大數據時代背景下數據安全法治問題研究

劉琳璘

(河南警察學院 網絡安全系,河南 鄭州 450046)

信息技術的發展,使數據成為連接網絡空間與現實空間的紐帶。信息化進程的新階段表現為數據快速發展為新一代重要的信息技術、服務與管理方法。在此技術手段下數據成為知識發現、價值創造、能力提升的重要戰略性資源。一旦這種數據資源被非法竊取利用就會給社會公共安全造成巨大的損失與危害,在多個領域產生連鎖性反應,給國家安全和公民權利造成嚴重侵害。因此,數據安全問題成為國家安全的重要組成部分。

一、大數據時代數據安全的法治機理與價值定位

大數據是信息技術發展的必然產物,大數據時代的到來是信息化進程的新階段,它推動了數字經濟的形成與繁榮。而數據既是現代化信息交流、服務與管理的重要方式與途徑,也是經濟和社會發展不可或缺的戰略性資源[1]。換言之,數據安全事關國家安全與發展以及社會穩定,是國家安全的一個重要方面,是當前大數據時代數字社會、數字政府、數字經濟建設中亟待應對和解決的重要挑戰。

(一)全新安全形勢下數據安全治理的法治基礎

伴隨信息技術發展,傳承上百年的人類物理世界逐漸轉換為數字世界,2021年更被眾多媒體稱為“元宇宙”元年[2],人類正式邁入數據時代。由此基于傳統單純物理世界的生產關系、生活模式與社會秩序等都面臨著復雜而深刻的轉變與重建。大數據時代的到來突破了物理時空中的“固態社會”,形成了一個既包括現實物理世界又包含數據重建的“液態社會”[3]。由此也帶來全新安全形勢的變化,在物理世界的傳統社會安全問題上,大數據時代碎片化、平行化、流動化的社會關系和社會結構帶來了更多網絡安全與數據安全問題,如算法歧視、數據鴻溝、撞庫打碼、刪庫跑路等。現代法治作為一種生活方式,業已成為公眾之間、個人與政府之間以及社會組織之間重要自我調節機制,是現代化語境中的一種社會秩序生成方式[4],也是國家治理現代化轉型的重要路徑和手段。故而數據安全治理的轉型也必須建立在法治基礎上,運用法治手段走法治化路徑。

數據安全治理的法治基礎主要表現在三個方面:其一,安全治理的法治必然性。數據安全的實現離不開秩序規則,大數據時代全新數字社會的發展仰仗和依賴的同樣也是現代法治社會確立和重新創制的秩序規則。唯有通過法治路徑才能對數據安全中公眾的經驗性預期及各領域學者的理論性預期作技術性整合,逐步形成數據安全治理的基本秩序規則。換言之,數據安全治理的法治必然性來源于人類在數字世界中對交往互動行為及其活動有序性與安全性的渴求與期望,而法律就是“使人類行為服從規則治理的事業”[5]。其二,安全治理的法治原則確立。大數據時代數據安全治理相較其他社會領域更為復雜,它既表現為針對智能科技、信息技術的極強專業性,又具有面向社會各領域、各行業及公眾的廣泛覆蓋性。因此法律和科技共治原則成為必然,即在數據安全治理中要將法律防控的保障性作用與技術防控的基礎性作用有機融合,推進數字世界中制度優勢和科技優勢的深度融合,使代碼規制與法律規則、算法與國法相輔相成,既能提升數據安全風險防控質量和效率,又能以法律的確定性、強制性和權威性強化相關科技人員的數據安全防控責任[6]。其三,安全治理的法制體系構建。數據安全秩序形成與保障的實現關鍵在于法律規范的確立和維護,因此法律制度體系的構建是數據安全治理重要的法治基礎。當前我國業已形成了以《中華人民共和國網絡安全法》《中華人民共和國數據安全法》(以下簡稱《數據安全法》)《中華人民共和國個人信息保護法》等相關法律為核心,包含《關鍵信息基礎設施安全保護條例》《計算機信息系統安全保護條例》《貴州省大數據安全保障條例》等行政法規和地方性法規構成的數據安全法制體系。這一體系雖初具雛形,但面對日新月異的數字技術變革和大數據時代數字社會的發展,在諸多方面仍存在較多不足和空白,亟待補充完善。

