杨力
上海交通大学凯原法学院教授,法学博士,上海市法学会数字法学研究小组成员
一、引言
数据不是知识、创意,而是表达概念或事实的性质、关系、度量和状态的特定载体。2019年,中国政府正式将数据定义为新的生产要素。“要素级别”的数据迥异于其他生产要素,在流通中具有即时再生的非竞争性、边际成本趋近于零、信息不对称的估值悖论等鉴别性特征。可以说,在世界范围内数据流通的不少难题属于“无人区”。所以,在数据流通的制度化上亟须取得重大进展,才能加快数据被更大程度利用,实现数据要素效用的乘数倍增。其中,率先推动公共数据的流通具有样板意义,已成为衡量各国数字建设水平的重要标志。
推动公共数据流通的突破口,是实现相应技术标准的法治化。区别于一般数据,公共数据是指国家机关、经依法授权管理公共事务的组织、提供水电气供应及公共交通等公共服务组织,在履行公共管理和服务职责中收集和产生的各类数据。国际上陆续推出ANSI/TIA-942、Uptime Institute、ISO/IEC-24762等公共数据开放与合规审核标准,以评级为核心,使公共数据流通具有透明性。2017年,中国通过修订新《标准化法》,把标准适用扩大至数据领域,要求建立国家数据标准公开制度;2018年,国务院办公厅发文,提出建立公共数据“一网通办”的标准规范,包括公共数据采集、数据质量、目录分类管理、共享交换接口、共享交换服务、平行运行管理等。在此基础上,进一步强调建立全国一体化的公共数据应用总体规划,制定数据、应用、运营、安全、管理等标准规范。
鉴于公共数据的结构程度高、公信力更强、体量庞大、溢出效应明显等特点,不少国家对公共数据流通相对谨慎,更多倾向在共享、开放、授权运营、交易上采取“技术标准”导引的立场。但是,目前法学研究主要以“规制”为出发点,多数是对数据的权属、人格、安全的研究,较少以“促进”为主线,多为借助技术标准这一可重复、迭代、普遍应用且被公认机构批准的文件,对技术标准在公共数据中的流通性进行深入研究;为数不多的数据法研究以技术标准为对象,聚焦抽象的技术标准与法律之间关系,尚未充分考虑技术标准在公共数据流通上的技术性、场景性、实用性特征;此外,学术界对技术标准并不具有强制拘束力这点已取得基本共识,那么,为什么推动公共数据流通的占有者、处理者要遵守技术标准,又需对数据技术标准的作用机理作出解释。这些是本文拟讨论的问题。
二、公共数据流通制度化的两个兴奋点与批判
由于公共数据的社会产品属性强、技术专业门槛高、权益和安全系数大,以流通为目标的高水平治理,不能只是“数据湖式”的简单堆砌,而是要以技术标准对数据全生命周期作出精细化规定。凭借技术标准的高弹性、低耦合特性,在拓展数据的增值空间与坚守数据的权益安全之间达成平衡。
有关公共数据流通的制度化是一个新鲜事物,学术界对该领域研究的时间较短,经历了由浅入深、由模糊到明确的发展历程。
1.基本认知阶段(2009-2012年)。公共数据流通的制度化研究兴起与2009年计算社会科学(computational social science)概念的提出分不开。这一阶段学术界关注对数字政府、数据治理、开源开放、数据平台的基础性研究。主要包括:一是面向公共数据开放,讨论数据流通的数据归集、结构化与运筹策略,重点是流通的数据格式规范、可信数据交互以及公共平台与民众互动机制,尤其是鼓励民众对开源数据的利用;二是以国家数字化实力为视角,对比国家之间在数据流通上的不同类型与方式,以及分析公共数据的基础条件、行业领域、主体准入与流通程度之间的变化函数;三是对数字化转型政府开放数据的模式梳理,指出政务数据开放的引领功能,探讨欧盟ITS指令等流通规则对公共数据的复用。
2.标准切入阶段(2013-2017年)。这一阶段对公共数据流通的关注重点转向更有操作性的“技术标准”。一方面,聚焦公共数据“开放性”技术标准,开展小切口、纵深式研究。包括支持电子资源获取的行政元数据、数据中心的开放账本、场景导向的数据融合、数据交易的价值评估等。另一方面,有些国家逐步意识到技术标准的关键功能,将其列入实现公共数据流通的必要条件,并结合某些重点场景进行更细致研究。比如,针对生物、城市、专利、微观经济等,从技术标准讨论字段级的数据稽核、全景式的主数据提取、覆盖关键属性项的元数据分类、描述实体和关系的数据模型管理、重要数据和个人信息的等保分级问题。
3.立法论证阶段(2018-2023年)。为了推动公共数据有序流通,有的学者开始对标准与法律的关系作深入探讨,认为公共数据流通的技术标准有“正外部性”,不能单纯依赖市场机制的提供,国家应更积极介入基本标准的制定,尤其借助政府信息公开、保密、个人信息保护、数据安全、反垄断和其他一系列法律给予的支援。在此基础上,针对中国等少数国家对公共数据的授权运营、交易实践的重点难点,理论界进一步提出立法与标准的整体规划,提供了标准与法律的内容衔接与实施机制。其在内容上,既包括将法律条款予以技术标准的精细化,甚至直接写入技术代码、算法规则,也有以技术标准为切入点,逐步形成公共数据在流通与合规上的最大公约数。
