欧盟作为最早实现数据治理专门化的区域,其治理规范体系的形成与欧洲基本权利发展历史和特殊的历史事件息息相关。欧盟数据治理规范体系着重于数据主体的数据权利,期望以“安全促进发展”的路径实现数据安全保障与数据产业、市场发展的双重目的。但将“数据”定义为传统“私权利”对其展开保护,难以把握数据真正的“资源”属性,且在一定程度上与权义平衡的治理逻辑不符,将不可避免地导致规范实效与预期目的的背离。当前,受数据产业快速发展的影响,我国特有的立法体制下的数据治理规范体系也存在“中央立法原则化导致规范模糊化”“二级立法导致立法碎片化”的实效问题。通过与欧盟模式的对比,可取长补短,借以找到中国数据规范治理体系完善的具体进路。2021年《数据安全法》颁布,我国数据领域立法由此进入全新阶段,数据治理规范体系框架形成并不断趋于完善,但我国数据保护及数据产业两大方面当前仍面临着法律法规缺位影响下无序发展的问题,亟需审视已有的数据治理规范体系是否契合时代需求。在防止新兴领域无序发展的同时,还需预防规范对新兴领域发展造成不合理限制。此外,由于我国数据领域立法进程启动较晚,数据治理规范制定的主要推动力为数据产业的发展需求,相较于欧盟“人权—隐私权—数据保护”悠久的发展演进路径,我国当前的数据治理规范体系虽然借鉴吸收了欧盟数据治理规范,但二者在立法目的与立法模式上有着较为明显差异。结合数据产业发展所需来看,双方当下的规范体系均存在各自利弊,在比较法的视野下考察双方的优缺点,取长补短,是探寻数据治理规范体系完善路径的高效途径。欧洲作为最早针对数据治理建立专门规范体系的地区,其体系的建立与演进与该地区的历史与文化要素息息相关。
数据保护的前身——“基本权利”项下的“隐私权”保护
欧洲始终以“数据保护”而非“数据发展”为其主要侧重面向,原因在于欧盟针对数据进行治理的需求是由对人权项下的隐私权进行保护的需要转化而来。欧洲注重个人基本权利保护的传统来源于两个历史事件:启蒙运动与第二次世界大战集中营事件。其一,欧洲作为启蒙运动的主要阵地,在自由、平等、人权等启蒙理念的影响下,公民基本权利的保护始终是欧洲法治最为重要的命题,新时代下,这一命题的影响力不断扩展至各个领域,基本权利中的隐私权保护由此在新时代演化成了数据保护。其二,第二次世界大战期间德国等国纳粹利用个人信息来对特定群体进行区分和识别,并对犹太人等群体进行迫害。因此在第二次世界大战后,欧盟对于个人信息利用与保护的态度变得更为审慎。在上述两项因素的共同作用下,欧盟对于数据保护采用了基本权利的保护模式。欧洲个人数据权保护政策历经确定政策目的、形成个人数据权雏形的欧共体内部萌芽期;塑造个人数据保护国际规则的欧共体国际突破期;以指令形式统一立法的欧盟发展期和以条例替代指令的欧盟改革期。③其数据治理规范体系最早可追溯至1950年《欧洲人权公约》中的隐私权条款,对个人数据保护方式从运用隐私权进行保护逐渐演化为设立作为基本权利之一的“个人数据权”。
欧洲作为最早对数据保护进行专门立法的区域,其立法呈现出法律效力从弱到强;立法体系从碎片化到一体化;法律规则从一般到特殊再到抽象;立法目的从“单一保护”到“以保护促发展”的渐进特征。先后通过、制定了《私营部门和公共部门数据保护的决议》《个人数据自动化处理中的个人保护公约》(《第108号公约》)、《数据保护指令》(DPD)、《通用数据保护条例》(GDPR)等规范。其中,GDPR作为划时代性的典型条例,鲜明反映出欧盟数据治理规范体系的各项特征。该条例创新性地赋予了个人数据的基本权利属性,并基于此基本权利设立了数据主体所能享有的权利束;创设了包括“数据控制者”“数据处理者”在内的新型主体概念。同时配套针对义务方制定了较为严苛的处罚机制以保障权利的行使。GDPR颁布之后,其作为对“个人数据”进行规制保护的规范,因“个人数据”在数据中的庞大数量与重要地位,以GDPR为中心的欧盟数据治理规范体系逐渐成形。