陈振其|监管沙盒:数据要素治理新方案
作者:陈振其 公海gh555000aa线路检测
来源:《图书馆论坛》2024年
基金项目:本文系国家社科基金重点项目“大数据时代政府信息公开制度变革研究”(项目编号:18AFX007)研究成果。
目次 0、引言 1、科层式监管难以适应包容审慎的监管要求 1.1 数据要素治理的包容审慎要求 1.2 科层式监管模式及其困境 2、数据监管沙盒能够有效平衡安全与创新 2.1 数据要素治理的监管沙盒模式 2.2 沙盒的协同治理能够形塑监管弹性 2.3 沙盒的扁平化架构纾解信息滞后难题 3、数据监管沙盒的制度建构 3.1 由中央国家机关作为实施主体 3.2 将创新性作为申请资格的核心评价标准 3.3 监管行为应注重释放数据要素价值 3.4 以协同合作实现监管目的 4、结语
引言 数据作为新型生产要素,是驱动数字经济发展的基础。但不可否认的是,数据要素的创新应用也会带来数据安全问题,对国家安全、商业秘密和个人隐私造成侵害。2022 年 12月 2 日印发的《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称《数据二十条》)要求充分发挥政府有序引导和规范发展的作用,守住安全底线,明确监管红线,建立健全鼓励创新、包容创新的容错纠错机制。因此,监管部门如何平衡数据安全与创新之间的张力,避免因监管不力致使安全风险累积,或过度监管制约创新,是数据要素治理的重要课题。从比较法视域观察,起源于金融科技治理领域的监管沙盒制度是有效平衡数据要素创新与安全的监管工具,其核心要义是通过建立一个受控制的测试环境,使企业可以在其中测试创新金融产品或服务,而不至于引发系统性金融风险,企业也无须立即承担因违法而产生的监管责任。2023 年 1 月 1 日,国家发展和改革委员会提出既要鼓励企业在数据要素应用上的首创精神,又要建立有效的数据沙箱机制防范化解重大风险。北京国际大数据交易所成立时亦提出探索将数据创新融通应用纳入到监管沙盒,这为我国数据要素治理的变革提供了可行方案。 近年学界对监管沙盒制度的研究集中于以下方面:一是概念。Bromberg 等提出,监管沙盒是为企业提供测试金融科技创新产品的安全空间。王频等认为监管沙盒是一种附条件享有监管豁免的“试错机制” 。二是功能,包括鼓励金融科技创新和风险控制,使监管者充分学习金融科技,降低金融产品上市后的监管成本,保护金融消费者权益。三是对不同国家或地区监管沙盒的比较。比如,比较英国、澳大利亚、新加坡等地金融科技监管沙盒,认为尽管各国在监管主体、适用范围等方面存在区别,但都鼓励金融科技创新。四是监管沙盒的本土化构建。比如,我国应从转变监管理念、完善运行程序、推行地方试点、保障消费者权益等方面建构金融科技监管沙盒,或通过“主管部门+行业协会”相结合的模式建构金融科技监管沙盒。上述研究对监管沙盒的构建颇具理论与实践指导意义,但集中于金融监管领域,鲜有学者就数据监管沙盒如何构建进行理论上的回应。基于此,本文从对科层式监管制度困境的反思出发,尝试以监管沙盒作为数据要素治理的基石,并提出数据监管沙盒的建构方案。 科层式监管难以适应包容审慎的监管要求
《数据二十条》提出构建包容审慎的数据要素监管模式,但当前科层式监管的刚性管控与信息不对称等问题导致监管效果不彰,难以适应包容审慎的数据要素监管要求。
1.1 数据要素治理的包容审慎要求