归纳而言,学术界围绕公共数据流通的制度化研究中,对技术标准及法治化两个兴奋点都有所涉及,但相关研究不够深入,主要存在以下三个问题。
一是以规制为导向,重立法而轻标准。学术界更多讨论的是公共数据的流通,止步于对数据权利、个人信息保护、数据安全、知情同意、更改删除等的立法层面分析,对于以“促进”为导向来实现公共数据流通的技术标准,缺乏翔实细致的讨论。同时,现有研究没有充分意识到技术标准对法律的“技术解释”功能,它能够把法律上的原则性规定转化成公共数据流通的基础性、通用性实施规则,形成公共数据在共享、开放、授权运营、交易等主要流通环节的运行机制。
二是方案过于原则,没有现实操作性。其中的难题在于,缺少对技术性更精细标准的研究,讨论标准多为约束力类型、行业领域、实施主体的复杂性;缺少场景性标准研究的牵引力,不应以“数据供应”为导向,使用什么数据去解决什么问题,而是应以“数据需求”为导向,围绕什么场景需要什么数据,惟此才能让标准产生驱动力量;缺少对技术标准在实用性上的细致讨论,停留在呼吁制定更完善的法律、政策,导致推动公共数据流通的规划变为“空中楼阁”。
三是理论供给不足,缺少标准法理证成。少量对技术标准的研究,也只是作为描述公共数据治理中科学问题的“客观信息”,限于什么是“隐私计算”“匿名化”“脱敏”等标准术语,缺少对公共数据流通技术标准条款的合法性与合理性以及背后的价值取向的批判性分析。正是对标准类似“查字典”的做法,导致对公共数据流通技术标准的法学理论探讨不足。在此基础上,对于技术标准作为技术规范的效力,软法理论可以对其作出初步回答,但即使是强制性的技术标准,也肯定区别于硬法。那么,技术标准又如何通过法律条文、司法审判、合同条款援引产生事实拘束力,在这方面缺少发挥效力机制作用机理的研究。
三、国家对公共数据流通的“剩余控制权”配置
作为国家资源核心“要素级别”的公共数据,在更大范围内流通势在必行。所以,公共数据技术标准的法治倾斜性原点在于,以促进流通为主,兼及规制安全隐私。但是,作为新兴领域的公共数据一旦流通,必然导致不少法律难题,使公共数据的占有者、使用者之间的关系不同于一般的民商事契约,而更多表现为一系列隐性的“不完全契约”。面对公共数据这样一个呈数量几何级增长、未知空间巨大、柔韧性又很强的全新领域,全部以法律法规实现数据流通的法定性、稳定性和预见性不太切合现实。因此,引入更多灵活、弹性和持续迭代的技术标准,并在立法上敲定那些国家在公共数据流通上的“剩余控制权”,才是破解难题的关键。
其一,国家对公共数据流通的剩余控制权,本质上标志着公共数据到底在多大程度上可以被泛在化应用。根据格罗斯曼、哈特建立的“不完全契约理论”,当公共数据的流通利用与隐私安全之间达成“完全契约”的代价过大时,流通过程就会更多体现为“契约不完全性”特征。其中,对能够达成基本共识的公共数据权属、个人信息保护、数据安全等问题,已通过立法作出原则性规定,但更为具体的立法未及问题,包括公共数据的账本制定、管控规则、分类分级、可信交互、有偿供给、许可机制等,更多应当交给技术标准先行探索以积累经验,国家可以保留必要的剩余控制权,并在适当时机甄选相应的要点,赋予其法律效力。
其二,国家对公共数据的剩余控制权起点在于,判断什么类型、什么颗粒、什么级别的公共数据可以进入流通环节。对此问题回答的关键,并不是国家立法预言式的“一语中的”,而是要让需求侧更灵活地从公共数据流通中受益后,反过来进一步推动公共数据的流通,产生“熊彼特效应”。无疑,需求侧会倾向于“门槛降准”,更多把进入权交给自己判定。此时,国家的剩余控制权对公共数据的流通,就是允许需求侧从场景出发,借助技术标准的独特性,更准确、详尽、务实地描述公共数据要素的禀赋差异、被利用的强度差别、比较优势上的相对收益等。只有这样,才能倒推国家制定更精细的迭代公共数据流通的行政规制清单,并逐步实现规制清单的“瘦身”,简化流通准入的流程,释放由更多公共数据高水平流通产生的“马太效应”。
其三,国家对公共数据流通的剩余控制权,除了处理上述国家与市场的关系,还要解决需求者之间的公平问题。该问题核心在于避免对公共数据的垄断或利用不当,防止滋生新的不公平问题。一方面,需求侧的过度市场化会形成对公共数据的垄断占有和使用。市场和技术能力较强者在公共数据流通中逐步壮大,类似平台甚至会成为数据、生产、配置和规则的新型中枢,掌握公共数据和拥有超强分析能力,还会造成“赢者通吃”、限制公共数据进一步流通的局面。对此,国家立法应把握公共数据流通的公平竞争权;另一方面,公共数据的资产专用性强、外部选择价值较低,且具有利用之后的存量效应,这使公共数据的流通必须保持连续性与一致性。当市场竞争者之间的不当利用引发利益机制的扭曲,将会产生隐藏信息的规避监管,抑或隐藏行为引发的歧视监管,甚至会出现对公共数据利用的逆向淘汰。鉴于此,为了防止需求侧不当利用,技术标准对公共数据流通的利益受损者可以给予合理补偿,国家立法需要与其保持一致。
