論數字法學研究范式的轉向：風險體系化治理

摘 要：數字社會的創新發展產生了一些超出社會預期的新型社會問題，但由于信息技術的更新迭代，法學研究逐漸無法在傳統理論范式中有效回應這些問題。特別是在大數據、云計算等技術釋放了數據的經濟價值后，傳統法學研究逐漸開始向數字法學研究轉型。不過，在轉型過程中，數字法學的研究范疇、研究范式頻繁遭受質疑，被認為脫離法學學科固有的研究體系。但從數字法學的發展歷程來看，該類研究始終是以法律關系為重心，技術原理等跨學科知識要素不過是研究過程所必要的論據，這也是數字社會治理問題所固有的特性。并且，在現行數字法治體系趨于完善的背景下，數字法學研究范式也從最初的個體性風險預防轉向風險的體系化治理，并借由分級分類治理、全生命周期治理以及協同治理理論等基礎研究范式，完成數字法治體系內的規則銜接和義務協同。

關鍵詞：數字法學；風險治理；技術安全風險；人工智能

作者簡介：趙精武，北京航空航天大學法學院副教授、工信部工業和信息化法治戰略與管理重點實驗室副主任、北京航空航天大學網絡空間國際治理研究基地副主任（北京 100191）；周瑞玨，通訊作者，北京航空航天大學計算機學院講師，北京航空航天大學網絡空間國際治理研究基地研究員（北京 100191）

基金項目：國家社科基金重大項目“健全網絡智能綜合治理體系研究”（23ZDA085）

DOI編碼： 10.19667/j.cnki.cn23-1070/c.2024.04.012

一、問題的提出

數字法學的勃興與發展始于大數據與云計算兩項信息技術的創新突破。在過往的法學研究中，有關個人信息的研究成果大多與個人隱私密切相關，因為此時的數據也僅是作為一種常見的技術要素而存在。但是，大數據、云計算革新了數據挖掘分析能力，這使得個人信息乃至商業數據的經濟價值得到充分釋放，數據挖掘、關聯和分析被廣泛應用于各個領域。在經濟社會層面，互聯網行業和傳統行業借助這些信息技術完成了業態的創新與改造，但在新業態的形成過程中，產生了一系列諸如個人信息保護、大數據歧視、算法濫用等全新的法律問題，進而促使傳統法學研究開始轉向以數據和網絡為研究客體的數字法學。特別是在《網絡安全法》制定和公布之后，法學的研究視角開始延伸至網絡安全保障領域，以往被視為純粹技術管控事項的網絡安全問題成為關注度較高的法學問題。在數字化技術的浪潮下，學者們普遍意識到從傳統法學到數字法學的轉變并非學術研究的“蹭熱點”，而是后現代社會風險治理需求增長的必然結果。雖然過往的信息技術創新時有發生，但是大數據、云計算、區塊鏈、人工智能等技術的創新卻是改變了既有的社會生產模式。網絡空間與現實生活之間既“平行”又“獨立”的關系狀態衍生出全新的權利和義務，并對傳統的法學理論提出難以通過改良論、解釋論解決的新問題，這促使法學研究不得不開始進行自我審視與理論創新。

盡管數字法學是以回應數字經濟社會存在的技術安全風險治理、新興權利保障等問題的研究模式，但是概念界定、研究對象范疇乃至成為獨立部門法的必要性等爭議和質疑貫穿于數字法學的發展全過程?？陀^而言，數字法學的研究對象、研究范圍是以技術創新為導向，數字法學的研究模式始終處于動態發展狀態，其有別于傳統法學研究的非確定性特征必然會產生不同層面的質疑觀點。在網絡安全保護等立法體系初步成熟的當下，以填補法律空白為目標的數字法學又面臨著新質疑：其一，經過周期性的質疑與辯駁之后，數字法學是否形成了獨特的研究范式；其二，伴隨著法律體系的完善，數字法學是否需要從側重立法論轉向側重解釋論；其三，在技術風險治理的研究趨勢下，數字法學是否正在將風險對策論作為內在的研究范式。這些質疑實際上也構成了當下數字法學研究亟待回應的基礎問題。

二、數字法學研究范疇的常見爭議與成因分析

（一）數字法學研究常見的“三個爭議”

在數字法學的研究活動中，因其自身的研究對象涉及數據處理、平臺業務以及新興信息技術應用等活動，勢必會涉及不少技術原理分析和具體業務模式介紹。這些有別于傳統法學研究的內容恰恰成為數字法學研究遭受質疑的關鍵環節，除了“網絡和信息法學”“人工智能法學”“數據法學”“計算法學”等概念爭議之外，①數字法學研究的常見爭議主要包括三類：

其一，數字法學的研究本質是否等同于“數字技術+部門法學”存在爭議。從現有的研究成果中不難發現，大部分的數字法學研究視角是以傳統的部門法學為主，例如，從民法學視角分析數據的財產權屬性，從刑法學視角論證網絡暴力行為對應的罪名，從經濟法學的視角解構互聯網平臺間競爭行為的本質。因此，這種研究方式也時常被作為質疑數字法學缺乏獨立研究范式的直接依據。即便數字法學研究者試圖論證數字法學的研究路徑已經突破了傳統法學研究所固守的部門法界限，更側重對技術安全風險背后法律關系的全方位分析，但往往又因為這種論證理由存在“部門法研究方法混同”等原因引發新一輪質疑。不過，部分成果也發現這些爭議存在“以部門法的視角解釋數字法學的研究結論”的問題。數字法學作為一類特殊的法學研究視角，其最后的研究結論無外乎是具體的立法建議或者現行立法的解釋適用，而數字法學的核心內容除了這些應用導向型的研究結論之外，還包括涉及跨部門法的研究過程，兩者實為互補關系。②例如，有學者指出，人工智能刑法并不是“人工智能+刑法學”，雖然研究視角不可避免地采用刑法學的研究范式，但在研究過程中仍然需要擊穿人工智能的技術本質，以跨部門法的方式解釋人工智能在法秩序范圍內是否能夠成為“權利義務的統一體”③。

