杨力上海交通大学凯原法学院教授,法学博士,上海市法学会数字法学研究小组成员
要目
一、引言
二、公共数据流通制度化的两个兴奋点与批判
六、流通公共数据的分类分级标准及法治逻辑
七、技术标准对公共数据流通的作用机理及法治化
数据不是知识、创意,而是表达概念或事实的性质、关系、度量和状态的特定载体。2019年,中国政府正式将数据定义为新的生产要素。“要素级别”的数据迥异于其他生产要素,在流通中具有即时再生的非竞争性、边际成本趋近于零、信息不对称的估值悖论等鉴别性特征。可以说,在世界范围内数据流通的不少难题属于“无人区”。所以,在数据流通的制度化上亟须取得重大进展,才能加快数据被更大程度利用,实现数据要素效用的乘数倍增。其中,率先推动公共数据的流通具有样板意义,已成为衡量各国数字建设水平的重要标志。
由于公共数据的社会产品属性强、技术专业门槛高、权益和安全系数大,以流通为目标的高水平治理,不能只是“数据湖式”的简单堆砌,而是要以技术标准对数据全生命周期作出精细化规定。凭借技术标准的高弹性、低耦合特性,在拓展数据的增值空间与坚守数据的权益安全之间达成平衡。
二是方案过于原则,没有现实操作性。其中的难题在于,缺少对技术性更精细标准的研究,讨论标准多为约束力类型、行业领域、实施主体的复杂性;缺少场景性标准研究的牵引力,不应以“数据供应”为导向,使用什么数据去解决什么问题,而是应以“数据需求”为导向,围绕什么场景需要什么数据,惟此才能让标准产生驱动力量;缺少对技术标准在实用性上的细致讨论,停留在呼吁制定更完善的法律、政策,导致推动公共数据流通的规划变为“空中楼阁”。
三是理论供给不足,缺少标准法理证成。少量对技术标准的研究,也只是作为描述公共数据治理中科学问题的“客观信息”,限于什么是“隐私计算”“匿名化”“脱敏”等标准术语,缺少对公共数据流通技术标准条款的合法性与合理性以及背后的价值取向的批判性分析。正是对标准类似“查字典”的做法,导致对公共数据流通技术标准的法学理论探讨不足。在此基础上,对于技术标准作为技术规范的效力,软法理论可以对其作出初步回答,但即使是强制性的技术标准,也肯定区别于硬法。那么,技术标准又如何通过法律条文、司法审判、合同条款援引产生事实拘束力,在这方面缺少发挥效力机制作用机理的研究。
三、国家对公共数据流通的“剩余控制权”配置
作为国家资源核心“要素级别”的公共数据,在更大范围内流通势在必行。所以,公共数据技术标准的法治倾斜性原点在于,以促进流通为主,兼及规制安全隐私。但是,作为新兴领域的公共数据一旦流通,必然导致不少法律难题,使公共数据的占有者、使用者之间的关系不同于一般的民商事契约,而更多表现为一系列隐性的“不完全契约”。面对公共数据这样一个呈数量几何级增长、未知空间巨大、柔韧性又很强的全新领域,全部以法律法规实现数据流通的法定性、稳定性和预见性不太切合现实。因此,引入更多灵活、弹性和持续迭代的技术标准,并在立法上敲定那些国家在公共数据流通上的“剩余控制权”,才是破解难题的关键。
其一,国家对公共数据流通的剩余控制权,本质上标志着公共数据到底在多大程度上可以被泛在化应用。根据格罗斯曼、哈特建立的“不完全契约理论”,当公共数据的流通利用与隐私安全之间达成“完全契约”的代价过大时,流通过程就会更多体现为“契约不完全性”特征。其中,对能够达成基本共识的公共数据权属、个人信息保护、数据安全等问题,已通过立法作出原则性规定,但更为具体的立法未及问题,包括公共数据的账本制定、管控规则、分类分级、可信交互、有偿供给、许可机制等,更多应当交给技术标准先行探索以积累经验,国家可以保留必要的剩余控制权,并在适当时机甄选相应的要点,赋予其法律效力。
其二,国家对公共数据的剩余控制权起点在于,判断什么类型、什么颗粒、什么级别的公共数据可以进入流通环节。对此问题回答的关键,并不是国家立法预言式的“一语中的”,而是要让需求侧更灵活地从公共数据流通中受益后,反过来进一步推动公共数据的流通,产生“熊彼特效应”。无疑,需求侧会倾向于“门槛降准”,更多把进入权交给自己判定。此时,国家的剩余控制权对公共数据的流通,就是允许需求侧从场景出发,借助技术标准的独特性,更准确、详尽、务实地描述公共数据要素的禀赋差异、被利用的强度差别、比较优势上的相对收益等。只有这样,才能倒推国家制定更精细的迭代公共数据流通的行政规制清单,并逐步实现规制清单的“瘦身”,简化流通准入的流程,释放由更多公共数据高水平流通产生的“马太效应”。