根据以上逻辑,关于公共数据流通的剩余控制权配置,依赖于法律规范与技术标准的双轮驱动。在此基础上,进一步将技术标准法治化,是实现公共数据可持续流通的必由之路。
首先,需要从法学理论上论证公共数据流通技术标准的效力定位及立法干预,即如何正确认知技术标准的规范属性,以及判定技术标准是否具有法律上的效力;同时,如何通过国家立法利用其剩余控制权,推动“公标准”或“私标准”的制定过程不断优化,使技术标准发挥更大程度的效能,并释放多元主体参与技术门槛高、专业性较强的公共数据技术标准订立的能动性。
其次,对于如何实现公共数据流通的问题,重点在共享、开放、授权运营、交易等技术标准的法治体系构建。包括:基于科学数据管理的跨库、跨系统、跨平台之间公共数据共享应当普遍遵循的技术标准;以实际具体需求为切入点的场景式、沙箱式、API端口、账本式公共数据开放的技术标准;授权运营中根据数据无价、服务有价原则,探索委托第三方加工数据的有偿服务机制,制定原则免费、成本收费、受益者负担的成本加利润收费标准;确立公共数据流通的行政审批负面清单制定标准,以及加工处理后上市交易的资产评估和定价标准。
当然在公共数据的流通中,“对兜底”的隐私安全管理监督不可偏废。它覆盖公共数据开源的全生命周期质量管理,以及公共数据流通的全过程动态监督。前者重点以中国承认的数据管理“FAIR原则”为技术规范、以立法条文为约束条件,以及公共数据实时动态的评价体系和机制,构建反映法律规制的全生命周期的质量管理体系;后者则重点制定公共数据流通的分级分类标准,包括重要数据、个人信息和其他数据的分类技术标准,以及具有可接受性、敏感性、破坏性的分级技术标准,满足不同类别公共数据的治理要求,建立精准、差异化的法治体系。
上述对公共数据的共享、开放、授权运营、交易和管理监督技术标准的法治范畴分析,目的是让公共数据流通的价值得到进一步释放。其中,技术标准有强制性标准、软法性标准、指引性标准、术语式标准等;法律规则又可区分为位于基础的硬法规范与处于外围的技术标准等的软法规范。以公共数据流通这一复杂系统的结构和功能为重点,研究技术标准在法律与技术之间发挥跨系统沟通的作用机理,涉及数据权益、来源、效力、边界、知识、目录、接口、需求、指标、密级、责任、隐私、安全等要素之间的关系,以及上述要素在电子政务、智慧、城市建设等重点场景的深度应用,目的是让公共数据的复杂系统架构及功能达到整体最优状态。
四、流通公共数据的技术标准效力与立法干预
国家对公共数据流通的剩余控制权设定路径,需要采取的是以技术标准为先导,探索相应的国家立法边界,以及灵活运用执法和司法的比例原则、利益衡量等方法,让国家对公共数据的规制表现为主体多元、手段灵活、相互协调及持续互动的过程。面对公共数据流通这一存在不少难题甚至“无人区”的领域,配置剩余控制权所依赖的不是外部强加的权威或制度,而是自下而上、从混沌到秩序,甚至呈现为非线性、自适应、循环反馈的治理。
(一)流通技术标准的效力定位
国家主要通过立法来行使对公共数据流通的剩余控制权,那么,作为行为规范的法律与作为技术规范的标准之间到底是什么关系?回答这一问题,重点在于流通技术标准的效力认定。
现有研究更多坚持法律本位主义,即以法律为基准来评判标准的属性。然而,仅从法学方法论视角,仍难以清晰界定公共数据流通的技术标准本质。事实上,“标准是现代社会降低风险的有效规制方式,已成为风险规制的主要工具之一”。从这个角度而言,标准无疑具有规范性。但是,标准不必一定改为法规,尤其是自愿性质的标准,只要它与法规协调一致即可。所以,公共数据流通的技术标准在效力上,主要包括以下两个方面。
一是技术标准具有规范属性。技术标准主要分为产品标准与过程标准,“前者关注结果,侧重于产品的特定属性;后者关注行为,侧重于产品生产的方式”。一方面,技术标准会关注利用公共数据的产品和结果。DAMA International、国际数据治理研究所、IBM、高德纳咨询公司等组织对数据治理内容进行了大量研究,将公共数据标准化治理的“制度性”内容概括为八个维度:数据架构分析、数据库管理、主数据管理、数据质量管理、数据安全管理、数据仓库管理、文件记录和内容管理、元数据管理。另一方面,技术标准更多关注公共数据流通的过程和行为,即通过一系列技术方法,对公共数据流通的授权运营模式、交易数据评估等重要事态,逐步予以合理化定型,涌现出代表标准事实的技术规范。可以说,作为独立于法律规范的技术规范,技术标准在与规范目的一致的前提下,为立法提供了标准事实的指引,为执法和司法提供有效率、低成本的合理事实参考。