其二，數字法學是否存在真正意義上法學與技術的交叉研究存在爭議。在數字法學發展初期，部分學者提出數字法學的特殊性表現為法學與信息技術的深度融合交叉，更有甚者提出只有了解一定的技術原理才能有效開展數字法學研究。然而，時至今日，數字法學的范式似乎依然停留于法學理論分析與制度建構，“深度融合交叉”的基本特征似乎并沒有充分體現。雖然部分數字法學研究成果確實是以相關的技術風險為預設前提，也涉及具體的技術應用模式和底層技術框架，但實質的論述邏輯還是傳統的法學“三段論”。為此，也有學者從跨學科建設的視角解釋數字法學的交叉研究創新性，如計算法學作為融合人工智能和法學的綜合性交叉學科，主要側重利用人工智能技術在法律咨詢、量刑等領域的預測研究。①還有學者則認為數字法學的交叉屬性表現為“傳統法律的知識邏輯因數字與算法而滲入了數理邏輯”，因而具備“可測量、可連接、可計算的數字技術屬性”②。也有觀點以數據法學為例，認為其獨特的研究方法是法律大數據方法，并作出“機器學習是法律大數據的技術特征”和“算力支持是法律大數據方法的動力特征”等論斷。③綜合來看，這些觀點意欲論證的交叉研究特征，但均未能有效地解釋究竟法律與技術如何進行交叉，多為“技術現象在前，法學分析在后”的論證方式。

其三，數字法學的研究范疇是否僅以數據和信息為限存在爭議。從現有研究成果來看，有關個人信息保護、數據安全保障以及數據財產權的研究在數字法學研究內容上占據了相當大的比例，故而存在“數字法學”是以數據和信息為研究對象的觀點。相應地，鑒于算法安全風險以及生成式人工智能技術應用的創新發展，“數字法學”與“人工智能法學”分離的研究傾向也逐漸顯現。其背后的原因在于，人工智能法學的支持者普遍認為人工智能技術風險與主流的數據安全風險存在顯著差異，算法安全風險、深度合成內容監管等問題及其治理邏輯無法沿用數據安全、個人信息保護相關的理論基礎。特別是在以ChatGPT為代表的生成式人工智能技術取得突破性發展后，風險對策論和統一立法論成為主流的研究趨勢。在風險對策論框架下，部分學者通過逐項列舉ChatGPT各類安全風險，在全景式的風險框架內提出針對性的制度建構方案；在統一立法論框架下，部分學者則以人工智能產業已經取得階段性發展為基礎，主張將有關算法、深度合成、AIGC等技術環節的現有制度整合成統一的人工智能專門立法，多以歐盟“基于風險方法”④的《人工智能法案》作為比照對象。從研究范疇來看，這兩類研究傾向依然無法排除有關數據安全和數據處理行為的法律性質分析，這是因為在技術實踐層面，人工智能是以“數據、算法和算力”為基礎，故而人工智能法學與數字法學在研究范疇也存在“雙重糾葛”，難以彼此明確地區分。

（二）“三個爭議”的成因分析：研究范疇的不統一

數字法學研究面對諸多爭議的根源在于“數字法學”本身就屬于一個較為寬泛的概念，所謂的“數字”容易被理解為數據、網絡信息等客體，這在一定程度上也導致相關論證從一開始就“文不對題”?，F有研究在論及數字法學的定位、內容時，或多或少均會涉及數字法學的概念之爭，這是因為相關概念論爭未能在法學研究范疇層面達成一致。例如，“人工智能法學”的研究范疇是以人工智能技術應用及其安全風險為限；“計算法學方法”是“將部分或全部法律研究問題轉變為可計算的問題，或者由計算機演算的過程”⑥；“數據法學”的研究范疇則是以數據安全和數據使用為限。現階段，學界已經開始普遍承認這些差異性概念表述的共性在于反映現代數字社會對傳統法學研究的挑戰與變革，故而數字法學這一概念指稱也得到認可。在部分學者看來，數字法學中的“數字”實為“時代的指稱”，而非指向問題或領域層面。①相較于“數據”“人工智能”等具體研究客體作為概念表述的前綴，“數字”一詞更能反映現代化社會中數字化進程對于法律體系和法學研究的體現，相應地，數字法學也通常被理解為“一門整合各部門法的橫斷性學科”，圍繞數字中國建設目標展開全方位、體系化的研究。

