作者:北京大學法學院教授 王錫鋅
很多專家、學者指出,一些數據治理規章制定中的條款存在著缺乏上位法依據的問題。數據治理的有效性追求當然無可厚非,但如果突破形式合法性要求就會突破法治的底線。
當前正在進行的幾個數據方面管理辦法的制定,應當放在我國數據治理的整體和系統性立法體系中考慮體系一致性。
制定中的數據安全管理規定更多體現了對秩序的強烈偏好,這種偏好本身是沒有問題的,但是如果這一偏好損害了互聯網網絡經營者的利益,可能將會損害公共的利益,最終也會影響國家利益。
數據治理的法治化是一個非常重要的命題。這一命題有兩個關鍵詞,一個是數據治理的結構問題,另外一個就是法治化問題。數據治理的法治化問題,也就是數據治理主體的權利義務的設定及其關系模式之制度安排應如何符合法治要求的問題。數據治理的立法應當充分考慮到形式合法性、體系合法性和實質合法性要求。
數據治理制度設計應符合法治原則
數據治理的結構包括數據的采集、處理,到最后的刪除、消失,也就是我們說的數據的全周期中不同的主體之間的關系。結構是一種關系模式,在法律上就是主體之間的權利義務關系模式。數據治理是不同主體基于權利義務關系模式而展開的競爭和合作過程。數據治理的主體包括自然人、平臺、網絡經營者、數據控制者,以及監管部門。放到國際層面考慮,數據治理主體還包括不同的主權國家。主權國家相互之間會基于利益來主張自己的權利,比如說數據出境問題。在主權意義上,理解主權的不同視角可能導致主權競爭。
數據治理中的不同主體在法律上各自應擁有什么樣的權利?這一問題涉及到數據治理的一系列基本問題,例如自然人作為信息主體的權利是什么性質的權利?有哪些權利?信息權到底是什么?是人格權、隱私權,還是人格加財產,還是一種獨立的個人信息權?平臺數據也同樣面臨一系列的問題。對于一個企業來說,數據到底是它的什么權利,是財產?是著作權?是知識產權?這些問題,理論、實務和法律規則層面都還沒有共識,甚至視角上都有分歧,比如,民法學界和公法學界對上述問題的認識就存在非常大的爭議。
在這樣的背景下,我們再來理解數據治理的法治化問題。數據治理法治化的問題之所以被提出來,主要是因為,數據治理的不同主體各自有哪些權利義務,以及他們相互之間的關系模式應如何設定,還有主權國家之間在數據治理領域如何競爭、合作等問題,在法律上還存在諸多的困惑甚至或缺。而已經存在的法律框架,也未必符合數據治理的公平正義要求。在數據治理領域,個人信息保護的不足與過度,安全需求與自由焦慮,監管的擴張沖動與能力匱乏,主權國家之間的競爭甚至沖突,始終相伴相隨。治理的法治化問題,簡而言之,也就是對數據治理主體的權利義務的設定及其關系模式之制度安排,應如何符合法治主義要求的問題。
是不是我們只要制定一套規則系統來設定權利義務關系就算是法治?《數據安全管理辦法》、《兒童個人信息網絡保護規定》、《個人信息出境安全評估方法》這三個辦法,其出發點或許是邁向數據治理的法治化,但這些規則及由其組成的治理體系是否滿足法治主義的基本要求?
我們還要關注合法性問題。搞這些規則,本身是要進行數據治理,要推進數據治理的有效性和效果。但有效性也好,治理質量也好,都有一個關鍵的制約性變量,這就是合法性。進一步展開的話,可以在三個層面理解這種合法性要求。
數據立法要有上位法依據并且不抵觸
第一個層面是作為底線的形式合法性。
從行政法和憲法的角度來說,形式合法性的本質要求是法律規則之間的一致性。在一套法律規則體系中,這種“一致性”要求下位的法律規則必須與上位的規則保持一致性,具體來說也就是“依據原則”和“不抵觸原則”。前者要求下位法的制定必須要有上位法的依據,后者要求下位法的規定不得與上位法的規定或原則相抵觸,否則將構成下位規則的違法,并導致其無效的后果。如果涉及到有關基本權利和自由的限制,還需要遵守“法律保留”原則。
《立法法》第80條規定,沒有法律或行政法規的規定,規章不得自我賦權,不得減損公民的權利和自由,不得增加其義務。也就是說,在規章這個層面的立法,如果做權利義務的“加減法”,進行權利義務的設定,應受到原則和權限的法律限制。這個限制是最低限度的形式合法性的要求。如果違反了法律和行政法規的規定而設定權利義務,那么其合法性本身就將是一個巨大的問號。
在當前數據治理的相關規則制定過程中,許多學者都指出了這些問題。比如,就《數據安全管理辦法》(征求意見稿)而言,在征求意見的過程中,很多業界專家和法律界學者都指出,該辦法的不少條文,特別是第23條、第25條、第30條、第31條等,都存在著缺乏上位法依據的問題,因而可能直接面臨形式合法性的危機。
另外像36條也存在同樣的問題。一個部門的規章對網絡經營者設定了向諸多國務院行政管理部門提供數據的義務,這種規定使網絡經營者承擔巨大的義務,也使我國網絡經營者在國際競爭環境中面臨不利問題。其上位法的依據到底是什么?數據治理的有效性追求,當然無可厚非,但如果突破形式合法性要求,就會突破法治的底線,造成對法治的破壞。正因為如此,我國建立了法規、規章的備案審查制度和合憲性審查制度,對違法和不合憲的規則予以糾偏。