(二)數據安全法治的價值定位

2017年12月8日,習近平總書記在中共中央政治局就實施國家大數據戰略進行第二次集體學習時指出:“數據安全應強調對國家關鍵數據資源保護,加強政策、監管、法律的統籌協調,加快法規制度建設,制定數據資源確權、開放、流通、交易相關制度。加強數據安全管理,規范互聯網企業、機構對個人信息的采集使用。”[7]依此基本思路,筆者認為數據安全法治目標和價值應從微觀、中觀和宏觀三個層面具體定位。首先,在微觀數據資源利用層面上,要以數據質量保障為基礎。數據質量保障主要指在數據采集過程中通過支持數據歸集管理、質量管理、安全管理的技術與行政手段,防止出現數據丟失、數據失真、數據偽造等質量問題,保證數據質量和安全,這是數據資源利用的前提和基礎,一旦數據質量出現問題,不僅會嚴重影響數據使用的效率和利用效果,而且會滋生潛在的數據違法及犯罪行為,后果極其嚴重。當前數據資源主要來源于三個途徑,即人們在互聯網活動中產生的數據、各類計算機系統產生的數據、各類數字設備記錄的數據。這些海量數據既有同構數據,也包含大量的異構數據,目標數據經常會受噪聲數據的干擾,必須通過預處理技術進行“去噪”和“去臟”,形成具有一定邏輯性的統一數據庫,并運用壓縮和分類分層策略進行集約式處理,來保障數據的準確性、完整性和一致性[8]。故而微觀數據層面上,數據安全治理必須針對數據清理、數據集成、數據規約與數據轉換進行技術保障與法律規制。其次,在中觀數據權利保障層面上,要以公民數據權利的尊重與保障為原則。我國民法典對公民隱私權和個人信息保護作出相關規定,學界也基于“權利束”理論對數據權利的人格權、財產權等多重權利屬性進行了論證與研究[9],數據安全治理涉及多元主體的參與和配合,其中協調配合的基本原則就是對公民數據權利的尊重與保障,這也是現代化法治中國建設的基本要求。而核心問題就是數據隱私權的保護,在數據的收集、流轉、存儲、使用過程中,必須防止個人數據尤其是涉及隱私權的數據被泄露及非法使用。數據安全治理必須堅持數據權利保護原則,唯其如此,才能有效地平衡隱私保護與數據利用、數據安全之間的關系。如果一味強調利用而不強調保護,最終會妨礙數據資源的發展和技術創新,也不利于對數字社會人格尊嚴的維護。而一旦個人數據權益不能受到必要保護,公眾產生懷疑與防范心理,不敢授權個人數據,就會反向妨礙數據的利用和流通。最后,在宏觀數據安全保護層面,要側重從數據的全生命周期角度,審視建構數據從產生到消亡整個過程的數據安全防護策略,實現數據共享協同過程中可能導致的直接影響有關國家主權、公共利益、公眾個人安全的政治風險和社會威脅的防范與化解。在公共安全與應急管理中,數據安全思維與意識必須重塑,才能提升應急管理機制下數據的適應性和有效性,實現數據公共安全治理法治方式變革。具言之,圍繞數據收集、數據存儲、數據修改、數據使用、數據公布與數據刪除等整個數據生命周期過程,要在法律框架下設計科學合理的數據規則,既要保證數據流動的價值,又要保障數據安全的實現。過度強調專網建設、數據壁壘、數據鴻溝等做法,會造成社會治理成本上升、治理效率低下、數據資源浪費等問題,并與大數據時代數字經濟發展相背而行。因此數據安全治理應注重組織建設和技術支撐,成立數據安全法治專業組織機構,培養專業人員,建立完整的數據安全預警、處理、備案審查等過程防控體系,加大對數據訪問管控、數據存儲加工加密、數據訪問異常行為分析等安全治理技術研究和創新應用。

二、我國法治進程中數據安全治理的法治瓶頸與反思

黨的十八大以來,習近平總書記圍繞全面依法治國提出了一系列新理念新思想新戰略,為新時代深化依法治國實踐,加快建設社會主義法治國家提供了根本遵循。他指出,網絡空間不是“法外之地”,同樣要講法治,要堅持安全用網保障和權利保護相結合,加強對網絡空間個人隱私以及名譽權、財產權等合法權益的保護[10]。因此,數據安全治理必須堅持法治原則和法治路徑,才能有效防范和應對數字社會發展中的各類安全風險和挑戰。