其三,国家对公共数据流通的剩余控制权,除了处理上述国家与市场的关系,还要解决需求者之间的公平问题。该问题核心在于避免对公共数据的垄断或利用不当,防止滋生新的不公平问题。一方面,需求侧的过度市场化会形成对公共数据的垄断占有和使用。市场和技术能力较强者在公共数据流通中逐步壮大,类似平台甚至会成为数据、生产、配置和规则的新型中枢,掌握公共数据和拥有超强分析能力,还会造成“赢者通吃”、限制公共数据进一步流通的局面。对此,国家立法应把握公共数据流通的公平竞争权;另一方面,公共数据的资产专用性强、外部选择价值较低,且具有利用之后的存量效应,这使公共数据的流通必须保持连续性与一致性。当市场竞争者之间的不当利用引发利益机制的扭曲,将会产生隐藏信息的规避监管,抑或隐藏行为引发的歧视监管,甚至会出现对公共数据利用的逆向淘汰。鉴于此,为了防止需求侧不当利用,技术标准对公共数据流通的利益受损者可以给予合理补偿,国家立法需要与其保持一致。
根据以上逻辑,关于公共数据流通的剩余控制权配置,依赖于法律规范与技术标准的双轮驱动。在此基础上,进一步将技术标准法治化,是实现公共数据可持续流通的必由之路。
首先,需要从法学理论上论证公共数据流通技术标准的效力定位及立法干预,即如何正确认知技术标准的规范属性,以及判定技术标准是否具有法律上的效力;同时,如何通过国家立法利用其剩余控制权,推动“公标准”或“私标准”的制定过程不断优化,使技术标准发挥更大程度的效能,并释放多元主体参与技术门槛高、专业性较强的公共数据技术标准订立的能动性。
当然在公共数据的流通中,“对兜底”的隐私安全管理监督不可偏废。它覆盖公共数据开源的全生命周期质量管理,以及公共数据流通的全过程动态监督。前者重点以中国承认的数据管理“FAIR原则”为技术规范、以立法条文为约束条件,以及公共数据实时动态的评价体系和机制,构建反映法律规制的全生命周期的质量管理体系;后者则重点制定公共数据流通的分级分类标准,包括重要数据、个人信息和其他数据的分类技术标准,以及具有可接受性、敏感性、破坏性的分级技术标准,满足不同类别公共数据的治理要求,建立精准、差异化的法治体系。
四、流通公共数据的技术标准效力与立法干预
国家对公共数据流通的剩余控制权设定路径,需要采取的是以技术标准为先导,探索相应的国家立法边界,以及灵活运用执法和司法的比例原则、利益衡量等方法,让国家对公共数据的规制表现为主体多元、手段灵活、相互协调及持续互动的过程。面对公共数据流通这一存在不少难题甚至“无人区”的领域,配置剩余控制权所依赖的不是外部强加的权威或制度,而是自下而上、从混沌到秩序,甚至呈现为非线性、自适应、循环反馈的治理。
国家主要通过立法来行使对公共数据流通的剩余控制权,那么,作为行为规范的法律与作为技术规范的标准之间到底是什么关系?回答这一问题,重点在于流通技术标准的效力认定。
现有研究更多坚持法律本位主义,即以法律为基准来评判标准的属性。然而,仅从法学方法论视角,仍难以清晰界定公共数据流通的技术标准本质。事实上,“标准是现代社会降低风险的有效规制方式,已成为风险规制的主要工具之一”。从这个角度而言,标准无疑具有规范性。但是,标准不必一定改为法规,尤其是自愿性质的标准,只要它与法规协调一致即可。所以,公共数据流通的技术标准在效力上,主要包括以下两个方面。
技术标准没有法律效力,应更多借助于其规范属性,逐步实现公共数据流通合理化定型。为此,国家剩余控制权的立法干预,需要着眼于建立强制性的技术法规与自愿性的技术标准相结合的新型标准化体制。关于公共数据流通的立法干预方式,在世界范围内根据标准订立的主体不同,主要为两个阵营。
以美国为代表,在公共数据流通领域的标准化改革是以市场团体的标准化为基石,即在稳健节制地维护国家在公共数据流通技术标准制定的组织利益的基础上,倾向于推动数据要素市场标准化活动的繁荣。正是基于这一导向,美国在公共数据的数据中心ANSI/BICSI基础设施标准、元数据取值规范、机器可读的数据格式、公共数据资源开放目录、电子数据取证标准、数字用户信令规范、领域性数据开放标准等方面,已经自下而上地建立起比较完整的公共数据流通技术标准的法治体系。
而欧盟在公共数据流通技术标准上的改革则呈现出区域性协商一致的色彩,创立“三轨并立”的标准化体制,并以提高欧盟在数据主权上一体化程度为目标。2015年,欧盟在推出《一般数据保护法案》(GDPR)之后,同样以SGS通标标准技术公司等为代表,在开放数据的元数据标准DCAT-AP、欧盟SGS认证、数据控制者和处理者的合同标准、宽带数据传输设备协调标准上,逐步构建行业和企业共同参与的欧盟公共数据流通标准的法治体系。
那么,为了进一步探索构建公共数据流通的技术法规与技术标准一体化体制,国家推动公共数据流通的立法干预又应当采取什么方式?