整個數據治理法律體系應保持一致性
合法性的第二個層面是體系一致性,或者稱體系合法性。
這個問題跟前面所說的形式合法性有關系,但也有所不同。作為法治底線的合法性要求,主要是根據《憲法》和《立法法》所體現的依據原則和不抵觸原則。也就是要用這兩把尺子來看哪些條文逾越了原則。而所謂的體系合法性,主要是指數據治理的整個法律體系應當保持必要的一致性。對于當前正在討論中的數據治理規則制定而言,最典型的問題就是,十三屆全國人大已經對數據治理的一些重要立法做了規劃,包括個人信息保護、數據安全,還有民法典中的人格權編等。在這種情況下,先行制定位階較低的規章和規范性文件,就會存在立法的“層級錯亂”問題。
體系的合法性,最主要的就是同時列入規劃的幾個不同位階的立法,是不是應該保持一致?回答當然是肯定的。你不能只考慮監管機構一馬當先沖出來拋出一系列規則。如果是進行試驗性的立法,是不是也需要立法機關的特別授權。如果沒有任何特別授權就緊鑼密鼓地“開張”,不僅會面臨立法權限問題,也會給后續人大的立法帶來現實難題,也會使守法和合規面臨進退兩難的困境。所以,當前正在進行的幾個管理辦法的制定,應當放在我國數據治理的整體和系統性立法體系中考慮。在法律還沒有出臺的情況下,管理的需要當然是一個需要考慮的現實問題,但如果僅僅只考慮眼前的管理需要而不考慮數據治理立法的系統性,將會顧此失彼,在解決一些問題的同時,也會制造新問題。
實質合法性包含安全與發展的平衡
數據治理合法性的第三個維度,也是業界最關心的問題,可以稱為實質合法性問題。這是許多平臺像阿里、騰訊,還有許多傳統的行業像金融、電力、交通等行業對數據治理游戲規則最關心的問題,主要是本行業的發展問題,甚至是生存問題。這個問題就是數據治理中如何處理安全與發展的平衡問題。
安全與發展必須平衡考慮。網絡空間治理、數據治理,肯定是要考慮到數據安全、經濟安全、公共安全、社會安全等。從更宏觀的層面來說,還需要考慮國家利益層面的安全。但是安全并不等于一味地對網絡經營者進行控制,而是建立起互聯網技術和監管的有效合作,既保護數據主體的權益,也實現國家利益和社會福利的最大化。技術權威就是這些新興的企業,監管權威就是傳統的監管者,甚至涉及到主權國家自身等等。他們的結合,有一個內在的邏輯前提,那就是行業必須要不斷進行升級和發展。如果離開了行業本身的升級發展,可能就把這個東西管死了,這將會從根本上損害國家安全和國家利益。在這個意義上,發展的問題本身就是安全問題。整個互聯網、整個數據產業,它的發展不光是產業的問題,在宏觀意義上也是國家安全的問題。因為只有靠這些企業不斷更新技術,不斷提升競爭力,我們才更能夠獲得安全。
從這個角度來看的話,同樣會發現幾個辦法里面,可能更多強調加強監管的安全、秩序等目標。雖然立法也在原則層面宣示了安全與發展并重的“平衡原則”,但在具體的內容上,安全與發展出現了失衡,這是業界普遍的擔憂和焦慮所在。
比如說爭議比較大的《數據安全管理辦法》(征求意見稿)第25條。25條主要想象的場景就是網絡社交平臺。但由此可能帶來的問題是,社交平臺是否因此而被迫面對合規和侵犯公民通信自由的兩難選擇?
在數字經濟全球博弈的背景下,建議充分考慮國內規則的外溢性和競爭性,既要避免規則缺失導致中國在數據治理國際博弈中缺乏制度工具,也要避免規則過嚴扼制國內企業的創新發展,最終影響國家整體競爭力的提高。《數據安全管理辦法》(征求意見稿)第3條將“數據安全與發展并重,保障數據依法有序流動”作為總則,值得肯定。但具體制度設計上仍以嚴監管為主,促發展有帽子、沒抓手。草案全文40條,對企業新增各類義務高達30項,并且,監管嚴厲,義務繁瑣,可能會不利于中國互聯網企業的走出去。此外,考慮到《辦法》還將適用于所有在中國境內進行數據收集處理的外國企業,過嚴的監管究竟是否恰當,需要再斟酌。
目前來看,數據安全管理辦法更多體現了對秩序的強烈偏好,這種偏好本身是沒有問題的,但是如果這一偏好損害了互聯網網絡經營者的利益,可能將會損害公共的利益,最終也會涉及到國家利益。
數據治理法治化
要考慮國內法治與國際法治
數據治理的立法應當充分考慮以上所提到形式合法性、體系合法性和實質合法性要求。
放在數字經濟全球競爭和主權博弈的背景之中,我們應當認識到,互聯網治理、數據治理都不可能是關起門來進行的,必須考慮游戲規則的外溢效應和外部性。因此,數據治理的法治化問題,不僅需要國內法治,也需要考慮國際法治,建立既促成維護國家利益又能進行對話、競爭和合作的國際數據治理體系,以提升我們在國際數據治理體系中的話語權和治理能力。國內數據治理規則體系的過分“內化”,在單向度追求秩序的同時,如果脫離了國際數據治理的體系,就有可能被邊緣化,這不僅會危害國內數據治理的效果,也會帶來數據治理引發的網絡安全和國家安全問題。
