论坛·网安法治十年回顾 | 数字法治与数字法学兴起十年综述 - 新鲜讯息

扫码订阅《中国信息安全》

邮发代号 2-786

征订热线：010-82341063

文 | 同济大学法学院副教授陈吉栋上海大学法学院刘羿鸣

法学研究范式的转变与新知识形态的形成与特定的经济社会背景息息相关。过去十年，人类高速跨入数字化社会。技术，尤其是以大数据与人工智能、区块链为代表的等新一代数字技术发挥越来越重要的秩序供给功能。以“代码法律化”与“法律代码化”为主要表征的“数字法治”逐渐形成，以数字法治及其运行为研究对象的“数字法学”也应运而生。为回应新技术广泛应用给传统法学体系带来的诸如信息安全、算法规制、数据流通与保护等新议题，学界进行了前所未有的智识投入，互联网法学、计算法学、人工智能法学、数字法学等构想被相继提出。但是，如何认知数字时代的法治图景，根本上涉及不同法律思维模式的选择。数字技术的广泛应用对新型法律关系的影响是本文主要的观察视角。具体来说，数字技术对传统私法秩序产生冲击的同时，也对如何完善既有的公法治理体系提出了新的要求。是故，对近十年年数字法治与数字法学研究的探析，也相应地应从公法、私法两个层面展开，并由此思考数字法治与数字法学体系建构的基本框架。

一、数字法治与数字法学的公法维度

数字法治与数字法学的公法维度，包含但不限于诸如数据安全、国家对个人信息的保护、数字政府建设、数字人权等议题。其中，数据安全问题受到人们持续而普遍的关注。因篇幅有限，本文将主要围绕近年来我国数据安全立法进展与学术讨论展开论述。

（一）我国数据安全治理的法治框架

伴着物联网、大数据、人工智能和云计算等新技术的应用，传统的网络边界持续瓦解，带来物联网安全、移动安全、数据安全等全新挑战，这对如何从公法视角为数据安全提供法治保障提出迫切的要求。2014 年 4 月 15 日，习近平总书记在中央国家安全委员会第一次全体会议上首次提出“总体国家安全观”，其中，强调了网络安全的重要性，为我国做好数字安全工作提供了根本遵循和行动指南。随后，《国家安全法》《网络安全法》《数据安全法》《个人信息保护法》等法律陆续出台。2015 年７月 1 日出台的《国家安全法》明确提出“国家建设网络与信息安全保障体系，提升网络与信息安全保护能力”；2016 年 11 月７日通过的《网络安全法》，较为系统地规定了网络安全治理的基本规制，明确网络运营者以及关键信息基础设施运营者的网络运行安全、网络信息安全等方面的义务；2021 年出台的《数据安全法》，重点确立了数据安全保障的各项基本制度，从个人、企业和国家三个层面确立了对数据安全的全方位监管。至此，我国已形成一套以“总体国家安全观”为纲，以《国家安全法》《网络安全法》《数据安全法》《个人信息保护法》为主干的数据安全法治架构。

在此背景下，数据安全治理的法治保障体系已初步浮现，但是《国家安全法》《数据安全法》《网络安全法》《个人信息保护法》四部法律的关系仍需进一步澄清。首先，《数据安全法》和《网络安全法》同为数据安全领域的基础性法律，共同支撑并服务于《国家安全法》第 25 条提出的“国家建设网络与信息安全保障体系”的目标。由于网络安全与数据安全两者关系模糊，是否有必要单独进行数据安全立法一度存在争议。诚然，由于电子数据依附于网络系统，网络安全和数据安全紧密联系在一起。但是，网络安全和数据安全的内涵、目标、实施机制等各方面仍存在巨大差异。有学者甚至提出，存在网络安全受到侵害但并不危及数据安全的情况。反过来，也存在数据安全受侵害但并不危及网络安全的情况，以此支撑数据安全法及其具体制度的独立性。例如，在剑桥分析事件中对脸书（Facebook）数据的使用危及 Facebook 的数据安全，却并不危及网络设施设备和运营安全。总之，将数据安全和网络安全分开处理并单独立法，无论理论上还是实践上至少是可行的。此外，在《数据安全法》与《个人信息保护法》的关系上，《数据安全法》是规范数据安全的专门法律，因此，个人信息保护中的信息安全问题，应该适用《数据安全法》。

（二）我国数据安全治理的基本制度

十年来，分类分级监管制度、安全审查制度、数据安全责任制度等一系列制度在我国数据安全治理的实践中形成，并最终演化为我国数据安全治理的基本制度。限于篇幅，下文选取其中最具代表的分类分级监管制度与安全审查制度进行论述。