除GDPR及其配套文件外,欧盟制定了针对不同主体或场景的其他规范,如《非个人数据自由流动框架条例》《开放数据和公共部门信息再利用指令》等以不同类型数据为主体的治理规范;《欧盟数字十年的网络安全战略》《人工智能法案》等以规制、保障数据安全运用为目标的治理规范;以及《数字服务法案》《数字市场法》等针对数字平台监管的治理规范。“欧盟的数据治理模式就是在启蒙理念下形成的以基本权利为基础的保护模式。”“严格保护”成为贯穿欧盟数据治理体系的整体基调。然而,数据产业中的大国地缘博弈又使数据的“流通发展”成为治理体系契合时代发展不可或缺的价值取向。“严格保护”与“流通发展”间难以维持的平衡使得欧盟数据治理规范体系实效脱离了预期。
在当前数据领域中美欧三足鼎立的格局下,中、美两国在数字技术与数字市场领域总体领先于欧盟,欧洲数字市场也已被美国“数字巨头”所垄断。为应对大国地缘博弈,建立属于欧洲的“数据主权”,欧盟以“保护本土企业、预防外国企业垄断”作为数据治理体系的构建目的之一。“欧共体及欧盟四个阶段的个人数据权历史演进历程清晰地表明:欧盟有关个人数据权立法的一切努力最终都是为了保护、扶持和发展欧盟本土数据处理产业,扭转欧洲数据处理市场被美国垄断的局面,维护经济安全乃至国家主权的独立,并希望在全球数据处理市场中分得一杯羹。”当前欧盟数据规范体系的目的有二:其一为保护个人数据安全,其二则为促进数据流通、增进本土数据企业发展与数据市场建设。对于以上双重目的,欧盟选择以“安全促进发展”的模式将二者关联起来,其内在逻辑表现为:将个人数据权利明确为独立的基本权利有利于强化对个人的保护,在各国的保护规则和水平一致情形下,个人可增强其个人信息受到保护的信心,有利于数据在欧盟境内的流动利用,发挥数据价值,发展本土产业。基于这一逻辑,可以将“保护数据安全”定位为欧盟数据规范体系的表层目的,将“促进数据产业、市场发展”定位为深层目的,二者存在渐进关系,即“以安全促进发展”。
欧盟所强调的数据安全保护、本土数据企业保护、建立单一数据市场,皆需要依赖严密且强制性较高的规范体系实现,因此,“统一立法”的立法模式可以更好地在多成员国的境况下实现立法目的。“统一立法”实现了欧盟法层面的整体统一与成员国法层面的有机统一。其一,在欧盟法层面,犌犇犘犚作为数据治理核心规范,针对数据的收集、使用、处理、储存等全过程进行统一规制以进行数据保护。此类以“条例”命名规范对于各成员国拥有直接适用的效力,不需要各成员国通过国内立法进行转化。颁布一体化的“条例”可以更好实现数据治理规范的整体化和体系化,更加平等地适用于各个成员国,为单一数据市场的建立提供确定统一的制度环境。其二,在成员国法层面,欧盟法也为成员国法预留了“缓冲带”,成员国在部分实体性规范方面仍保留了自由裁量权。
欧盟为实现“以安全促进发展”的双重立法目的,相继制定修改了针对不同类型数据、保障不同场景数据安全运用、规制数字平台的相应规范,形成了以GDPR为中心的、数据分类下划分周期治理的数据治理规范体系。其中针对个人数据的GDPR,以及针对“个人数据以外的数据”的《非个人数据自由流动框架条例》,将数据明确划分为个人与非个人两大部分,所追求的价值各有侧重—前者以安全为重,旨在保障数据时代下自然人的基本权利;后者以数据的可流动性为重,旨在充分发挥数据时代下数据的流动利用价值。通过这种界分实现了对数据社会安全与经济价值的双重保护。同时,在非个人数据项下,欧盟进一步划分出公共数据,对原《公共部门信息再利用指令》进行了二次修订,并更名为《开放数据与公共部门信息再利用指令》,以此推动公共部门信息向个人或商业活动有序合理开放,促进公共数据再利用。
在前述关于欧盟数据规范双重目的的阐述基础上对运行现状进行考察,当前欧盟的规范体系的运行却并未完全达致上述“以安全促进发展”的双重实效,仅在数据安全的保障层面取得实效,对数据产业发展造成一定限制。