包容审慎监管是国家为缓解数据要素流通利用和安全保护之间的紧张关系所提出的监管原则。一方面,如果允许数据要素自由流通利用而不加干涉,可能存在侵害国家安全、商业秘密和个人隐私的风险;另一方面,如果对数据要素采取严格的规制措施,势必会对数据的流通利用造成阻碍,影响数据要素价值的释放。基于此,《数据二十条》提出建立健全鼓励创新、包容创新的容错纠错机制,即包容审慎的数据要素监管方式。所谓包容审慎监管,是指政府对新技术、新业态、新模式采取宽容的态度,在守住安全底线的前提下,监管措施的采取要审时度势、谨慎干预,为新产业的发展留足制度空间,包含“包容监管”和“审慎监管”两项内容。 包容监管就是要求政府应当鼓励创新、保护创新、包容创新,对数据要素创新中可能产生的错误持宽容态度。当新业态处于发展初期时,不要严格规制,而是提供容错纠错的空间。进一步讲,包容监管首先要求政府应当鼓励、支持数据要素在各行业、各领域的创新应用,鼓励社会主体研发新型数据处理技术、探索新型数据应用场景,以“行业数据大脑”“城市数据大脑”“数据靶场”等形式深化数据应用。譬如,美国信息技术与创新基金会在《支持数据驱动型创新的技术与政策》中建议,政府应当推动与数据相关的技术研发,包括提供资金支持、制定技术标准等。我国《数据安全法》第 16 条规定政府应当鼓励数据开发利用和数据安全等领域的技术推广和商业创新,培育、发展数据开发利用和数据安全产品、产业体系。同时,包容监管遵循实质正义的逻辑,要求为符合社会发展趋势的数据要素创新行为提供容错纠错空间。换言之,政府对数据要素创新行为应暂缓干预,为市场留足发展空间,在采取监管措施时应遵循“执法不必然严,违法不必然究”原则。 审慎监管则是指要对数据要素创新过程中带来的潜在风险进行积极预防和控制,不得放任不管。也就是说,审慎监管着眼于维护数据安全的价值取向。数据的汇聚流通、开发利用不能存在危害国家利益、公共利益及个人合法权益的风险,数据要素的开发利用应当处于“相对安全”的环境中。实践中,一些数据技术研发公司以“技术创新”的名义,将智能芯片嵌入学生校服之中,配合监控系统等对学生的动态定位、学习表现、饮食甚至生理状况进行全天候追踪,并将数据自动发送给家长和老师,严重侵害学生隐私权。审慎监管就是要求监管部门对这类行为进行积极的预防和规制,守住数据安全的底线和红线。
1.2 科层式监管模式及其困境
科层制以“非人格化精神”的技术理性取代人格化行政模式,成为公共行政组织建构的普遍形态。我国数据要素治理过程中形成的规范和组织两大支柱成为科层式监管模式有效运转的支撑:一是持续完善的法律规范为数据要素治理机制运作提供了法律要件;二是各级政府设立的监管机构为数据要素治理机制运行提供了科层式组织要件。虽然科层制具有精确性、稳定性、纪律的严厉程度等特征,一直被视为最佳的行政管理形式,然而科层式监管也存在弊端,难以适应包容审慎的数据要素监管要求。 1.2.1 按章办事的刚性管控导致缺少容错空间 数据要素创新往往表现为“非法兴起” ,可能因缺少许可或违反监管规范而表现出“与法不符”的状态。对此,监管部门不能僵化地套用传统规制标准,否则会因严格规制破坏创新技术催生新兴行业的可能。但在科层式监管中占据支配地位的是非人格化的规范,每个人都处在同样的经验、同样的待遇之中,组织的规范并不顾及个人的直接利益。因此,在谈到科层人员与服务对象的关系时,矛盾的结构性根源之一就是服务对象希望受到个别的、充满感情的照顾,而科层机构却强调正规的、不带感情色彩的工作方式。《数据二十条》提出建立弹性包容的数据要素治理制度,然而科层式监管奉行按章办事的刚性管控,具有“一刀切”式的监管倾向,与数据要素创新要求的弹性化管控相冲突。 《数据安全法》以数据安全保护制度为中心,强调数据处理者的安全保护义务,缺少对数据要素创新的差异化监管措施。