数据治理的法治化：合法性、体系性、平衡性

      在谈法治化问题之前，需要简单讨论下数据治理的关系结构。数据治理的结构是在数据的采集、处理，到最后的删除、消失，也就是我们说的数据的全生命周期中不同的主体之间的关系。结构是一种关系模式，在法律上，就是主体之间的权利义务关系模式。数据治理是不同主体基于该权利义务关系模式而展开的竞争和合作过程。数据治理的主体包括自然人、平台、网络经营者、数据控制者，以及监管部门。放到国际层面考虑，数据治理主体还包括不同的主权国家。主权国家相互之间会基于利益来主张自己的权利，比如说数据出境问题。在主权意义上，理解主权的不同视角，可能导致主权竞争，其中最典型的就是“消极主权”与“积极主权”之间的竞争和冲突。

      数据治理中的不同主体在法律上各自应拥有什么样的权利？这一问题涉及到数据治理的一系列基本问题，例如自然人作为信息主体的权利是什么性质的权利？有哪些权利？信息权到底是什么？是人格权、隐私权，还是人格加财产，还是一种独立的个人信息权？平台数据也同样面临一系列的问题。对于一个企业来说，数据到底是它的什么权利，是财产？是著作权？是知识产权？这些问题，理论、实务和法律规则层面都还没有共识，甚至视角上都有分歧，比如，民法学界和公法学界对上述问题的认识就存在非常大的争议。

      在上述简要的背景设置后，我想主要谈谈数据治理的法治化问题。数据治理法治化的问题之所以被提出来，主要是因为，对于数据治理的不同主体各自有哪些权利义务，以及他们相互之间的关系模式应如何设定，还有主权国家之间在数据治理领域如何竞争-合作等等问题，在法律上还存在诸多的困惑甚至缺省。而已经存在的法律框架，也未必符合数据治理的公平正义要求。在数据治理领域，个人信息保护的不足与过度，安全需求与自由焦虑，监管的扩张冲动与能力匮乏，主权国家之间的竞争甚至冲突，始终相伴相随。治理的法治化问题，简而言之，也就是对数据治理主体的权利义务的设定及其关系模式之制度安排，应如何符合法治主义要求的问题。

      是不是我们只要制定一套规则系统来设定权利义务关系就算是法治？正如同《数据安全管理办法》，《儿童个人信息保护办法》，还有《个人信息出境安全评估方法》这三个办法，其出发点或许是迈向数据治理的法治化，但这些规则及由其组成的治理体系是否满足法治主义的基本要求？

      我关注的主要问题是合法性问题。搞这些规则，本身是要进行数据治理，要推进数据治理的有效性和效果。但有效性也好，治理质量也好，都有一个关键的制约性变量，这就是合法性。进一步展开的话，我觉得可以在三个层面释放这种合法性要求。

      第一个层面是作为底线的形式合法性。从行政法和宪法的角度来说，形式合法性的本质要求是法律规则之间的一致性（consistency）；而在一套法律规则体系中，这种“一致性”要求下位的法律规则必须与上位的规则保持一致性，具体来说也就是“依据原则”和“不抵触原则”。前者要求下位法的制定必须要求上位法的依据，后者要求下位法的规定不得与上位法的规定或原则相抵触，否则将构成下位规则的违法，并导致其无效的后果。如果涉及到有关基本权利和自由的限制，还需要遵守“法律保留”原则。

      这些原则其实也派生出下位法创制权利义务的权限。比如，《立法法》第80条规定，没有法律或行政法规的规定，规章不得自我赋权，不得减损公民的权利和自由，不得增加其义务。也就是说，在规章这个层面的立法，如果做权利义务的“加减法”，进行权利义务的设定，应受到原则和权限的法律限制。这个限制是最低限度的形式合法性的要求。如果违反了法律和行政法规的规定而设定权利义务，那么其合法性本身就将是一个巨大的问号。

      在当前数据治理的相关规则制定过程中，许多学者都指出了这些问题。比如，就《数据安全管理办法》（征求意见稿）而言，在征求意见的过程中，很多业界专家和法律界学者都指出，该办法的不少条文，特别是第23条，第25条，第30条，第31条等，都存在着缺乏上位法依据的问题，因而可能直接面临形式合法性的危机。

      另外像36条也存在同样的问题。一个部门的规章对网络经营者设定了向诸多国务院行政管理部门提供数据的义务，这种规定使网络经营者承担巨大的义务，也使我国网络经营者在国际竞争环境中面临比价高的“政治风险”，其上位法的依据到底是什么？数据治理的有效性追求，当然无可厚非，但如果突破形式合法性要求，就会突破法治的底线，造成对法治的破坏。正因为如此，我国建立了法规规章的备案审查制度和合宪性审查制度，对违法和不合宪的规则予以纠偏。

