【作者】张红(武汉大学教授,法学博士)
内容提要:我国既有法律文本中的“数据”具有对客观事物的记录、现代信息技术中的符号、现代信息技术的专称三种语义类型。法律文本中的“数据”词性不明、内涵不清、外延不定,使数据规范对数据要素市场培育发展之保障功能无法充分彰显。通过辨析数据与数字、数据与信息技术、数据与信息的法律内涵,原“数据”的“本然之理”,“数据”定义应为以数字、文本、音像、信息技术符号或其他形态为载体对客观事物的记录。数据法治的价值目标与数据生命周期理论是构建数据法治谱系的思考范式,梳理数据法治谱系的重要维度可以展现不同阶段数据法治的规制脉络。
关键词:数据;法律文本;语义;法治谱系
目次一、问题的提出二、数据规范的应用与语义三、数据的法律内涵四、数据的法治谱系五、结语
一
问题的提出
随着现代数字技术的日益精进,“数字化生存”与数据分析决策正在深刻革新人们的生活方式和思维观念。数据技术作为一种“对存在的升级”,通过其独有“量化一切”的方式,将“数据”拔高至世界本体论的高度,“数据主义”的发展实践甚至引发现代的世界观革命。以“数据”为视角观察当下的社会生活,民众依赖数字化生存、企业掘金数字经济、政府推动数字治理。数据技术带来的变革不只是关于人类社会发展的宏大叙事,还实在且深远地渗透进社会生活的各个层面,数据更是已然成为全社会生产生活的基本要素,事关国家安全。2020年3月30日,中共中央、国务院发布的《关于构建更加完善的要素市场化配置体制机制的意见》,明确提出加快培育数据要素市场,将数据正式提升为与土地、人力、技术、资本并列的生产要素。那么,在此时代趋势与政策背景下,法律在保障数据资源公平自由流动、促进数据要素优化配置、实现数字经济场域中以数据为核心驱动各类资源要素协同高效利用等方面的治理功能愈发重要,理应受到重视。
二
数据规范的应用与语义
(一)“数据”在法律文本中的应用考察
2.数据规范的分布
本文以“数据”一词为线索,对上述305件法律文件进行一一梳理,获得含有“数据”一词的法律文本共计76件,约占全部法律文件的24.92%。具体分布态势如下(见表1):
表1不同法律领域中“数据”文本占比
以上梳理结果表明,“数据”一词已在我国法律文本中大量存在,就其涉及的法律领域而言,呈现出整体分散、大量集中的分布态势,集中出现在行政法与经济法领域。而经进一步考察,就含有“数据”的具体规范条文的分布态势而言,又呈现出总体分散、少量集中的特点。例如,因特别法律针对的调整对象的特殊性,含有“数据”的具体规范条文集中出现在我国数据安全法、电子签名法、网络安全法中。
(二)“数据”在法律文本中的语义类型与特征
1.“数据”的语义类型
法律语言作为法律规范的载体,是日常生活用语在法律语境中抽象化与规范化的表达。虽然“数据”一词看似简单明了、散见于76件法律文本之中,但我们分析其法律蕴意不应仅局限于字面本身,而应关照具体的规范语境与特定的立法者本意等,不同法律文本中的“数据”、同一法律文本里不同条款中的“数据”的含义并不一致。通过对含有“数据”一词的规范条文的分析,本文认为“数据”在我国法律文本中主要有以下四种语义类型。
(1)对客观事物的记录
“数据”并非现代社会所独有,而是相伴人类文明的进步而产生。“数据”(data)在拉丁文里是“已知”(datum)的意思,可以理解为“事实”(fact)。“数据”的本义即“有根据的数字”,是人们使用数字记录客观世界的结果,通常表现为用于统计、计算的数字。从这个意义上讲,一串记载于纸质媒介上的数字或符号,就可以视为“数据”,并不一定具备可自动化信息处理的特征,也不依赖网络信息科技而存在。在我国现行法律文本中,使用本义上的“数据”的规范大量存在,集中在关于统计计量、产业管理、环境保护等领域,具有较强公法管制性质的法律文本中。考察这些使用“数据”本义的规范,可以发现,立法者在组织法律文本语言时对“数据”一词的使用情况,主要有以下三种类型。