“立法对数据主体权利的保护被置于社会利益或数据控制者利益之上。”虽然欧盟数据治理规范呈现出“以安全促发展”的双重目的性,但基于其根深蒂固的个人权利意识,欲求数据产业发展所带来的推动力,尚不足以在与传统权利意识的力量角力中胜出。相反,数据作为新兴事物所具有的不确定性、未知性更进一步激发人们对于基本权利的保护意识,以此来对抗数据可能带来的风险。立法目的同样影响该体系的运行现状。根据GDPR第25条规定,“所有的系统都必须以数据保护为首要目标进行设计、控制和管理”,禁止在数据处理过程中将“安全”作为次要目标。在GDPR关于权利义务的设置层面,欧盟数据规范体系意欲通过提高对数据主体权利的保护程度进而促进数据流通,此目的需通过增加数据主体权利实现。
欧盟数据治理规范体系的设置虽意在保护数据安全、发展本土数字经济,但作为体系中心的GDPR设定了七项数据权利对个人数据予以严格保护。权利义务作为关联的概念,在对数据主体的各项权利进行周延保护的同时,也增加了其相对者—数据控制者与数据处理者的义务,在制约欧盟外数字巨头企业于欧盟市场抢占份额的同时,也在一定程度上影响了欧盟本土企业的发展。“许多组织在如何遵守GDPR方面遭遇了困难,即适用遵守GDPR中这些新型的数据保护条款不能通过调整与数据相关的合同框架来解决,而是需要从根本上重新认识企业如何在整个企业范围内存储和处理个人数据。”在根据以GDPR为核心的规范体系对企业进行合规化的调整过程中,涉及数据企业运营的众多方面,使得各规模的企业在履行GDPR义务及责任时,均不可避免地遭遇各种问题——大型企业违规后,根据GDPR罚金与企业前一年度营业额关联的制度,需要支付极其高昂的行政罚款;而中小型企业,虽然无需面对巨额罚金,但GDPR所要求的合规又需要各方面的整体综合提升,最终“可能导致具有高数据保护能力的大公司充当中小企业的数据服务提供者(例如云服务或数据库服务)”。这无疑不利于数据产业的合理均衡发展,同时也可能引发变相强化政府权力、扼制产业创新等问题。以GDPR为核心的欧盟数据治理规范形成了“统一立法,严格责任”的模式,虽能有效保护公民的个人数据,却限缩了数据处理者与数据控制者利用数据的空间。数据作为当前产业必需的新兴资源,在高速发展期对其进行过早的严格限制无异于限制企业与产业创新。同时,在企业逐利的本质下,也无益于欧盟数据市场的发展,其所采用的“以安全促发展”的方式在实践中已逐渐偏离“促发展”的轨道。
相较于欧洲所呈现出的“权利(权益保护)推动数据立法”的演进路径,我国的演进路径则呈现出“产业发展推动数据立法”的特征。数据治理法律规范旨在调整信息化、数字化时代下的数据法律关系,我国对于规范调整数据法律关系的呼声最早来源于大数据产业发展需求,法律规范的制定过程呈现出“由下至上”的特征。早在2016年,贵州省基于当地独特的产业条件,制定并施行了首部地方性大数据促进条例—《贵州省大数据发展应用促进条例》;贵州省贵阳市则于2018年颁布了我国第一部大数据安全管理条例——《贵阳市大数据安全管理条例》。随后,中央与各地方则是随着我国数据产业的不断发展而逐渐开启数据相关的立法进程,中央与地方层面的规范不断完善。2021年《数据安全法》的颁布标志着数据领域立法由此进入了一个全新的阶段,以《数据安全法》为核心的中国数据治理规范体系逐渐成型。
我国数据产业的发展是推进我国数据治理规范制定的主要推动力。我国数据治理规范体系以《数据安全法》为轴心,其所展现的则是以推动数据产业规范发展为主要立法目的,同时表现出在发展与安全产生冲突时,以安全为重的本质。
