引言
近年来,信息科技水平的提升更是尤为迅速,大数据技术的发展也愈发成熟完善。大数据对社会各个领域的影响都是巨大的,其不仅有助于促进经济发展、加强社会治理,在提升政府行政公开水平以及行政监管能力上同样具有极大的推动作用。然而,大数据的繁荣发展并无法掩盖其背后衍生出的诸如非法采集数据、滥用数据、算法歧视等一系列数据伦理问题,倘若无法及时解决处理好数据伦理问题,则极有可能引发更为严重的国家安全问题。伴随着数据安全法于2021年9月1日的正式实施,数据安全法也将成为我国数据安全范畴的主要法律框架,尽管该部法律能够使诸多数据伦理失范行为受到规制,但是针对数据伦理问题所引发的国家安全风险防控工作依旧不能松懈。
一、企业数据伦理问题引发之国家安全风险:国家核心数据泄露
大数据时代之下,数据作为许多互联网企业的核心竞争力来源,企业之间的数据竞争愈发激烈,随之产生的数据伦理问题也接踵而至。在此背景下,有各领域学者研究大数据伦理问题的具体体现,目前学术界对该问题逐渐趋于一致,其普遍认为“数据权利、隐私、权限、安全与数字鸿沟是目前大数据时代的主要伦理问题”。尽管数据安全法已经开始实施,但是数据伦理问题并不会因法律规范的实施而消失,一旦某些数据伦理问题未得到合理解决的情形,轻则将加大个人隐私泄露与企业数据垄断的风险,重则导致国家核心数据泄露,置国家安全于危险境地之中。
数据安全法第21条将涉及国家安全、重要民生、重大公共利益等数据都纳入了国家核心数据范畴。部分公司收集的数据除用户所产生的个人数据外,还包括海量的城市交通、行政、教育、医疗等国家核心数据,并且这些数据还在不断地进行实时更新。这些关乎国家基础设施建设和国家发展的底层数据,实际上铺设了一个高度依赖于数据网络的国家安全信息体系。任何一个信息技术本身都可能存在安全漏洞,潜在技术漏洞可能导致数据泄露、伪造、失真。一旦这些公司将所收集的资源数据、地图数据等国家核心数据泄露至其他国家,显然将违反国家核心数据管理制度,危害我国国家安全和重大公共利益。
二、国家安全风险产生之诱因
证据是诉讼的核心要素,是裁判的基石,对于保证案件质量、实现司法公正具有关键性的作用。证据标准的制定实施将有效引导办案人员按照法律规定的证明标准、证据规则以及办案程序全面合法地收集、固定证据,从根本上解决诉讼过程中证据标准不统一带来的司法不公问题,规范司法裁量权,减少司法任意性,确保每一件案件都经得起法律的检验。
(一)
企业数据伦理行为规范的部分失位
当大数据上升为国家战略的同时,企业数据发展也获得跨越式的提升,然而发展过程中随之产生的安全隐患也接踵而至,“面临数据驱动带来的伦理失范问题,急需通过伦理、法律法规规制来促进数据的规范化治理”。由于法律滞后性的存在,具备一定弹性与灵活性的伦理规制则更加符合大数据时代的需求。然而,目前我国法律与伦理规制都存在不同程度的失位,尽管数据安全法的出台能够填补极大的空缺,但是针对企业过度违规采集、滥用数据乃至以此催生出的价格歧视以及数据垄断等行为仍需要设立完善的指向性原则以供企业遵循。特别是针对数据垄断行为的规制,一旦国家失去对企业数据垄断行为的管控,那将导致企业数据霸权的衍生,进而可能在该数字时代产生“马太效应”。
(二)
处理跨境数据流动问题的能力不足