(一)數據安全治理面臨的法治問題與困境

大數據推動了一次全新的時代轉型,也是一場生活、工作與思維的大變革。數據安全治理正是基于大數據發展對國家、社會組織結構和治理模式的深刻影響,為更好實現公共安全維護、公民權利保障,提供技術支持與助力。總體國家安全觀對數據安全在數字鴻溝、個人隱私及算法正義等方面的法律制度建設亦提出全新要求,強調秉承以人為中心、基于事實的政策導向[11]。由于數據具有資源廣泛性、來源復雜性、種類多樣性,極易成為黑客、不法分子及敵對勢力竊取和攻擊的目標,同時數據安全治理主體由于缺乏相關數據法治意識,也存在非法濫用數據資源等問題。相較此類一般治理問題,筆者認為我們當下亟須解決與應對的數據安全治理深層次法治問題與困境主要集中在以下三方面:

1.公共安全秩序維護與公民個人隱私保護的沖突與平衡

數據是數字智慧社會建設的重要技術手段與保障,它為反恐維穩、治安防控、精準預警、打擊犯罪提供了關鍵信息和數據支持,在公共安全秩序維護方面發揮著重要作用。但在個人數據的收集與應用方面缺乏明晰的法律規制界限,存在著數據泄露或不當使用等現象。例如在一次針對公安機關工作人員的數據安全治理調研中,參與問卷1117人次中就有173人承認在工作中受人之托幫忙查詢信息,占比15.49%;233人承認曾在工作中和同事共用一個賬號密碼登錄數據平臺,占比20.86%。這些行為極易造成公民個人數據信息的泄露與濫用,侵害當事人的個人隱私權。究其原因主要歸結于數據安全標準體系尚不完善,隱私保護技術和相關法律法規尚不健全。此外數據所有權和使用權往往出現分離,導致基于公共安全秩序維護需求的數據采集和數據公開與個人隱私保護出現沖突。數據技術運用與公民數據資源收集是相輔相成、互相依賴的,大量多門類的公民數據信息對大數據時代下國家行政起著重要的支撐和助推作用,但由于國家公權力與公民私權利內在的屬性沖突,致使國家機關在數據技術運用中較難把握公民數據信息采集使用與個人隱私保護的邊界和平衡。

2.數據資源共享與專門業務保密的矛盾與化解

數據真正要發揮價值,需要匯聚、關聯、融合來自政府、企業、行業組織以及公眾等各個層面的資源,而政府掌握的數據是其中至關重要的組成部分。政府數據本質上是政府機構主導或參與開展行政事務和社會活動時所獲得的數據。其采集數據的經費來自于公共財政,故而這些數據資源除了供國家機關自身利用外,理應向社會開放,成為國家機關在大數據時代提供的重要公共服務[12]。因此,數據的開放與資源共享成為必然,但政府數據涉及多項專業部門,自身就存在數據共享壁壘和數據孤島現象,個別數據擁有者基于特殊業務保密要求及數據安全問題頻發等原因,存在不愿、不敢開放共享的心理,從而導致部門之間、行業之間和組織層級之間數據資源都難以共享,更何況向社會開放。此外,數據資源共享還涉及效益評價與成本考量問題,政府部門與數據資源共享方之間的成本分攤、收益分配以及權責歸屬在法律上還有待明晰,如公民戶籍信息是許多業務部門需要的數據,但如與其他部門或社會公眾共享該項數據,不僅會增加國家機關額外工作量,也存在個人信息泄露的巨大風險。換言之,數據管理開放過程中,投入成本容易量化,但其因資源共享開放產生的安全技術壓力與潛在安全風險卻難以估量。

3.數據算法科學性與正義性的悖論與博弈

大數據應用中的數據分析算法往往直接決定或影響預測和決策,因而可能給公民個人利益乃至社會利益、國家安全帶來影響和風險。面對社會現實問題解決時,算法設計會因不同評價標準而差異明顯,算法設計者多數都是理工科的學科背景,設計中更多關注的是算法性能、代碼大小、功耗、能耗等科學技術維度的目標與評測標準,欠缺社會價值、倫理規范和法律法規等方面的的知識與考量,因此算法設計中公平性、透明性、可解釋性、隱私性等算法正義有所欠缺,造成現實中算法濫用、算法歧視、算法黑箱等諸多問題,成為數據算法科學性與正義性的悖論表現。因而,在算法設計時必須強調其對公民權利和社會公益的影響,參考所應用領域的價值規范。同時要注意避免算法模型中潛藏諸如地域、性別、年齡等歧視,避免機器偏見造成數據運用過程中對社會安全的負面作用。此外,還需注意算法可責性問題,盡可能使算法決策理由充分、過程透明,問責機制健全,尤其是與公民權利密切相關的執法領域,要注意算法透明度和可解釋性,避免因算法黑箱致使公眾對數據安全治理產生信任危機。