1. 分类分级监管制度

“安全”作为一个外延相对模糊的法律概念，通过类型化具体化分析精准度量其内涵成为一种理性选择。基于此，我国在逐渐形成了对不同风险类别的数字活动施行差别化监管的分类分级监管制度。分级的内容极为广泛，本文仅论述平台分类分级、人工智能风险分级、算法分类分级和数据分类分级四种情况。

其一，对平台进行分类分级的主要目的是根据平台的规模大小与角色定位确定其对应的安全责任并进行相应的监管。习近平总书记在 2018 年 4 月召开的全国网络安全和信息化工作会议上指出，要“压实互联网企业主体责任”。这为我国互联网安全治理提供了指导思想。2021 年 10 月，《互联网平台分类分级指南（征求意见稿）》和《互联网平台落实主体责任指南（征求意见稿）》发布，将我国的互联网平台分为超级平台、大型平台、中小平台三级，并课以不同程度的安全保障义务。例如，鉴于超级平台具有“超大用户规模、超广业务种类、超高经济体量和超强限制能力”，《互联网平台落实主体责任指南（征求意见稿）》对其采用了不同于大型平台、中小平台的规制方式，明确超级平台应当做好数据安全审查、设置合规部门、每年至少进行一次风险评估等安全义务。

其二，以风险为中心的分级管理在人工智能领域尚未在国家层面确立，上海市、深圳市出台的人工智能产业条例对此进行了探索。例如，上海市于 2022 年 9 月出台了《上海市促进人工智能产业发展条例》，其第 65 条明确将人工智能产品和服务分为高风险和中低风险两类。对前者实行“清单式管理，遵循必要、正当、可控等原则进行合规审查”；对后者则采用“事前披露和事后控制的治理模式，促进先行先试”。总的来说，无论是上海市还是深圳经济特区的人工智能条例，虽然都确立了分级监管，但是并未展开进行更具体、明确的制度设计。原因是分级监管制度设计的核心在于不同主体的权益配置，在我国的立法体制下，属于中央事权的范畴，地方立法探索的空间有限。另外，两地立法都具有浓厚的产业立法的特征，治理法的成分不足，可能是有意为之的理性选择。

其三，算法被视为数字经济的核心驱动力，在赋能数字经济发展的同时也引发了诸如算法黑箱、算法歧视、算法操控等诸多问题，因此，完善算法分类分级的治理机制已成为数据安全治理的应有之义。2021 年 11 月，《互联网信息服务算法推荐管理规定》公布，提出根据算法具体应用场景或其引发的风险等级进行区别判断的分类治理思路，为引导算法向善，保障数据安全提供了积极指引。未来，应注重算法治理与数据治理和平台治理的有机联结，注重平台分类分级、数据分类分级与算法分类分级的适当结合。

其四，根据对“国家安全”的影响效果，《数据安全法》将数据分为“重要数据”和“一般数据”，并对重要数据的处理者提出了更高程度的数据安全保障义务。如何认定重要数据，还是一个值得深思的问题。重要数据并不是一种从组织内部出发、基于业务的数据分类，而是始终站在数据背后的重要价值的保护之上。区别于一般数据，重要数据一旦被泄露、损毁、篡改、滥用，可能会带来严重后果，其背后更多牵涉的是国家安全和重大的公共利益。2022 年 1 月公布的《信息安全技术重要数据识别指南》（征求意见稿）便体现了这一思路，从是否“直接影响国家主权、政权安全、政治制度、意识形态安全”，是否“直接影响领土安全和国家统一”等 14 个方面认定重要数据。

2. 安全审查制度

2012 年，中国电信设备制造商华为和中兴公司先后在美国以“未通过安全审查”为由遭到调查和封杀，这在客观上促进了我国安全审查制度的完善。在随后的十年间，我国逐渐形成了以国家安全审查、数据安全审查和网络安全审查为主要内容的安全审查体系。我国国家安全审查制度集中体现于《国家安全法》第 59 条至第 61 条，主要涉及审查主体、审查范围等内容。其中，第 59 条明确规定了我国对“网络信息技术产品和服务”进行国家安全审查，为网络安全审查和数据安全审查制度的建立提供了依据。在《国家安全法》第 59 条的基础上，我国《网络安全法》《网络安全审查办法》等规范性文件，从审查主体、审查范围、审查对象、审查程序以及审查决定的救济等方面为我国实施网络安全审查提供指引。《数据安全法》与《关键信息基础设施安全保护条例》等法律法规则搭建起我国数据安全审查制度的大致框架。前者第 24 条明确规定对影响或者可能影响国家安全的数据处理活动进行国家安全审查。后者第 19 条亦对采购网络产品和服务可能影响国家安全的运营者设置了数据安全审查的义务。