一是国家对标准化活动的直接干预。一般标准理论认为,国家应当为标准化提供架构。但是,政府未必更了解公共数据流通的所有场景、对价与过程,所以,标准制定组织可以扮演重要角色。随着新一轮技术革命演进,数字技术高速发展导致标准治理产生了重大变化,借助信息通信技术形成的网络效应、产业融合以及跨行业发展,传统的标准制定组织行动显得迟缓,诸如万维网联盟(W3C)等学会与传统标准制定机构间的界限日趋模糊。因此,国家应当通过协调、引领、激励等方式,对公共数据流通的标准化建设发挥“撬动”作用,并以这种方式适时并顺势地掌握国家的剩余控制权。
五、公共数据流通的标准化空间与上位法挑战
在解决了技术标准及法治的基石问题后,技术标准与技术法规一体化推动公共数据流通的功能取向是什么?其中,政府主导的强制性标准是否会对上位法产生影响?
技术标准具有更为直接的技术性、场景性、实用性,更符合公共数据流通的过程,其主要具有以下功能。
第一,推动公共数据共享开放的精细化。基于对数据治理的技术与法律融合性的分析,重点探索公共数据共享开放的主体法律关系、隐私安全保护、收益分配制度、商业运营模式。在全球数据确权立法悬而未决的情况下,需要探索构建合规风控下的公共数据创新管理模式,为公共数据资源开放利用提供安全有序的法治保障,以及有效弥合公共数据的供需双方在资源开放利用上的鸿沟。
第三,探索公共数据资产化及交易空间。在世界范围内数据交易难题之一就是数据资产化问题,各国多以技术标准作为切入点,其功能指向公共数据评估对象界定、获利方式、数据资产经济寿命及资本性支出、数据资产权属核查及合规性审核、数据资产评估的折现率等。在此基础上,进一步由行政法、民法、知识产权法提供保障;从行政法角度,基于政府收取税金进行公共管理和服务的特征,政府公开数据应秉承“原则免费,例外收费”的做法;基于民法,当数据的开放存在明显受益者时,应当以“受益者承担”原则,让获取数据的特定受益者承担“成本+利润”的费用。
对于公共数据的流通,上述技术标准功能的法治化面临两个挑战。一是政府、企业、民众之间存在权益冲突的张力;二是政府主导的技术标准可能架空法律法规,导致个别部门的行政权力过度扩张。所以,需要通过对技术标准与上位法衔接的分析,论证技术标准与法律法规的协同机制。
那么,如何对公共数据流通的上位法进行协调,在博弈的利益各方之间达成平衡?公共数据所附着的利益是复杂多样的,关涉数据主体的个人信息权益、数据使用者的利益以及公共利益等。公共数据关涉的各方利益之间可能存在一定冲突和矛盾。对于各方利益的充分权衡,需要对技术标准规范的制定、实施和监督过程采取程序性控制,避免技术标准成为维护某一特定利益群体的工具。作为技术标准的使用者和信息源泉,企业组织牵头制定的技术标准力图通过标准的垄断来获得市场上的优势地位。即便由政府主导数据标准化工作,其未必一定能成为公共利益的代表,而有可能是产业界的利益代表,此即所谓的“监管俘获”风险。
另外,行业协会或第三方组织参与技术标准制定时,需要强调协会成员的广泛性和均衡性,并接受一定程序的约束;专家不一定就能对技术标准问题给出正确答案,也不一定能就彼此的分歧达成共识。普通公众或中小企业的利益很难在标准制定过程中被充分代表,公众自身对专业技术问题的理解可能存在偏差,中小企业的话语权也远低于少数几家头部企业。为此,有必要设计出更具合理性的法律程序,以保障技术标准制定的过程民主性和内容合理性的实现。
为了解决标准与法律的竞合问题,一方面,从标准纳入法治的视角,公共数据流通标准的制定、实施和监督对法律具有明显的依赖性。在制订环节,订立流通标准的活动需要法律提供程序规范;在实施和监督环节,标准的执行效力、监督措施、违反标准的法律制裁都要法律规范予以明确。把技术标准的规范效力同立法程序的规范体系整合,对公共数据技术标准实行法规化改造。另一方面,从标准在法治中的作用角度看,根据各部门法的特点进行类型化分析和讨论,形成技术标准与法律规范之间的互补性。针对公共数据的流通,在内容上,标准具有延伸法律调整社会关系的功能,解决了法律无法直接回答的“如何为”的问题;在广度上,标准对法律所起的功能是全领域的,多数的数据法律领域均可以发现标准的存在;在力度上,法律对标准形成了依赖性,在公共数据流通上法律的实施离开标准则会难以发挥作用。
