大數據監管法律問題研究

劉新慧，洪潤萌

(上海政法學院，上海 201701)

近年來，電商興起，“支付寶”“微信”等電子支付平臺得到了廣泛應用。數據的深度應用已滲透到人們生活的方方面面，在海量數據交錯流通的各個環節，大數據監管成為維護正常數據處理秩序的防火墻。我國數據保護立法進程也一直處于積極前行探索中，從《網絡安全法》到《數據安全法》的出臺，將數據作為監管對象來進行規制，是我國數據信息管理的巨大進步。

1 大數據監管

1.1 數據與大數據

數據是任何以電子或其他方式對信息的記錄，隨著數據分析技術的進步，大量數據在經過加工后延伸出“大數據”概念。關于大數據的定義，學界尚沒有統一的定論，不同角度對大數據概括不盡相同。從方法論層面看，大數據是一種全新的思維方式，利用強關聯關系得到解決方案。從大數據的歷史看，根據馬丁·希爾伯特的總結，大數據是在2000年后因為信息交換、存儲、處理三方進步而產生的數據[1]。盡管對大數據的研究側重點不同，但其基本特征已被認可，即 4V 特征。大數據是兼具大容量(Volume)、種類繁多(Variety)、價值性(Value)、流轉性(Velocity)的數據資源或信息資產并根據強關聯進行加工整合的具有價值性的數據集合[2]。

1.2 大數據監管體系

有學者認為，大數據監管僅是監管依托數據基礎的體量發生了變化，雖然效率上有所提高，但其特征仍與傳統監管類似。也有學者將大數據監管等同于互聯網監管，對網絡監管起到補充作用。還有學者認為，大數據監管與監管完全不同，無法混為一談。

數據監管是對數據從收集、流轉、應用全過程進行監管，對侵犯數據主體權益的行為進行規制，如隱蔽化收集、濫用數據、違法交易數據等不良數據違法行為。大數據監管與數據監管相比，依托的背景不再是松散的個別數據，而是經過數據處理、挖掘數據價值共性的數據集合。大數據監管是在大數據技術背景下對數據從收集到二次處理加工到具體使用進行全過程的監督體系。

大數據監管體系是指確立完善的數據監管規則，設置數據監管機構，分配相應的數據監管職權，形成自上而下的數據監管系統。政府相關職能部門是法定數據監管機構，而狹義上的數據監管體制僅指政府內部監管體系。廣義上的大數據監管體制則是包含政府監管、行業自律監管、數據處理者自我監管的三方協同配合的全方位監管規則和體系。

2 大數據監管體系的重要作用

過去是將原始數據作為信息的單純儲存載體，而大數據是將原始數據的價值進行整合的結果，各大金融機構、市場主體面對數據背后的高經濟價值開始了數據權屬的競爭，數據使用往往直接影響主體的個人財產、隱私乃至經濟發展。

2.1 數字經濟新模式的需求

傳統經濟模式下的秩序規則已不足以對大數據面對的權益爭端進行全覆蓋應用，社會情況及經濟模式需要監管制度的改革。從個人權益層面來看，對個體的財產、隱私等權利的保護是法律的重要任務，數據發掘的深入使得隱私領域范圍不斷擴大，原本的非核心隱私信息也可通過加工具備識別性；從社會公共利益層面來看，各類大數據系統的引入。使得社會治理更加復雜多變。傳統信息監管多以窮盡列舉數據使用可能的方式，在數據使用雙方當事人知情許可下進行數據使用的規制。目前，萬物互聯，數據使用滲透到了各個領域，列舉數據所有用途不再現實，繼續使用窮盡列舉許可對于人力、技術、時間的成本消耗都是巨額的，因此傳統監管模式亟待更新。

傳統監管的局限正是大數據監管的優勢所在，將大數據廣泛應用于各大治理系統，利用數據的關聯性、流通性進行預先分析、判斷、分層次監管，克服了傳統監管的盲點。相對于早期局限于特定類型的數據(如國土空間資源)，目前的數據分析已經遍布公共安全服務、經濟金融領域，可保證數據權屬明晰，精準監管數據處理流程，保障大數據算法系統的運行高效，便于政府監管決策科學，令行業自律監管達到應有的效果。相比于傳統監管，大數據監管高效挖掘數據價值，精準降低數據相關風險，是最有效、最直接的監管方式。