早期跨境数据流动被学者定义为“跨越国境的个人数据移动”,而现如今其也被定义为“企业或机构将在所在国产生和收集的各类数据,提供给其他国家和机构的行为”。“数据跨境流动关乎国家利益、产业利益、风险控制三者之间的动态平衡”。2021年7月6日,中共中央办公厅、国务院办公厅联合发布了《关于依法从严打击证券违法活动的意见》(以下简称《证券违法活动的意见》),这也表明在此类国家安全风险的应对处理上,我国的法律规范以及制度体系尚处于不成熟的状态。尽管数据安全法第23条对国家建立数据安全应急处置机制做了相关规定,但是具体的监管制度还有待完善。并且数据安全法对于跨境数据流动的相关规定偏向于框架化,对于跨境流动的数据安全评估标准以及程序没有具体的规定,尚未形成颗粒化的数据跨境流动管理策略以及高效的国际数据流动监管合作机制。我国在数据跨境流动问题上的处理能力不足,很大程度上是体系化管理制度尚未设立。因此,在数据安全法生效之后,加快制度建设,细化专门立法,出台配套实施细则应当是我国应对跨境数据流动问题的重心。
三、跨境数据流动过程中的国家安全风险防控措施
(一)
树立人本主义数据伦理观
“伴随着大数据技术的发展,社会影响会增大,伦理问题也会增加”,倘若不及时处理当下的伦理问题,当未来新的数据伦理问题接踵而至时我们将更加无所适从。大数据时代,数据俨然已经处于商业价值的核心地位,依靠数据智能驱动的企业则很有可能在未取得用户或权利人同意情形下,过度、非法以及滥用数据,而在通过长年累月的数据采集下,部分坐拥盈千累万数据的企业则可能具备强大的数据市场地位,进而产生数据垄断情形。企业数据垄断局面的产生无疑会大大提升数据跨境流动过程中国家安全风险系数。因此,预防国家风险的根本在于重塑人本主义数据伦理观,正确规范企业数据伦理,引导企业做出合理的数据采集和使用行为。在人本主义数据伦理观的树立上,必须要求企业遵循以下三项原则:
1.无害向善原则
人本主义数据伦理主张以人为本,其将人的价值置于首位,因此保障人的权利不受侵害是人本主义的基本原则。早在20世纪九十年代末,美国伦理学家斯皮内洛就将无害原则作为信息技术伦理的原则之一:“不允许对他人造成伤害的被动强制令有时被称为最低道德标准。”斯皮内洛认为,无论人们适用何种道德准则,都应当以上述强制令为根本,确而言之,绝大多数的道德体系理论都会将无害性原则作为核心理论。一般的伦理体系通常将无害原则作为体系中的道德底线,其在伦理体系中的表述方式同法律规范相类似,主要是从法律禁止向道德提倡的行为方式过渡,既有诸如“不得损害个人、组织的合法权益”等行为禁止型的表述方式,也有“避免对他人造成损害”等行为导向型的表述形式。换言之,无害原则是从法律层面推进至伦理道德层面的理性要求。我国数据安全法第8条规定了数据处理活动主体的基本法律义务与伦理义务,其中“不得危害国家安全、公共利益,不得损害个人、组织的合法权益”正是无害原则的体现。我国学者基于无害性原则,进一步提出数据应当引导人们向善而为,“任何行动均应遵循不伤害人和有益于人的伦理原则。”更有学者主张:“大数据技术的应用、创新和研发必须以促进人类的幸福和提高人类生活的质量为最终目的。”任何技术的发明初衷都是用于服务人类、造福社会,而非成为限制人的自由、异化人的本性的手段,大数据技术也不例外,大数据技术的创新与开发应用必须有助于人类的幸福生活与社会的良性发展。因此,任何企业在挖掘、采集以及使用数据的过程中都应根据无害性伦理原则予以考量分析,并以此作为权衡预期收益和潜在风险的基础。在此基础上,还应当将人的价值置于数据发展中的首位,并要求企业在采集、管理以及使用数据的过程中重视人的价值,尊重用户个体的数据权利,自觉遵守数据安全法等相关法律规范,形成良好的数据伦理氛围。
2.知情同意原则