只有在科学、规范的分类分级管理的基础上,公共数据的流通利用与隐私安全的需求才能有效平衡,以实现全过程动态监督。当前,国内外针对公共数据分类分级标准的设计应如何符合法律制度方面的研究均不成熟。
下面以重要数据、个人信息保护为对象,分析公共数据流通分类分级标准的一般法律原理。
1.重要数据的分类分级
2.个人信息的分类分级
基于公共数据的流通,分类分级不能止步于静态的、宣示性的数据安全标准以及知识图谱的编制,而是要在数据标准制定后,深度应用于更为具体的公共数据业务场景中,并在流通的场景应用过程中获得知识的动态反馈。借鉴哈佛大学Datatags数据的分级思路,把这些知识编码化以形成知识图谱,以人机交互的方式将数据基础形成标签集,从应用端不断获取反馈,迭代数据标准和知识图谱,实现对数据的动态监管,在以场景为牵引的公共数据技术标准基础上形成流通模式。
1.以“场景应用”为原点的公共数据标准及法治
2.以“风险评估”为保障的公共数据标准及法治
那么,技术标准如何推动公共数据的流通,又如何以法治化的方式实现公共数据流通的“正外部性”?
首先,把流通的强制性标准转化成为硬法的技术法规。标准作为规范在本质上属于技术规范,体现软法的属性。技术标准作为技术规范,哪怕指向的事项符合强制性而被作为法律事实或证据加以援引,也并非一定能作为法定的抗辩理由。所以,即使是公共数据流通的强制性标准,也只有经过立法程序转化为技术法规,才能作为准据法获得法律上的确定性。当然,参照ISO/ETC和WTO/TBT关于强制性标准和技术法规的定义,不论发达国家还是新兴工业国家都有强制性标准,只是大部分强制性标准源于自愿性标准,且通过技术法规科学规范地采用转化而来。正是以内在一致的合理性,技术标准糅合了公共数据流通的技术规范(软法)与法律规范(硬法),在一定程度上终结了关于强制性标准是不是技术法规的争议,使对于公共数据流通技术标准的讨论从基本概念推进到功能和影响层面。
其次,把流通的非强制性标准定位为软法,拓宽法治空间。软法意义上的公共数据流通技术标准,既有标准制定组织制定的行业或地方标准,也有非正式协会或单个公司制定的私人标准。即使很难对非强制性标准做明确且周全的定义,也可以从软法的角度,对标准制定的开放性、透明性、民主协商等程序进行规制。否则,技术标准易被市场主体捕获,成为利益代言人。现实中,标准化体制的一个显著变化是非正式标准化的崛起,行业组织和联盟标准化正发挥着越来越重要的作用。区别于官方的强制性标准,“标准私营化”在实际上出现了独占性、竞争性的圈占现象,要么仅允许联盟等组织成立时的成员参与标准制定,要么设定其他产品难以进入的高标准门槛。让非强制性标准产生负面的事实标准,会影响对公共数据流通合作者、消费者、交易者的预期。
第三,以法律原则为技术标准与法律法规之间提供中转。从制定程序、公布与否、文本外在等形式判断,技术标准没有法律规范的外观形式。但根据其是否对人有约束力,技术标准在公共数据流通法律的实施上发挥重要作用,甚至在特定的情况下,标准的实施也依赖法律赋予标准的强制执行力,以及违反标准将受到的法律制裁。这里,技术标准的作用机制主要依赖于法律原则,它与具体规则、案件结果相比更抽象,但又采取了与基础理念不同的语言描述,为技术标准提供了讨论空间。在公共数据流通技术标准的实施中,法律原则包括:知情原则、同意原则、比例原则、合法必要和正当原则、公开透明原则、最小化采集原则、保密原则、红旗规则、避风港原则等。基于这些原则,有关公共数据流通的法律条文会援引标准,在裁判中也会应用标准对相应公共数据流通的事实争议进行界定,并且可以协调交叉重叠的上位法。