1. 问题的提出
自习总书记2023年在黑龙江考察调研时提出“新质生产力”这个全新概念并多次就其作出重要论述、提出明确要求,到2024年的政府工作报告将“加快发展新质生产力”列为今年政府工作十大任务之首,发展新质生产力已不仅是承载殷切期盼的时势选择,更是一项责无旁贷的时代使命。新质生产力,是以全要素生产率大幅提升为核心标志的高效能生产力,在如今数字经济时代更是数字沃土滋润下更具融合性和渗透力的先进生产力。从微观视角看,数字经济本质是数字技术驱动的数据经济[1],数据作为关键的生产要素,与新质生产力之间存在着深度联系,在合法合规地高效流通和充分利用后,对新质生产力的发展具有不可或缺的驱动作用。从宏观视角看,生产力本身是一个历史范畴,新质生产力标志着人类社会生产力发展到了更高阶段,既发端于新一轮的产业技术革命,又孕育于物质基础和制度效能之中。全球新质生产力的竞争,表面是科技创新的竞争,背后则是与新质生产力相匹配的制度供给的角逐。法制是制度中的最高形式,法治是法制运行和实施的动态系统。在法治轨道上实现新质生产力,首先要推进前沿立法实践,这既是当前打通束缚新质生产力发展堵点卡点的现实考量,也是着眼于法治现代化和高质量发展追求的战略规划,更是助力实现新质生产力由新概念生成到制度输出的关键一步。
随着新质生产力概念的孕育和不断充盈,其也迅速跃升为学术探索领域的关注焦点,引起了学界讨论的热潮。追踪关于新质生产力的理论研究发现,一方面,众多公开发表的学术成果显著倾向于总体阐释,侧重研究新质生产力的基础性议题,如内涵表现、重要意义、显著特征、思想阐释等,即使有成果解答了新质生产力的实现路径,但是却没有进一步廓清生产要素的规制机制;另一方面,现有研究视角尚未展开,多是从经济学、管理学、政治学切入,法学研究视角的积极策应鲜少。虽然立足于法治高度对数字经济相关内容的研究成果已有一定的积累,但是在发展新质生产力的导向下,法学界从制度供给层面的回应还不够周全、细致和清晰,更遑论对数据安全法制供给进行反思。职是之故,本文从宏观出发,着手微观得出“在法治轨道上构建‘韧性化’的数据安全制度体系,以赋能、保障新质生产力的涌现式生成和可持续发展”的中心思想。行文将会首先阐释发展新质生产力中数据生产要素的乘积效应,而后关注发展新质生产力中数据安全法制“韧性化”保障的需求逻辑,最终聚焦于探寻发展新质生产力中“韧性化”数据安全法制供给的路径,以期为丰富法学视域下新质生产力研究提供边际化贡献。
2. 发展新质生产力中数据生产要素的乘积效应
新质生产力是一个结构错综复杂的庞大系统,它以劳动者、劳动资料、劳动对象及其优化组合的跃升为基本内涵,以全要素生产率大幅提升为核心标志[2],是在数智化的生产条件下,以新型生产要素为基础,以前沿科技和颠覆性技术为主导,以数字经济和智能经济为发展介质而形成的新质态[3]。新质生产力的新颖性,首先体现在它扩大了人类可利用生产要素的范围,它的形成和发展需要新型生产要素,新型和传统的生产要素创新性配置和优化组合又不断形成更为丰富的新质生产力,《数字经济2024年工作要点》1提出“要以数字经济创新发展培育新质生产力,助力高质量发展”。可以说,数字经济已然成为推动新质生产力发展的重要引擎。新质生产力的根基深植于实体经济之中,数字经济通过前沿数字技术的深度渗透,不仅加速了与实体经济的融合进程,还显著提升了实体经济领域的数字化水平,从而构筑了新质生产力坚实的物质基础。更具体地,在数字经济时代,数据的角色经历了根本性的转变,不再仅仅是测度或统计的结果,而是成为信息的一种表现形式和数字化载体,具有丰富的信息化内涵[4]。作为先进的生产要素,数据向发展新质生产力集聚2,在与其他生产要素融合时充分发挥出特有的乘积效应[5],从而大幅提升全要素生产率,进一步实现依赖要素投入的传统生产力向创新驱动为核心的新质生产力方向跃迁。
2.1. 数据 × 劳动力:数据要素培育新质劳动力