我国立法体制以“一元二级多层次”为显著特征,数据领域作为高速发展的新兴领域,该领域内的治理规则体系正逐步完善,中央与地方间“一元二级多层次”的数据治理规范体系已初步成型。其一,在中央立法层面。《数据安全法》协同《网络安全法》《个人信息保护法》,形成了三足鼎立的基础数据规范体系,另有多部基本法、部门法提供了现行有效的规制路径,其中包括:《民法典》中隐私权和个人信息保护与网络侵权行为侵权责任、《刑法》中侵犯公民个人信息罪、《未成年人保护法》中未成年人个人信息保护等法律规定。当前,我国中央层面的法律规范通过将数据保护与传统个人信息保护衔接,已基本形成由多部门法协作的横向数据保护。同时,中共中央、国务院印发《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称《数据二十条》),在中央政策性文件层面明确了协调数据发展的制度构建指导性意见。其二,在地方立法层面。我国地方立法通过发挥“细化执行性”功能与“创制性”功能,对中央层面的立法进行了细化或补充。如《上海市数据条例》《深圳经济特区数据条例》等综合性数据立法,在对中央立法进行细化的同时,根据区域实际情况与特色进行地方创制立法,用以培育数据市场、促进当地数据产业发展。如《山西省政务数据管理与应用办法》《浙江省公共数据条例》等专项立法,对“政务数据”“公共数据”等特殊数据类型展开规制。又如《广西壮族自治区大数据发展条例》等产业促进型立法,共同形成地方一级的多层次立法,以保障数据安全与数据发展。
我国中央层面法律规范与地方法规规范之间的关系所呈现出的更多是“被细化”与“细化”、“被填补”与“填补”的关系。执行性地方立法与创制性地方立法作为我国地方立法中最为常见的两种模式,分别发挥着细化、填补中央立法空缺的作用。以原则性中央立法为主,辅以执行性或创制性地方立法,发挥地方立法先行先试的作用,并协调中央—地方法律的有机互动,中和中央立法的稳定性与地方立法的灵活性,无疑是“一元二级”立法的优势之一。但此固定模式的随意适用,在一定程度上不免会导致中央层面立法的“不作为”现象,即在某些重要的法律规范制定中过度依赖于地方立法后续的细化补充,在面对《立法法》所规定的必须由法律规制的事项之时,也只是简单地进行原则化立法,导致重要的法律规范模糊或缺失。而地方立法由于效力层级局限,无法对模糊性规范进行细化,也无法对缺失的规范进行补足,导致立法空缺;或由于地方立法的适用范围仅局限于该地区,其实效具有地域限制,无法达致国家整体层面的实效,从而出现无效立法的境况。在我国当前的数据规范治理体系中,“数据”法律属性的定位不清,以及《数据安全法》所规定的“数据分类分级”制度缺少具有法律效力的中央规范,是中央层面在重要事项规范上进行原则化规定所引发的两大主要问题。其一,“数据”法律属性的定位不清问题。数据的非实体性、非竞争性、非排他性与可复制性,使其难以被纳入传统权利框架内。作为中央层级规范的《数据安全法》并未明确数据的法律属性,作为政策性文件的《数据二十条》所进行“探索性”规定也仅为方向指引,并非最终的法律属性定位。因而,在当前我国的数据治理规范体系中,“数据”作为一项新客体并未被纳入传统的权利体系,也暂未针对这一新客体创设新的理论体系。其二,“数据分类分级”制度缺少具有强制力的规范,使得当前的“数据分级分类”制度暂无法发挥实效。2024年10月1日,《数据安全技术数据分类分级规则》(以下简称《规则》)生效实施。《规则》明确了数据分类规则、数据分级规则、分类分级流程的国家标准,并附各类数据分类、分级的参考示例与供分类分级过程中考虑的各项因素,数据被分为公共数据、组织数据与个人信息,同时在个人信息项下进一步细分,包括身份信息、生物识别信息、网络身份标识信息等。尽管《规则》对于数据分类分级方式明确了国家标准,但其并不具备法律的强制力,数据处理者可以参考适用,但并未形成确定、统一的规范制度,在分类分级后续的数据处理、保护、流动过程中,仍可能出现差异。