客觀而言，以邊界分明的研究內容限定數字法學的研究范疇較為困難。這是因為數字法學從來不是針對某一類具體的研究客體而形成的法學研究體系，其本質是傳統法學研究范式的現代化走向，即面向數字化社會中出現的各類新問題或舊問題，對既有的法律體系和傳統理論進行自我審視和反思，形成能夠回應各類技術風險以及法律關系變化的研究體系。簡單而言，數字法學并不存在固定的研究范疇，其本身更側重一種法學研究對數字社會的回應。這或許與傳統法學研究一直強調的“理論研究需要以明確的概念界定為基礎”相悖，但數字化技術對于傳統法學的改變并非系統性、規?；?。面對“數字法學是基于數字化技術對傳統法律關系的影響而形成的一種法學學科”這一論斷，也有學者提出了“數字化是否挑戰了整個實在法”的質疑，因為數字化的社會變革不大可能同時構成對所有部門法乃至整個實定法概念體系的挑戰，否則數字法學本身即屬于無法直接作用于社會實踐的理論法學，這又與數字法學支持者所強調的“解決實踐問題”這一應用法學特征相悖。③數字法學延伸出的各類理論范式既包括對財產權、意思表示等傳統概念的解釋，也包括創設全新的權利義務架構，但這并不等同于數字法學創設了完全不同于傳統法學的研究體系。

此外，數字法學常常被詬病為“風險對策研究”，因為從區塊鏈到元宇宙，再到生成式人工智能，每一次技術創新之后總會涌現一波專門針對這些新興技術風險的治理型研究。一概否定這些研究模式顯然失之偏頗，針對區塊鏈、算法、人臉識別應用等技術風險的研究浪潮助推了諸如《區塊鏈信息服務管理規定》《互聯網信息服務算法推薦管理規定》等立法文件的出臺。數字法學作為一種新興學科，本身處于一個發展過程，其特殊性體現為需要面向傳統法學研究所未曾面對過的技術革新。需要說明的是，在信息技術創新初期，基于技術安全風險展開相應的法律關系分析屬于一種嘗試性探索，伴隨著理論研究的深入和技術實踐的發展，相應的研究范式會逐漸從“風險對策論”轉向具體的理論分析。其中，最為典型的莫過于算法治理研究。在數據法學、網絡信息法學等概念興起的初期，算法實際上并未受到學者們的關注，其原因在于算法及其引發的算法歧視、算法偏見等問題往往被視為純粹的技術問題，更確切地說，法律不應當過多地干涉某一技術環節，而是應當以最終產品或服務所呈現的法律關系作為研究內容。但是，伴隨著學者們對于算法應用及其對實體權利影響的認知深入，算法透明、算法解釋、算法安全評估等理論被相繼提出。

（三）數字法學研究范疇的內在審視

回顧數字法學的發展歷史，倘若以研究范疇的相對明確作為數字法學發展階段的劃分標準，那么，《電子商務法》和《網絡安全法》的制定則可以被視為掀起數字法學研究浪潮的開端。在這兩法頒布之前，主流的法學研究始終未曾將數據安全和網絡安全納入自身的研究范疇，因為這些安全問題在彼時多被視為計算機科學與技術等其他學科研究需要解決的研究任務。誠然，彼時的部分學者注意到信息、數據在法學研究領域的重要性，但由于技術實踐本身發展滯緩，存在相應的研究成果缺乏予以回應和比照的實踐問題。然而，在大數據和云計算取得創新性突破之后，數據分析能力和數據存儲能力得到大幅度提升，數據開始呈現超乎預期的市場經濟價值，廣泛的個人信息處理活動使得學者們開始審視數據和網絡在法學研究體系中的地位，而這是個人信息保護理論的研究開端。在此背景下，《電子商務法》和《網絡安全法》的制定過程促成了傳統法學向數字法學的轉變。

一方面，《電子商務法》提出了對傳統民法理論的創新適用與調整，平臺經營者的法定義務開始成為法學研究重心。例如，民法領域的安全保障義務具有嚴格的適用條件，通常僅適用于線下實體的經營場所，其理論起源通常被歸結為德國法中的“交易安全義務”。在數字社會中，電子商務平臺的經營者不再處于一種完全的中立地位，其對平臺內部的電子商務活動有著一定的管理能力，為了避免電子商務活動可能對消費者造成的人身損害，部分學者基于公共政策考量等正當性基礎論證非線下實體的平臺經營者承擔安全保障義務的合理性。①盡管在此期間有關安全保障義務擴張使用的合理性飽受爭議，但《電子商務法》第38條第2款最終規定了安全保障義務，并且將這種義務的適用范圍限定為“關系到消費者生命健康的商品或服務”，這與該理論最初是以解決各類交易危險為目標保持了一致性。有關安全保障義務適用范圍的討論遠沒有就此結束，因為“安全保障”這一名稱與當下網絡/數據安全保護的立法目標相同，部分學者試圖將安全保障義務的相關理論用于解釋網絡平臺的數據安全保護義務，但又難以解釋按照此種邏輯如何避免安全保障義務與數據安全保護義務的混同問題。

另一方面，《網絡安全法》的制定延伸出網絡空間治理的研究體系與研究范式。不同于數據、信息的相關研究進程，在該法制定之前，有關網絡安全的法學研究成果寥寥無幾。這是因為網絡安全保障被視為純粹的技術問題，以權利義務為內容的法律制度在該領域難見成效。然而，產業實踐和技術創新前沿使得網絡安全問題的重要性被提升至國家安全層面，在《網絡安全法》的制定過程中，僅僅是圍繞網絡安全法律制度應當包含哪些具體內容就存在諸多爭議，而這構成了數字法學體系范式的研究基礎。除了網絡運營者的個人信息保護義務等具體制度的爭議之外，最多的爭議還集中在《網絡安全法》的內部體系結構。在學術論證過程中，學者們逐漸發現所謂的內部體系結構應當與網絡安全風險及其治理需求保持一致，提出基于網絡安全風險來源、作用機制以及損害結果的綜合性治理理論，強調在使用、運營、維護等各個階段實現全環節的網絡安全目標，并最終形成了“網絡運行安全、網絡信息安全、網絡監測安全”的立法框架。