二是技术标准没有法律效力。技术标准应当与法律的强制性分离,即使是政府主导的强制性标准,与法律之间也不具有效力等价性。早期观点认为,“强制性标准就是技术法规的主要表现形式”。受到这一立场影响,出现了数据领域的强制性标准过多、覆盖范围过广,强制性标准与推荐性标准条文混杂等现象。于是,学术界的相关研究转向为标准与法律的分离,更强调标准回归自愿属性。实际上,随着数据的公共性主体外延扩展,最具有强制性的政务数据只是其中维度之一,且公共数据流通的形式趋于多元,流通的公共数据不再是高度同质的单一类型数据、特定类型交互方式也不再只是某一特定类型,强制性规则已无法一体化适应公共数据及流通产生的变化。因此,公共数据流通技术标准的效力来源不可能是法律本身,而是其对流通的对象、方式等事实指标化定型的合理性,其基础是经过专业理性判断的统一指标界定的事实。公共数据流通中的法律规范目的是需要确定不应当侵犯个人信息、数据安全等,而不是在事实上设定一个合格流通对象、方式的指标系统。
(二)流通技术标准的立法干预
技术标准没有法律效力,应更多借助于其规范属性,逐步实现公共数据流通合理化定型。为此,国家剩余控制权的立法干预,需要着眼于建立强制性的技术法规与自愿性的技术标准相结合的新型标准化体制。关于公共数据流通的立法干预方式,在世界范围内根据标准订立的主体不同,主要为两个阵营。
以美国为代表,在公共数据流通领域的标准化改革是以市场团体的标准化为基石,即在稳健节制地维护国家在公共数据流通技术标准制定的组织利益的基础上,倾向于推动数据要素市场标准化活动的繁荣。正是基于这一导向,美国在公共数据的数据中心ANSI/BICSI基础设施标准、元数据取值规范、机器可读的数据格式、公共数据资源开放目录、电子数据取证标准、数字用户信令规范、领域性数据开放标准等方面,已经自下而上地建立起比较完整的公共数据流通技术标准的法治体系。
而欧盟在公共数据流通技术标准上的改革则呈现出区域性协商一致的色彩,创立“三轨并立”的标准化体制,并以提高欧盟在数据主权上一体化程度为目标。2015年,欧盟在推出《一般数据保护法案》(GDPR)之后,同样以SGS通标标准技术公司等为代表,在开放数据的元数据标准DCAT-AP、欧盟SGS认证、数据控制者和处理者的合同标准、宽带数据传输设备协调标准上,逐步构建行业和企业共同参与的欧盟公共数据流通标准的法治体系。
那么,为了进一步探索构建公共数据流通的技术法规与技术标准一体化体制,国家推动公共数据流通的立法干预又应当采取什么方式?
一是国家对标准化活动的直接干预。一般标准理论认为,国家应当为标准化提供架构。但是,政府未必更了解公共数据流通的所有场景、对价与过程,所以,标准制定组织可以扮演重要角色。随着新一轮技术革命演进,数字技术高速发展导致标准治理产生了重大变化,借助信息通信技术形成的网络效应、产业融合以及跨行业发展,传统的标准制定组织行动显得迟缓,诸如万维网联盟(W3C)等学会与传统标准制定机构间的界限日趋模糊。因此,国家应当通过协调、引领、激励等方式,对公共数据流通的标准化建设发挥“撬动”作用,并以这种方式适时并顺势地掌握国家的剩余控制权。
二是国家关注标准制定过程的优化。20世纪90年代以来,“私标准”在数字技术领域的功能更加明显。私标准可以促进数据有效管理、建立数据开放市场、节约数据流通成本、提高数据加工产品质量。然而,私标准也存在诸多弊病,如标准制定过程中利益相关方参与不充分、不透明、缺乏科学论证等。甚至有缺陷的私标准如果经由市场自由发展在事实上发挥着现实性的强制效力,面对公共数据授权运营或有序交易场景,对中小企业和外部企业的市场准入和公平竞争将产生阻碍。正是由于私标准存在的不足,国家的剩余控制权有必要通过完善标准订立的程序,采取引入利益相关方等方式对此予以解决,使公共数据流通标准制定程序的重构和优化成为重要方向。
三是国家对标准化的类别分层设计。根据公共数据来源、内容等公共性程度的差别,构建公共数据流通的分类标准,并据此将其分为政务数据、公共非营利主体数据、公共营利主体数据和非公共营利主体数据。对于各类公共数据流通的促进与规制,则依据其属性特征确定其承担义务的程度,在整体上呈现为义务程度依次递减,增加自愿性的技术标准比例,鼓励非政府组织和企业参与公共数据流通标准的制定。借助分层嵌入对象的制度化安排,可以有效落实公共数据流通的类型化方案,避免集中立法存在的概念规范与规制规则失调的体系性矛盾出现。
五、公共数据流通的标准化空间与上位法挑战
在解决了技术标准及法治的基石问题后,技术标准与技术法规一体化推动公共数据流通的功能取向是什么?其中,政府主导的强制性标准是否会对上位法产生影响?
