2024年中国数据治理前瞻：再平衡与新常态

文｜许可

对外经济贸易大学数字经济与法律创新研究中心主任

在跌宕起伏的2022年之后，2023年依然并不平静。从生成式人工智能规则的调适到数据跨境流动制度的优化，从十年磨一剑的《未成年人网络保护条例》到国家数据局的登场，我们见证了疫情后中国数据治理领域的波澜起伏。

如果说2023年是疫情后的重启之年，那么2024年则是更具挑战的重建之年。在新桃旧符转换之时，恰是沉思过往与向前行动的歇息之地，且让我们登高望远，共寻中国数据治理的天涯路。

2023年

数据安全与利用的失衡与再平衡

四十年前，经济学家张五常正确预测到中国行将改革，而其道理至简：彼时社会运行的制度成本远远大于制度变革的成本。他还引用了一句俗语“钟摆摆动得越高，在回摆时，它的摆动也会较高和较快”，生动揭示出制度变化的过程。

与之异曲同工，在一年前展望2023年的数据治理时，我也曾窥见了中国数据治理发展的可能端倪：既然2022年的数据治理总体表现出数据安全与利用之间的价值失衡，那么2023年将是价值再平衡的一年。

用张五常的理论观察，一方面，绝对安全和泛在安全的观念导致的数据制度成本过高，另一方面，随着数字技术的深化和普遍化，数据利用价值不断提升——安全和利用天平的导向不言自明。

为了更直观地展现这一趋势，我们以数据安全为横轴，以数据利用为纵轴，以《数据安全法》为参照，标注出2022年和2023年数据治理若干进展。

▲ 图1：2022年中国数据治理图景

▲ 图2：2023年中国数据治理图景

如图1所示，2022年《关于加强互联网信息服务算法综合治理的指导意见》《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》《数据出境安全评估办法》等监管法规将“安全”置于更重要的位置上。唯一在均衡线上方的只有《关于构建数据基础制度更好发挥数据要素作用的意见》（“《数据二十条》”）而已。

到了2023年，最明显的变化是偏向数据利用的制度大幅增多。

例如，财政部《企业数据资源相关会计处理暂行规定》明确数据资源作为无形资产可计入资产负债表，从而推动数据资源向数字资产转变。

再如，在2023年，北京、安徽、浙江、厦门、广州等多个省市纷纷发布公共数据授权运营的规范文件，以提升数据要素市场的有效供给，积极释放公共数据价值。

不过，公共数据的繁荣也引发了混乱，高达18亿元的衡阳政务数据特许经营权转让的戏剧性终止就是典型一例。

而推动数据利用最有力的莫过于10月25日正式挂牌的国家数据局。作为国家层面统筹协调数字中国、数字经济规划建设的机构，国家数据局在年末提出《“数据要素x”三年行动计划（2024-2026年）》，选取现代农业、商贸流通、交通运输、金融服务等重点行业和领域，推动数据在不同场景中发挥千姿百态的乘数效应，促进我国数据基础资源优势转化为经济发展新优势。

在均衡线的下端，较诸2023年，侧重数据安全的法规也越发均衡。其中，作为世界上首部针对生成式人工智能的法规，《生成式人工智能服务管理暂行办法》第1条开宗明义将“促进生成式人工智能健康发展和规范应用”作为首位目标，第3条进一步阐明：

以此凸显出《办法》将生成式人工智能的创新与发展置于重要地位，从而与欧盟《人工智能责任指令》（AI Liability Directive）、《人工智能法》（AI Act）等以风险预防和责任追究为中心的立法大异其趣。

与此一脉相承的是《规范和促进数据跨境流动规定（征求意见稿）》（“928号文”），在坚持重要数据严格规制的前提下，根据经济与社会发展和实践动态，豁免部分个人信息出境的安全评估或标准合同备案，以化解过于重视安全、掣肘数据自由流动的困境。

不仅如此，地方先试先行的主动性也在数据跨境制度得以发挥。《关于促进粤港澳大湾区数据跨境流动的合作备忘录》《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》的出台，可谓中国“数据特区”的尝试。