三、數字法學研究范式的體系化轉向：以數字社會為研究范疇

數字法學不同于傳統法學研究或者部門法學研究，其研究范疇是以數字社會的各類法律關系變動為主，并不局限于特定的研究客體或對象。并且，在“數字化”立法體系趨于成熟的背景下，數字法學的研究范式也發生變化，不再完全側重個體類風險的治理研究，而是開始延伸出基礎制度與配套制度的內容銜接研究，亦即社會風險的整體性治理。

（一）數字法學的研究起點：風險治理

數字社會對法學研究最深刻的影響莫過于風險治理邏輯。雖然法學研究的基本范疇始終離不開對具體法律關系的分析，相應的論證過程也是圍繞權利義務予以展開，但不同于以往的公共政策考量、法律價值權衡等內因，數字法學的研究范式需要遵循數字社會的發展特征。在數字法學研究框架內，風險治理、風險預防等類似表述頻繁出現，基于風險的治理策略已成為主流選擇。②這并非數字法學的研究重心發生偏向，而是數字社會需要法律介入的環節恰恰是各類潛在的安全風險。從個人信息安全風險到算法安全風險，再到網絡安全風險，這些現代化社會風險可能導致的安全事件難以通過恢復原狀、賠償金錢等方式實現真正意義上的救濟。以數據泄露事件為例，數字法學如此重視數據安全問題的原因除了數據要素龐大的市場價值外，還因為數據作為財產權客體，一旦發生泄漏等安全事件，雖然可以在事后階段明確責任主體并予以追究其侵權責任乃至刑事責任，但是對于企業而言，數據經濟價值的來源之一恰恰是數據本身的稀缺性。數據泄露這一損害事實并不具有恢復原狀的可能性。并且，從市場定價機制來說，曾經發生過數據泄露的企業數據意味著“獨家占有”這一特征不復存在，相應的市價也會有所貶損。此外，個人信息泄露事件面臨的問題更加棘手：自然人發現個人信息泄露具有滯后性，且難以證明個人信息泄露的源頭。即便在司法實踐中，部分法院傾向由個人信息處理者證明并非自身原因導致個人信息泄露，但這也僅僅在極少數案件中具有可行性。更為麻煩的是，個人信息權利作為人格權，除非能夠證明個人信息泄露確實對其財產造成損害，自然人也僅僅能夠主張精神損害賠償。因此，數字法學對于安全風險的“敏感性”本質上是數字社會發展的必然結果。

“安全”這一法律價值在數字法學研究領域的重要性遠超以往，“安全保障”“安全治理”等類似表述頻繁出現于各個部門法學的研究成果之中。例如，在民法學領域，“安全”包含了兩類典型的治理目標，一是傳統民法學所關注的財產安全和人身安全，二是數字法學所關注的網絡安全和數據安全。諸如此類的研究目標變化并非意味著傳統法學正在向“安全法學”轉變，而是因為在數字社會，最顯著且最不可控的安全風險是由信息技術創新應用所導致的。網絡安全風險的成因往往是內外部因素相互結合，即便在立法層面明確限制“危險制造者”應當盡可能采取合理的技術措施和內部管理機制控制風險，也無法徹底杜絕風險事件的發生。在純粹的代碼編寫活動中，技術人員關注的是代碼的功能性和簡潔性。倘若在代碼層面施加不合理的安全保障要求，不僅會導致代碼的預期功能無法實現，還會存在過度干涉經營自主權的問題。然而，對于代碼功能性和簡潔性的追求決定了信息系統本身不可能實現絕對安全效果，否則代碼將會呈現繁冗的狀態。此外，硬件層面的設備故障、電力中斷、自然災害致損等因素更會加劇網絡安全風險的不可控性。進一步而言，網絡安全風險作用機制的特殊性改變了傳統法學的研究范式，即單獨通過增設強制性義務的方式已經無法有效控制風險，法律需要與市場、技術、社群等治理工具一并介入風險預防的治理活動。

（二）數字法學的研究轉向：體系化風險治理

在數字法學的發展早期，相應的研究范式多是以個體性風險治理為主。在《網絡安全法》制定之初，網絡運營者、關鍵信息基礎設施運營者的網絡安全保護義務及其理論基礎成為研究重心。雖然部分學者會論及網絡安全立法體系，但其論證路徑依然是以個體性的網絡安全風險預防為主，根據網絡安全漏洞風險、網絡信息安全風險、網絡監測預警風險等具體風險類型，分別論證相應的治理路徑和法定義務。類似地，在《個人信息保護法》的制定過程中，個人信息處理者通常被視為控制和預防個人信息安全風險的主要義務主體，故而數字法學研究普遍側重對個人信息處理者法定義務范圍和具體內容的論證，強調對個人信息處理者各類不規范業務活動施加限制或禁止性規定。在新興技術應用監管領域，這種個體性風險治理傾向更為顯著。從早期的區塊鏈技術監管到現在的人工智能技術應用監管，在這些信息技術創新之初，學者們通常會針對某一類特定技術風險開展論述。盡管表面上存在“風險對策”之嫌，但背后的論證邏輯其實是通過觀察某一類特定技術應用對現有法律關系的影響，在現行立法基礎上提出相應的解釋論或立法論，以此確保受到影響的法律關系仍然能夠保持原有的權利義務對等狀態。