第一,只使用“数据”一词,加之行业限定语或特定形容词,组成“行业/专业+数据”。此种语境下,“数据”一词的语义多为对特定领域或专业活动的记录之全部。例如,我国统计法第23条第2款、人口与计划生育法第43条、电影产业促进法第34条、节约能源法第21条中的“统计数据”;环境保护法第17条第3款、水污染防治法第24条第1款、大气污染防治法第20条第2款、土壤污染防治法第82条、噪声污染防治法第38条、湿地保护法第22条第2款、食品安全法第15条第1款中的“监测数据”;测绘法第13条第2款的“观测数据”;社会保险法第74条中的“社会保险数据”;计量法第21条中的“计量数据”;银行业监督管理法第34条第1款第4项中的“业务数据”;海警法第58条第2款中的“海警工作基础数据”;海上交通安全法第36条中的“航行数据”;基本医疗卫生与健康促进法第49条中的“健康医疗数据”;科学技术进步法第102条第1款中的“科学技术数据”与种子法第16条中的“试验数据”等。
第三,常用“电子”作“数据”一词的修饰语,组成“电子数据”,强调采用电子化的方式或储存在电子介质中的记录,多特指作为证据种类的电子数据证据。例如,我国民事诉讼法第66条第1款第4项、行政诉讼法第33条第1款第4项、刑事诉讼法第50条、行政处罚法第46条、监察法第25条第1款、出入境管理法第77条第1款、国际刑事司法协助法第25条、海警法第30条第2款与审计法第34条中的“电子数据”。另外,证券投资基金法第102条中的“以电子介质登记的数据”与海关法第25条中的“电子数据报关单”,也都是强调经过电子化方式储存的记录。
(2)现代信息技术中的符号
随着科学技术尤其是信息传输技术的迅猛发展,“数据”的含义也从“对客观事物的记录”的本义上延伸信息技术领域,被引申为二进制数字0和1所标识的信息。在信息技术语境中,“数据”指可采用信息自动化程序处理的,具有一定意义的数字、字母和符号等的通称。在此层面上,“数据”作为信息技术中纯粹工具性的符号,其本身不具有任何“记录”的功能,而是作为一种记录内容的载体,需要通过应用代码技术方可呈现或获取其内容。在我国现行法律文本中,使用信息技术符号层面“数据”的规范数量颇多,集中在计算机信息系统保护、网络安全、电子签名等场景,主要以以下三种方式出现。
第一,直接使用“数据”一词,专指计算机信息系统场景中存储、处理或传输的符号文件。例如,我国治安管理处罚法第29条第3项与刑法第285条第2款中的“数据”、电子商务法第57条第1款与电子签名法第34条第4项中的“电子签名数据”、人民武装警察法第32条第2款中的“数据资源”等。
第二,用“网络”作“数据”一词的修饰语,组成“网络数据”,集中出现在我国网络安全法中,特指通过网络收集、存储、传输、处理和产生的符号文件。网络安全法回避了如何直接定义“数据”的问题,而是将“网络数据”定义为“网络空间的电子数据”。此“电子数据”并非前述证据法意义上的“电子数据”,而是指网络系统中作为信息技术符号的“数据”。
第三,以“数据”一词作“电文”的形容词,组成“数据电文”,强调以现代信息技术中符号为载体的意思表示形态,区别于以一般的书面、口头等形式,常用于合同订立、申请申报行政许可等场景中。例如,我国民法典第469条、电子签名法第3条、第4条;商标法第22条、行政许可法第33条、密码法第29条、税收征收管理法第26条等。