劳动者作为生产力中最积极、最活跃、最重要的因素。数据要素促进了劳动力素质和结构的优化升级,首先,数据要素的融合提升了劳动者的思维能力和技能水平。数字化劳动环境对劳动过程赋予了更智能化、精准化的标准,劳动者需要具备处理和分析数据的能力、数字技术的使用能力以及知识快速迭代的能力,这种思维的培养和技能的提升,使得劳动者能够在同等的劳动时间内推动更大规模的物质要素运作[6]。其次,数据要素的应用拓宽了劳动主体的边界。在此背景下,人工智能可能成为新型劳动主体,基于数据要素的人机协同更是极大地提高了劳动效率和质量,为劳动力市场注入了新鲜活力。再者,数据要素的赋能催生出供劳动者就业的新形态,平台经济、远程办公、自由职业等这些新型就业形态打破了传统就业模式局限,使得劳动主体不再受限于全职员工或特定行业,推动劳动力结构向更高级、更灵活的质态发展。
2.2. 数据 × 劳动对象:数据要素孕育新质劳动对象
劳动对象是物质生产活动的具体加工目标。在数字产业化和产业数字化的双重推动下,数据可以成为被生产的商品,而且传统社会再生产的过程也可以被数据要素深刻改造[7]。一方面,数据作为新型劳动对象在广泛投入使用的过程中,不仅可以突破传统生产活动时间和空间维度上的限制,而且能够敏锐捕捉市场动态,实现产品与服务的高度个性化和定制化,进而解锁价值创造的新维度。另一方面,数据要素的嵌入也极大拓展和深化了劳动对象的概念,劳动对象已逐步从传统特征的自然物质向虚拟化的多属性物质转化。此外,数据牵引绿色化改造的功能也不容小觑,依托数据要素的强大驱动力,一系列技术和能源的变革不仅孕育了多样化的绿色新兴业态,而且构建了绿色低碳为特征的现代化产业体系框架,为经济社会的可持续发展奠定了坚实的基础,完美契合新质生产力发展中“以新促质”的目标。
2.3. 数据 × 劳动资料:数据要素塑造新质劳动资料
劳动资料是劳动者改造劳动对象时所用的物质工具与手段的总和。首先,数据要素与数字平台共同构筑而成的新型生产工具为市场经济主体间的数字化互动提供了前提,这一过程不仅限于生产链的单一环节,而是贯穿从产品构思、原材料筹措、制造工艺的精进、品质监控,直至市场推广与售后服务的全周期链条中。其次,数据要素与数智技术的深度融合引领着传统机械制造领域的革命性飞跃,智能化控制架构与自适应算法的融入,助力实现传统生产设备自动化与智能化水平的显著提升。再者,数据要素催生的富含先进技术和绿色创新特质的新型劳动工具,充分应用后可以延伸并更新传统的产业链,推动传统产业的数字化转型,进而实现产业结构的优化和升级[4]。
3. 发展新质生产力中数据安全法制“韧性化”保障需求
3.1. 在实践中易囿于形式主义的困境,降低司法效率
发展新质生产力中数据安全法制“韧性化”保障顾名思义是需要充分发挥数据法治对于新质生产力的涌现式生成和可持续发展的重要作用。
由前述可知,数据作为一种新型且关键的生产要素,可以通过释放乘积效应驱动新质生产力发展。法治作为上层建筑的核心组成,其影响力深远地渗透至经济基础层面,形成直接的互动效应。经济基础,作为生产关系的集合体,同样对生产力的发展施以直接且关键的反向作用。如此法治通过直接塑造并优化经济基础,间接却强有力地促进了生产力的进步,这一逻辑在发展新质生产力的语境下同样适用。习总书记在党的二十大报告的法治建设专章中就高屋建瓴地指出:“必须更好发挥法治固根本、稳预期、利长远的保障作用,在法治轨道上全面建设社会主义现代化国家”[8]。法治为新质生产力的发展扫清制度性障碍,创造可靠的“软环境”[9]。在法治轨道上实现数据治理,可以实现新质生产力发展的动力机制从依赖物质基础的单一驱动向强调制度基础为核心的多维推进转型,促进动能结构的深刻转换与升级[10]。数据法制保障的供给实践优化了新质生产力各要素的协作和组合,并为数据要素与传统生产要素深度融合提供制度支持,满足发展新质生产力全要素生产率大幅提升的目标要求。