不過，隨著數字法學研究的不斷深入，這種個體性風險治理漸顯不足。數字社會是以網絡空間為基礎，互聯互通的網絡空間決定了風險治理模式不能局限于個體性風險治理，同樣需要關注風險的體系化治理。因為在互聯互通的數字社會，安全風險的預防和控制邏輯往往是“牽一發而動全身”，既需要對主要的風險來源加以控制，還需要注意不同風險之間的相互作用。風險體系化治理通常表現為基礎法律制度與配套法律制度、不同基礎法律制度之間的內容銜接，進而達成更大范圍內的風險綜合治理效果。例如，在數據財產權研究中，數字法學研究的內容已經從單純的權利架構論證延伸至數據財產權與數據定價、數據交易、數據中介服務等配套機制予以銜接。數字法學作為以數字社會實踐發展為導向的法學研究模式，研究結論需要在理論支撐或制度建構方面服務于數字社會發展。數據財產權屬于一項綜合性的交易安全保障制度，僅是解決數據處理環節各參與者的權益分配問題遠遠不夠，還需要回應數據財產權與其他市場交易機制的銜接。根據傳統的會計準則，數據資產納入資產負債表的前提是“產權明晰”，這意味著數據財產權的構建不能停留于法律價值層面的權益平衡，除了需要設置較為明確的權利邊界之外，還需要綜合考量基于數據財產權的交易模式能否與會計準則層面的資產減值、攤銷等規則予以銜接。

當然，數字法學研究轉向也產生了另一個問題：法學研究的邊界在哪里。因為在“治理”與“規制”兩類研究盛行的當下，非傳統法學研究的方法論逐漸被引入數字法學領域，相應的研究成果是否屬于法學范疇也受到質疑。審視傳統法學到數字法學的發展過程，無論是跨學科研究視角，還是其他學科的方法論，不過是作為論證相應法律關系的論據而已。數字法學方法論的創新歸根結底還是為了剖析和解構復雜技術原理背后的法律關系，并為明確權利和義務的具體內容提供相應的解釋依據。并且，風險體系化治理也需要數字法學完成法律與其他治理工具的內在銜接。在個人信息保護立法框架內，數字法學的研究范式是以個人信息處理者與自然人之間的法律關系為基礎，結合個人信息安全風險來源以及風險因子的實際控制能力，平衡雙方法律主體之間的權利和義務。另外，現有研究也同樣發現，技術漏洞、外部網絡攻擊、內部員工違法行為等風險因子已經逐漸超出了個人信息處理者的控制能力，并且不同個人信息處理者因其自身的業務規模、資金狀況以及技術能力等客觀因素，無法以統一的義務履行體系實現風險的標準化控制。為了盡可能填補風險控制的缺口，有必要引入諸如合規審計、安全技術標準等其他治理工具，補足義務性規范的功能不足。

（三）數字法學的范式變化：三類基礎研究范式

數字法學轉向風險體系化治理研究本質上屬于風險的精細化控制，故而相應的研究范式是以安全風險為基本特征、實際水平、作用來源等控制要素為基礎，延伸出分級分類治理、全生命周期治理、協同治理三類理論工具。

分級分類治理理論是以風險特征和風險程度為導向，根據各類風險的差異性確定有針對性的治理方式，并在此基礎上進一步論證各類風險背后的權利義務內容。該理論工具普遍適用于數據安全、算法安全、網絡安全等各個領域，即便是數據財產權等研究范疇，同樣強調對數據資產的分級分類。雖然分級分類治理理論轉變為具體制度最早起始于《網絡安全法》，但是，分級分類治理的內在邏輯與數字法學研究側重的風險精細化控制較為契合，故而在算法等其他領域也相當普及。①特別是在數字社會各類技術安全風險呈現差異化特征的背景下，以分級分類治理理論為基礎，更能充分地論證相應的法律關系中如何劃定權利和義務的具體內容。歐盟在其《人工智能法案》中也是遵循風險分級分類的基本邏輯，將通用人工智能劃分為“禁用不可接受的風險類型”“重點監管高風險類型”“有限風險或輕微風險類型”“低風險類型”四類，并分別設置不同程度的監管要求。如“禁用不可接受的風險類型”的人工智能系統因其可能存在操縱社會信譽評分、歧視弱勢群體等風險而被嚴格禁止應用?！爸攸c監管高風險類型”的人工智能系統又可劃分為“用于歐盟產品安全法規范圍的產品”和“需要在歐盟數據中注冊的八大領域應用的產品”。

全生命周期治理理論是以風險來源為導向，基于風險的作用機制對可能產生或加劇風險水平的技術環節實施全方位控制。該理論最早興起于個人信息保護領域，①針對個人信息處理活動涉及的各相關具體環節，明確個人信息處理者應當采取不同的內部管理制度和技術保障措施預防和控制個人信息安全風險。②如在傳輸環節，個人信息處理者需要明確已經事前征得自然人同意，且接收方同樣能夠采取同等水平的保護措施確保個人信息安全。在銷毀環節，個人信息處理者需要明確刪除和銷毀的差異性，必要情況下采取物理存儲介質與電子數據一并銷毀的措施。當然，全生命周期治理理論同樣被學者們應用于技術安全監管、網絡空間安全治理等領域，并突破了傳統法學研究所追求的“不干涉底層的技術環節”之立場。一項技術從研發設計測試，再到普及應用，相關義務主體需要對各個業務環節進行安全風險評估，以便區分技術研發者與技術服務提供者各自的法律責任。如《生成式人工智能服務管理暫行辦法》第8條直接對人工智能研發環節的數據標注活動作出限定，要求研發者應當對數據標注進行質量評估，制定清晰、具體、可操作的標注規則。