知情同意原则指数据处理者在采集用户数据时,应当告知被采集者数据内容、用途以及潜在风险等,并征得其同意。通过长期的经营发展,互联网企业往往在数据能力方面占据优势地位,而出于自身利益获取与市场控制的需要,普通用户的知情同意权极易受到侵犯,这也导致企业违规收集数据、侵犯个人隐私成为长久以为被广大用户所诟病的问题。显而易见,同意原则对于作为数据采集客体的普通用户而言意义更为突出。数据伦理十分注重个人数据权和隐私权的保护,个人数据的采集与使用必须征得数据主体的知情同意,并且还应当遵循最低限度原则。2021年11月1日生效的个人信息保护法第14条对知情同意原则作了定义:“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。”这要求企业在收集数据时必须取得用户同意,并且必须告知用户具体用途。第14条明确指出知情同意是自愿、明示的同意,是指用户择入式同意(opt-in),而非择出式同意(opt-out)。然而在告知同意体系下,用户的同意却未必建立在知情的基础上,如何确保用户的“充分知情”显然是知情同意原则适用的重中之重。对于企业而言,其告知用户的目的在于履行法定义务、规避法律风险的同时,尽可能地获得用户的同意,因而企业所提供的隐私政策往往事无巨细、冗长混杂。“由于信息过载与不对称,个人信息主体一般会直接作出同意,导致同意的质量堪忧,无法真正发挥知情同意原则的作用。”在大数据时代,要求数据主体向用户明确告知数据的使用目的几乎是无法实现的,原因在于大数据分析本身就不具有“目的性”,而正是这种“无目的”的数据分析,使人们摆脱了种种束缚与禁锢,推动了科学技术的创新。德国作为全球范围内极端重视个人信息保护的国家,在面对该难题时也只能无奈地宣称:“虽然要求告知数据主体以数据分析的具体目的,但是可以是框架性和方向性的,而不必穷尽所有的细节。”因此,笔者建议可以在不影响数据核心功能使用的前提下,“根据不同的情境,可以采用‘广同意’(例如同意将个人信息用于一类,而不是某一情况下)的办法”,充分尊重用户数据权利,并且“将选择权回归个人,有助于在大数据的应用中减少风险推论的冒险性”。
3.公开透明与开放共享原则
人本主义数据伦理主张算法应当是公开透明,并且强烈反对“算法黑箱”具有合法地位。“算法黑箱”的存在让用户难以知晓自身数据是如何被收集、使用以及分析计算的,至于数据是被合理共享还是滥用也就更无从得知。无论是政府抑或企业,在数据收集、分析、使用的各个环节,都应当坚持公开透明原则,避免黑箱操作。“对于企业公开算法存在侵犯知识产权与算计问题时,可以考虑算法的部分公开或小范围公开”,部分公开是指“有关主体可以对引起疑虑的算法决策体系进行解释和说明,以消除有关主体的疑虑”;小范围公开是指可将算法对决策者内部或外部的小范围人员进行公开。在决策者内部可以倡导并鼓励掌握大量数据的机构、企业设置专门的道德伦理委员会,来规制其日常运营,而在外部可以通过设置专门机构或同行评议等方法审查与评估算法。
开放共享是大数据与互联网的核心理念之一,数据共享能够使各类主体更加便捷地获取、使用数据资源,最大限度地攫取“数据金矿”。换言之,“数据共享能实现数据资源的重复利用,降低数据收集成本,实现同类数据社会效益的最大化”。人本主义数据伦理并不是完全否认数据共享的价值,它所反对的只是不受限制的数据共享,以及无视个人权利的数据滥用。因此,在当下已经出现部分企业拥数据自重的趋势下,国家应当推动企业积极开放共享拥有的数据资源,以此促进数据流动与更新,让更多的企业以及其他数据主体享受数据红利,同时避免形成数据垄断或数据独裁的局面。