良法是善治之前提。发展新质生产力中发挥数据法治的保障作用最重要的是以“良法”为目标构建“有形之轨”。完善数据法制供给对于各类经济主体普遍依法行事,形成稳定、理性的预期,维护整体法律秩序,促进新质生产力发展,具有更为重要的价值[11]。良法是内容科学的、民主的、依法的法,在法典化浪潮汹涌的当下,数据法制供给应该着眼于现实需求和立法现状,尊重立法的规律,不能因为涉及新兴领域就太过激进冒险,同时应该避免形式主义的问题,不能盲目追求法律条款的数量增加来应对未知的风险,而应该增强相关法律条文的有用性或实用性。此外,无形大道对“有形之轨”的构建也极其重要,深谙其道才能实现立法实践“良性”的目标。“道”既指相关重要规律,又指要体现理念和价值。因此,若想充分发挥发展新质生产力中数据法制的保障作用,不仅要遵循社会基本矛盾运行规律3以及经济建设规律,也要注重新发展理念的融会贯通,体现安全、发展、效率等各类价值。
3.2. 在实践中会增加公众的疏离感,使信息弱者处于劣势
无论究其必要性还是可行性,发展新质生产力中数据法制保障的作用充分发挥进一步要求先行规范数据安全的法制供给。
一方面,从现实需求角度,在新质生产力发展的过程中“数据风险”作为无可避免的附着物,正不断拷问与检验人类社会的安全把控能力。在数据与其他要素优化组合发挥倍增效应赋能新质生产力发展的过程中,越来越多的数据投入流通、交易、使用和分配领域,数据的应用范围会更加广阔、使用场景也会更加丰富,数据泄露、数据滥用、数据损毁、数据篡改等安全问题的威胁日益凸显。《数据安全法》第3条第3款4就给予了“数据安全”明确定义,数据安全如无法得到保障,数据要素的交易和流通便无法行稳致远,数据要素的价值和动能便也无法充分释放。数据风险潜在地威慑着个人、企业、社会乃至国家安全,不仅会阻碍新产业、新业态、新模式的出现,高质量发展的目标终将落空。
另一方面,纵观国家出台的与数据要素相关的政策文件,也无一不将数据安全置于首位,这也为数据安全法制供给的优化提供了强有力的政策环境支持。2022年12月2日公布的“数据二十条”5就有14处提及数据安全,始终将数据安全作为重中之重,高度重视数据安全保护。2024年7月18日《中共中央关于进一步全面深化改革推进中国式现代化的决定》在提及健全新质生产力体制机制时就强调指出要强化安全制度约束,在提及加快构建促进数字经济发展体制机制时也明确要提升数据安全治理监管能力6。由此可观,在数据基础法制的体系建设中,数据安全法律制度已经走到了产权、收益分配和交易制度等其他法制建设的前面,数据安全法制供给的优化为数据安全治理能力的提升奠定了坚实的基础。但在实践中,目前我国数据要素安全法制偏重于安全保护理念融入制度的安排,缺乏对精细化的立法设计。
3.3. 在实践中易成为恶行和恶法肆虐的帮凶,损害司法公信力
探究先行规范发展新质生产力中数据安全法制保障的具体方法论,就需要更进一步地引入“韧性化”的理念要求。
“韧性”的原意是指弹性、伸缩性,用以说明物体在受到外在冲击和扰动时以保持原状或者快速恢复原状的性质与能力[12],当此概念被引入社会领域时,其意在提升系统面对外部压力时的稳固性和自我复原能力。学界通常将其定义为综合评估一种系统面对外部强力干扰或冲击时,为“恢复甚至超越原有状态”而抵抗、适应、学习、修复或重构的能力7。“在社会治理过程中,外部的强力突扰或冲击可称为“风险”,风险是某一时间内某种特定危害发生或者某种行为、物质引发危害的可能性,具有“不确定性”的外观。“制度”则是社会治理系统中最基本的模块,引入“韧性”理念后,制度将进化为更具灵活性和适应性。韧性”取代“刚性”的关键之处在于强化制度供给在非常态下的响应性及适应性,这就要基于稳健多样、动态学习的立法设计。适用韧性化理念的原因可以包含两点:一方面,鉴于人类理性的局限性,全面预见并详尽规划所有危机应对策略实属不易,这凸显了既定、统一的风险管理策略与多变、错综复杂的治理现实之间的内在冲突。无论制度设计多么缜密,面对难以捉摸的风险挑战,都难以确保万无一失,体现了制度刚性与现实不确定性之间的张力。因此,唯有优化制度中内在要素和外在结构彰显制度的灵活性、适应性、进化性来弥补制度悖论所带来的治理困境[13];另一方面,韧性是中国特色社会主义制度鲜明品性,是衡量一个制度是否先进和强大的重要指标,但是这种韧性也需要呵护滋养、自觉创新、与时偕行[14]。用韧性理念优化制度供给,也是常态化情境下“居安思危”和非常态应急情境下“转危为安”治理理念的秉持和传承。