我国关于数据处理的核心原则多分散于《网络安全法》《个人信息保护法》《数据安全法》三部国家层面的法律中。但最大的碎片化困境并非简单的原则分置或是数据保护体系与数据发展体系的分置,而是在中央层面原则化立法的影响下,将“对权利、义务的一般规定”和“对权利、义务内容的细化”割裂地分置于不同层级的规范中。例如,在《数据安全法》第27条中:开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,而在《深圳经济特区数据条例》中就被细化为“应当对数据存储进行分域分级管理”“建立重要系统和核心数据的容灾备份制度”“建立和完善对外数据接口的安全管理机制”;等等。此时,地方立法虽然发挥着其细化与创制功能,能最大程度地适应地方发展需求,但这两项功能的发挥不可避免地使立法在“央—地”纵向与“地—地”横向上均呈现为碎片形式,不利于数据统一规范的形成。综合上述对于欧盟及中国数据治理规范体系的考察,两体系均呈现出不同利弊。其一,在形式架构层面,欧盟模式下的“统一立法”模式,规范体系的普遍适用性保障了数据治理的平等性和统一性;而中国模式下的“一元二级多层次”立法模式,中央立法的原则化趋势在某些重要领域的基础规范构建上造成了立法空缺或无效立法,中央与地方立法相互协调的机制在配合当时也可能会导致立法的碎片化。其二,在规范实质内容层面,欧盟以基本权利保护模式对数据展开严格保护,给企业造成过重的负担,限制了企业与数据产业的发展,背离了欧盟原初的立法目的;中国模式下,仍未对“数据”进行明确的法律定位,限制了数据的高效利用与流通。因而,中国未来数据规范体系的进一步构建需要取长补短。
1.欧盟模式下数据的分类管理——加快完善我国数据分类分级管理制度
欧盟数据治理体系通过针对不同类型数据的专门立法,实现了实质意义的数据分类管理,对于不同类型的数据进行了差异化管理和保护。例如,针对个人数据,欧盟设置了数据权利束,通过法律权利的设立对个人数据安全进行充分的保障;针对非个人数据,则并未设置权利,而是规定开放原则,最大程度减少非个人数据流动过程中可能存在的障碍。我国虽于《数据安全法》中明确规定了应当建立数据分类分级制度,并已制定了相关国家标准,但由于中央立法层面缺少具有法律效力数据分类分级制度规范,未形成确定统一的分类分级制度,当前该制度仍停留在构建阶段,并未发挥出实效。数据分类有助于厘清数据的本质、属性和权属及相关关系,以便对不同类的数据进行更契合其需要的管理。这一规范的缺位在一定程度上阻碍了数据权属的划分,且可能进一步影响数据要素市场的建立。因此,应当加快制定确定、统一、具有效力的数据分类分级制度,为数据权属划分、数据要素市场建立奠定坚实基础。2.欧盟模式下数据的过度保护——明确数据的“资源属性”
基于前文对于欧盟数据规范体系的考察,“以安全促发展”的路径选择是使其背离最初目的的根本原因。但从“安全”与“发展”双向的促进关系来看,“以安全促发展”的路径逻辑并无错误,那么为何会失效甚至起到相反的作用?其原因在于数据与“私权利属性”的不适配。“传统私法的权利化体系起初建立于客体(主要指有形物)的稀缺之上,客体的稀缺导致了法律上定分止争的必要。这种稀缺性导致的资源权利化分配模式在传统社会中是一种普遍有效的方式,在法律上也形成了客体与权利的相互依赖性。”因而,权利需要依赖对于客体的“控制”而存在,从欧盟数据处理原则与个人数据主体权利的具体内容来看,均以保障数据主体对数据的“控制”,或限制数据处理者、控制者对个人数据的“控制”为目的。从产权的实质来看,其实质在于调整权利客体背后不同关联主体之间的利益关系,而数据作为大数据时代下的新兴资源,就应当将其置于大数据的背景下进行考量,其发挥价值的核心方式在于大数据“大”的规模,在于数据与数据的结合,在于数据背后不同主体对数据的协调、共享。而高效“共享”的达成需要数据背后每位不同主体对于数据的“控制”均处于一个“适当且合理”的程度,既不应过分增强数据主体对数据的控制,也不应过分限制数据处理者、控制者的控制。因此,对于数据安全的保护不应当是孤立的,数据安全应被解读为“安全流通”“安全运用”,表现为数据生命周期中的动态安全,而非独立于生命周期、不施处理、不加利用的静态安全。