观点 | 完善数据合规监管需实现四个转变

文 | 西安建筑科技大学文学院法学系 魏婷婷

2022年12月，中共中央、国务院印发《关于构建数据基础制度更好发挥数据要素作用的意见》明确提出“完善数据全流程合规与监管规则体系”。有效的数据合规监管是实现数据安全保护，促进数据开发利用，确保数据有序流动，践行数据现代化治理的重要方式。当前，我国数据合规监管虽然已完成了“从无到有”的历史蜕变，但是，伴随元宇宙、生成式人工智能等新型应用场景与技术更迭的升级跃迁，数据要素被深度合成与过度加持，致使数据合规监管的内容日趋复杂，难度也逐步提升。为避免数据合规监管失灵，合规监管的思路也必须及时作出调整，通过四个方面的转变积极推动数据合规监管实现“从有到优”的修正完善。

首先，监管立法思路从硬法约束转向“硬法与软法”并重。由于《数据安全法》《个人信息保护法》《网络安全法》以及《数据出境安全评估办法》等法律法规内容较为抽象，针对数据合规监管的内容方式、范围标准等具体问题并未给予细致回应，而短期内另行制定数据合规监管的专门性法规既无可能更无必要。这一形势下，有必要调整立法思路，国家可以制定一系列兼具前瞻性与可操作性的指引规则、行业指南、技术操作规程等，与硬法共同促进数据合规监管的立法完备。

具体来讲，第一，通过列举方式确立数据收集者、使用者及企业主体的行为规范、信义义务，充分发挥柔性规范的引导作用，强化上述主体的社会责任，调动企业自觉守法的内驱力。第二，建立数据处理者向第三方提供数据信息的规则，规定禁止从事的数据活动，增设数据权利人的救济方法，如设立申诉举报渠道。第三，为确保数据合规监管的科学性，有必要根据不同行业和场景分别设置数据收集使用标准，日常数据管理标准，数据风险识别标准以及数据跨境流动标准等。实践中，2022年上海市杨浦区检察院就联合多个部门率先颁布《企业数据合规指引》，以软法形式呼应国家相关立法，既保障了上位法的实施，又有益于推动形成均匀适度的数据合规监管法律体系。

其次，监管主体从单一政府主导迈向政府、企业与行业多元主体协同。此前我国未专设行政部门负责数据合规监管，网络安全和信息化委员会办公室、工业和信息化部、市场监督管理局等均享有行政执法权。2023年3月，在新一轮机构改革中，我国组建国家数据局，专门负责统筹推进数据制度建设与保护利用。这一利好下，可以国家数据局为轴心，塑造政府、企业、行业协同模式，整体推进合规监管主体之间建立高效的联动机制。

具体而言，其一，国家数据局是数据合规的倡导者与监督者，由国家数据局统领数据合规监管的各项工作，合理规划数据合规监管总体方案，统筹协调不同部门职责，明确划定数据应用边界，提前布置数据风险预案，统一执法标准与惩处措施，适时制定奖补政策鼓励企业发展数据合规。其二，企业是合规体系的建设者，基于市场规范经营与企业风险控制的需要，企业须尽可能避免数据风险产生负面传导效应。一方面，企业促进内部数据规则的形成，针对数据堆叠链接、编译转化与算法决策的不同环节，制定数据收集储存、使用加工、传输公开的合规管理制度；另一方面，实现数据合规的程序设计，建立从数据输入到输出的风险识别、评估与应对的全周期闭环合规流程。其三，行业第三方机构是数据合规的评估者，有必要发挥行业专业性、中立性的优势，引入专业合规评估机构或者数据合规官，通过外部审查的方式综合评定企业数据合规建设的成效，督促企业履行数据合规义务与自我整改，向政府部门反馈企业合规情况，补足国家数据局监管与企业自我合规的缺漏。国际上，2022年欧盟已经率先在《数字服务法案》中规定超大型平台必须至少指定一名合规官专门履行合规监管职责，可见，行业第三方机构已是助力国家统筹数据监管、保障企业防治数据风险的重要方式之一。