2.2 數據立法全球新格局的應對

萬物互聯時代，數據經濟價值的提升帶來的是商業模式的革新及數據處理行為方式的多變。各國對于數據監管日益重視，但對于數據監管立法理念差異極大。部分國家將數據監管納入隱私監管行列，將數據信息作為維護個體隱私權，從廣義的人權保護進行監管。部分國家以公平交易對消費弱勢群體提出保護主義，以維護市場公平為核心進行監管。以歐盟為例，建立了GDPR，從2018年起草完成到2019年底25個歐盟員國達成共識，接受適用，是歐洲數據監管規則的里程碑。其他非歐盟成員也在GDPR的基礎上建立了國內的數據隱私保障法規。2018年開始，世界各國數據保護立法進程加速，巴西在GDPR的啟發下通過了本國的數據保護法《The General Data Protection Law》(GDPL)。此外，印度的PDP、泰國的PDPA等亦然。阿聯酋則采用分散監管方法，但并沒有出臺一部統一的數據保護法規對各領域的數據進行監管。當下，數據監管立法趨勢已不可逆轉，已經出臺數據監管相關法律的國家陸續進行修訂，尚未立法的國家正在制定新的法律，全世界的數據監管立法發生著巨大的變化。

面對數據經濟化，各領域的數據監管都有著自己的監管框架，監管機構的架設、監管職責的分配、監管的懲戒措施也在各自標準框架下進行更新。

2.3 數據安全新形勢的要求

作為數字經濟的核心，數據已成為世界經濟貿易的主要驅動要素。貿易全球化背景下，數據跨境流通成為常態，而流通數據的規制成為數據治理的核心，且對數據監管提出了新的挑戰。數據跨境流通的自由程度及流通產生的個人信息保護問題都需要細致明確的法律規定，一旦數據跨境流通泄露了國家戰略政策等，將會使國家在世界大國博弈中處于弱勢地位，造成巨大損失。

大數據時代意味著諸多重要經濟價值的商業機密數據，如生物基因識別、政務類機密數據等，一旦泄露，造成的損失通常是巨大的，難以彌補的，精準規避數據泄露事件的發生是大數據監管面對的巨大挑戰。

3 我國數據監管體系的相關法律

3.1 數據監管立法

宏觀層面，《國家安全法》《網絡安全法》《網絡安全審查辦法》《數據安全法》4部法律構成了我國數據保護法規框架，其中《數據安全法》是我國第一部針對數據安全領域的專門法律。微觀層面，2016年，貴州省在全國率先出臺大數據地方性法規《貴州省大數據發展應用促進條例》，著眼于大數據發展應用的一系列環節和數據共享開放、數據安全等重點內容進行規范調整。與貴州省相比，廣東省深圳市在大數據方面的立法更具綜合性。2021年6月29日通過的《深圳經濟特區數據條例》是我國首部數據領域的地方綜合性專門立法[3]。

大數據監管在學術上、司法實踐中多考慮以企業、組織等為典型主體，同大數據跨界流通現狀并不適配，這限制了大數據監管的發揮。大數據監管中，監管規制的熱點集中于數據流通涉及的個人信息安全和流通自由度限制問題，一是個人信息保護范疇擴大。傳統隱私權一般涉個人身份確認類信息，如各類社交賬號、手機號碼等。但大數據時代的隱私內容不再只是個人信息的羅列，數據加工技術進步帶來的是個人隱私權保護范疇變大，原本并不需要特別保護的、不具有指向性的基礎信息在數據時代由于可作為分析出核心信息的工具也需要納入法律保護范圍。例如：憑借購物小票、交通工具記錄即可識別80%的人口。憑借最簡單的信息進行分析整合，能得到信息主體的性格類別、消費傾向、選擇決策等核心隱私信息。傳統監管理念不足以適應權益保障的擴大需求，亟待革新。二是數據流通規則的供需失衡。由于跨境流通日常化，不論是數據直接跨境流通還是開放權限，允許外國訪問的模式，數據規制都需要在保證數據流通創造價值的同時監管好數據流通的自由度。當下數據跨境流通規制多嵌于區域或多邊的自由貿易協定中，各個國家數據流通規則不一致，導致了貿易壁壘。制度的更新跟不上數字經濟的快速發展，數據跨境流動的制度供給與需求不平衡，國際法治匱乏，在全球范圍內存在“制度赤字”現象。