要而言之,在形成技术自律的过程中,技术伦理、数据伦理是除了法律之外最为重要的自律规则渊源。伦理规则往往能够起到法律规则所不具有的“软法”“向善”的治理效果,且当法律基于利益平衡的考量,往往仅规定最低的技术和价值标准时,伦理规则则可以倡议最高的道德和伦理要求。“人本主义数据伦理有助于消除数据主义对数据自由和电子算法的崇拜,重新确立人在大数据时代的主体地位,尊重人的基本权利和数据权利。”故而,数据处理者应当尊重社会公德并尽快树立人本主义数据伦理观。
(二)
设计前置数据审查制度
对在海外上市的中国企业设置严格的前置数据审查程序将有助于及时发现其存在的违法违规的数据行为,尤其对于掌握大量国家核心数据的企业,必须着重分析该类企业上市之后是否会产生数据泄露的可能性,以及评估一旦发生数据泄露所引发国家安全风险的严重程度。其中数据分类分级保护制度与数据“评估+管控”机制是前置数据审查制度的核心内容。
1.数据分类分级保护制度
数据安全法第21条对数据分类分级保护制度作了具体规定,提出了在中央层面建立数据分类分级保护制度,在各地区、各部门建立重要数据具体目录的“自上而下”的制度模式,统筹和加强重要数据和核心数据的保护,重点保护列入目录的重要数据。该模式要求“国家根据数据对国家、社会的价值以及出现安全事件后造成的危害后果,来开展数据分类分级的工作。”2021年11月14日,网信办发布的《网络数据安全管理条例(征求意见稿)》(以下简称《数据管理条例(意见稿)》)第5条明确了数据分类分级保护制度,将数据分为一般数据、重要数据、核心数据三种级别类型。由此可知,目前我国根据数据重要程度分为一般、重要和核心三个级别进行治理保护,但是具体如何细化则还未确定。数据保护级别主要“取决于数据发生泄露、篡改、丢失或滥用后的影响对象、影响广度、影响深度等因素”,《网络安全等级保护定级指南》(以下简称《定级指南》)影响对象与影响深度两方面进行了安全定级,其中4.1将等级保护对象的安全保护等级由低到高分为五级,4.3则规定了定级要素与安全保护等级的关系(详见表1)。根据表2可知,同一受侵害客体所受到的侵害程度不同,保护等级也会随之变化;不同受侵害客体所受到的侵害程度不同,也可能处在同一保护等级中。换言之,同一种类数据由于定级要素的变化,可能处于不同保护等级,而不同种类的数据,由于客体所遭受侵害程度相同,也可能得到相同级别的保护。因而,上述“一般”“重要”“核心”的数据分级方式应当是一种动态的数据保护机制,并非将固定的一类或多类数据划为其中的一个等级,而应当根据所造成的损害严重程度而进行认定。譬如,个人的网络行为通常不作为重要数据或敏感个人信息进行保护,但一旦企业拥有超过一定数量的个人网络行为数据,诸如搜索记录、操作记录、支付记录等等,则需要考虑纳入重要数据的保护范畴。
此外,在数据分类保护方面,我国主要还是根据不同的领域和标准进行分类,并未有统一的分类标准。有学者提出,就数据跨境流动而言,可以从国家安全、商业利益、个人权益等角度,根据数据的来源和重要程度将其划分为个人数据、商业数据、特种行业数据,并设定不同的数据出境审核要求和监管标准。其中特种行业数据,即金融、通信、交通、工业等行业的数据,海外国家均出于国家安全和公共利益的考量对其跨境流动采取更为谨慎的态度。地图数据资源属于特种行业的数据之一,在跨境流动的过程中理应受到更加严格地审查评估。
2.数据“评估+管制”机制