在当前各区域立法均注重安全与发展并重的趋势下,欧盟模式下“高度强调个人信息自决”的方式已不再适应时代需要,数据的私权化也不再是数据治理的目标。在数据的私权利属性不断被淡化的过程中,亟需对数据进行新的定位以便更好地促进数据的保护与发展。在淡化数据权利属性的同时,可以从资源属性的角度对其进行考察。以往导致数据不能被纳入传统权利体系的特征,如非排他性、可复制性等均成为“数据”作为一种优质资源的证成。“GDPR的目的不仅在于促使个人数据的处理方式发生转变,还在于促使人们对个人数据的态度发生转变。”由于当前我国数据治理规范体系中所存在的“数据”法律属性定位不清的问题,规范体系的进一步构建需以欧盟对数据权利过度的保护为鉴,尽快明确数据的基于“资源”属性的法律定位,构建配套的治理体系以充分发挥资源的经济特性、契合数字社会“权义平衡”治理逻辑。在此种法律定位之下,可以极为有效地避免某一主体对于数据的过分控制,也可以更好统筹“安全”与“发展”两个在权利视域下时常冲突的价值,即只有在资源安全的前提下,数据产业方能更好地发展。
1.发挥欧盟模式下“统一立法”的高效性——增强重要领域的中央立法领导性
欧盟在统一的立法模式下,也允许各成员国基于各国的实际情况对欧盟法进行适当的突破。这一整体与局部的立法关系,与我国中央与地方二元性的立法体制极为相近,但当前欧盟模式可执行性更强、效率更高。其原因在于,其一,欧盟法所制定的规范体系是完整细致的,成员国可以直接对其进行适用,也可依据自身情况选择性地对其进行修改调整,而我国的中央立法在某些特殊领域所呈现出的条文规范则是原则性的,地方立法必须对其进行补充完善,造成中央与地方的责任倒置。其二,在统一立法模式下,欧盟法对于成员国有直接的适用效力,其规范效力可以向下覆盖,保障治理体系适用时的完整,而我国当前数据治理中出现立法碎片化困境的根本原因在于,地方立法效力无法向上覆盖,使得创制性、执行性地方立法不可避免地使部分数据治理规范呈现割裂状态。其三,欧盟统一立法下所形成规范体系的适用具有更高效率,而我国当前中央—地方往来互动的模式,在某些快速发展的新兴领域中,二者衔接不当或效率较低时,极有可能使中央层面立法的效力被空置。因而,在坚持我国特色的“一元二级多层次”的整体立法模式的基础上,吸收欧盟优势,重视增强重要规范领域下的中央立法完善程度与领导性,突破中央地方二元体制下中央原则性立法所可能造成的制度模糊的困境。2.完善欧盟模式下“统一立法”——综合发挥地方立法功能
地方立法作为“一元二级”立法模式的第二级,是增强规范体系与产业发展现状双向联结的最佳途径。根据《立法法》第82条对地方性法规的可规定的事项范围进行的划定:其一,为执行上位法规定,需根据地方实际作出具体细化规定的事项,即地方执行性立法;其二,需制定地方性法规的地方性事务;其三,《立法法》第11条所规定的十一项立法保留事项之外的、国家层面尚未立法的事项,同时,这一情形要求地方在国家层面法律生效后,及时对地方性法规与国家立法相抵触之规定进行修改或者废止。在上述规定中,其一属于对于国家法律进行具体化的执行性地方立法;其二、其三则属于试点创制性地方立法。其一,充分发挥地方立法的“细化执行性”功能。基于法律稳定性及普遍性的要求,当前数据领域中央层面的法律法规多呈现出概括性的特征,以《数据安全法》为例,其中第21条规定:为实现数据分类分级保护制度,各地区应当确定本地区以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护,此条文本身对地方提出了贯彻细化的立法要求。因此,基于我国区域间发展的不平衡性,地方立法应在不抵触的原则下,对中央立法进行细化,以保障地方结合实际对中央法律规范进行贯彻执行。