法律制度設計的先天滯后與原則先行局限于法律自身特點，法律制度設計必然滯后于數字經濟時代的飛速發展，數據相關法規仍處于不斷完善階段，相對于迅猛發展的大數據交易產業存在著諸多監管空白領域。不法數據交易背后的隱患，不單單是單純數據的得利，還常常作為犯罪手段引發下游犯罪，各式電信詐騙正是利用不法渠道搜集數據信息，獲取信任，謀取不法利益。除了電信詐騙，“大數據殺熟”也是一大監管問題，利用數據分析用戶信息后進行價格歧視及數據造假(如刷單)，以銷量帶貨來吸引普通用戶等都是傳統監管難以應對的行業亂象。數據違法主體日漸復雜，不僅是交易雙方還有第三方平臺加入。但目前，尚未出臺規制第三方平臺過度收集數據的壟斷行為。正視法律制度設計存在的先天滯后性問題，積極提前明晰監管原則才能實現有效監管，保障正常有序的數據流通。

3.2 數據監管執法

政府監管是將監管理念轉變為維護公共利益理論，不再只是市場失靈的補救，而注重兼顧交易與公平競爭，實現社會資源分配的最優化，確保市場主體利益及市場穩定發展。一是數據監管執法主體意識有待強化。作為權力主體的政府機關，既是規則的制定者也是市場的參與者，自我監管使得政府監管需要更完善的監管程序規制，明確正確的監管理念(監管的目的、方式、結果)，對行政機關監管職權進行分配制衡。《數據安全法》的出臺是我國數據治理的里程碑，但監管仍滯后于數據產業的發展，需要明確專門的數據監管部門，厘清職權界限。二是數據監管執法規則有待確立。隨著大數據時代的到來，數據分析處理問題逐漸復雜，不再局限于某些特定行業數據，呈現跨專業趨勢、數據財產化趨勢，這使得數據處理行為與市場交易交織，僅靠政府監管不足以覆蓋全部監管需要，因此需盡快明確系統的監管標準。政府對于數據監管通常是根據數據類別或涉及的權益類別(人身、財產)劃歸不同管理機構進行附帶審查。可考慮整合分散的數據監管機構，提高各類數據共享的開放性，加強監管流程效率，完善因監管方過錯導致信息主體權益受損后的救濟途徑，關注數據維權司法實踐，使主體數據權益得到切實充分保證。

4 我國大數據監管體系的思路探索

4.1 更新監管理念

行業數據化轉變需要監管理念的更新，以適應行業運轉現狀，主要包括以下幾個方面：

一是由“命令控制型監管”轉向“適應性監管”。金字塔式、條塊分割、靜態的監管理念已不適應金融科技和大數據快速發展的需要，應加強動態監管，隨行業變化來調整政策和監管制度。二是發揮監管“功能性特點”。不同種類數據流通、用途均有所不同，應區分類別進行針對性監管，推行科學、有利于行業發展的人性化監管措施，為技術創新發展保留一定的容錯空間，同時完善惡性事件的追責機制。三是明確綜合協調式監管是大數據要素同監管結合、發揮各方監管主體從不同層次進行有效監管的新監管形式。

4.2 完善監管法律規范

一是以基本法為基礎，建立完善的法律監管體系。為了數字經濟時代的監管工作有法可依，新法的修訂、舊法的完善刻不容緩，必須使立法能夠滿足數據監管的需要。在國家基本安全觀的指導下，以RCEP推動力對相關數據跨境流動規則進行修改完善，以促進數據治理體系的良性發展。應發揮數據大國優勢，在數據安全與數據流通之間尋求良好平衡。

二是中央地方雙位一體化大數據監管制度。成熟的監管制度需要從中央到地方的貫徹執行，地方在宏觀規則的指導下應積極發揮能動性。應持續開展數據跨境流動試點工作，如“數據自由港”的試行，研究法規條例在開放、保護數據之間的平衡，根據實際的應用成果總結經驗，避免一刀切的數據流動壁壘規則，探索符合地方特點、符合中國國情的數據流動監管方案。

三是為世界數據監管規則貢獻中國智慧。當下對于數據跨境流通需要借助自身在數字經濟領域、隱私信息保護的優勢地位，引領世界數據經濟流通規則，在世界數據監管規則制定中爭取更多的話語權。目前，作為突破歐美單一性數據規制選擇的RCEP(我國首個嵌入數據跨境流動規則條款的自由貿易協定)創造了新模式，以數據主權、數據安全為本，尊重不同國家的發展差異，以包容合作態度實現數據治理，最終構建全球數字經濟體。我國的數據監管理念與此基本相同，因此在數據治理體系下，應加快推動數據跨境自由流動，加強與國際社會的合作，不斷擴大數據跨境流動的規則交匯，實現規則趨同，推廣數據跨境流動治理的中國方案。

