2021年6月10日,全国人大常委会正式通过《中华人民共和国数据安全法》(以下简称《数据安全法》),自9月1日起施行。《数据安全法》的逻辑起点是数据安全,而其中最具亮点的是确立国家核心数据,标志着我国数据主权治理新秩序建构的开端。
国家核心数据的规范逻辑
纵观国内外相关立法,国家核心数据是由我国《数据安全法》首设的法律概念。欧美国家的数据安全体系主要强调个人数据保护,采取“个人数据+国家安全”的二元立法模式来维护数据主权,因而无需严格区分国家核心数据与非国家核心数据。而中国的个人数据保护主要交由即将出台的《中华人民共和国个人信息保护法》进行规范,数据主权保护采取“国家核心数据”的一元立法模式,故需要严格区分国家核心数据与非国家核心数据。国家核心数据的确立,寄寓着立法者建构数据主权治理新秩序的“雄心”。
第一,健全国家安全法治体系。数据安全是总体国家安全的重要立足点,不同的数据类型对国家安全的影响度悬殊,因此必须从不同数据类型中抽象出直接指向国家安全的数据——“国家核心数据”。然而,《中华人民共和国网络安全法》《中华人民共和国国家情报法》并未完成这一立法任务。《数据安全法》正式以国家核心数据为“基底”建构数据主权治理新秩序,进一步健全“网络安全—国家情报安全—数据安全”的数据主权维护体系,并相应配套环环相扣、密不透风的风险防控机制,在促进数据开放利用的同时注重维护国家安全,保障我国数字经济高质量稳定发展。
第二,形塑数字规则的中国方案。数字规则是全球数据竞争的重要利器。当前,数字规则已形成欧盟模式和美国模式“二分天下”的局势。为积极参与全球数据竞争,通过对国家核心数据的规范,构建数字规则的中国模式,有利于平衡数据权利保护与数字经济发展,也有利于增强我国数据企业安全技术审查的自觉性,提高跨境数据交易的竞争力。
第三,消解他国数字规则的域外效力。欧美数字规则的“二分天下”局势正在冲击我国的数据治理体系,其域外效力逐步主导全球数据竞争方向,关系到我国数字行业的经济命脉,直接侵蚀我国的数据主权。过去,我国以国家安全为准绳全面审查所有数据类型,虽可切断数据跨境流动风险,但却阻碍数据开发利用,不利于中国企业参与全球数据竞争。为此,以国家安全为准绳重构数据类型的分类体系,抽象出国家核心数据,可从制度根源上反向消解他国数字规则的域外效力,减少数据跨境流动的壁垒,从而抢占全球数据竞争的制高点。
国家核心数据的治理困境
(一)治理理念滞后
第一,泛化国家安全,阻碍数据流动。建立畅通的数据自由流动秩序是数字经济发展的题中之义。然而,无节制的数据自由流动容易动摇国民经济命脉,直接侵蚀国家安全根基。欧美国家近年来加大对外国数据企业的长臂管辖权,即扩大解释国家安全概念、扩张国家安全司法管辖领域。可见,国家安全与数据的自由流动具有对立统一的关系。两者失衡,数字经济失利;两者平衡,数字经济得利。我国需要强化对特定类型数据的“抓关键”意识,避免劣币驱逐良币的现象发生,促进中国积极参与全球数据竞争。
第二,管理强度超越行政目标,降低数据开放利用程度。尽管我国政府信息公开制度取得长足发展,但政府信息共享仍未突破部门化壁垒,“人在证途”“奇葩证明”现象络绎不绝,行政管理成本偏高。信息与数据二者并不等价,数据必须经过分析、处理才能转化生成信息。当国家核心数据嵌入政府信息公开制度中,倘若未能转变管理强度过高的治理理念,公权力或将肆意模糊国家核心数据与非国家核心数据的界限,损害的将不仅是公众的知情权,更是数据在流动过程中转化为有效信息的宝贵价值。
(二)数据体制松散
明确国家核心数据的规范边界是数据治理法治化的关键所在,也是政府提升数据治理效能的重要要求。然而,围绕国家核心数据而建立的数据主权治理体系缺乏体制上的协同配套。