(二)數據安全治理的法治分析與反思

2021年我國頒布制定了《數據安全法》,為數據安全治理提供了基本的法律支持與保障。該法第四條(1)參見《數據安全法》第四條規定:“維護數據安全,應當堅持總體國家安全觀,建立健全數據安全治理體系,提高數據安全保障能力。”明確將總體國家安全觀確立為數據安全治理的理論指導。同時它堅持了總體國家安全觀中安全與發展的辯證關系,專章規定了數據安全與發展問題。雖然《數據安全法》建構起我國基本的數據安全制度,確立了社會各主體的數據安全保護義務與職責,但由于其綱領性、原則性條款較多,在具體數據安全制度構建方面僅具指導意義,同時存在個人信息安全和數據安全之間界分不清等問題,致使近兩年的數據安全治理存在一些突出現實問題與短板。

1.數據安全治理目標法治定位有所偏差

伴隨信息技術的發展,數據資源在社會生活中發揮的作用在廣度與深度上逐步拓展,成為數字社會重要技術支撐和手段。總體國家安全觀強調既重視發展問題,又重視安全問題,《數據安全法》也提出要統籌協調數據安全與數據開發利用及產業發展關系,但在安全治理方面依舊存在著目標定位不準、治理理念不清等問題。一些政府機構和業務部門認為數據安全治理就是保證數據的絕對安全,因而拒絕數據共享和數據開放,造成數據孤島、數據壁壘,制約了數據資源作用的發揮和價值的實現,這種獨立化、絕對化的安全治理目標與數據資源自身開放共享的發展理念背道而馳。數據安全治理中的區塊鏈技術作為一種顛覆性去中心化技術手段,打破已有的政府機構中心化管理機制,引入企業、平臺、個人等利益相關方,借助分布式數據庫、共識機制、智能合約和密碼等技術手段為治理主體之間建立一套低成本的信任機制,在不同機構、主體間構建信任關系,在數據分散管理的同時,通過建立完善的數據共享使用機制,實現數據的集中應用。然而治理技術的有效運用,離不開治理理念的更新與目標的準確定位,否則將與數據安全的法治需求背道而馳,限制治理技術自身價值的發揮和實現。

2.數據安全治理主體之間法治配合度欠缺

做好國家安全工作,必須緊緊依靠人民,數據安全治理絕對不是政府機關一家之事,涉及政府、企業、平臺和個人等多個利益相關方,既需要明確數據安全的標準規范,更需要治理主體在法律規范體系下履行各自的權利義務和責任,積極參與數據安全治理,進而實現共建共享共治。但由于我國數據安全法治保障體系正處于構建初期,雖然《數據安全法》規定了社會各主體在數據安全治理中的義務與職責,但在治理主體具體權責方面存在一定的寬泛性和粗放性,相應的地方立法在此方面也存在一定的滯后性,難以有效應對數據新技術和新應用帶來的新問題。數據治理主體涉及政府、企業、第三方機構如行業組織、大型互聯網平臺運營者等多個利益相關方,僅依靠行業公約、行業自律、服務協議等道德倫理規制主體權責明顯不夠,各主體針對數據安全的利益訴求也存在較大差異性,如果欠缺必要的統籌協調機制,將難以激發其主動參與治理的積極性,限制其治理作用的發揮,因而必須利用各層級數據規約,提升法律治理的層次和力度,加大擴充法律治理的空間,才能真正敦促治理主體各方更好地履行各自的治理責任,有效發揮治理主體間的能動性,提升配合度,實現數據安全治理的效率和效果。

3.數據安全治理對象法治邊界不夠明晰

《數據安全法》明確規定了數據處理,包括數據的收集、存儲、使用、加工、傳輸、提供、公開等,但對具體數據處理安全問題僅作了原則性規定(2)參見《數據安全法》第八條規定:“開展數據處理活動,應當遵守法律、法規,尊重社會公德和倫理,遵守商業道德和職業道德,誠實守信,履行數據安全保護義務,承擔社會責任,不得危害國家安全、公共利益,不得損害個人、組織的合法權益。”,致使現實中數據安全治理對象法治邊界模糊不清。數據處理平臺多由數據中心、服務中心和應用中心三部分組成,數據中心負責數據采集、處理、存儲,服務中心負責將數據層的數據資源構建成各種服務接口并發布,并與應用系統實現銜接,應用中心則負責為各部門機構提供具體實戰應用,如風險排查管控、視頻監控、軌跡分析等[13]。三個中心都涉及數據存儲、使用的安全問題,也是數據安全治理的重點對象。但在具體治理過程中,數據如何在三個中心之間安全地流轉、使用、開放、共享,亟待法律進一步明確和規范,構建深度數據安全治理的法治框架,重點解決治理對象安全防護碎片化、訪問授權體系粗放化、安全標準的差異化等法治問題。同時,要重點針對云計算平臺安全、大數據系統平臺安全、云安全態勢感知、數據終端安全等四個方面,明確安全治理的法律責任與義務,打造全方位立體式的數據安全治理法治保障體系。