再次，监管理念从严格的合规监管过渡到包容审慎的合规监管。数据合规监管的初衷并非一味阻止数据流动使用，而是倡导企业与个人对数据安全的、负责任的使用，矫正不正当行为。近几年我国数据合规监管整体发展，持续处于强监管态势。不过，严格的合规监管理念在短期内可以遏制数据风险的生成，但是长远看，可能存在延缓数字企业发展、阻碍科技进步的弊端。故而，我们应理性思考未来数据合规监管的可持续发展道路，秉承包容审慎的理念。

具体来讲，第一，坚持必要性原则。考察数据合规监管措施是否严重阻碍智能技术发展，一旦数据保护以牺牲技术创新成果为巨大代价，则要评估合规监管措施的必要性，坚持利益损害最小化、比例原则，防止过度的合规监管。第二，坚持均衡性原则。我们必须清醒地认识到，再强大的数据合规监管也不可能完全消除数据风险，而只能是在合理范围内适度管控风险。因而，数据合规监管必须充分考虑技术获利与数据安全间的平衡，尽量处理好数据应用与合规监管之间可能存在的矛盾关系，细分数据风险类别，探索分权分域的数据合规监管方式，逐步提升合规监管的精度与准度，避免合规监管的盲目性与任意性。

最后，监管策略从以“获得数据权利人事前同意”为核心，转到以“数据利用与再利用”为核心。传统数据合规监管以保障数据所有者的决定权和控制权为逻辑起点，侧重于考察数据应用是否取得权利人的“知情、同意”，并以此作为数据合法使用的先决条件。而随着智能技术的变革，数据应用不再是从数据搜集到数据处理再到算法决策的简单分析过程，而是数据集聚、自主整合与算法预测模型交错裂变后全新内容的输出过程，这一过程可以轻易绕过甚至超越原始数据。这就引发了一个问题，即便数据权利人在数据搜集获取环节获得了权利人的一揽子授权同意，但也不意味着一些匿名化、去标识化的隐蔽计算被永久地授权，数据利用与再利用的过程仍存在侵犯权利人利益的可能性。

显然，面对技术的升级跃迁，以“知情同意”为支柱的传统数据合规监管策略很容易被架空，有必要因势利导，合理调整合规监管的策略，重心后移，在满足权利人知情同意的前提下，强化数据利用与再利用过程的合规监管。目前该过程的重大风险来源于预测算法，即算法通过对数据的推理计算，以实现对未知事物的预测。对此，合规监管方法应全面覆盖预测算法的核心模块，将数据记录、合规评估、监管报告等妥善安排在预测算法的数据筛选、模型构建、分析测试等主要模块。同时，为保证这一过程合规监管方法的有效性，提升合规监管措施发现和解决隐蔽问题的能力，亟须提升合规监管技术的科学性与周密性。合规监管者可加快合规监管技术的创新研发，提高合规监管工具本身的算法算力，如增强合规监管工具在不同应用场景下对数据风险的解析能力、判断能力；提高合规制度与规则的技术转化能力，如将合规文本准确无误地嵌套在技术代码中以实现便捷操作。只有在合规监管技术与数字技术发展相比肩时，合规监管措施才能更好地排查与应对技术黑箱掩护下数据深度合成所导致的各类侵害行为。

有效的数据合规监管是推进数据开放共享、提升数据资源价值的前提。新数字场域下，数字技术正飞速发展，数据合规监管也必然要与时偕行。从未来面向看，后续立法工作的推进，合规监管主体、理念与策略的调适转变也不可能一蹴而就，还需在法治轨道上不遗余力地努力探索、积极回应与补强创新。

编辑：陈十九

审核：商密君

点击购买《2020-2021中国商用密码产业发展报告》

来源：中国社会科学网

注：内容均来源于互联网，版权归作者所有，如有侵权，请联系告知，我们将尽快处理。