4.3 加強其他監管配套機制的設計

4.3.1 政府監管層面

政府是法定的監管主體，監管效力高低將直接影響數據行業的發展進程。大數據時代，政府監管面對的是更為復雜的數據環境及一系列大數據技術帶來的新風險。為了適應環境的變化，實現最優化治理，“循數”治理理念是政府監管的必然選擇，運用大數據來分析社會輿情，提前發現、預測社會問題，可大幅度提升政府治理效能[4]。加強政府監管可從以下角度進行：一是打造“一體化監管”線上平臺，搭配線下“一窗式”綜合辦公終端與標準化的政務平臺，確立一致的數據監管標準細則，充分發揮政府監管實效，將監管同智能技術接軌，用科學監管抵抗科技風險，實現人工智能辦公，避免人力的局限性。跨部門監管不再需要冗雜的流程，而是由機器高效執行，節約了成本，對腐敗問題進行了有效制約，促進實現政府人性化服務和高效監管的目標。二是政府監管需要進一步提高數據開放性，建立云數據共享中心，融合傳統數據中心、云儲存、云計算技術的優點[5]，打破數據隔閡，充分發揮大數據的優勢，建立安全、綠色、高效的政府監管框架，避免數據資源利用率低、各自為政式監管或重復監管等弊端。

4.3.2 社會監管層面

社會監管是社會對于經濟政治文化等多領域按照國家標準政策進行監管。傳統社會治理大多局限于學術研究，大數據時代，從數據的來源、流通到最終應用，僅依靠國家層面的宏觀政府監管，成本較高，而智能化社會監管的加入彌補了政府監管的不足，從網絡化數字平臺、數據預警、多源數據處理分析系統三方面構建了完整的社會監管體系，與政府監管協調配合，形成了多主體監管體制。一是網格數字管理平臺。政府將區域網格化劃分或以社區為單位，制定相應規則，由各區域(社區)實現真正的社區治理。在宏觀政策的指導下，對內部區域進行自治的同時，通過政府社區互聯的網絡化數字管理平臺反饋及留存監管記錄，便于進行復查核對，實現社會統一細化的監控管理，城市治理不再浮于表面，真正做到了有針對性且總體標準一致化的監管。二是數據預警機制。通過數據監控和數據收集，將各種數據進行智能篩選和識別，對異常情況進行預警，反饋到城市管理平臺。積極鼓勵民眾參與數據安全環境建構，重視民眾在平臺舉報的社會不安全因素的數據違規事件，對社會潛在的風險和危機進行預警管控。三是多渠道數據處理分析。智慧政府和社會監管依托的是發達的數據分析技術和海量的數據基礎，如果沒有足夠的數據支撐，決策科學性必然失去保障，這不僅是社會治理的重要要素，也是大數據有效監管的前置條件。

4.3.3 多主體統籌監管體制建設

面對日益復雜的數據風險，多行業、多主體交叉。單一的監管主體難以勝任繁重的監管任務，尤其是面對系統性重大風險，監管的執行需要多方主體協同配合。政府監管、社會監管、行業監管、自我監管，每個層次都是監管體制不可或缺的組成部分。協調監管不僅是執行層面的需要，也是科學決策的需要。單一主體面對數據風險的判斷不可避免地存在局限性，而多方主體不僅是配合也是互相制衡，僅依靠單一主體決策與自我審查容易造成問題失察，不利于錯誤糾正，而多方主體的監管可達成穩定的閉環監管體制，是數據時代進行精細化、全覆蓋監管的必然選擇。

為了更好地服務市場，維護公平的市場秩序，保障主體權益，將大數據技術應用于監管中，防止數據風險及一系列的社會危機，是政府監管體制改革的重要任務，是實現簡放政權、治理能力與治理體系現代化的新時代課題[6]。

5 結語

“突破傳統監管的局限，適應新時代的治理需要”是監管體制改革的核心。需全面梳理大數據監管工作中的法律問題，從健全制度、轉變職能、強化監督三個方面采取切實有效的措施，統一監管標準，建立自上而下多主體統籌監管機制，以滿足數字經濟時代數據監管的需求，確保我國在新經濟時代的產業發展持續迸發蓬勃生命力，維護國家的長治久安，保障社會穩定，捍衛人民權益。