“重要数据攸关国家安全,且相关损害有着经验上的高度盖然性,重要数据的安全流动原则应优先于自由流动原则。换言之,只有在满足安全要求之后,重要数据才能出境”。数据安全法第22、25条分别规定了国家数据安全风险机制与数据出口管制制度的建立,这也初步形成了我国对数据跨境流动的基本管理机制——“评估+管制”机制,通过设置数据跨境禁止和限制的模式来在一定程度上实现数据本地化的安全诉求。为防范数据跨境流动引发的国家安全风险,重要数据跨境流动的“评估+管制”机制完善显然尤为关键。2021年10月29日,“网信办”公布的《数据出境安全评估办法(征求意见稿)》针对数据出境安全评估主要规定了风险自评估与国家安全评估相结合的方式,并且对以上两种方式均进行了详细的规定。至于具体的风险评估等级以及低于何种风险能够进行跨境流动尚未进一步确定。
全国信息安全标准化技术委员会发布的《信息安全技术数据出境安全评估指南(草案)》(以下简称《数据出境评估指南(草案)》)根据国家安全、经济发展、社会公共利益和个人权益受影响程度以及安全事件可能性两方面进行综合评价,将安全风险级别划分为极高、高、中、低四个等级(详见表2)。其中安全事件主要包括数据发送方的数据安全保障能力、接收方的数据安全保障能力以及数据接收方所在国家或地区的政治法律环境,简言之,主要评估考量各方主体的数据风险防控能力。为实现出境数据风险的精准评估,“可考虑采用定量的方式,建立以国家安全威胁的程度为因变量,以出境数据特征、数据发送方安全保障能力、数据接收方安全保障能力、数据接收国政治和法律环境为自变量的数学模型”。但是由于我国的跨境数据“评估+管制”机制还处于初步建设阶段,所积累的评估数据与经验尚不完备,因此可以考虑先进行半定量模式的建设,日后再逐步更新用完全定量的方式进行替换。因此,目前可以参照《数据出境评估指南(草案)》中“安全风险级别判定参考表”,根据重要数据的类型、数量、范围(重要数据与出境目的的相关联性)、技术处理情况评定出其影响程度等级,加之对数据发送方、数据接收方以及接收方所在国家或地区政府的风险防控能力,最终得出重要数据的风险评估结果。一旦风险评估等级达到高或极高,则立即对其实行出口管制,禁止其跨境流动;若评估等级为中或低,则考虑其进行跨境流动。
在数据“管制”方面,数据安全法第25条只是规定了数据出口管制制度的建立,并未对具体的管制范围、管制方式等进行明确规定。出口管制法第12条规定:“国家对管制物项的出口实行许可制度。”因此,我国数据“管制”可以延续出口管制法的规定,以跨境许可作为主要实施手段,通过数据“评估”制度,尽快制定跨境流动数据管制清单。此外,由于跨境流动的数据涉及多种行业类型,因而监管过程需要技术性与专业性更胜一筹的人员参与。俄罗斯数据监管部门在该方面,“以立法为依据,配备专门工作人员,制定年度详细的检查计划,积极开展执法监督检查活动”。我国也应当尽快明确跨境数据管制体制,加快专门数据执法监管机构的设立,或培养配备相关专业人员,提高数据跨境流动管理的执法水平。
(三)
加快推进多元的国际合作机制
在经济和科技全球化的时代背景下,数据跨境流动也将越来越频繁,数据安全法第11条明确表示我国支持数据领域国家合作,促进数据跨境流动的基本立场显得十分必要。当前数据跨境流动方面尚未建立具有广泛共识的国际规则与标准,显然我国须积极参与数据安全相关的国际规则与标准的制定。其中,规则与标准的制定也应当把握尺度,不宜过于宽松或过于严格,过于宽松的数据跨境流动规则可能会增加发展中国家的数据安全风险控制难度,而过于严格的数据跨境流动规则反而不利于推动产业数字化的发展。
1.合理的长臂管辖规则
数据安全法第36条对向国外司法或执法机构提供数据进行了规定。《证券违法活动的意见》中也强调了:“加强资本市场涉外审判工作,推动境外国家、地区与我国对司法判决的相互承认与执行。”故而,我国对于在数据跨境流动方面的长臂管辖制度已经逐渐予以重视。我国致力于长臂管辖权的设置目的在于国家安全的保障,并且我国一直以来都是尊重他国主权,因此,设置对内对外都趋于合理的长臂管辖制度势在必行。