安全审查制度在不断完善的同时，其内部各种具体审查制度之间的关系还有待进一步梳理。2022 年 1 月出台的《网络安全审查办法》第 2 条将“网络平台运营者开展数据处理活动”纳入网络安全审查的适用范围。对此，有学者对数据安全审查之于网络安全审查制度的独立性提出怀疑，认为网络安全审查与数据安全审查是包含与被包含的关系。诚然，数据安全审查与网络安全审查在启动条件、审查主体等方面确有重叠，但这并不能妨碍数据安全审查成为一项独立的安全审查制度。一方面，数据安全审查有其独立的法律依据。《数据安全法》第 24 条可为数据安全审查制度的独立性提供了法律层面的依据；另一方面，网络安全与数据安全并非同一事物，两者在内涵上有部分重叠，但并非简单的包含与被包含的关系。相应地，网络安全审查也并不能完全涵盖数据安全的全部内容，确立独立的数据安全审查制度确有必要。当然，目前与数据安全审查相配套的启动条件、审查流程、对审查决定的救济手段等内容尚不明确，亟需在未来的数据立法中予以完善。

（三）数据安全与数字经济发展

数字经济发展作为数据安全的另一面，也同为数字法治所追求的重要价值，如何平衡两者的关系，近年来受到持续关注。习近平总书记曾指出，“发展是安全的基础，安全是发展的条件”，这为当今中国处理好数字安全与数字经济发展这一对矛盾的关系提供了重要的理论指导。回首过往，安全和发展间的良性互动在数字法治有关制度建设中得到充分体现。例如，为实现数据要素价值的充分释放，不断完善数据交易制度成为近年来我国促进数字经济发展和赋能实体经济的努力方向。在数据交易的立法与实践中，一方面，数据交易可能引发诸如数据的个人隐私、商业秘密甚至国家秘密泄露等问题，因此，需要通过明确数据交易过程中交易双方以及交易平台各自的数据安全保障义务来规范各主体的行为，促进数据交易的健康发展；另一方面，由于数据交易规模不断扩大，对诸如隐私计算等保障数据安全技术的需求也不断增加，这从客观上也促进了我国数字科技的发展，为确保我国数据安全提供了重要的技术保障。

二、数字法治与数字法学的私法维度

国家对个人信息的保护义务、数据安全治理、数字人权等议题为认识数字时代的法治图景提供了一种纵向的观察视角，但是，数字法治和数字法学的范畴还包括涉及平等主体的另一维度。传统私法为揭开数字法治和数字法学私法维度的“面纱”提供了一条相对清晰的精神主线，即法律主体依靠实施法律行为创设权利与义务并为自己的行为可能引发的损害负法律责任，在当事人之间的权利义务不明确、不周延时，再以法律原则予以解释。循此逻辑，对数字法治与数字法学私法维度的探讨，可以从法源、主体、行为、权利、责任与原则等方面展开。本文囿于篇幅主要探讨主体、行为和权利三部分内容。

（一）传统主体制度遭到冲击

法律中的主体制度体现了法律对人主体资格的承认以及人自身的主体意识，换言之，法律赋予人主体资格，使其成为法律上的人，人也因此具有了法律意义上的主体性。在从原子到比特的空间转换中，人在跨越两个世界的同时，自身也遭遇了最根本的冲击。比特世界所呈现的多元主体景象引发了学者的探讨。