協同治理理論是以不同類型風險的影響機制為導向，強調在治理框架內部達成各類治理模式彼此之間的體系銜接。該理論并非純粹的傳統法學理論，多出現于公共管理學科，通常被視為一種“社會治理安排”，即“其中一個或多個公共機構與私人機構的利益相關者共同參與到集體決策的論證當中，這個決策過程是正式的、面向共識的、慎重的、旨在制定或執行公共政策，或者對公共事業和資產進行管理”③。該理論的核心特征在于強調“多中心的治理主體、動態系統中子系統的協同性、自組織組織間的協同性和共同規則下社會秩序的穩定性”④，但由于現有研究大多直接從“各方主體如何參與共同治理”之視角予以論述，故而部分學者也認為協同治理理論的適用往往“缺乏參與主體的界定過程及理論依據”⑤。而在數字法學領域，該理論對于社會風險的整體性觀察被視為解決各類技術安全風險的創新型研究視角。因為面對未來可能不斷涌現的創新型技術應用，不可能也沒有必要針對每一項技術都設置專門的治理機制，這也是早年“科技法學”被詬病的原因之一，即在“一項技術風險對應一項立法活動”的立法趨勢中，只會將法律與監管政策之間的邊界模糊化。誠然，無論是區塊鏈技術，還是人工智能技術，在立法層面確實已經制定了專門立法，但這種立法活動的正當性基礎是因為這些技術應用在底層架構、基本功能等環節存在顯著差異，故而需要區分對待。并且，面對未來的技術創新，其相應的技術風險已經呈現趨同化特征，基本表現為數據安全、算法安全、個人信息保護、科技倫理安全等已由現行立法規定的安全風險。事實上，協同治理理論本身更側重強調基于體系化風險所采取的綜合性、系統性的治理機制，其中網絡暴力信息的研究成果便是典型的范例?？偨Y來說，面對近年來越發嚴重的網絡暴力現象，數字法學的研究內容既包括從罪名認定、侵權責任等部門法學視角確認單一行為主體的法律責任，⑥也包括劃定能夠控制網絡暴力風險的法律主體范圍，并基于網絡暴力事件的發生過程（由零散信息傳播到爆發式網絡輿情海嘯），明確各個環節的義務主體及其具體義務。例如，在網絡暴力信息發布和傳播初期，平臺應當設置網暴信息審核機制，自動屏蔽存在辱罵等顯著違法的信息內容；自媒體、網絡大V等網絡意見領袖則應當審慎發布評價信息，不得以惡意營銷等非法目的操縱、誘導網絡言論。在網絡暴力信息開始泛濫傳播時，監管機構應當及時介入，一方面督促平臺刪除、屏蔽網絡暴力信息，另一方面則需要展開事實調查，階段性回應社會公眾的關切。

四、數字法學研究范式的實例展開：以人工智能、數據跨境傳輸和數據財產權為例

（一）人工智能技術治理的體系化研究范式

ChatGPT橫空出世后，數字法學研究的內容越發側重人工智能技術風險預防，其中“統一立法論”“專門立法論”等主張較多。其中的問題是，以ChatGPT為代表的生成式人工智能所產生的技術風險并沒有超出現行立法的規范范疇，無論是算法歧視、數據安全等問題，還是生成內容的侵權風險等問題，實際上在《互聯網信息服務深度合成管理規定》《互聯網信息服務算法推薦管理規定》等法律法規中均有所提及。并且，因為技術原理的同一性，算法治理研究與人工智能技術治理研究之間的邊界越發模糊。這就導致人工智能技術治理的體系研究亟須一個清晰且獨立的論證框架，以此明確人工智能技術治理研究的特殊性與必要性。

在全生命周期治理理論框架下，人工智能技術風險的法學研究除了需要結合研發設計、測試評估、應用反饋等業務環節，明確研發者、提供者各自的法定義務，還需要結合保障產業安全發展的目標，從產業發展關鍵環節論證具體的風險預防機制。在技術層面，影響人工智能技術創新發展的核心要素包括數據、算法和算力。

其一，數據安全保障機制和數據供給機制屬于人工智能技術風險治理體系亟須協調的兩個基礎制度。因為人工智能技術的創新發展離不開高質量的訓練數據提升相應的算法性能，但在《個人信息保護法》《數據安全法》等法律法規的要求下，訓練數據的采集和使用不得侵犯自然人的個人信息權利、著作權或肖像權。此時，根據協同治理理論，政府的公共服務職能決定其應當參與到數據安全與數據利用的協調機制中，公共數據作為最具市場經濟價值的社會資源，能夠有效滿足人工智能產業的技術需求。因此，公共數據開放與利用制度成為人工智能技術監管體系的必要內容。誠然，《生成式人工智能服務管理暫行辦法》第6條明確提及推動公共訓練數據資源平臺建設，但是這些公共訓練數據的來源、權利歸屬等問題依然還是回歸到公共數據的開放利用問題。