在强调“按章办事”的刚性管控下,“非法兴起”的数据要素创新也是形式违法行为,应当受既定规则的严格约束,监管部门无法为数据要素创新行为提供包容创新、鼓励创新的监管环境。比如,上海晟品网络科技有限公司等非法获取计算机信息系统数据案,因被告使用“tt_spider”文件绕过服务器中的身份验证等措施,实施数据抓取行为,法院依《刑法》第 285 条第 2 款等规定,认定被告成立非法获取计算机信息系统数据罪。但该案存在的问题是,被告抓取的是可由授权用户正常访问的开放数据,行为人是否构成犯罪尚存疑问。从监管角度而言,科层式监管中一刀切式的监管方式缺少对数据爬取技术的差异化管控措施,在该技术未成熟之前的预先规制可能会出现“红旗法案”效应,进而降低了通过爬取、分析开放数据创造新产品、服务及商业模式的可能性。
1.2.2 层级节制的科层架构造成信息滞后 《数据安全法》规定网信部门等不同层级政府部门维护数据安全的职权与职责,在明确各部门职责分工与协作中构建起数据治理的科层组织要件。但“条块分割”组织架构使科层式监管面临信息不对称问题,无法有效发挥政府的规制功能。 (1)科层组织内部信息不对称。在权力的纵向维度上,科层组织呈现出金字塔式的结构,上下级政府之间的信息流转必须经过层层审批上报,漫长的等级链条造成了信息的滞后和失真。《数据安全法》第 5 条规定,中央国家安全机关负责制定、指导实施国家数据安全战略和有关重大方针政策。但在科层组织中最低层级的行政人员远离权力中心,信息甚至需要经过五层过滤、筛选最终到达权力中心。这就导致科层式监管框架缺乏一种机制,可以简洁而又预见性地将有益的创新理念告知规则制定者。由此带来的问题是,在漫长的科层链条中处于权力中心的规则制定者缺乏与数据要素创新前沿的有效对话,法律规范和监管政策未必能够适应技术的创新趋势。在权力的横向维度上,《数据安全法》将监管权授予工信、电信、交通等数十个主管部门,这种“部门分割”也决定了信息是分“科”存在的,各部门之间存在信息壁垒。然而数据开发利用具有跨部门、跨行业、跨区域的特征,无论是包容性监管还是审慎性监管都需要在各部门信息汇集的基础上,进行综合研判。显然,信息的科层分割为监管政策的制定带来障碍。 (2)就科层组织与社会主体的关系而言,科层式监管具有主体单一、运作封闭的弊端,缺少与被监管主体的深度交流、合作,信息闭塞。然而,行政机关对数据安全风险的有效防控,是以掌握充分的规制信息为前提的。行政组织与数据企业之间的信息不对称,导致监管部门无法及时发现数据安全风险。正如学者指出的,行政管理人员根本没有充分的监管信息,与其说他们是在一整套明确的选项中挑选最佳的行动方案,不如说他们是必须得在一些有限的选项中做出“差强人意”的选择。譬如,《数据安全法》第 22 条明确了监管部门监测、处理数据安全风险的职责,以期在技术创新与数据风险之间建立安全屏障,但信息不对称的存在使监管部门难以及时发现、评估数据安全风险。实践中,针对部分 APP过度收集用户信息,甚至随意调取用户手机摄像头权限等危及用户数据安全的问题,主管部门通常在社会反映较为集中时要求涉事数据处理者整改,在数据安全事件发生前难以获取有效的风险规制信息。 数据监管沙盒能够有效平衡安全与创新 相较于传统的科层式监管而言,监管沙盒是既具有鼓励创新功能,又能够有效实现风险控制的治理工具。一方面监管沙盒在“去中心化”过程中形成的共治共享、协同监管模式能够塑造监管弹性,另一方面内嵌于网络社会的监管沙盒提供了信息充分流动的平台,实现对科层式监管困境的消解。 2.1 数据要素治理的监管沙盒模式 2015 年,英国金融行为监管局(Financial Conduct Authority,FCA)首次在金融科技监管领域引入监管沙盒。