学者仇保兴在进一步探究“韧性理论”的内容构成时就曾通过“动态球盆模型”分析指出,韧性可体现在结构、过程和系统三个方面。有鉴于此,下文将在“韧性”供给理念的基础之上,遵循“纵向–横向、事前–事后、主要–次要”的逻辑脉络,详细阐释数据安全法制“韧性化”供给的实现路径:体系韧性化、过程韧性化和组织韧性化。
4. 发展新质生产力中数据安全法制“韧性化”供给路径
4.1. 体系韧性化的反思与要求
应对数据风险复杂化嬗变,需要法律制度的结构体系提供“框架”保障,体系韧性强调的就是法律制度系统内外是否相辅相成、和谐统一,这很大程度上影响着法制效能的释放和韧性的维持。凡是体现善治的法律制度,必须是完整自洽的,在法律制度内部,各位阶的法律协调和各类别的法律配套又进一步横纵交叠地提供了更为清晰的衔接脉络。具体而言,当前应对数据风险所面临的挑战在于各位阶法律间的协调与互补,以及有效解决各种法律规范间重复交叉的问题,而非再是法律的缺失。因此,为整体性应对数据风险,避免数据法律碎片化,须优化法律制度间的衔接,有序推进法制体系化发展与结构韧性强化的进程。
首先,当前面对国内外的数据安全态势,我国在法制供给上做出了积极回应,以《网络安全法》《数据安全法》和《个人信息保护法》为主的系列立法推动了数据安全保障制度结构体系的基本建立。一方面,这“三驾马车”作为上位法为下位立法提供了最为关键且直接的规范支持,相关下位规范应该在三部法律的总体要求下结合各层级法的特点,建立更有操作性、细节性并可以落地实施的法制;另一方面,这“三驾马车”作为强管制性的公法也肩负了数据的控制和保护的主要义务。充分发挥三部法律的协同作用,一是要厘清三者的区别和联系;二是要理解出现规制重叠现象的原因。
第一,《网络安全法》所保护的是数据所承载系统的运行,《数据安全法》和《个人信息安全法》则都聚焦于数据本身的安全,数据安全宏观性地对数据保护和数据控制者提出制度要求,包括个人信息和非个人信息,个人信息安全将范围限缩为与个人密切相关的数据信息在更多具体场景的保护。从法律属性看,《网络安全法》作为国家基本法律对应网络系统的安全管理,《数据安全法》作为相关领域的基础性法律对应数据的安全管控,《个人信息保护法》作为专门性法律对应个人信息的安全保障;从立法目的看,《网络安全法》和《数据安全法》旨在维护国家安全、社会公共利益和组织权益,前者聚焦保障国家网络主权与整体安全,同时兼顾社会公共及组织利益;后者则着重数据安全,以此强化国家安全防线。而《个人信息保护法》则以个体为核心,旨在保护个人隐私、尊严及财产权益,通过规范信息处理流程,推动个人信息资源的合理开发与利用。
第二,《数据安全法》作为另外两部法律在数据运行和内容安全保护领域的细化和延伸,三者的功能和目的是可以同时存在甚至叠加的。在私法上数据是无法被完全权利化的,故对于数据的保护只能基于各种理由进行公法控制,这种控制体系中的各种理由会在特定的立法目的下被同时涉及[15],但不同的法律规制的侧重点会有不同,因此数据安全法制系统内的三部法律各有其合理的控制理由,这也是结构体系韧性存在的应有之义。
4.2. 过程韧性化的反思与要求
数据安全把控过程的韧性化,主要分为事前预防、事中控制、事后补救修复三个阶段,审视我国当前的法制供给内容不难发现,在法律条文的制定上,对于事前预防与事后处理的详尽规定尚显不足,然而随着数据风险隐匿性、突发性的特征日益凸显,唯有给予数据全生命周期的安全保护才能助力过程韧性的深化,这就需要进一步细化和完善相关规定。
4.2.1. 风险预防原则的确立