其一，人工智能体是否具有主体资格问题引发关注。近期频频“出圈”的聊天机器人 ChatGPT 等人工智能体兴起将这一数字法学领域的“老问题”又重新带回人们的视野。从实证法角度观之，人工智能体在我国尚并不具备主体地位。有学者以解释学的方法将人工智能体论证为法律主体，但是并未获普遍认可。这一路径的支持者一般以《民法典》法人制度作为现行法例证，然而，在对法人人格的论争中，“实体说”已经取代“拟制说”成为统治学说。采取“拟制说”仅把法人当作一种手段而非目的，并不能解释丰富的法人实践。也正因此，以法人的拟制路径论证人工智能主体资格，其科学性存疑。此外，这一观点还尤其强调拟制的技术特性，事实是，即便拟制人格也仍需要意志能力要件。仍举法人的例子，无论对法人的本质采何种学说，意思要件均不可或缺，法人能有效从事民商事活动，是因为“法律使它可能形成独立于各个成员的意思的‘总意思’，也可能通过为它设置的个人（机关）而活动”。可见，拟制为主体的目的并非立法的“简省”，而是强调从事民事活动应当承担权利义务，为了实现这一目的，即便运用拟制手段赋予人工智能主体地位，也需要以拟制之人工智能的意志能力作为必要条件之一。值得提出的是，人工智能体的机器意志与法人制度的不同之处在于，法人是自然人的组合，其意志的本质仍是人的自然意识，而机器意志则并非如此。回顾人工智能的发展史可以发现，让人工智能具备技能和心智一直是人工智能的发展目标，即“让机器做通常需要智能才能完成的有意义的事情，并模拟以生理为基础的心智所发生的过程”。在这个意义上，借由对自由意志的探讨确定人工智能的主体资格或可为人工智能体的主体地位这一问题指出可能的前进方向。

其二，除了对人工智能体的主体资格的探讨，关于区块链去中心化自治组织（DAO））的法律性质问题也受到广泛关注。DAO 是分布式技术记账技术上的一种典型组织体，以智能合约进行管理，以一定的共识机制允许代币或通证（Token）持有者拥有对重大事项的管理权利。如此，通证持有者可以就经济或非经济事项进行共同管理，在一定程度上突破了传统企业所形成的科层机制。有学者曾主张将 DAO 认定为一种合伙企业，为了破解 DAO 的责任承担难题，进一步将 DAO 性质认定为原《民法通则》第 52 条规定的合伙型联营。然而，《民法典》并未接受联营的概念及其制度，DAO 的性质问题仍亟待解决。不过，无论是哪一种界定，降低投资者的风险，促进去中心化自治组织对智能合约技术的生产性使用和开发，最终形成一个冲突更少的二级市场，均应是其基本宗旨。到底是认可其主体性，确认其为一种组织形式，还是将其认定为一种法律行为予以调整，仍有待实践的发展与司法裁判进行进一步明确。

其三，在元宇宙应用不断成熟的背景下，用户在网络空间“数字化身”的法律地位问题也引起了关注。有学者认为，用户的“数字化身”本质属于《民法典》第 127 条规定的“网络虚拟财产”，并不具有独立的法律地位。对此，也有学者持反对观点，认为“数字化身”既非财产又与自然人非同一人格，其自身具有独立人格。更为综合的观点则认为，“数字化身”与“真身”的关系不能一概而论。对“与真身结合的智能数字人”应适用物质世界的主体地位规则，而“与真身分立的智能数字体人”在本质是一种“脱离人体独自进行认知的延展认知技术”，应当赋予其独立的法律主体地位并按照人工智能组织体予以规范。现阶段元宇宙的核心仍在于增强虚实世界的互动，而非肉身向其中“移民”。在既有的数字化身技术下，数字化身主要体现为一种工具而非主体。因此，强调数字化身具有独立人格或在部分情况下肯定其主体地位的观点，并不符合现阶段人工智能技术与元宇宙应用的发展现状。更为一般的问题是，在虚实交互的大背景下，如何建立一种数字（分布式）身份制度并对其提供权威统一的认证，关于可信身份、可信数据甚至整体虚拟空间秩序及信任关系的建立，有待实践发展进行验证。

（二）智能合约的法律性质

法律行为制度是实现主体权益的执行机制。为实现数字时代的虚实空间交互与数字财产权利的变革，以智能合约为代表的新的执行机制逐渐兴起。智能合约，一方面，适用于区块链自治组织的内部管理等场域，另一方面，还可应用于付款、数字资产转移等可高度精确编程的事务。关于第二种场景中的智能合约是否属于法律意义上的合同，学界尚未达成共识。

持否定说的学者认为，智能合约并非法律上的合同，不应将其纳入合同法的调整范围。这主要是由于，合同追求法律效力的意志，而智能合约是一种“去意志”性的操作，在当事人设定好智能合约的履行条件后便脱离人的意志，因此，并不符合法律对合同基本特征的要求。若该观点成立，由此引发的问题是，如果智能合约并非合同，法律上究竟应如何定性。对此，有学者试图从负担行为理论对智能合约的性质进行解释。该说将智能合约分为广义和狭义两种形态，并认为将狭义上的智能合约（即自动履行条款）定性为一种负担行为。负担行为不仅可以合理解释其对当事人合同撤销、变更等权利限制的问题，亦可以囊括其应用汇票承兑、遗嘱等更多私法领域的可能性。不过，这种学说的解释力究竟如何，恐怕仍有待未来进一步的类型化研究。