其二，算法安全管理機制屬于人工智能技術風險治理的核心內容。按照分級分類治理理論，人工智能技術風險治理同樣需要根據算法功能、規模等特征實施分級分類監管。但是，棘手的問題在于如何明確相應的分級分類監管標準。倘若采用歐盟模式，根據實際風險水平劃定重大風險、一般風險以及可控風險三類，其背后的風險程度判斷標準難以明確。并且，這也僅僅是滿足了人工智能技術分級監管，但對分類監管的相應標準亦沒有回應。從《生成式人工智能服務管理暫行辦法》等近期立法活動來看，我國現階段人工智能的治理目標是促進技術創新發展和控制技術風險。鑒于技術創新迭代周期逐漸縮短，分級分類監管更適宜采取動態多元化的劃分標準：一是根據應用場景和權利影響程度，劃分重點監管和一般化監管兩種模式。對于涉及生命健康等人身權益的人工智能技術應用需要納入重點監管清單，避免存在以人工智能決策代替醫護人員決策的高風險應用場景。二是將基礎算法模型是否開源以及能否有效要求研發者對算法模型進行優化作為劃分標準。因為在市場實踐中，部分服務提供者采用的是國外開源算法模型，一旦出現與國內現行立法相悖的情況，服務提供者本身沒有能力按照監管機構要求對訓練數據選取范圍、算法模型優化進行直接干預。另外，采用國外基礎算法模型屬于正常的技術研發活動，但是諸如GPL等開源許可證會具有“傳染性”，即研發者需要按照許可證要求，將修改后的源代碼或者衍生軟件代碼予以公開，這可能會涉及相應的算法安全監管問題。三是按照人工智能生成內容、用戶規模進行劃分，因為涉及深度合成等視頻合成功能的人工智能產品存在被濫用的風險，再加上龐大的用戶體量，進而威脅到良性的網絡信息內容生態，因此需要被重點監管。對于生成內容僅限于純文本信息的，則可納入常態化監管范疇，定期對生成內容的合規性進行評估，判斷服務提供者能否對涉及關鍵詞的文本生成內容進行事前屏蔽或刪除。

其三，算力保障機制屬于人工智能技術監管的保障類機制。所謂的算力是指信息系統對數據的計算分析能力，①其物理載體是芯片。人工智能技術的發展需要進行高強度的算法訓練和優化，其中的計算過程需要算力資源的支撐。②但是，面對算力需求的持續增加，現有的算力資源難以支撐；并且在碳中和等綠色經濟的發展理念下，算力資源的發展并非純粹增加芯片制造即可實現，還受到電力資源的約束。因此，算力互聯互通成為人工智能技術治理體系的另一個關鍵環節。算力資源通常是由算法服務提供者借由算力基礎設施予以提供，這也決定了算力互聯互通不能簡單劃歸為算力資源共享，強制性將個體性財產資源劃歸至公共領域，顯然與財產保護制度的基本理念相悖。按照分級分類治理理論，算力互聯互通的建構同樣需要按照通用算力、智算算力、超算算力等算力類型設置不同層面的算力網絡管理機制。

（二）數據跨境傳輸的體系化研究范式

數據跨境傳輸機制作為數據要素市場化配置的重要基礎制度，通常被視為數字法學研究的重點內容。不過，在我國《數據出境安全評估辦法》《個人信息出境標準合同辦法》《個人信息保護認證實施細則》等法律法規相繼出臺后，數據跨境傳輸制度框架已經初步成型。盡管如此，數據跨境傳輸制度的研究任務遠沒有徹底結束，因為在體系化銜接層面仍然存在諸多困惑。這些困惑可以劃分為兩個層面的問題：一是內部的制度銜接問題，即安全評估、標準合同、個人信息保護認證以及特殊機制之間的適用關系，二是外部的制度銜接問題，即數據跨境傳輸制度與其他數據安全保障制度之間的規則銜接。

在內部機制銜接方面，各類數據跨境傳輸制度之間的功能性區隔有待明確。一是《數據出境安全評估辦法》和《個人信息出境標準合同辦法》第5條提及的評估事項具有同質性問題，均囊括了“個人信息處理目的、范圍、方式等”具體事項。二是《數據出境安全評估辦法》第4條和第6條提及的申報書、自評估報告、擬訂立的法律文件等材料與《個人信息出境標準合同辦法》第7條提及的向省級網信部門備案合同和影響評估同樣存在內容的相似性。三是《數據出境安全評估辦法》第9條規定了“數據安全保護責任義務”具體事項包括“數據出境目的、方式和數據范圍”等內容，這與《個人信息出境標準合同辦法》第5條提及的“重點評估內容”相似。這種功能相似性雖然在理論層面可以解釋為確保數據出境的安全監管效果相同，但又與自由選擇多元化的數據跨境傳輸機制之立法目標相悖。故而在《促進和規范數據跨境流動規定》中，立法者開始嘗試厘清安全評估、標準合同和保護認證三類機制之間的適用順位。此外，自貿區、自貿港能否采用有別于現行數據跨境傳輸機制的特殊規則仍然有待進一步明確。該類機制應當屬于《個人信息保護法》第38條規定的“法律、行政法規或者國家網信部門規定的其他條件”，故而應當優先適用于前三類數據跨境傳輸制度，不過，也有學者將這類特殊區域試點的數據跨境傳輸制度視為補充性的沙盒規制模式。