(3)现代信息技术的专称
在我国法律文本中,“数据”一词还常出现在诸如表示“数据库”、“大数据”、“信息数据系统”等现代信息技术专称的特定词汇中。例如,我国非物质文化遗产法第13条、统计法第5条第2款、突发事件应对法第41条、中医药法第43条第1款、网络安全法第34条、环境影响评价法第6条第2款、土地管理法第34条、人民武装法第32条第2款、长江保护法第8条与科学技术进步法第107条第2款中的“数据库”;中小企业促进法第33条与基本医疗卫生与健康促进法第49条中的“大数据”;退役军人保障法第8条第2款中的“信息数据系统”等。
2.“数据”的语义特征
通过对法律文本中“数据”的语义类型化考察,可以发现“数据”一词在我国法中的语义语用有如下特征。
(1)词性不明
立法语言的规范性与严谨性可以反映出国家法律制度的完善程度。无论“数据”是表示对客观事物的记录,或是作现代信息技术中的符号,还是作现代信息技术的专称,“数据”本身理应当作名词使用。但在“数据电文”这一文本语义中,“数据”一词又成为“电文”的形容词,专指“数据化”的“电文”。那么,此时的“数据电文”应当特指采用现代信息技术中符号为记录、传输载体的“电文”,多指以电子数据交换、电子邮件等无纸化或非书面形式的意思表示,而应与以传统的电磁波传输技术为载体、一般为书面形式的电报、电传与传真等相区分。
因此,从语义使用的角度看,我国1999年合同法第11条中将电报、电传与传真归属于“数据电文”的范围之内的作法,明显欠妥。民法典第469条将满足“有形地表现所载内容”“随时调取查用”要件的“数据电文”方可拟制为一种书面形式的意思表示、区别于“合同书、信件、电报、电传、传真”等一般书面形式的做法,是值得肯定的。
(2)内涵不清
如前所述,除用于现代信息技术的专称外,我国法中“数据”一词常与“报表”“报告”“资料”“信息”等词语连用,虽然此时“数据”大体可以理解为以“数字”为表现形式的记录,从而与“报表”“报告”“资料”等记录形式相区分,但“数据”与“信息”的语义内涵却含混不清,二者的逻辑关系也混杂难分,主要表现在以下三类。第一,将“数据”作为“信息”的一种,即“信息”包含“数据”。例如生物安全法第15条第1款、监察法第25条、食品安全法第19条、环境保护税法第15条第2款与核安全法第64条均使用“数据等信息”的类似表述。第二,将“信息”作为“数据”的一类,即“数据”包含“信息”。例如数据安全法第38条与出口管制法第2条第2款均使用“信息等数据”的类似表述。第三,将“数据”与“信息”并列使用,即二者不存在包含关系。例如反有组织犯罪法第42条、测绘法第24条使用的“信息数据”,电子商务法第25条、非物质文化遗产法第13条使用的“数据信息”,测绘法第2条第2款、安全生产法第36条第3款中的“数据、信息”等类似表述。
(3)外延不定
正因立法者组织法律语言时对于“数据”一词的混用与错用,使得法律文本中的“数据”词性多变、语义内涵游离不定,有损法律术语概念的精确性,导致“数据”的外延自然也无法确定。囿于“数据”的内涵不明、语义类型多样,解读法律层面上的“数据”可能会有以下三种困境。
可见,法律文本中“数据”的外延不定会使法律对数据要素市场培育发展之保障功能无法充分彰显,亦致“数据采集”“数据处理”“数据共享”“数据安全”等规范表达与规制内容的底座空悬,无法妥善应对数字时代兴起的诸多疑难法律问题。
三
数据的法律内涵
(一)数据与数字的辨析
因此,考虑到未来信息应用技术发展的延展性,结合当下数据技术实践的方兴未艾,我国法律文本中表示现代信息技术或符号载体语义的“数字化”与“数字资源”,建议采用“数据化”与“数据资源”进行替换与修正。