(一)公共数据流通的技术标准之维
技术标准具有更为直接的技术性、场景性、实用性,更符合公共数据流通的过程,其主要具有以下功能。
第一,推动公共数据共享开放的精细化。基于对数据治理的技术与法律融合性的分析,重点探索公共数据共享开放的主体法律关系、隐私安全保护、收益分配制度、商业运营模式。在全球数据确权立法悬而未决的情况下,需要探索构建合规风控下的公共数据创新管理模式,为公共数据资源开放利用提供安全有序的法治保障,以及有效弥合公共数据的供需双方在资源开放利用上的鸿沟。
第二,探索建立公共数据授权运营机制。为了探索公共数据的有偿服务长效机制,以中国为代表,通过立法授权第三方机构加工和运营公共数据,探索“数据无价、服务有偿”机制。这一模式无先例可循,强调以技术标准为切入点,撬动公共数据授权运营机制,包括资源专营许可、政府间社会资本介入、数据不离场、分类分级、授权平台会员制、标准化收费机制、自主可控合规等,尝试如何破解授权运营的溢出价值定性、加快数据的加工运营、促进数据产品服务的有序流动、授权交易的佣金制或撮合定价制、引入第三方专业评估监督认证、授权运营的全过程动态监管等法律难题。
第三,探索公共数据资产化及交易空间。在世界范围内数据交易难题之一就是数据资产化问题,各国多以技术标准作为切入点,其功能指向公共数据评估对象界定、获利方式、数据资产经济寿命及资本性支出、数据资产权属核查及合规性审核、数据资产评估的折现率等。在此基础上,进一步由行政法、民法、知识产权法提供保障;从行政法角度,基于政府收取税金进行公共管理和服务的特征,政府公开数据应秉承“原则免费,例外收费”的做法;基于民法,当数据的开放存在明显受益者时,应当以“受益者承担”原则,让获取数据的特定受益者承担“成本+利润”的费用。
第四,紧扣行业划定公共数据等保分级。以技术标准的“细密化”方式,根据行业领域的业务场景开发以及相关的开放风险评估模型,对动态评估和控制公共数据开放中的技术标准风险完成分级分类标准的落地实施和追踪监督,防止对个人信息的禁止过度收集,敲定对数据处理者的告知义务,建立生物识别技术运用规范、自动化决策规范,以及健全完善对数据安全的责任主体、风险评估、应急处置和安全认证等,并以法律保障给予差异化的结果和效力固化,构建切实有效的公共数据的开放与治理生态。
(二)技术标准促进流通面临的“上位法”挑战
对于公共数据的流通,上述技术标准功能的法治化面临两个挑战。一是政府、企业、民众之间存在权益冲突的张力;二是政府主导的技术标准可能架空法律法规,导致个别部门的行政权力过度扩张。所以,需要通过对技术标准与上位法衔接的分析,论证技术标准与法律法规的协同机制。
第一个挑战是多方主体之间的标准化利益博弈。公共数据流通的上位法涉及网络安全法、数据安全法、刑法修正案、个人信息保护法、标准化法、保密法,以及涉及代码软著的著作权法等一系列法律法规。相对于技术标准,法律法规具有议题设定的功能,支撑和引领技术标准的制定。所以,根据上位法制订技术标准,更易取得各方参与主体的关注和支持。同时,技术标准作为法律法规的延伸性触角,把概括性的条文转化为操作性的技术规范,为政府、企业和民众等的数据占有、流通、利用提供了行为规则。此外,技术标准的实施也要依赖上位法的支撑,才能发挥更强的约束力。缺乏法律依据的技术标准,不但可能因难以建立各方共识而流于形式,也可能沦为少数头部企业试图巩固自身优势地位的角斗场,最终造成损害社会总福利的“公地悲剧”。
那么,如何对公共数据流通的上位法进行协调,在博弈的利益各方之间达成平衡?公共数据所附着的利益是复杂多样的,关涉数据主体的个人信息权益、数据使用者的利益以及公共利益等。公共数据关涉的各方利益之间可能存在一定冲突和矛盾。对于各方利益的充分权衡,需要对技术标准规范的制定、实施和监督过程采取程序性控制,避免技术标准成为维护某一特定利益群体的工具。作为技术标准的使用者和信息源泉,企业组织牵头制定的技术标准力图通过标准的垄断来获得市场上的优势地位。即便由政府主导数据标准化工作,其未必一定能成为公共利益的代表,而有可能是产业界的利益代表,此即所谓的“监管俘获”风险。