4.數據安全治理手段的法治水平有待提升

全面提升國家安全能力要更加注重法治思維,更加注重科技賦能,更加注重基層基礎[14]。在微觀層面上,數據安全保障一直以來主要依靠信息技術手段,如數據加密技術、數據標簽技術、區塊鏈技術和統一鑒權技術等,涉及安全技術設計和操作問題,多由一些行業公司和技術人員掌控核心關鍵技術,在安全治理過程中這些主體的法治意識和素養往往至關重要,而相關法律責任與程序規范在此方面也存在空白,因而致使安全治理技術手段的法治保障不足。在宏觀層面上,數據安全保障主要依靠數據分類和分級管理制度,通常數據在類別上分為個人數據、公共數據和其他數據三種類型,在級別上分為保密數據、敏感數據和公開數據三種層次,但這些不同類別、不同層級的數據在現實使用中存在數據類型不明確、敏感數據標準不確定、各類數據界限模糊、交叉重合等問題,法律上也鮮少對此進行細致的劃分與規范,致使數據安全治理手段在標準化、規范化和法治化上存有瑕疵。

三、大數據時代數據安全法治框架的構建與實施

隨著信息技術快速發展,大數據、算法和人工智能的結合正在掀起新一輪的時代變革。然而,數據發展帶來的安全問題業已成為新時代人類面臨的新型重大威脅之一,信息泄露、算法控制、算法歧視等現象對個人權利、社會利益乃至國家利益造成多重安全隱患。總體國家安全觀強調要切實保障國家數據安全,處理好數據安全、網絡空間治理等方面的挑戰,并始終堅持在法治軌道上推進國家安全體系和能力現代化。因此可結合總體國家安全觀的機理與整體布局,在法治框架下設計構建數據安全治理體系。

(一)數據安全法治框架的構建理念與向度

大數據體系構成復雜且分布范圍廣泛,政府數據、企業數據、個人數據等不同數據主體在公安網、偵控網、視頻圖像網、政務網、移動接入網都有設備部署,面臨的安全風險和挑戰不盡相同,各有特點,致使數據安全治理形勢嚴峻。《數據安全法》在第五章對政務數據的安全與開放劃定了法治邊界。企業數據的權利屬性在理論上仍存在爭議,我國現行的《中華人民共和國民法典》(以下簡稱《民法典》)、《數據安全法》等法律法規均未予以明確,其數據安全問題分散在《數據安全法》及相關地方性法規之中,如《上海市數據條例》在第二章數據權益保障中對法人與非法人組織數據權益進行了規定。而《民法典》在第六章專門規定了隱私權和個人信息保護,明晰了個人數據安全的法治范疇與保障。我們必須結合三類不同數據主體的特點在治理方式與手段上凸出針對性與具體性。總之,面對當前快速發展的數字社會,數據安全治理必須不斷更新治理理念,找準治理目標和定位,在遵循信息技術發展規律基礎上,以規范的技術標準、科學嚴謹的法治路徑構建治理框架和體系。

首先,構建數據安全法治框架必須秉承技術賦權下的權義平衡價值理念。傳統法治理論之下,行政機關的公權力來源于公民私權利的讓與或授予,故而公權力服從服務于私權利,這是基于傳統市場經濟體制基礎上產生的法治思想與模式。而大數據時代網絡科技與數字資源打破了傳統的經濟運行模式,數據信息成為新經濟能源,也成為利益分配的一種重要手段。治理主體則在網絡技術和數字技術運用中實現了自我賦權,在智能監控、人臉識別、數據追蹤等技術運用中合法搜集、利用與干涉著公民私權利,個別平臺與企業在參與治理過程中也通過技術賦權獲得了技術規制權,如信息刪除權、限制下單權、封號、下架、關店等,形成了技術權力化和權力技術化的治理邏輯與發展趨勢。因而,這種技術賦權后的權力運行必須遵循權義平衡價值理念。具言之,無論治理主體權力是來源于傳統私權利還是全新的數字技術,都必須遵循基本的權力與責任義務相統一原則。這種權力必須與基本的社會責任與義務相平衡,受限于法律的基本規范之下。亦即數據安全治理要秉承理性積極的態度,遵循數據資源流動、共享、使用、過濾、知化的運行需求,在自我賦權過程中明確數據安全治理主體相應的責任與義務,實現權力與義務的平衡、共享與規制的平衡。換言之,政務數據涉及國家秘密,企業數據涉及商業秘密,個人數據涉及個人隱私,在各自領域的數據收集、存儲、使用、加工、傳輸、提供、公開等方面需要承擔相應的數據安全監管職責與義務。