(二)数据与信息技术的界分
1.数据库
“数据”与“数据库”只有一字之差,二者存在高度的关联性。广义上看,数据库(database)即为“数据”的集合,是用来储存和管理各类记录仓库。不过,当下的数据库概念一般指的是按照数据结构来存储和管理数据的计算机软件系统,同时亦作为数据管理方法与技术的概念而存在。在信息时代的技术驱动下,法学领域也逐步吸收了数据库的技术概念。例如,《欧盟数据库保护指令》第1条将“数据库”定义为“由独立的作品、数据或其他素材按照特定的条理和系统编排而成的集合,而这个集合中的元素也可以通过电子方法或其他方法被独立地获取和利用”。
2.大数据
由此观之,“大数据”在本质上仍是“数据”,“数据”是其构成要素,其技术特性之“大”的简单描述未能勾勒出其与较早出现的“数据库”技术之间清晰的界限。“大数据”并非是规模庞大“数据库”的简单集合,二者之间是具有显著区别的,主要体现在以下三个方面:其一,大数据的运算、处理数据的规模更加庞大,常以GB、TB为基本单位处理数据,而数据库一般以MB为单位处理数据;其二,大数据主要针对的是实时产生、飞速增长的结构化与半结构化的数据,而数据库通常只包含主题类型单一、结构化的静态数据;其三,大数据的价值不仅在于收集、汇编与整合海量的数据,更在于对这些数据进行充分地挖掘、分析与使用,从而得出辅助决策的数据信息或知识工具。
可见,在信息技术的视域中,“大数据”可以被描述为超过传统“数据库”存储和处理能力的数据技术。而我们日常所称的“大数据时代”可以理解为由信息技术科学发展所引起社会变化现象的总称。因此,“大数据”作为一种信息技术,与“数据”不可混为一谈,并且在科学技术领域尚且无法赋予其以准确概念时,“大数据”这一词并不适合直接用于法律文本中。
(三)数据与信息的辩证
因此,应对我国法律文本中“数据”与“信息”的模糊性混同使用予以区分解释:其一,对于法律文本中所使用的“数据等信息”,其本质上是“信息”,指的是不同公权力部门或其他使用者出于不同的管制目的或处理意图,对于包括数据在内的记录予以提炼可获得的信息;其二,对于法律文本中所使用的“信息等数据”,其本质上应为“数据”,此时的“信息”只是用来表征数据作为媒介所承载的内容层面,用以区分不同的数据类型;其三,对于法律文本中并列使用的“数据信息”“信息数据”和“数据、信息”,指代的均是“数据”与“信息”,包含以信息技术符号或其他方式对客观事实的记录与记录中所含的信息内容。
(四)小结
四
数据的法治谱系
(一)数据法治谱系的思考范式
实现数据法治谱系的全局性,须立足于数据生命周期的全过程。为充分保障数据利用的自由与安全,达致数据法制框架的全局统一,应直接面向数据整个生命周期的治理逻辑。生命周期原为生物学上的概念,后被用于其他领域展现物体由诞生到消灭的全过程。莱维特首次将生命周期概念应用于产品开发上,提出了产品生命周期的概念。此后,随着信息技术的推广,以信息技术符号为载体的“数据”样态迅速增加,产生了数据生命周期理论。数据生命周期理论指的是数据从创建到销毁的整个过程,可以被划分为若干阶段。对数据生命周期的阶段性划分肇始于信息技术和情报学领域。泰勒提出了包含数据、信息、告知的知识、生产性知识和实际行动在内的五阶段的划分法,但由于技术进路与管理方法的差异,现阶段关于数据生命周期的理论模型已经多达40多种。尽管学界划分依据多样,结合我国数据安全法第3条第2款对于数据处理过程的界定,本文将数据生命周期划分为:收集、存储、加工、传输、应用、公开与销毁等7个阶段。这些阶段可以清晰地展示不同时段数据法治的规制脉络,也是构建数据法治谱系“四梁八柱”的重要维度。