相对应的，持肯定说的学者认为，智能合约属于法律上的合同。其主要理由是虽然区块链技术构建起全新的去中心化信任机制，但是并未改变智能合约的合同本质，其构造仍然符合传统合同中所具有的“要约-承诺”结构。具体来讲，经发布的智能合约可以被认定为要约，调用并执行要约的那段代码可以被认定为承诺。只不过由于对智能合约的“承诺”需要通过调用并执行代码进行，而执行代码的意思表示在技术上无需送达智能合约发布人。这一观点虽从理论上可行，但是如何解决随之而来的智能合约条款的解释问题，既有理论尚未给出清晰的解决方案。

（三）以数据权利为代表的新型权利

随着数字技术的发展，诸如算法解释权、个人信息权、数据权利等新兴权利也正在勃兴。数据的生成要素逐渐为人们所认可，数据权利特别是数据类型中的企业数据权利也逐渐成为近年数字法学研究的热点。围绕企业数据权属的配置方案，近年来有较多研究，主要有赋权路径、行为规制路径以及综合路径等主张。

赋权路径的支持者主张采用赋予企业以特定权利的方式保障其利益。鉴于数据具有无形性、可复制性、相对的非竞争性，机械套用传统的民法物权理论赋予数据主体某种数据所有权的赋权路径已逐渐难以为继，于是，支持该路径的学者又陆续提出了“新型数据权”“数据知识产权”“权利束”等不同观点。这些观点总体来讲都主张通过赋权的方式对企业数据权益进行事前保护，只是在赋权根据和具体的建构方案上存在差异。

行为规制说的逻辑起点在于数字经济的发展并不一定依赖数据权属的清晰界定，企业数据权属的制度设计的重心由“所有”转向“使用”，主张更多从事后的角度对数据资源的利用秩序进行规范。具体来讲，行为规制说主张可以通过例如反不正当竞争规则处理现有的数据纠纷，典型的如“新浪微博诉脉脉案”“抖音诉刷宝案”等司法判例，均借助《反不正当竞争法》的“一般条款”，认定被告构成不正当行为进而维护企业的数据权益，同时避开精细确权可能带来论证成本和解释难题。

随着对企业数据的探讨走向深处，更为综合的方案也被陆续提出。有学者认为，由于数据具有多种特征，企业数据问题相应地也可以采用多元的规制路径予以解决。类似的，还有学者主张应当充分发挥公法与私法、财产规则与责任规制、硬法与软法的各自优势，形成多元共治的企业数据保护路径。

围绕企业数据权属的讨论纷繁复杂，不容忽视的是，数据的生成往往是多方主体共同参与的结果，从一开始就未由某个单一主体完全“所有”过。这就决定了未来这一问题的走向不再是追问和确定单一的所有权主体，而是探索出一套对数据权利进行结构性分置，并保证多个主体对同一数据能够分别主张不同权利且并行不悖的企业数据配置方案。2022 年 12 月，中共中央、国务院发布的“数据二十条”提出，要构建以“数据资源持有权”“数据加工使用权”“数据产品经营权”为核心数据产权结构。未来，或可循此逻辑不断明确上述三种权利的适用场景、具体规则以及救济方式等内容，为我国数字经济发展提供法治保障。

三、展望

十年间，数字法治与数字法学可谓是经历了“从无到有”的巨大转变，期间所取得的研究进展不可谓不丰富。通过上述梳理可以发现数字法治与数字法学的不同层次：以数据安全、国家对个人信息的保护、数字人权等为内容的公法维度以及涵盖法源、主体、行为、权利、责任和原则的私法面向。限于篇幅，本文综述了近年来数据安全制度、传统主体制度遭到的冲击、法律行为以及权利制度的更新等四大方面。其他有关信息保护、基本原则等内容虽也有不少成果，但限于篇幅未纳入本文综述的范围。

只要科技还在发展，新的问题也会不断产生，数字法学也必须予以回应。未来已来，数字法治和数字法学研究还在向更深处“进军”，扎实地认识事物本质，大胆地破除学科束缚，综合地运用多元方法，数字法学才能为探索数字世界的元问题、元规则，推动数字中国建设与数字经济发展、促进数字社会进步做出应有的法学理论贡献。

（本文刊登于《中国信息安全》杂志2023年第2期）

《中国安全信息》杂志倾力推荐

“企业成长计划”

点击下图了解详情