其次,構建數據安全法治框架必須明確法治向度。一是要在治理目標上準確定位。在技術賦權下治理主體經由技術路徑獲得了多項數據治理權力,這些權力一旦被濫用,不僅會侵犯公民的人身權和財產權,也會給社會穩定帶來不可估量的破壞作用。總體國家安全觀指導下的《數據安全法》為數據安全治理設定了總體目標,即規范數據處理活動,保障數據安全,促進數據開發利用,保護個人、組織的合法權益,維護國家主權、安全和發展利益。在此前提下還必須明確數據安全治理在兩個層面的具體目標定位:其一,治理的直接目標是保障數據流動、共享、使用過程中的數據隱私、數據質量及全生命周期安全,從而更好實現數據資源的價值與作用;其二,治理的根本目標是為了運用數據技術維護保障公民及各類社會主體的各項權利在高速發展的數字社會中不被非法分子侵犯破壞,維護社會的和諧與穩定。

二是要實現治理主體之間在法治統領下的分工配合。數據安全治理必須依靠社會多元主體通力合作,要構建以政府為主導多元主體共同參與的協同治理機制。在治理主體之間形成“縱向融通、橫向合作”的協調機制,一方面要保證在數據安全治理縱向國家機關上下級之間的協同聯動一體化,對各級國家機關數據安全治理的權力邊界和活動范圍統一規定,明確各自的職責范圍,防止出現“權責交叉”和“推諉扯皮”等問題;另一方面要不斷拓寬與企業、行業組織以及社會公眾等不同主體的橫向合作渠道,發揮這些主體在數據安全治理中的積極作用,為數據安全治理營造良好的生態環境。

三是要明晰治理對象的法治邊界與操作規范。加強數據安全治理必須不斷推動相應的法律法規體系建設,加強對大數據技術的法律監管,并對數據過度采集、算法歧視、資源濫用、深度偽造等行為進行立法規制。同時加強數據全生命周期安全管理立法,明確數據的分類分級、去標識化、風險評估等內容,制定出臺統一的數據安全標準與操作規范,尤其要在數據安全的技術標準、管理標準、平臺標準、評估標準與質量標準方面精細化立法,保證立法結果的針對性和可操作性。此外,還必須明確數據采集、使用、共享等高風險環節的操作性規范,依法開展安全治理工作,加大對數據濫用、數據泄露、隱私侵犯等不法行為的懲處,推進數據安全監管的執法力度。

四是要強調治理手段的法治化與規范化。總體國家安全觀強調運用法治方式推進國家安全體系和能力現代化。而數據安全治理方式從性質上分為技術性手段和行政性手段兩種,兩種手段的結合實現了技術要素與管理要素的系統集成[15]。當前需完善的重點是技術性手段的法治化和行政性手段的規范化。具體而言,在數據安全治理的技術治理層面上要加強法治約束與理念的灌輸,提升技術人員的法治素養和思維,通過算法解釋、算法公開、算法審計、算法問責等法治措施,保證在技術操作中的法律規制,避免算法濫用、算法偏見、算法黑箱等現象出現;而在數據安全治理的行政治理層面上要加強標準體系建設,對數據的類型進行綜合分析、整理歸納,明確不同的數據類型標準,規范數據劃分,并在此基礎上依據不同數據類型、數據使用場景、數據的所有和使用主體等標準,建立規范的分級管理制度,制定明確的數據判斷和識別方法,為數據使用者提供具體的操作規程,從而保證數據認定和制作的標準化、實現數據制式的互換性。