(二)数据法治谱系的重要维度
1.数据收集
2.数据存储
以信息技术符号为载体的“数据”须依托存储介质方能存在。大数据时代下,海量、多源、异质数据的汇合存储,对于数据存储容量、存储稳定性以及存储的安全性提出了更高的要求,数据泄露的风险亦如影随形。数据泄露的风险贯穿于数据生命周期的全过程,但数据存储阶段作为大量数据的静态集聚,须更注重数据泄露的风险防范。为此,我国民法典第1038第2款、网络安全法第21条与第42条第2款、消费者权益保护法第29条第2款,均专门规定了数据业者确保数据安全、防止数据泄露的义务。但是,随着信息技术与现代生活的深入融合,数据与个人也深度绑定在了一起,数据的泄露更多是关乎于人,而非记录本身。当数据遭受网络攻击或网络偷盗行为而导致的泄露,常常是侵犯了受害人对其隐私、自我决定等权利,而非仅仅是财产损害。因此,在数据泄露造成的损害赔偿问题中,可以从权益损失的角度去界定此种损害的本质,从而避免损害的财产评估困难成为否定救济的理由,更好地保护数据所承载的人格利益。
3.数据加工
经过收集、储存形成的原生数据一般还不能直接用作生产要素,原生数据须经清洗、脱敏、匿名、计算等处理环节生成衍生数据,这一过程被称为“数据加工”。以数据的产生方式或价值内容为标准,原生数据与衍生数据的分界线便在数据的加工环节。数据的加工是数据价值的进一步拓展,最终为数据要素的分析价值奠定基础。匿名化、脱敏化是原生数据加工的重要环节,原生数据承载的具有标识性的人格属性被去除后所形成的衍生数据,是财产利益属性更为凸显的记录。当然,因数据的加工过程可以反复叠加、一直运行,如同数据与信息可以相互转化一样,衍生数据可能再次作为原生数据而被再一次加工。实践中,数据的加工环节往往具有独创性,衍生数据又具有非物质性、无体物等属性。因此,有学者主张衍生数据应当属于民法典第123条规定的知识产权其他客体范畴,以鼓励数据价值的挖掘和创新。
4.数据传输
数据传输是指数据从一个载体通过信息技术手段传输到另一个载体的流动过程。数据传输技术是数据流通的重要保障,包含数据查询、数据交换、数据调用、数据提供、数据交易等类型。数据业者内部的数据传输,是制作数据产品的重要步骤。而数据业者之间、数据业者与数据使用者之间外部的数据传输,是实现数据应用价值的必要手段。数据传输阶段的监管,是整个数据监管体系的关键内容。我国网络安全法第42条第1款将“经过处理无法识别特定个人且不能复原”作为禁止向他人提供个人信息的例外,那么没有经过匿名化、脱敏化处理的数据原则上应是禁止向他人提供的。网络空间生态中数据的巨量传输与流动,使得数据传输的对象常涉及境外机构、组织或个人,传统的数据属地管辖模式已经松动,需要重塑新的国际统一规则。网络安全法第37条对跨境数据传输采取了必要性与安全性的评估方案,但没有细化规范评估标准,存在一定的不确定性和不可预见性,这是我国数据跨境传输规则与国际接轨需要解决的重要问题。
5.数据应用
数据应用是指经过数据的量化、分析、重组等技术充分挖掘后,将得到的结果运用于实际生活场景的过程。数据的聚合应用进一步彰显和增添了数据所蕴含的经济价值与公共价值,也使得数据的应用场景愈发丰富,常见的有“某某行业+大数据”,如金融大数据、健康大数据等。大量个人数据的汇聚,也为自动化研究定制不同行业、不同阶层的用户决策辅助方案提供了可能。这种自动化决策辅助机制在极大提升决策效率、降低决策风险的同时,也带来了“信息茧房”“算法黑箱”“算法歧视”“大数据杀熟”等现象,侵犯了用户隐私权、知情权、选择权和公平交易权。我国目前对数据应用的法律规制主要以分散式立法的方式散现于不同层级的规范性文件中,例如规制“大数据杀熟”价格歧视的消费者权益保护法第8条、价格法第7条、电子商务法第77条等。当前信息时代背景下,亟需通过设置算法权力清单、确立算法正当程序原则、打造算法问责机制等方式,建构数据应用法律规制体系。