另外,行业协会或第三方组织参与技术标准制定时,需要强调协会成员的广泛性和均衡性,并接受一定程序的约束;专家不一定就能对技术标准问题给出正确答案,也不一定能就彼此的分歧达成共识。普通公众或中小企业的利益很难在标准制定过程中被充分代表,公众自身对专业技术问题的理解可能存在偏差,中小企业的话语权也远低于少数几家头部企业。为此,有必要设计出更具合理性的法律程序,以保障技术标准制定的过程民主性和内容合理性的实现。
第二个挑战是官方技术标准对法律体系的侵蚀。区别于美国、德国、英国把标准化工作授权给民间标准化机构管理,中国、日本、俄罗斯等国家采取的是政府主导模式,即标准化工作以政府为主导,国家通过专门的标准化立法,将标准化活动纳入国家法律调整的范围,实现政府对标准化工作的统一管理。
根据授权根据、制定程序、公布与否、外在形式等形式判断标准,技术标准不具有上位法的形成;但若从事实约束力的判断标准出发,技术标准在公权力运作的过程中产生约束作用,同时对私主体也有外部法律效果。所以,作为社会规则体系的组成部分,在公共数据流通这一新兴领域,技术标准在一定程度上对上位法起互补、支撑甚至替代的作用。尤其是当技术标准的制定由政府主导而产生更大的强制性时,需要从内部分析技术标准在立法、司法、执法层面的影响。
政府主导的公共数据技术标准,无疑与上位法之间具有更强的竞合性。其一,公共数据的流通主要由政府掌控,官方强制性标准在功能上与行政规范性文件存在相似之处,实际上发挥着对行政权力的约束作用。需要注意的是,如同一般的行政规范性文件,技术标准在功能上有时会超越其位阶,甚至取代法律、行政法规等上位法。层出不穷的技术标准在一定程度上意味着行政权存在不断扩张的风险。由于数据治理的技术性和专业性,法律和行政法规对技术标准必然存在大量援引的情况,导致界限宽泛、权力分散的问题。其二,根据技术标准的法律属性定义的发布主体不同,决定数据标准是否应被纳入著作权法的保护范围。比如,中国的《著作权法》第5条规定,“法律、法规,国家机关的决议、决定、命令和其他具有立法、行政、司法性质的文件,及其官方正式译文”,这些法规类作品受著作权法保护,在法律属性上会影响对技术标准的知识产权保护。因此,还需要研究国家标准的公开性与可版权性之间的关系、对数据标准是否受版权法保护,以及未经授权公开的国家标准的合法性问题。
为了解决标准与法律的竞合问题,一方面,从标准纳入法治的视角,公共数据流通标准的制定、实施和监督对法律具有明显的依赖性。在制订环节,订立流通标准的活动需要法律提供程序规范;在实施和监督环节,标准的执行效力、监督措施、违反标准的法律制裁都要法律规范予以明确。把技术标准的规范效力同立法程序的规范体系整合,对公共数据技术标准实行法规化改造。另一方面,从标准在法治中的作用角度看,根据各部门法的特点进行类型化分析和讨论,形成技术标准与法律规范之间的互补性。针对公共数据的流通,在内容上,标准具有延伸法律调整社会关系的功能,解决了法律无法直接回答的“如何为”的问题;在广度上,标准对法律所起的功能是全领域的,多数的数据法律领域均可以发现标准的存在;在力度上,法律对标准形成了依赖性,在公共数据流通上法律的实施离开标准则会难以发挥作用。
六、流通公共数据的分类分级标准及法治逻辑
只有在科学、规范的分类分级管理的基础上,公共数据的流通利用与隐私安全的需求才能有效平衡,以实现全过程动态监督。当前,国内外针对公共数据分类分级标准的设计应如何符合法律制度方面的研究均不成熟。
(一)公共数据分类分级标准的一般法律原理
下面以重要数据、个人信息保护为对象,分析公共数据流通分类分级标准的一般法律原理。
1.重要数据的分类分级
重要数据是指与国家、社会公共安全相关的数据。关于与其相关的公共数据分级分类标准,国际上基本达成两个判定原则:数据在经济社会发展中的重要程度,以及数据在遭到篡改、破坏、泄露或非法获取、非法利用后造成的危害程度。不同分类分级的公共数据在使用时受到保护的策略不同,流通程度也有差异。一方面,数据分类主要依据是“关系”。需要厘清公共数据的“家底”,理解数据的本质、属性、权属及其相关关系,明确数据的业务范畴。在此基础上,主要按照数据资产管理形式对公共数据分类;分类颗粒度要适宜,不能太粗导致部分数据不能归类,也不能过细使得无数据可归类。另一方面,数据分级主要依据是“特征”。主要从数据安全、隐私保护和合规要求角度进行分级,包括:敏感程度,覆盖公共数据泄露或被破坏造成的影响范围、影响对象、影响程度;关键性程度,指向公共数据对业务的重要程度;司法管辖要求,涉及国内外相关法律的要求。