(二)多元開放性、多維立體化數據安全法治框架的構建

總體國家安全觀強調面對數據安全、數字鴻溝、個人隱私、道德倫理等方面,要打造開放、公平、公正、非歧視的數字發展環境[16]。故而數據安全治理也需遵循這一基本理論要求,構建一個多元開放性、多維立體化的數據安全法治框架。具言之,多元開放性主要強調治理主體與治理手段的多元化與開放性,即在平等、共享、尊重的治理理念下,數據安全治理主體應涵蓋公共組織、行業部門、企業個人等多元利益主體,并不斷開放吸納更多社會主體的積極參與,各主體在數據安全治理中責任共擔、合作共治、通力協作,維護數據全生命周期安全性和可用性。在治理手段上,既要強調多元化也要凸出動態開放性,一方面要針對政務數據、企業數據、個人數據不同特點,在總體國家安全觀指導下綜合利用立法、執法、司法等多元手段維護數據安全,另一方面還要不斷吸納、借鑒國內外先進的安全技術手段,更新完善數據安全維護體制機制,重點強化基于海量數據的APT攻擊發現、惡意代碼智能檢測、數據自動分類、基于差分隱私的數據脫敏和基于數據指紋的敏感數據發現等關鍵治理技術手段的創新與突破[17]。同時在行政性手段上也可借鑒參考域外普遍采用的敏捷治理方式(3)敏捷治理形式(agile governance model,簡稱“AGM”)包括敏捷決策、敏捷監管、敏捷開發等方面,創造并使用政策實驗室、政策模擬、數字準備政策等敏捷決策方式,以及監管沙箱、軟法、基于風險的監管等敏捷監管方式。參見范玉吉、張瀟:《數據安全治理的模式變遷、選擇與進路》,載《電子政務》2022年第4期,第114—124頁。,在數據安全治理決策、監管與開發各方面,針對迅速變化的數據安全問題,通過發布指導方針、技術標準或道德框架等開放性手段實現數據安全治理的快速響應力與靈活度[18];而多維立體化主要強調數據安全治理路徑的多維化與治理結構的立體化,即數據安全治理需從數據類型劃分、管理機制體制、共享與開發、安全與隱私保護等多個維度展開,圍繞制度法規建設、標準規范制定、應用實踐展開與支撐技術研發等多層面路徑推進。同時數據安全治理目標的實現需要突破組織邊界,從行業內和跨行業、區域內和跨區域、全國乃至全球多個層次構筑安全防護體系,這就需要從國家機關、行業部門和企業組織三個層面構建立體化的數據安全治理框架。國家機關通過相關法律法規和指導性政策等方式向行業和組織提供指導和監督,行業部門則以行業協會、聯盟等形式向國家機關反饋企業需求,支撐政策落實,同時向企業組織提供服務和監督,而企業組織則在國家機關與行業部門指導監督下做好內部的數據安全工作,并向國家機關與行業部門貢獻成功的應用實踐[19]。換言之,數據安全治理需要國家機關、行業部門和企業組織分別圍繞制度法規建設、標準規范制定、應用實踐展開與支撐技術研發等多維治理路徑,從數據類型劃分、管理機制體制、共享與開發、安全與隱私保護等核心環節構建三個不同層面立體交互式治理框架。

結合我國數據安全治理的現狀與發展面向,筆者認為數據安全治理法治框架的構建重點主要集中在去中心化與再中心化的元治理體系建構、法治引領與平臺協同軟硬結合治理手段的運用以及算法決策與代碼規制的法律應對等三個領域。

1.去中心化與再中心化的元治理體系建構

數字社會形成了前所未有的“大平臺”與“微時代”。尤其是網絡技術的發展與各種數據平臺的出現打破了傳統的信息壁壘和政府中心權威型治理模式,重構出多元分享、立體分布的分散型治理架構。在數據安全法治框架的構建中也深受其影響,政府在信息供需中的傳統優勢和中心權威地位正隨著區塊鏈等信息技術快速發展被沖擊弱化。但在這一去中心化過程中基于元治理的需求,一種再中心化的態勢成為必然。互聯網和數據平臺看似提供了平等的信息獲取途徑,抹平了數據鴻溝,但掌握網絡話語權和流量的平臺與行業機構,又重構了新形態的信息不平等,依靠技術獲得了壟斷地位和強大權力。元治理也被稱為“治理的治理”,是在混合治理模式下謀求社會效用最大化的過程,確保資源合理分配[20]。與傳統治理理論相比,它更強調公權力機構在治理中的特殊中心化角色,相比傳統治理中公權力機構“命令式”“家長式”的中心權威地位,元治理的特殊中心化更多是建立在平等地位上的“引領式”“指導式”治理,有學者形象地將其比作“同輩中的長者”[21]。即強調公權力機構在元治理多元治理主體中的主導地位。數據安全治理中多元參與主體也必須強調政府的特殊中心化角色,在政府主導下為數據安全地使用、共享、流轉確立行為準則,并指導和協調其他治理主體在安全治理過程中厘清數據的權屬關系、角色定位與職責分工,圍繞大數據全生命周期的安全,構建平等協作的主體關系,避免治理主體之間出現信息孤立、利益沖突及權責不協調等問題。

