流动原则”和数据分类分级原则为指导,坚持重要数据和个人信息区分,更多地采取认证、标准合同等柔性规制工具,以弥补当前制度过于重视安全的不足,积极促进数据自由流动。
特别是,针对我国享有优势地位、具有市场真实需求的云储存、跨境电商、跨境支付、服务外包、供应链管理、人力资源管理、和人工智能研发等典型场景,可进一步设置更灵活、合规成本更低的数据出境监管措施,通过事后追责而非事前批准的方式尽量降低对正常经济活动的不必要限制。
三、试水人工智能产业立法
作为新一轮科技革命和产业变革的关键通用目的技术,人工智能对经济发展、国家安全和战略竞争有着重要意义。2022年,以ChatGPT为代表的“人工智能生成内容”(AI-Generated Content)产业迅速迭代,反映出人工智能的巨大潜力。随着国际博弈的加剧,人工智能产业及其规制已经成为各国竞争的新领域。
2022年,欧盟《人工智能责任指令》(AI Liability Directive)和《人工智能法(草案)》(draft AI Act)相继出台,试图重演GDPR的布鲁塞尔效应。在美国,《创新与竞争法案》等立法彰显出发展激励为主、风险规制为辅的人工智能治理思路。斯坦福大学《2022年人工智能指数报告》的数据则显示,尽管美国联邦立法提案急速增长,但最终实际通过的立法仅占2%,更重要的是,相关立法多以政府部门人工智能为规制重点。回到中国,《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》均以互联网服务产业为对象,并体现出安全优先与强化责任的立法惯性。
产业界的研究显示,我国人工智能的基础层、部分技术层、应用层的关键基础技术领域依然滞后于欧美国家,在激励的国际竞争中,人工智能的后续立法不妨适时调适,通过人工智能标准、伦理、法律相结合的方式,推动自我监管和政府监管的融合及产业安全和发展的并进。
四、加强中央和地方分工协同
数据治理领域的新技术、新应用、新业态层出不穷。基于敏态治理的原理,监管政策应当在“在监控中学习”并“持续改进”,即根据现实情况诊断问题,开展自我评估、横向比较并不断完善。显而易见,这必然对长期性、稳定性、普遍性的常规立法带来巨大挑战。化解这一难题的良方之一,是发挥地方先试先行的主动性,再经由中央统筹发布一致性的法律规则。而这正是“在结果评估上由中心机制协调,在运行上由去中心机制控制”的试验主义治理精神所在。
事实上,近年来地方数据立法如火如荼,从2021的《深圳经济特区数据条例》《上海数据条例》到2022年《浙江省公共数据条例》《重庆市数据条例》《黑龙江省促进大数据发展应用条例》《陕西省大数据条例》《辽宁省大数据发展条例》《江苏数字经济促进条例》《北京市数字经济促进条例》,均在尽力平衡数据利用与安全。然而,囿于数据的全国性特征,地方立法频频遭遇权限不足的困境。
正因如此,2023年国家发改委、商务部发布《关于深圳建设中国特色社会主义先行示范区放宽市场准入若干特别措施的意见》对“放宽数据要素交易和跨境数据业务等相关领域市场准入”的规定,可谓破冰之举。
我们期待着,在新的一年地方有着更大的立法空间,在不断实践中调和观点、缓解偏见,最终形成数据治理的制度共识。