除上述国家硬法以外，2023年还开创性地引入《科技伦理审查办法（试行）》等柔性机制，通过伦理自律的方式，实现数据安全的国家目标。

▲ 图源Pixabay

2024年

如何迈向数据治理的“新常态”

当钟摆开始摆动，再平衡的进程就不会戛然而止。而在这一时代甬道中，究竟什么是中国数据治理的方向？答案或许是：新常态。

回顾历史，“新常态”（new normal）常与战争、金融海啸、环境变化、公共卫生事件等不确定性危机密切相关。人们用它来指称具有挑战性的境况，从而呼吁采取一种与以往不同的模式，来适应新的现状。就此而言，新常态并不只是消极的，它有着积极和希望的含义。因为，任何“危机”都是“转机”。

问题毋宁是：数据治理新常态的“新”在哪里？

这里的“新”，首先是重新认识“数据安全”。

“无危则安，无缺则全”是中国的传统观念。“安全”往往意味着没有危险且尽善尽美。但在当今风险社会中，这种绝对的安全观念已经不合时宜。

正如德国社会学巨擘卢曼所洞见的：我们生活在一个除了冒险别无选择的社会。无时不在、无处不在的风险弥散在周围。

更吊诡的是，人们用于应对风险的规制方式，本身就是滋生新型风险的罪魁祸首。就如电影《功夫熊猫》中旨在防范雪豹越狱所派遣的信鸽，反而促成了雪豹的脱困。现实中，我们也一次次经历了安全措施导致的意料之外后果和本不该发生的次级风险。

在根本上说，“绝对的安全”将会带来“绝对的不安全”，因为我们为安全所付出的每一份代价都会侵蚀安全自身，正所谓“最好是好的敌人”。

既然风险不可避免，“相对安全”便取代了“绝对安全”，成为国家的理性目标。“相对安全”意味着安全可通过“程度”加以衡量，人的身心安全程度及其事物的可靠程度即称为“安全度”。

因此，法律和政治并不追求根除风险，也非简单考虑风险的最小化，而是设法控制那些可能导致不合理危险的风险，实现社会可接受的“安全度”。

其实，人们对这一观念绝不陌生，从极限运动到驾驶汽车，我们早已学会了接受风险并与之共存，而非简单的消灭风险。

由此出发，数据安全应回归制度初心，在客观约束条件下实事求是地管控最重要的风险。至于剩余风险，可以在开展流程治理和履行必要审慎义务的前提下适度包容，这就是企业合规免责或政府尽职免责的真意。

在新数据安全观下，数据跨境流动建构要进一步贯彻《数据安全法》所确立的“安全、自由流动原则”，聚焦于重要数据，适当放松个人信息流动的目的限定和规模限制，并且无需对敏感个人信息另设出境门槛。同时，应进一步推动数据分类分级的客观化和科学化。

为此，2024年可能出台的《网络数据安全管理条例（征求意见稿）》应摒弃以数据规模，特别是个人信息数量为基础的重要数据判定标准，而应从数据内容、处理目的、可能危害、安全措施等多个维度划定重要数据范围。

同理，正在修订的《网络安全法》试图对各种网络安全事件不加区分地统一适用“年度营业额百分之五的罚款”，亦落入安全绝对化的窠臼，实践中反而可能错置各方对真正重要风险处理的执法资源和合规成本。

正如贝卡利亚在经典著作《论犯罪与刑罚》中洞见的：

▲ 图源Pixabay

如果说重要风险依赖于从上而下的监管，那么剩余风险就需要从下而上的治理。就此而言，如何建立激励相容的数据治理体系，强化市场主体自我规制，就成为新数据安全观的重要使命，这亦与“常态化监管”完美契合。

2023年的《个人信息保护合规审计管理办法（征求意见稿）》正是在此脉络下的努力之一。不过，该办法过于突出“监管部门推荐目录下专业机构的第三方审计”，一定程度弱化了个人信息处理者内部审计的自主性，加之其附件“个人信息保护合规审计参考要点”并未考虑企业个性特征，进一步削弱了合规审计的正向激励作用，有待赋予企业更灵活和更多样的选择。