6.数据公开
数据公开是相对于数据保密而言,指数据拥有者主动将数据公开,允许他人访问的行为。数据公开中的数据虽然可见可访问,但却无法进行结构化提取,此为数据公开与数据开放之间的显著区别。按照主体的不同,可以将数据公开分为政务公开数据、企业公开数据和个人公开数据。国家机关公开数据对数据产业与数字经济发展、公共决策水平提升、司法公信力增强与社会治理能力现代化等方面的推动意义重大。为此,我国数据安全法第41条规定了国家机关的数据公开义务。国家机关公开数据带来巨大社会效益的同时,也有一些潜在风险需要防范。首当其冲的是,数据公开行为会泄露公民的个人隐私,遭遇如司法数据公开与被遗忘权相互冲突的博弈困境,须妥善平衡数据公开的效益与风险。
7.数据销毁
数据销毁是数据生命周期的最终阶段,指操作数据及数据存储介质、使数据彻底删除且无法复原的行为。根据销毁方式所针对的对象不同,数据销毁还可以被分成“软销毁”与“硬销毁”。数据软销毁是指采取数据覆写法对原有数据进行擦除或替换,使原有数据无法恢复。数据硬销毁是指用物理粉碎、焚烧、消磁等方式,对数据存储的物理介质予以彻底销毁。可见,数据销毁对于数据的破坏性是极大的,因而销毁的对象通常是无用、无效的数据。在我国现有的法律文本中,数据销毁的概念起始于国家秘密、国家安全信息的保密义务,而在信息社会中,保密义务也演化为“数据安全保障义务”和“个人信息保护义务”。
五
结语
法律的语言应该是确定的,但法律又是以社会为基础的。随着现代信息技术的迅猛发展与广泛应用,“数据”的法律内涵必然处于不断的变化与发展当中。我国法律文本中的“数据”语义类型多样,既有具体专业领域的数据类型,也有数据利用场景的呈现,还有数据法治谱系建构所应考虑的规范表达。建构数据的法治谱系,应以现有的法律文本作研究的指引手册,以数据生命全周期为观察视角,方能实现数据利用与保护之间的动态平衡。
-向上滑动,查看完整目录-
《比较法研究》2022年第5期目录
【习近平法治思想研究】
1.习近平法治思想中的监察法治监督理论
秦前红(1)
2.习近平法治思想中的司法体制改革理论研究
吴卫军(16)
【专题研讨】
3.知识产权视野下商业数据保护研究
冯晓青(31)
4.论个人信息概念的不确定性及其法律应对
丁晓东(46)
5.我国法律文本中的“数据”:语义、规范及其谱系
张红(61)
6.数据限制处理权的法理基础与制度建构
崔聪聪(75)
【论文】
7.自洗钱入罪后的争议问题
张明楷(89)
8.企业合规改革视野下单位犯罪主体分离论与归咎责任论之提倡
王志远(104)
9.自动驾驶刑事风险研究
——刑事追责的困境与对策
程凡卿(118)
10.意大利行政诉讼中原告资格的认定与反思
罗智敏(131)
11.论规范性文件附带审查的“重复审查”
周乐军(142)
12.论农村集体经济组织对集体土地所有权的代表行使
——《民法典》第262条真义探析
宋志红(154)
13.论上市公司双层股权架构的兴利除弊
刘俊海(169)
14.人工智能时代算法垄断行为的反垄断法规制
殷继国(185)
《比较法研究》是由中华人民共和国教育部主管、中国政法大学主办、中国政法大学比较法学研究院编辑的法学期刊,为双月刊,逢单月25日出版发行。《比较法研究》是纯学术性法学期刊,主要刊载比较法学研究的学术论文,现设有“论文”、“专题研讨”、“法政时评”、“法学译介”等栏目。