韧性概念的核心在于构建时空上的冗余空间与安全缓冲,以此赋予法制系统应对数据风险的适应性和包容性。在探讨数据风险治理的法律规范保障时,单纯依赖刚性、确定性的制度与法律框架,已难以有效应对日益复杂多变的数据风险挑战,从而难以彰显数据风险治理所需的韧性特质。风险预防原则以高度抽象性为特点,既未具体界定法律后果的边界,也未设定必须适用的硬性条件,这一特性使其具有充分的解释空间,在立法、执法及司法实践中能够依据具体情况灵活变通地加以运用,在一定程度上填补了“刚性有余而韧性乏力”具体规范的不足。风险预防原则可被整合为更具体性的行动指引,从而触发更深层次规制内容的变革。
目前,数据立法中已开始出现风险预防原则的意蕴,但是未明确风险预防的原则,仅仅是体现在具体条文的用词表述之中。例如,《个人信息保护法》第11条规定要求国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为;《数据安全法》第22条规定要求了国家建立数据安全风险评估机制;《网络安全法》第51条规定要求国家采取措施防御来自于境内外的网络安全风险和威胁,以上立法中“预防”“防御”“风险评估”等词都直接或间接地体现了事前风险预防的立法原意。从具体规范上来看,尽管我国已形成数据全生命周期管理机制,但仍对“不确定性”和“预防”的表达不足[16]。即使《浙江省公共数据条例》《贵州省大数据安全保障条例》等下位行政法规中采用了“预防为主”“安全可控”等表述,但目前与原则的明确建立或适用仍有距离。对此,亟需优化数据安全事前预防的法制供给,明确风险预防原则的文本表述,厘清该原则的适用条件。
其一,就风险预防的前提条件而言,其通常仅在面临“严重或难以逆转的损害”威胁时方得依法实施,然而潜在危害“不确定”的特性往往意味着后果也是未知的。碍于知识局限,规制主体在初始阶段难以精确识别和锁定风险,实践中更倾向于依据风险因素的综合评估来划定风险等级,以此作为应对策略的依据。风险规制主体在设定危害后果等级时,应将数据资源风险事由与等级类别纳入考量范围,并作为启动预防措施的条件之一。随着风险知识的累积也应动态调整这些设定,确保风险预防原则有效贯穿于数据全流程的评估之中。欧盟数据立法《通用数据保护条例》(简称GDPR)是以“高风险”“风险”“不太可能发生风险”作为标准8。虽然立法上也未明确分级标准,但是欧盟立法这种将预期危害后果与预防举措相匹配的立法思路值得借鉴。我国《网络安全法》首次提出了“重要数据”的概念,该法第21条和第37条都针对重要数据提出了相应保护举措的要求,同时《数据安全法》第21条也规定了国家建立数据分级分类保护制度。但是两部法律都未界定何为“重要数据”,也未进一步划分其他级别的数据。其二,就风险预防的限度条件而言,则可以引入“风险临界值”“成本效益原则”“比例原则”等分析工具,因为这些工具均以平衡利益为追求,数据风险治理正关涉不同利益主体、多种利益的平衡,理应在客观上设定风险预防措施实施的限度。其三,就风险预防的排除条件而言,若受规制方能提供“不会发生危害或危害发生概率极低”之确凿证据,则先前实施的数据风险预防措施可依据实际情况适时予以解除。此“反向验证机制”旨在动态优化数据风险应对策略的适用性与灵活性,同时,它也作为受规制方针对公权力行使的一种正当权益保障手段,旨在平衡公正与效率。
4.2.2. 风险沟通机制的适用
数据风险从藏匿到爆发具体可细分为三个阶段:潜藏、爆发初期、实际发生后,风险沟通与交流机制应该贯穿于风险活动的全过程。在数据风险处于潜藏阶段时,充分吸收公众意见,集中专家和专员的判断,此时风险沟通就是承接风险评估和决策的中枢环节,但在《数据安全法》等法律中却欠缺明确的相关规定。在风险爆发初期,预警机制就发挥着风险沟通与交流,即预先向所有受影响的利益相关方披露风险详情及其潜在影响,以便他们能够及时调整心理预期并做好应对准备;而在风险实际发生后,风险沟通则指迅速且有效地将风险信息传达给可能受影响的群体,确保后续的风险应对与处置流程能够更加顺畅无阻。