对于合理长臂管辖制度的架构,应当从程序与价值两方面加以设计。就程序方面而言,首先,应当完善立法,为我国司法管辖权的域外行使提供法律依据,换言之,“长臂管辖权应建立在立法管辖权域外行使这一前提条件之上,即通过立法的形式确定我国司法机构域外管辖权的享有以及我国国内法域外适用的可能”;其次,无论是公法领域或私法领域,都应当将长臂管辖制度纳入其中,明确规定我国各类法律规范的域外适用效力,不单单局限于数据法领域;最后,适当扩大数据主权问题的规制范围,确立以法律属人主义为主,属地主义为辅的数据立法原则,加强国家的数据主权,使海外上市企业的数据风险得到有效管控。而就价值方面而言,我国长臂管辖制度的架构必须在尊重他国数据主权、跨境数据流动以及司法管辖权的域外行使三者之间寻求平衡。为维持上述三者的平衡,我国对扩张性管辖规则的适用进行严格限制,将长臂管辖权建立于保护国家安全与公共利益的基础之上,并且在立法确定的前提下,寻求法外合作,构建多元化的数据管辖合作模式,减少因长臂管辖权产生的冲突。此外,我国的数据主权可以根据国家利益在不同面向上组合。“在数据调取的场合,当他国威胁我国的国家安全时,我国可以通过强化数据互赖主权,令主权越过有形疆域。当然,为避免管辖权的过分扩张,境外的数据调取应以‘重要数据’也即攸关国家安全的数据为限,这不但契合我国《网络空间国际合作战略》下‘维护主权与安全’的首要战略目标,而且与‘保护性管辖’的国际法准则相符”。
2.数据跨境流动监管合作
目前,我国在同其他国家的数据跨境流动监管问题上尚未建立有效的合作机制,尽管长期以来我国在跨境证券监管合作上对各类形式均有所涉及,但是由于跨境数据流动涉及部门繁多、数据种类复杂,形成有效稳定的国际监管协调合作机制还需要深入研究。在此方面,以欧美为主的诸多国家已将加强国际合作,推进共识,作为各国数据本地化和跨境流通的重要措施之一。譬如,欧盟在修订其《第108号公约》后,便“积极推进欧日、欧韩等国的数据流动双边协议,构建欧盟的数据跨境流动同盟圈。美国方面,双、多边贸易协议已成为美国推进其数据流动政策的主要渠道”。欧盟与美国所采取的数据跨境流动合作方式均从自身利益的角度出发,但同时也大大降低了国际数据保护政策的重复性与分散性,为各国进行数据流动减少阻碍。
具言之,我国可以通过总结在数据监管合作方面的有效措施,例如对域外企业进行数据访问、移交以及安全审查等相关执法标准,进而逐步实现在国际共识范围内的双多边数据规则互认,吸收借鉴有效的处理规则。此外,我国“可利用‘一带一路’倡议、‘亚投行’等由中国主导的多边合作机制,联合有共同利益诉求的国家与地区,制定区域性跨境数据流动的合作机制,增强中国的话语权”,为全球数据资源的共商、共建、共享提供新出路。
结语
大数据伦理问题是数据时代全新的问题,其中所引发的国家安全风险问题更是需要加以重视。在大数据技术与经济全球化深度耦合的背景之下,国家区域之间的数据跨境流动已成大势所趋,以数据驱动为核心的中概股互联网企业前往海外上市也愈发常见。尽管我国数据安全法、网络安全法等法律规范的出台已经构成了数据安全范畴下的基本法律框架,但是企业数据伦理问题才是滋生国家安全风险的底层诱因。这就要求我国不仅要从法律层面对企业数据采集、处理、分析以及数据流动等行为进行法律规制,并积极参与相关国际监管合作,更要从伦理层面培育树立以人为本的数据伦理观,使企业的数据价值理念与大数据的发展、社会公众利益的导向以及国家安全风险的防范更加契合,实现数据驱动型企业的良性发展。