2.个人信息的分类分级
个人信息作为一种私主体权益,与重要数据的分类分级标准有所不同。隐私保护可被划分为三个问题:保护的主体(即“保护谁”)、保护的对象(即“保护什么”)、保护的手段(即“如何保护”)。一是“保护谁”,是对隐私主体进行分类分级,是否所有人应当受到同等的隐私保护,不同的主体应如何区别对待?例如,对妇女、儿童等的特定标准。二是“保护什么”,是对主体的隐私数据类型(隐私客体)进行分级,确定哪些隐私数据需要特别保护,如何确定各种隐私数据的敏感程度等。例如,中国的《个人信息保护法》《信息安全技术个人信息安全规范》(GB/T 35273-2020)对个人信息及隐私的敏感性、可识别性、相关性的鉴别标准的列举。三是“如何保护”特定主体的特定数据。例如,依靠公民个人的私力救济还是诉诸法律。三者构成“金字塔式”的逻辑关系。
(二)以场景为牵引分类分级标准的法治逻辑
基于公共数据的流通,分类分级不能止步于静态的、宣示性的数据安全标准以及知识图谱的编制,而是要在数据标准制定后,深度应用于更为具体的公共数据业务场景中,并在流通的场景应用过程中获得知识的动态反馈。借鉴哈佛大学Datatags数据的分级思路,把这些知识编码化以形成知识图谱,以人机交互的方式将数据基础形成标签集,从应用端不断获取反馈,迭代数据标准和知识图谱,实现对数据的动态监管,在以场景为牵引的公共数据技术标准基础上形成流通模式。
1.以“场景应用”为原点的公共数据标准及法治
在处理流通利用与场景应用的关系时,一是根据领域性特点,收集法律和技术专家的决策知识进行公共数据生态分析。比如,在技术标准上搭建公共数据集存入界面,以便以问卷互动问答的形式获取数据集特点,完成标签分配和环境准备后,实现数据集加标签存储;在制定数据标签集合上,完成互动问卷设计,以决策树形式构建数据标签匹配机制,确保互动问卷实行过程无误。二是根据“场景化”需求,收集法律和技术专家决策知识进行公共数据知识编码。利用技术将其以机器可读的模式进行编码,同时开始对数据存储、申请获取时的安全基础设施进行构建。在二者进行的过程中,其与专家决策知识库之间,以相互校验准确性的模式形成反馈机制,确保所有决策具备精准定义、正确编码和良好基础设施的支持。三是根据“安全度”评估,收集法律和技术专家决策知识进行公共数据风控测评。在安全应用中通过搭建界面、制定数据协议、完成与安全基础设施集成来获得反馈,不断迭代更新数据标准的知识框架:按照分级数据的使用方案制定数据使用协议,构建数据集申请的访问验证和获取界面,确保访问凭证和数据集的使用环境准备完毕后,通过界面实现数据集安全获取,形成数据标签定义与实际数据开放应用的对接,生成公共数据流通的目录。
2.以“风险评估”为保障的公共数据标准及法治
数据标准制定完成后,需要对公共数据技术标准的实施加以维护与评估,形成风险评估模型,并赋予法律上差异化的结果以完成效力的固化。技术标准制定完成后,需要对其进行维护与执行评估,并从法律等多个角度形成相应风险评估模型,联合前期参与调研、制定应用数据标准的政府部门对数据标准进行评审,以保证数据标准的动态可用性、易用性。在公共数据标准定义的工作初步完成后,数据标准定义需要征询数据管理部门、数据标准部门以及相关业务部门的意见,在完成意见分析和标准修订后进行标准发布,并在标准实施不断迭代和逐步成熟后,形成差异化的公共数据技术风险评估的法治体系。从法律意义上,程序是凝聚达成共识的最佳标准化及法治化的通道。公共数据技术标准的设计程序包括:意见征询、数据标准审议、数据标准发布等。
七、技术标准对公共数据流通的作用机理及法治化
随着公共数据更大程度地流通成为主流趋向,关于流通的引导和规制逐渐成为热门话题。但世界各国普遍存在硬法偏多现象,推动法律高效实施的手段仍不够丰富,包容对审慎的分寸感拿捏不准,而且不少执法者还会选择性地忽略,直到产生严重后果,才由政府部门予以强硬监管。因此,世界各国立法开始对公共数据流通的技术标准寄予厚望,期望打破“规则割据”的局面,高效满足与平衡国内公共数据社会化应用的客观需求和安全性。
那么,技术标准如何推动公共数据的流通,又如何以法治化的方式实现公共数据流通的“正外部性”?