公众基于平等地位享有风险知情权和决策参与权,这一逻辑架构强调了风险沟通前置的迫切性,要求在风险评估流程之后,即时且有效地发布预警信息。即便面临数据风险后果尚存不确定性的情境,亦需确保风险信息发布的客观性与全面性,旨在规避信息传递过程中的失真现象。此外,强化公众对于数据风险信息的敏感度与应对能力,作为一项关键策略,应受到同等重视,以促进社会整体的风险应对效能[13]。我国《数据安全法》第29条规定了发生数据安全事件时,应当及时告知用户并向有关主管部门报告。《网络数据安全管理条例(征求意见稿)》第11条9进一步细化了通知内容、通知程序的期限要求以及方式要求[17]。此外,《网络安全法》第42条和《个人信息保护法》57条也都简单规定了责任主体的风险告知和报告义务。
审视风险沟通相关法制供给的情况,总体上我国的数据风险信息交流机制的规定较为粗放,一是立法中尤其欠缺事前的风险信息交流与沟通的机制,事后的沟通机制规定的也有失精准;二是立法在风险信息的传递与输出上侧重于单向赋予公众的知情权,未能构建基于双向互动的协商与反馈机制[16];三是立法所规定的告知内容存在局限性,往往仅停留在对一般事实的陈述层面,忽略了深入解释风险决策的形成过程、潜在结果以及应对建议,从而限制了风险信息的全面沟通。因此,优化相关法制供给可以借鉴欧盟GDPR第34条10的规定,在立法中进一步细化对“集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制”的规定,填补风险沟通功能,深化过程内容的韧性。
4.3. 组织韧性化的反思与要求
组织构成现代社会的基石,是国家治理中权力与资源分配的具体体现,它引导治理主体(无论个体或集体)实现行为的规范化和有序化[18]。组织在数据安全危机中迅速调动资源并积极依法处理突发事件的这种运行能力体现了制度系统的韧性特质,组织内部主体结构关系的稳健性也是组织韧性的内化要求。
4.3.1. 公权力主体之间的协作
在监管主体上,《数据安全法》明确了中央国家安全领导机构统筹协调下“一轴两翼多级”的监管体制。“一轴”指国家网信部门,“两翼”指公安机关和国家安全机关,“多级”既包括工业、电信、交通、金融等行业主管部门,也包括全国各地区、各部门。国家网信部门负责的是网络数据安全和个人信息安全及相关监管的工作11,公安机关和国家安全机关在各自职责范围内承担的是数据安全监管职责,各地区、各部门、各行业、各领域则对一定范围内的数据负责。由此可见,《数据安全法》的出台虽然在一定程度上改变了数据安全监管分散交叉、政出多门的局面,但是客观上并未消除设置重叠、职能混同的潜在风险。在纵向上,因各个地区经济发展水平、数字化程度不同,央地监管主体数据立法的能力建设有所差异,再加上地方人才、信息、技术等资源配置的欠缺,中央与地方监管主体的协作就无法高效推进。在横向上,虽然各行各部门仅在自己负责的范围内进行管理,但是在数字经济时代,高流动性、强渗透性的数据难免会具有多个领域的属性,且各行业各部门都面临着数字贸易、数据税收、平台治理问题的困扰,角色定位、界限划分的模糊最终也会阻碍监管主体之间的协作。
因此,若要充分释放纵向上广域和横向上跨类的协作效能,首先要促成各主体达成监管共识,以新质生产力发展导向指引各主体共同发力把控数据安全治理。各主体应注重制定规则的“软联通”,尤其是在操作层面的标准规范、规则的对接和行动的结果等方面达成更大的目标共识,通过共享信息、统一标准规范促成协同行动[19]。此外,要推进关系型信任向制度型信任的跃升,维持各主体间积极健康的沟通渠道,可以通过深化业务关联作为桥梁,发挥部门领导及关键人物的社会网络优势,利用高效的对话机制、信息交换及利益协调手段加深信任。再者,还可以归纳共识、经验和案例,以文本化方式沉淀数据安全治理的法治经验,力求在法制层面达成广泛而深入的共识,降低重复探索制度供给的成本。
4.3.2. 公权力主体与社会力量的协同
社会公众和社会组织是数据风险的密切接触者和重要感知者,大数据时代,数据风险面前每个人都不是幸存者,不仅个人信息泄露与社会公众直接相关,公共数据安全也关乎每个人的幸福指数。因此,在数据风险面前,社会力量与拥有公权力的监管主体自然构成“利益共同体、责任共同体和命运共同体”。《数据安全法》第9条就开宗明义地指出我国积极推动有关部门、行业组织、科研机构、企业、个人共同参与数据安全保护的工作。