2.法治引領與平臺協同軟硬結合治理手段的運用

信息技術發展使社會治理手段不斷呈現網絡化、數字化和智能化趨勢,治理手段的多元復合性特色鮮明。雖然技術賦權成為數字社會的新常態,但不斷突破現有體制束縛的技術創新必須遵循法治的底線,共同構建數字虛擬社會的信任機制,實現法律和技術的共治。蓋因二者在維持社會秩序與可預期人際關系等方面具有共同追求與價值目標。數據安全治理中無論技術性手段還是行政性手段都應堅持法治化路徑,一方面要實現“代碼即法律”以確保技術手段的規范性和正當性,另一方面也要盡可能實現“法律即代碼”以確保行政手段的技術性和有效性[22]。唯其如此才能運用高強制性的法律武器有效避免數字技術發展的負面效應,厘定安全治理的法律邊界與范圍,為數據安全治理有效開展提供法治保障。然而,在重視法治引領硬治理的同時,對于數據安全治理發展中的技術創新也要強調平臺協同的軟治理。可通過制定出臺一系列低強度政策工具,將數據安全治理責任細化到各類行業平臺,構建可信賴的數據制度,使其切實承擔起數據保密性、完整性、可控性等安全保障職責,強化平臺協同治理中的保護責任、忠誠度責任、保密責任和網絡執法協助責任。例如瑞典就在未修改法律的情況下依據指導性政府政策創建了一個測試哥德堡自動駕駛汽車的監管沙箱[23]。平臺經濟作為新業態一直處于科技創新的前沿地帶,各類行業平臺依據平臺模式規律制定了各類治理規則,其中涉及數據安全的治理規則在接受國家機關合規性評價和審查后也可成為數據安全治理的協同軟治理手段,這樣既可以指導不同行業領域或組織機構在數據安全治理中嵌入國家數據安全治理的認知和方向,又可以從具體操作層面配合國家數據安全治理措施的部署和落實。

3.算法決策與代碼規制的法律應對

數據應用中的數據分析算法直接決定或影響預測和決策,在基于某種指定計算將輸入數據轉化為所需輸出的編碼過程中一旦出現算法濫用、算法歧視和算法安全等問題,就會對公民利益、社會利益乃至國家安全帶來一定的風險和威脅。而代碼規制則是建構互聯網行為程序和協議中形成的一種帶有約束性質的價值判斷,代碼的選擇往往涉及在某些價值之間進行抉擇,或者在方案收益與代價之間進行權衡[24]。概言之,算法決策與代碼規制業已成為塑造數字社會秩序的重要力量,但在算法決策與代碼規制技術中必然嵌入了設計者基于一定控制目標的價值理念和主觀偏好,使其合法性與正當性面臨挑戰,大數據殺熟和算法歧視就是例證。數據安全治理中也面臨此類問題,應通過立法途徑明確算法決策和代碼規制有限透明度規則,避免算法黑箱,抑制代碼規制偏好。所謂有限透明度是允許算法和代碼設計者對算法決策與代碼規制中部分內容作為商業機密或其他秘密進行保密,但其應當承擔程序合法、說明理由等法律義務,并對算法決策與代碼規制過程負責[25]。同時還要強調治理技術開發算法和代碼的公共目標、數據管理和訪問權、算法驗證等均置于法律監管之下,法治框架內保證數據安全決策系統的可評估、可追溯、可檢驗、可復盤。此外,還可在立法中設立數據安全治理的算法解釋權,通過要求特定領域的算法公開,開展算法決策和代碼規制審計,逐步推進算法決策和代碼規制問責制。尤其是在政府由于數據技術能力缺陷而外包算法給其他行業機構時,這些行業機構必須生成關于算法過程、驗證目標的適當記錄,并承擔一定的算法披露與代碼說明義務,倘使其主張無法進行適當披露算法和說明代碼,應當引入算法決策與代碼規制的第三方審核機制。

總之,數據在當今數字社會建設中占據著重要地位,其安全問題關系著中國數字之治的關鍵環節,也是中國特色國家安全道路建設的重要一環。伴隨大數據時代到來,數據安全面臨的治理風險與挑戰日益嚴峻與復雜,一旦失手帶來的社會危害性與影響性更廣泛、更深刻,因此數據安全治理是一個需要全社會共同關注并長期研究的重要課題。