      合法性的第二个维度我把它理解为体系一致性，或者称“体系合法性”。这个问题跟前面所说的形式合法性有关系，但也有所不同。作为法治底线的合法性要求，主要是根据《宪法》和《立法法》所体现的依据原则和不抵触原则。也就是要用这两把尺子来看规章哪些条文逾越了原则。而所谓的体系合法性，主要是指数据治理的整个法律体系应当保持必要的一致性。对于当前正在讨论中的数据治理规则制定而言，最典型的问题就是，13届人大已经对数据治理的一些重要立法做了规划，包括个人信息保护、数据安全，还有民法典中的人格权编等。在这种情况下，先行制定位阶较低的规章和规范性文件，就会存在立法的“层级错乱”问题。体系的合法性，我觉得最主要的就是同时列入规划的几个不同位阶的立法，是不是应该保持一致？回答当然是肯定的。你不能只考虑监管机构一马当先冲出来抛出一系列规则对吧？如果是进行试验性的立法，是不是也需要立法机关的特别授权？如果没有任何特别授权就紧锣密鼓地“开张”，不仅会面临立法权限问题，也会给后续人大的立法带来现实难题，也会使守法和合规面临进退两难的困境。所以，当前正在进行的几个管理办法的制定，应当放在我国数据治理的整体和系统性立法体系中考虑。在法律还没有出台的情况下，管理的需要当然是一个需要考虑的现实问题，但如果仅仅只考虑眼前的管理需要而不考虑数据治理立法的系统性，将会顾此失彼，在解决一些问题的同时，也会制造新问题。

      数据治理合法性的第三个维度，也是业界最关心的问题，我将其归纳为实质合法性问题。许多平台，阿里、腾讯，还有许多传统的行业，像金融、电力、交通等行业对数据治理游戏规则最关心的问题，主要是本行业的发展问题，甚至是生存问题。这个问题就是数据治理中如何处理安全与发展的平衡问题。

      安全与发展必须平衡考虑。一方面，网络空间治理、数据治理，肯定是要考虑到数据安全、经济安全、公共安全、社会安全等。从更宏观的层面来说，还需要考虑国家利益层面的安全。但是安全并不等于一味地对网络经营者进行控制。真正的网络空间安全不是靠监管权力把网络管死，而是建立起互联网技术和监管的有效合作，既保护数据主体的权益，也实现国家利益和社会福利的最大化。技术权威就是这些新兴的企业，监管权威就是传统的监管者，甚至涉及到主权国家自身等等。他们的结合，有一个内在的逻辑前提，那就是行业必须要不断进行升级和发展。如果离开了行业本身的升级发展，如果把这个东西管死了，可能将导致一个结果，那就是，我们不是把网络管好了，而是退出了网络竞争的全球游戏。在国家层面的博弈中，“退出”，无论是主动的还是被动地，显然是一种非常糟糕的选择，将会从根本上损害国家安全和国家利益。在这个意义上，我觉得发展的问题本身就是安全问题。

      整个互联网、整个数据产业，它的发展不光是产业的问题，在宏观意义上也是国家安全的问题。因为只有靠这些企业不断更新技术，不断提升竞争力，我们才更能够获得安全。

      从这个角度来看的话，同样会发现几个办法里面，可能更多强调加强监管的安全、秩序等目标。虽然立法也在原则层面宣示了安全与发展并重的“平衡原则”，但在具体的内容上，安全与发展出现了“失衡”，这是业界普遍的担忧和焦虑所在。

      比如说争议比较大的《数据安全管理办法》（征求意见稿）第25条。25条主要想象的场景就是网络社交平台。但由此可能带来的问题是，社交平台是否因此而被迫面对合规和侵犯公民通信自由的两难选择？

      在数字经济全球博弈的背景下，建议充分考虑国内规则的外溢性和竞争性，既要避免规则缺失导致中国在数据治理国际博弈中缺乏制度工具，也要避免规则过严扼制国内企业的创新发展，最终伤及国家整体竞争力。《数据安全管理办法》第3条将“数据安全与发展并重，保障数据依法有序流动”作为总则，值得肯定。但具体制度设计上仍以严监管为主，促发展有帽子没抓手。草案全文40条，对企业新增各类义务高达30项，并且，监管严厉，义务繁琐，可能会使中国互联网企业在走出去的道路上更加艰难。此外，考虑到《办法》还将适用于所有在中国境内进行数据收集处理的外国企业，过严的监管究竟是增加我国在国际舞台上的博弈砝码，还是加剧西方势力对我国营商法治环境的不信任，需要再斟酌

      目前来看，我觉得数据安全管理办法更多采用了对秩序的强烈偏好，这种偏好本身是没有问题的，但是如果这一偏好损害了互联网网络经营者的利益，可能将会损害公共的利益，最终也会涉及到国家利益。

      数据治理的立法应当充分考虑以上所提到形式合法性、体系合法性和实质合法性要求。放在数字经济全球竞争和主权博弈的背景之中，我们还应当认识到，互联网治理、数据治理都不可能是关起门来自己玩过家家，必须考虑游戏规则的外溢效应和外部性。因此，数据治理的法治化问题，不仅需要国内法治，也需要考虑国际法治，促成维护国家利益但又能进行对话、竞争和合作的国际数据治理体系，以提升我们在国际数据治理体系中的话语权和治理能力。 国内数据治理规则体系的过分“内化”，在单向度追求秩序的同时，如果脱离了国际数据治理的体系，就有可能被边缘化，这不仅会危害国内数据治理的效果，也会带来数据治理引发的网络安全和国家安全问题。

 

      中翰软件：专注数据治理15年（http://www.jobhand.cn）