第一,立法体系疏松。考虑到数据要素市场规则制定的紧迫性,《数据安全法》尚未系统建构国家核心数据的规范体系,仅用两个法条指出国家核心数据的治理方向。规范依据的相对不明确,既给国家核心数据的治理体制留下宽广的想象空间,亦模糊了国家安全与私人自治的边界。而立法的原则性,又必然留下国家核心数据行政管理与司法适用方面的模糊空间。当前急需通过相关的法律法规乃至软法体系对国家核心数据的规范构造予以体系性设计,重点厘清国家核心数据与非国家核心数据的治理边界及转化条件,以更好地为数据开发利用指明规范方向。
第二,治理组织机制疲软。《数据安全法》通过建立国家数据安全工作协调机制推进统筹协调国家数据安全的重大事项和重要工作,但工作协调机制并不等同于治理组织体制。此外,《数据安全法》关于地区与行业部门对数据安全的责任规定仍然过于原则化,可能面临“九龙治水”式的治理难题。
(三)保障机制缺位
“安全+利用”是数据治理的共生形态,只有在安全的保障下充分利用国家核心数据,方能最大程度地激活数据作为生产要素促进数字经济发展的内生动力。然而,《数据安全法》对国家核心数据的治理手段偏向硬性、封闭性,限制了国家核心数据的开发利用。
第一,重约束而轻激励。数据是一项宝贵资源,国家核心数据亦具有转化为巨大效益的潜力,而非仅限于安全保障价值。但国家核心数据治理偏向约束性,在识别和分离的治理工作中势必增强公权力的行政成本以及数据企业的违规风险,可能消解我国参与全球数据竞争的软实力。
第二,重利益保护而轻利益协调。无论是公权力机关对保护国家核心数据在内的数据治理协调方式,抑或是公权力与私人权益之间的协调关系,《数据安全法》均未明确调适之道。在数据处理实践中,唯有建立利益协调机制,公权力和私主体方有动力协调各自的利益关系,确保国家核心数据获得系统保护。
国家核心数据的治理进路
(一)革新治理理念
一是确立安全与发展的平衡理念。两者既需要保持一定的界限,更需要实现一定的平衡,即要将国家核心数据纳入科学合理的数据类型限度内,建构体系严密、内外贯通的国家核心数据识别机制和退出机制,切忌将国家核心数据的外延无限放大,导致非国家核心数据在数字经济市场难以自由流动。
二是确立行政效能的价值导向。行政管理是保障数据自由流动的一种基本手段。然而,行政管理强度过高,国家核心数据的边界容易侵蚀非国家核心数据,进而削弱数据的自由流动。因此,以行政效能作为检验国家核心数据治理的评价标准,既有利于兼顾维护国家安全的行政管理目标,又有利于实现促进数据开放利用的行政效益初衷,在守住国家安全底线的前提下迸发数据资源活力。
(二)健全数据体制
当前,可通过“规范+组织”双重维度建立国家核心数据的治理体制。
一是建立多维的立法体系。首先,由上至下推进国家核心数据立法工作。其次,硬软法兼施,注重发挥数据行业组织的数据安全行为规范和团体标准等软法在国家核心数据治理中的能动性。最后,公私法衔接。国家核心数据治理不仅需要《数据安全法》《网络安全法》《国家安全法》等公法色彩浓厚的法律予以保障,更需要《民法典》等私法在数据目录的构建、数据跨境流动、数据交易制度等方面予以协同保障。
二是建立协同高效的治理组织体制。为解决国家核心数据“九龙治水”式的治理难题,中央和地方可在网信部门设立国家核心数据治理的协同组织,专职负责相关统筹工作。
(三)建构保障机制
一是建构激励机制。一方面,可通过优化政绩评估指标体系,增强国家核心数据治理要素的指标比重,激发公权力机关建构数据主权治理新秩序的积极性。另一方面,支持行业组织参与国家核心数据的开发利用技术和数据安全标准体系建设,采取多种方式探索国家核心数据开发利用技术。
二是建构利益协调机制。一方面,中央和各地的公权力机关分别定期对数据目录、数据识别、数据转化与利用等国家核心数据治理事务展开磋商,并依此达成共识性规则。另一方面,构建政府主导、多方参与的国家核心数据治理体系,厘清政府、行业组织、企业等在国家核心数据要素市场中的权责边界,确保多方利益充分保障。两方面工作的合力,既要切断以保护国家核心数据为由阻碍政务数据共享和利用的部门利益链条,又要发挥国家核心数据在数字经济市场的促进作用。
(作者单位:广东财经大学法学院)