放眼未来，在治理新常态的架构下，不妨将当前惯称的“主体责任”创造性转换为“主体权利”，即企业在积极履行合规义务且有效降低风险时，享有推定责任免除或减轻的权利，从而鼓励其更主动、更切实地承担主体责任。

不惟如是，对超大型平台而言，这里的“主体权利”还指向了中小型“平台内经营者”，通过赋予后者参与平台治理的权利，不断增进平台规则的开放性、透明性、公平性，最终实现平台生态的繁荣与活力。

这里的“新”，还在于重新认识“数据利用”。

数据价值早已被公认，难题是如何发挥？

《“数据要素×”三年行动计划（2024-2026年）》正确指出：

所以，当务之急是涤除数据流通中不合理的责任负担，降低数据流通的交易成本。我们甚至不妨说，在“互联网+”“数据要素×”之后，还需要 “监管措施÷”和“数据成本－”。

详言之，一方面应当警惕数据交易生态中的数据提供方、使用方、中介服务方等市场主体在私法上承担的“自己过错责任”，被公法管制的数据安全、内容安全等“连带责任、无过错责任”架空，最终造成各方因成本收益不对称而畏于“流通”的恶果。

另一方面，应明晰和细化流通合规基线，激活作为“大数据条款”的“个人信息匿名化规则”，通过“技术—标准—法律”三位一体架构，为个人数据流通划定“安全港”。

另外，监管者不仅要作除法和减法，还要作加法，既可以在个案中引用“真实世界沙盒”，快速弥合监管和市场的缝隙，推动数据利用和数据安全的商业创新；又可以通过格式合同、柔性指引、风险提示，为各方交易达成架桥铺路。

展望2024，人工智能可谓最引人瞩目的数据利用场景。《经济学人》杂志预测2024年世界大趋势时，特别强调“人工智能成为现实”。似乎是为其标出注脚，龙年伊始，Open AI再次点燃了互联网，其创新性产品Sora使用户得以利用文本生成富有现实感和想象力的视频。在此背景下，我国科技部牵头起草的《人工智能法》已箭在弦上。

高质量数据是人工智能算法模型开发和迭代的基础，从设计、训练、评测、仿真到整个算法更新迭代的全生命周期，都需要持续不断的结构化数据的输入作为支撑。

但与此同时，个人信息保护、著作权保护、信息内容安全等林林种种的数据合规刚性规制不但成为数据汇聚的最大障碍，而且可能大幅限制输入的数据源，损害了数据的客观性、多样性、公平性。

鉴于当前生成式人工智能彻底颠覆了人类对信息利用的传统方式，我国有必要立基于《生成式人工智能服务管理暂行办法》第16条：

未来，不妨区分人工智能研发和面向公众服务的不同阶段，在研发过程中秉持“读书无禁区”的原则，沿用网络服务提供者的避风港原则，只有在知道数据侵权或违法之时才有义务采取措施；另一方面，在提供服务过程中则应坚持“发言须谨慎”的态度，从而实现技术创新和公共利益保障的双赢。

▲ 图源Pixabay

2024年决不是“历史的垃圾时间”，相反，世界正在以令人难以置信的速度发生着剧变。

回顾历史，自从1994年4月20日一条64K的国际专线由中科院计算机网络中心连入互联网以来，中国互联网已经走过了瑰丽壮阔的30年。三十而立之年，我们期待着中国数据治理不仅能够“立规”，更能在共享、长尾、全球化、分布式、多样性、时空压缩、自由流动的互联网架构上“立道”。

放眼未来，中国将践行《关于全球数字治理有关问题的立场》，以事实为依据全面客观看待数据安全，既认识到问题的复杂性，又不泛化国家安全的概念，既考虑中国的独特机遇与挑战，又尊重互联网的自身禀赋与技术优势，最终在疫情之后的“新常态”下，向世界贡献以“技术向善、包容发展”为底色的数据治理中国方案。

END

* 所刊专家文章并不代表本中心观点。

* 部分图片来源于网络，如有侵权，请联系我们删除。

【欢迎转载】