然而,想要真正实现从“一维管制”向“多元共治”局面的演变,光靠宣誓性的文本支持是远远不够的,重要的是充分激活数据安全制度供给中关于“公众参与和信息公开”的具体规定:除了细化落实《数据安全法》第17条“参与标准制定”、第18条“数据安全风险评估防范处置协作”、第23条“事后向社会公众发布信息”、第41条“按时准确公开政务数据”以及其他相关法律法规之外,还需通过完善宣传、教育、培训等多元制度机制的建构来提高社会组织和个人的风险应对能力。总之,可在《数据安全法》第5条确立的国家数据安全工作协调机制框架下,进一步通过法律制度的精细设计,为多元主体参与治理机制的优化和有序组合创设条件。
5. 结语
在数字经济的时代背景下和新质生产力的发展过程中,构建“韧性化”的数据安全法制供给对于应对错综复杂的数据安全形势,保障数据要素乘积效应的发挥,促进经济高质量发展,实现中国式法治现代化,无疑都具有重大的理论价值和现实意义。为此,亟需引入“韧性”理念配置数据安全法制供给,既要优化法律制度的衔接与配置,有序推进法制体系化发展即结构韧性强化的进程;又要把控过程韧性的深化,确立风险预防原则,完善风险沟通机制;还要加强数据安全治理过程中公权力主体和社会力量关系的稳健性、运行的协同性,通过法制供给阶段的精细设计,为法制实施阶段多元治理的优化实现和制度内容的高效运转创设条件。简而言之,发展新质生产力中数据安全法制“韧性化”的供给,侧重强调的是法律制度系统在应对数据风险时的稳固性和适应性,稳中求进地实现法律制度的设置目标,由此彰显数据法制乃至整个中国特色社会主义法律体系的内外兼修和统筹兼顾。
基金项目
本文系2024年江苏省“研究生实践创新计划”项目阶段性研究成果(项目批准号:SJCX24_2170)。
NOTES
12024年5月1日国家发展改革委办公厅国家数据局综合司印发《数字经济2024年工作要点》。
22024年7月18日中国共产党第二十届中央委员会第三次全体会议通过的《中共中央关于进一步全面深化改革推进中国式现代化的决定》中的第(8)点。
3社会基本矛盾运行规律主要涉及两对矛盾及其相互关系,即生产力和生产关系之间的矛盾,以及经济基础和上层建筑之间的矛盾。
4《数据安全法》第3条第3款规定,数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
5“数据二十条”指的是《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》。
62024年7月18日中国共产党第二十届中央委员会第三次全体会议通过的《中共中央关于进一步全面深化改革推进中国式现代化的决定》中的第(8)点和第(9)点。
7加拿大生态学家霍林(Holling)最早将韧性及其理念应用于系统生态学领域,认为生态韧性是衡量生态系统吸收变化并保持生存的能力。
8具体规定为:对于高风险,数据控制者原则上应当及时向数据主体告知相关信息,在处理行为之前评估其可能带来的影响并咨询监管机构。对于一般风险,数据控制者和处理者应当采取包括但不限于“匿名化和加密”等与风险相称的技术。对于不太可能的风险,可以不适用数据控制者需在规定时间内告知监管机构的规定。
9《网络数据安全管理条例(征求意见稿)》第11条安全事件对个人、组织造成危害的数据处理者应当在三个工作日内通知利害关系人,无法通知的可采取公告方式告知。
10欧盟《通用数据保护条例》第34条规定了数据控制者还应当在数据发生泄露时及时告知相关数据主体有关数据泄露的详细信息,应当以明确和简单的方式告知数据主体数据泄露的性质,并且应当为数据主体提供积极有效的建议以避免损失的扩大。
11除了《数据安全法》第6条的规定外,《网络安全法》第8条以及《个人信息保护法》第60条也分别规定了国家网信部门负责统筹协调网络数据安全和个人信息安全和相关监督管理工作。