第九条 【数据安全保护的社会共治】
国家支持开展数据安全知识宣传普及,提高全社会的数据安全保护意识和水平,推动有关部门、行业组织、科研机构、企业、个人等共同参与数据安全保护工作,形成全社会共同维护数据安全和促进发展的良好环境。
【释义】
本条规定了数据安全保护的社会共治,宗旨是提高全社会的数据安全保护意识和水平,形成维护数据安全和促进发展的良好环境。
本条的规范对象可分为两个层次:其一是抽象意义上的国家。此处可以理解为有关立法机关和政府机关,其规范义务是通过各种机制鼓励、支持有关部门、行业组织等主体开展数据安全知识宣传普及,以及通过立法(包括行政法规等政府立法)等形式推动有关部门、行业组织等主体共同参与数据安全保护工作。其二是有关部门、行业组织、科研机构、企业、个人。这些主体可根据授权参与数据安全保护工作,此种授权并非私法上的“权利”,而是“权力”,因此暗含“义务”与“责任”之意。在数据安全社会共治模式之下,有关部门等其他主体有义务亦有责任保护数据安全。
与《数据安全法(一审稿)》《数据安全法(二审稿)》相比,最终通过的《数据安全法》有多处修改,主要表现在三个方面:
第一,增加“国家支持开展数据安全知识宣传普及,提高全社会的数据安全保护意识和水平”的规定。《数据安全法》的立法宗旨是“规范数据处理活动,保障数据安全”,国家加强数据安全保护的立法和执法,仍属于一种外在的硬性的保护方式,此种方式固然很有必要,但如果单纯依靠此种方式,实施效果可能不尽如人意。如果能通过宣传教育来提高数据处理者等社会主体自身的数据安全保护意识和水平,则可在很大程度上从源头解决数据安全保护的隐患。也正因此,立法者在最后通过的正式文本中增加了上述规定。需要注意的是,法条表述是“国家‘支持’开展数据安全知识宣传普及”,并非国家直接开展此种活动,因为国家是抽象概念,这意味着开展此类活动的主体只能是有关政府部门或社会主体。
第二,删除《数据安全法(一审稿)》中“国家建立健全数据安全协同治理体系”的规定和《数据安全法(二审稿)》中“国家建立健全数据安全协作机制”的规定。《数据安全法》的起草过程有其特定背景。在大数据时代,数据体量车载斗量,种类千差万别,再加上数据共享机制的缺失、数据壁垒的广泛存在,部门、行业、企业等以自身为单位形成一个又一个“数据孤岛”,这导致了“合作性瓶颈”。并且,由于专业性的存在,在一定程度上加大了数据安全保护的难度。基于这一严峻形势,《数据安全法(一审稿)》提出“国家建立健全数据安全协同治理体系”,《数据安全法(二审稿)》修改为“国家建立健全数据安全协作机制”。但是,无论是“协同治理体系”还是“协作机制”,都是一个非常抽象难以落实的概念,如果载于条文而不能落实,便会成为“僵尸法条”。但是,这并不意味着我们不需要“协同治理”和“协作机制”,本条中“推动有关部门、行业组织、科研机构、企业、个人等共同参与数据安全保护工作”实际上传达了协同治理的含义,同样能起到社会共治的效果。
第三,社会共治的参与主体增加了科研机构。《数据安全法(一审稿)》和《数据安全法(二审稿)》在列举社会共治的参与主体时均以“……等”的形式作开放式列举,但最后通过的正式文本为强调科研机构在数据安全保护中的重要作用,将其专门列举。事实上,无论是高等教育机构的研究中心,还是大型互联网企业的研究院,都凭借其强大的智力资源在数据处理和数据保护方面发挥着十分重要并且难以替代的作用。因此,有必要专门列举科研机构。
当前,政府部门的数据安全保障压力较大、数据要素市场监管难度也不小, 让行业组织、科研机构、企业、个人等共同参与数据安全保护工作,从各个方面来看均具有十分重大的意义:
第一,政府部门专业能力和执法资源相对匮乏。传统监管模式要求作为执法机构的政府部门对被监管主体的行为方式、性质和有关证据有一个清晰的认知,在大数据时代,这就引发了一个问题:执法机构是否具有足够的知识储备和专业技能应对数据安全保护工作。在科技水平和知识水平急速提升的今天,传统的直接而细密的监管模式可能疲于应对:执法机构专业水平存在相对不足,可能无法对数据安全保护的关键环节进行关注;执法工作人员知识存在能力不足,可能无法发现数据安全领域存在的具体问题。此外,在算法、人工智能的辅助下,数据的处理、使用行为缺乏透明度,客观上加大了数据安全保护的难度。这就造成尽管执法机构发现了危害数据安全的行为,通常又会由于调查处理的旷日持久而无法及时禁止此类行为。《数据安全法》让社会主体共同参与数据安全保护工作,政府部门起主导和组织协调作用,既可以在一定程度上缓解数据安全保护专业性不足的问题,也能有效节省政府有限的执法资源。
第二,企业等社会主体是数据处理的重要主体。数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等环节,在大数据时代,电商平台等互联网企业已经成为数据处理的重要主体,是一个事无巨细的信息收集人,平台两边用户的姓名、性别、年龄、住址、学历、消费偏好、支付能力等个人信息,以及每一笔交易的价格、标的、时间等都被有条理地储存于庞大的“信息池”中,经过高精度的算法处理,这些信息可以绘制出一幅精准的用户画像。由于规范的缺位以及政府监管的不足,企业等社会主体在数据处理过程中,很可能为了私利而肆意篡改、破坏、泄露用户数据,危害国家安全、公共利益或者公民、组织合法权益。让行业组织、科研机构、企业、个人共同参与数据安全保护工作,可以在以下两个方面发挥作用:一是强化企业的自律管理,同时强化行业组织、其他企业的同行监督作用以及科研机构的专业监督作用,以提高数据安全保护的专业化水平;二是发挥数据被收集者(特别是消费者及消费者权益保护组织)的外部监督作用,由于其为数据滥用的直接受害者,故更有动机去监督、举报危害数据安全的行为。
第三,多元主体的共同参与有利于提升数据安全保护领域的国家治理现代化水平。现代规制理论中出现了一种新的规制方式,即“后设规制”,该理论强调 “对自我规制的规制,对自我管理的管理”。[19]在过去,实务界和学界对规制的理解侧重强调两种对立的情形,即政府规制和自我规制。政府规制意指命令控制型的规制模式,政府规制主体和规制对象之间的地位不平等;自我规制是被规制者自己制定规范并自觉践行,在平台经济中也被称为“平台自治”。显然,这种对不同规制模式的僵硬划分将政府规制和自我规制截然对立起来,使二者缺乏良性互动和双向合作。事实上,这两种规制模式之间并非泾渭分明、互无关系。后设规制正是基于该背景提出的,通过为自我规制主体设定外在制度约束、最低要求等方式,明确相关主体的自我规制义务,在政府规制和自我规制之间搭建桥梁,促进不同子系统之间的良性互动和相互合作,从而提高监管效率。《数据安全法》第9条实际上便是后设规制的体现,国家建立外在制度约束,明确数据处理者的自我规制义务,数据处理者通过落实数据安全保护责任参与到共同治理中来,并通过与政府部门的合作来防止数据违法行为。多元主体的共同参与可以形成以政府规制为基础的社会治理合力,必将有力提升数据安全保护领域中国家治理的科学化、精准化、高效化水平。
当然,《数据安全法》第9条仍属框架性规定,其适用难点在于如何具体推动规范精神的落实。特别是,企业往往是数据安全的“威胁者”,在数据安全社会共治中对企业角色的定位,让其既当好“运动员”又当好“裁判员”,是推动规范落实的重中之重,也是难点所在。对此,笔者认为,可进一步借鉴“后设规制”理论,借助外在规范约束和企业天生的自治属性,使企业自觉设定等于或高于法定要求的自律性规范,并借助政府规制作为兜底性保障,实现数据安全保护问题的社会共治,如此可能会取得更好的规制效果。
【关联规定】
《中国银保监会监管数据安全管理办法(试行)》第6条
(撰稿人:赵鑫)