在外部機制銜接方面，數據跨境傳輸制度與個人信息保護制度之間存在法律適用的問題。按照《個人信息保護法》的規定，個人信息出境屬于需要“獲得自然人單獨同意”的特殊情形，這也意味著企業在跨境傳輸個人信息之前需要詢問自然人是否同意。但是，在實踐層面，這種“單獨同意”的方式究竟如何認定存在尷尬局面：如果需要自然人作出明示的單獨同意，那么數據跨境傳輸的商事效率必然會受到影響，企業需要逐一詢問自然人并等待各個權利人作出同意或拒絕決定后才能開始進行數據跨境傳輸；如果允許企業以批量處理的方式獲得自然人同意，則有可能無法滿足清晰易懂的告知義務履行方式。另外，《個人信息保護法》雖已明確規定“個人信息”的概念和認定標準，但數據跨境傳輸的實踐復雜性難以通過精煉的法條表述予以充分囊括。按照分級分類治理理論，外部機制銜接的法律適用難題需要根據具體數據出境場景和數據類型予以明確。如《促進和規范數據跨境流動規定》第3條就將國際貿易、學術合作、跨國生產制造和市場營銷等活動中產生的數據出境排除在數據跨境傳輸機制的適用范圍之外。

（三）數據財產權的體系化研究范式

在數字法學研究領域，數據財產權的研究已經相當充裕，學界普遍的共識是傳統的財產權制度難以解決數據資產認定、數據交易安全等新型實踐問題，故而新型數據財產權建構主張成為主流。權利束理論、①數據用益權理論、②新型企業財產權理論③等學說觀點相繼涌現，這些學說在一定程度上解決了數據安全與數據利用、不同數據處理者之間的利益分配問題。然而，按照全生命周期治理理論，數據財產權的內容建構僅僅是相應數字研究的開端，在明確數據財產權的正當性基礎、權利歸屬、權利行使方式、權利邊界等基礎性問題后，還需要關注從數據資產到數據交易的制度銜接。誠然，數據定價機制、數據中介服務機制在一定程度上可能屬于實踐性的管理問題，而非典型的法學議題。但是，數字法學研究的創新之處正是強調為實踐問題提供明確的行為規范指引和理論支撐。換言之，數據財產權的理論建構不僅需要解決數據財產權何以成立的理論問題，還需要解決數據財產權何以行使的實踐問題。數據作為一類特殊財產，相應的數據財產權制度應當能夠解決數據加工處理、數據交易、數據使用等各個環節產生的經濟收益分配問題。

按照分級分類治理理論，數據財產權的制度建構需要與數據資產分級分類治理予以銜接。當然，這種數據資產分級分類治理與數據安全分級分類保護有所區別，前者的目標是確定數據的經濟價值和可交易性，后者的目標則是確定數據安全風險水平。雖然學界普遍認為數據已經成為數字社會重要的商業戰略資源，但實踐中，并非所有的數據均具有可估算的市場價值和可交易性。特別是在數據資產入表領域，這類純粹的會計學問題確也反作用于數字法學研究。因為數據資產入表的前提條件包括“權屬明確”和“能夠在未來產生一定的經濟收益”，故而在數據財產權制度建構層面，數據資產的獲取方式、使用前景等要素同樣會影響相應的權利內容設置。④例如，在現有的數字法學研究中，電商平臺持有的用戶購物消費數據屬于典型的數據財產，但是，這些數據在很大程度上同樣屬于“個人信息”范疇，按照《個人信息保護法》的規定，電商平臺是不能直接出售這些原始數據并獲得經濟利潤的，那么也就無法納入“無形資產”的范疇，而僅僅作為“費用”予以處理。此外，在資產負債表層面，數據資產本身屬于非競爭性財產，企業在研發數據增值產品和后續使用數據資產還涉及資產的減值、攤銷等會計學問題，這也是未來從數據財產權研究過渡到數據財產權制度體系研究所需要解決的難點問題。

按照協同治理理論，數據財產權的制度建構還需要市場主體的參與。因為財產權的發展歷史是以充分的財產交易實踐為基礎，“財產權客體的擴充是由生產力發展、生產生活資源形態的擴張所決定的”⑤，例如房屋買賣、融資租賃等民事法律制度是在成熟的市場活動中予以形成。數據財產權的建構目的始終是以促成數據流動和數據交易為根本目的，故而數字法學研究在關注權利內容創設方式的同時，還需要關注市場主體正在探索的數據交易模式，并在此基礎上多元化建構數據財產權及其相應的交易模式。當然，這里的市場主體除了直接的數據交易雙方之外，還需要側重數據中介服務機構。國內先后建立了多個大數據交易中心、數據交易平臺等中介服務機構，但是，如何通過這些中介服務機構解決數據交易活動中財產權爭議、數據安全保障等問題同樣屬于數據財產權體系化研究的重要內容。

結語

數字法學的興起與發展是數字社會轉型的必然結果，其創新性主要表現為研究范疇的擴張和研究范式的轉向。一方面，數據、網絡、人工智能等客體被納入法學研究視野之中，其背后的技術安全風險也順勢成為法學研究的重點內容。不過，在數字法學的研究體系中，風險治理實際上是客觀社會現象與法律關系解釋、建構之間的論證橋梁。關注技術安全風險不等于將法學研究引入其他學科體系中，而是在借由其他學科的研究視角發現安全風險的成因，進而判斷在特定法律關系中權利和義務的具體內容。另一方面，數字法學的研究范式也與數字社會的實踐發展保持同步。在數字法學發展早期，數字法學的研究范式更加側重個體性的風險治理目標，相應的研究結論主要以網絡運營者、數據處理者的法定義務內容及其邊界為主體。在數字法治體系趨于成熟的背景下，數字法學的研究范式開始更加深入地考量社會風險的整體性控制，在互聯互通的技術架構下，論證不同制度之間的規則銜接以及體系協同化。

［責任編輯 李宏弢］