同时,由于法律法规内部也分布着大量的宣示性条款,需要由地方将相关制度落地,以数据地方立法增强国家数据治理规范的可操作性与实效性,防止出现规范制约企业、产业发展的情况。其二,充分发挥地方立法的“创制性”功能。当前地方数据立法大部分条款均为执行性立法,甚至部分地方立法已成为对上位法的复述,地方立法的核心创新功能被逐渐边缘化。地方数据治理层面是发现规范问题、解决问题的最优途径,“如果地方立法的特色不明显、‘地方性’优势得不到充分发挥,在某种程度上也就意味着地方治理过程中亟待解决的一些特殊问题被忽略了,中央制定的法律法规在地方执行过程中所反映的一些问题被掩盖了”,这无疑会减缓数据治理困难的解决进程,甚至导致中央法规“水土不服”的问题,进一步加剧数据治理困境。因此,应当重新厘定“不抵触”原则的内涵。关于“不抵触”原则,可将其分为法权不抵触、法条不抵触与法意不抵触。“从‘不抵触原则’的价值出发,法权不抵触是刚性要求,是地方立法创新的禁区;法条不抵触是直接要求,是地方立法创新应当把握的重点;法意不抵触是间接要求,是地方立法创新质量的体现。”地方立法并不必然要求存在上位法依据,在不触及立法保留事项的基础之上,可以先于中央层面法律规范制定。这赋予当前数据领域地方创制性立法以合理性。因此,应当充分发挥地方立法的“创制性”功能,以数据地方立法填补数据规范体系空缺,进行“先行先试”。其三,充分发挥地方立法项下的区域协同立法功能。在当前对数据地方立法的局限性评价中,地方立法对法制统一可能造成的割裂是地方立法难以突破的一大难点,而在欧盟的经验中,确定统一的规范是数据治理的关键所在。地方立法的某些差异化制度安排,在仅依靠地方性规范文件进行规制、全国性制度长期缺失的情况下,地方立法的刚性增强,统一的数据治理体系可能遭到分割,导致治理体系失效。针对此项问题,新修订《立法法》第83条对“区域协同立法”进行了规定:“享有立法权的各地人民代表大会及其常务委员会根据区域协调发展的需要,可以协同制定地方性法规,在本行政区域或者有关区域内实施,同时也可建立区域协同立法工作机制。”这一协同立法机制,在保障地方立法区域性试点创新作用的同时,可在一定程度上消弭各行政区域独立进行地方立法对法制统一所带来的割裂性,形成“由点至线”的立法格局,在各地同一效力位阶的法律规范性文件间保持协调状态,保障区域范围内的法制统一。当前,《上海市数据条例》已对“长三角区域数据合作”作出规定,在加强区域数据合作的实践基础上,在各地实践中落实的各项创制性规范融合了区域特色、整合了各地需求,扩大了传统试点创制性立法的法律效力与社会效能,以“由点至线”再“由线至面”的模式,进一步整合其他合作区域的创制性规范,可更为高效地发挥数据地方立法对国家数据治理规范体系的填补作用。综上,充分发挥地方立法在细化、创新及协调三方面的功能,是构建高效、适应性强、可操作性强、统一协调的数据规范治理体系的关键路径,使治理体系能更好地契合数据产业高速发展下保障数据安全、推动产业有序高效发展的需要。在数据所具有的“经济”与“社会”双重价值下,“数据发展”与“数据安全”始终处于动态平衡的状态之中。数据及数据产业作为现代科技发展的产物,在对其进行法律规制时,法律究竟应侧重于鼓励创新、促进产业自由发展,还是侧重于防范创新的意外后果、保障数据及其处理过程的安全?这是“科林格里奇困境”在数据领域规制上的具体体现,也是一个将恒久存在的困境。因此,需时刻警惕,做到时刻因时制宜、因事制宜,预防下一个“转向点”可能出现的失衡。
往期精彩回顾
林坤|化简为繁:基于我国离婚诉讼中缺席审判适用效果的反思刘欣睿|证券虚假陈述案件下中介机构部分连带责任研究王曦|股东协议附条件解散公司的证成与认定——兼论股东压制救济路径完善杜翠|封闭公司股东利益的冲突与救济——《公司法》第21条的解释论重构王中|医疗损害鉴定偏差及其司法应对——兼论医疗损害鉴定制度的“一元化”
上海市法学会官网
http://www.sls.org.cn