首先,把流通的强制性标准转化成为硬法的技术法规。标准作为规范在本质上属于技术规范,体现软法的属性。技术标准作为技术规范,哪怕指向的事项符合强制性而被作为法律事实或证据加以援引,也并非一定能作为法定的抗辩理由。所以,即使是公共数据流通的强制性标准,也只有经过立法程序转化为技术法规,才能作为准据法获得法律上的确定性。当然,参照ISO/ETC和WTO/TBT关于强制性标准和技术法规的定义,不论发达国家还是新兴工业国家都有强制性标准,只是大部分强制性标准源于自愿性标准,且通过技术法规科学规范地采用转化而来。正是以内在一致的合理性,技术标准糅合了公共数据流通的技术规范(软法)与法律规范(硬法),在一定程度上终结了关于强制性标准是不是技术法规的争议,使对于公共数据流通技术标准的讨论从基本概念推进到功能和影响层面。
其次,把流通的非强制性标准定位为软法,拓宽法治空间。软法意义上的公共数据流通技术标准,既有标准制定组织制定的行业或地方标准,也有非正式协会或单个公司制定的私人标准。即使很难对非强制性标准做明确且周全的定义,也可以从软法的角度,对标准制定的开放性、透明性、民主协商等程序进行规制。否则,技术标准易被市场主体捕获,成为利益代言人。现实中,标准化体制的一个显著变化是非正式标准化的崛起,行业组织和联盟标准化正发挥着越来越重要的作用。区别于官方的强制性标准,“标准私营化”在实际上出现了独占性、竞争性的圈占现象,要么仅允许联盟等组织成立时的成员参与标准制定,要么设定其他产品难以进入的高标准门槛。让非强制性标准产生负面的事实标准,会影响对公共数据流通合作者、消费者、交易者的预期。
第三,以法律原则为技术标准与法律法规之间提供中转。从制定程序、公布与否、文本外在等形式判断,技术标准没有法律规范的外观形式。但根据其是否对人有约束力,技术标准在公共数据流通法律的实施上发挥重要作用,甚至在特定的情况下,标准的实施也依赖法律赋予标准的强制执行力,以及违反标准将受到的法律制裁。这里,技术标准的作用机制主要依赖于法律原则,它与具体规则、案件结果相比更抽象,但又采取了与基础理念不同的语言描述,为技术标准提供了讨论空间。在公共数据流通技术标准的实施中,法律原则包括:知情原则、同意原则、比例原则、合法必要和正当原则、公开透明原则、最小化采集原则、保密原则、红旗规则、避风港原则等。基于这些原则,有关公共数据流通的法律条文会援引标准,在裁判中也会应用标准对相应公共数据流通的事实争议进行界定,并且可以协调交叉重叠的上位法。
第四,执法、司法对技术标准的援引在事实上产生了法律约束力。需要超越技术标准与法律法规的二元对立思维,关注二者在法治化上的融合性、协同性。虽然标准与法律难以直接画上等号,但是,数字技术的空前发展及对经济社会的深度嵌入,使它们之间已经结成了紧密的耦合关系,片面强调差异性或各自的独立性,已难以满足公共数据流通的实际需求。事实上,通过法院对数据标准在事实认定、违约责任的引用,可以发现技术标准在一定程度上发挥着法的作用,对行政机关起到自我约束作用,对私人起到法律效果。学术界对技术标准的效力分析,不再仅以约束力作为标准效力依据。例如,认为标准不是法律,但对法律实施具有辅助作用。公共数据流通的法律条文一旦援引某一技术标准,则行政执法、司法裁判中会运用技术标准界定相应事实,数据技术标准便在这里借助法律条文产生法律效果。
最后,不可忽视技术标准与知识产权之间的依赖性与冲突性。数据标准本身不具有法规性质,不宜将其归入我国《著作权法》第5条规定的不受著作权保护的法规类作品范畴,而是应纳入《著作权法》保护作品之列。公共数据流通技术标准的制定、实施与扩散,从特定的视角分析,实际上是围绕知识产权展开的。流通中的标准需求呈现多样性,既是对技术标准的可欲性,也是对公共数据流通的可信交互等知识产权技术的需求。从这一角度,知识产权对数据标准的形成具有促进性。同时,知识产权与数据标准之间也存在冲突,比如,互联网技术标准组织认为,数据技术标准应该尽量采用“非专利”的优秀技术。一旦涉及专利问题,公共数据流通技术标准的适用性便可能因专利授权问题受到很大影响。毕竟由于专利所有者之间的利益诉求不同,很可能在标准化过程中导致矛盾与冲突。
本文来源于《社会科学辑刊》2023年第4期
《上海法学成果》专题由上海市法学会特约供稿。专题统筹:秦前松
责任编辑:楚予