随后英国信息专员办公室(Information Commissioner's Office,ICO)、新加坡资讯通信媒体发展局(Infocomm Media Development Authority,IMDA)等引入数据保护领域,旨在支持那些正在以创新和安全方式利用数据的产品和服务,防止因数据处理技术、数据产品或服务等创新,而可能造成的数据安全损害。简单讲,监管沙盒是一个“安全的空间”,企业可以在其中测试创新产品、服务、商业模式和交付机制,而不会立即产生从事有关活动的所有正常监管后果。监管沙盒的运作基本遵循如下流程:首先企业提交测试申请,并由监管部门对拟测试产品创新性、安全性等进行评估;其次监管部门采取“一企一策”方式,与测试企业协商确定沙盒测试计划;再次正式开始沙盒测试,企业拥有测试自主权,但需要履行信息报告义务并接受监督;最后在测试终止后,企业退出沙盒测试。 监管沙盒体现了包容审慎的监管理念,该理念在沙盒试验中可概括为:以包容性和开放性的态度对待数据产品或服务的创新,通过对内嵌于真实消费市场特殊实验区块的差异化监管,满足各类市场主体、各项创新项目的特殊监管需求,同时吸收被监管主体等利益相关方对数据要素共同治理,构建公开透明的治理平台,以期缓解数据要素创新与安全之间的紧张关系,具有主体多元、公开透明、规则豁免等特征。 (1)数据监管沙盒是多元主体合作治理。监管部门并不能事无巨细地了解规制对象的信息,社会主体也不能仅仅依靠自身经验开展治理,为了克服各自的局限性,最好是采取合作治理方式,借用不同主体的技术和信息支持,联合更多的利益相关者采取主动负责的态度处理有关问题。监管沙盒是一种合作治理方式,沙盒试验中监管部门进行权力下放,使测试企业获得了与监管部门共同决定监管事项的权利。一方面,监管部门需要与沙盒实体就测试参数、结果衡量标准、信息报告要求、保障措施等事项协商;另一方面,测试启动后沙盒实体有权按事前商定的方案自行开展测试,并不需要完全遵守行政机关的监管意见,可以听取自身的独立法律意见。在沙盒测试中,如果企业出现数据安全违法行为,沙盒实施部门和任何其他主管数据保护的机构都有权采取监管行动确保数据安全。 (2)数据监管沙盒具有公开透明的优势。各国均规定在申请测试时,申请者必须就产品或服务的特性、可能带来的风险及采取的风险控制措施进行报告;沙盒测试过程中,参加测试的企业必须将产品或服务的测试状态、拟采取的与创新有关的重大行动等事项向监管部门报告;测试结束后,企业应当提交最终报告,就产品或服务是否达到预期效果、存在的问题及改进措施等进行详细说明。贯穿于沙盒运行全流程的信息报告,增强了沙盒运作的开放透明性,使监管部门能够对数据安全风险进行动态评估。 (3)监管沙盒能够对沙盒实体提供规则豁免。规则豁免是指,在沙盒测试期间,监管部门根据测试产品的性质及风险大小,对参加测试企业免予适用某些规则,或在测试企业出现数据违规行为时免予追究行政责任。譬如,FCA 可以停止适用或修改部分监管规则,并为企业提供“无强制措施函”(No enforcement action letters)豁免相关监管责任。ICO可以为成功申请测试的企业发布“执法安慰声明(” Statement of‘comfort from enforcement’),因产品或服务开发而产生的任何无意违反数据保护法规的行为都不会立即导致监管行动。这为数据产品或服务的创新提供了容错纠错空间,在特定的实验区块内,沙盒实体可以免予承担某些数据违法责任。
2.2 沙盒的协同治理能够形塑监管弹性
创新不是被事先规定好的,试错法才是创新的根本方法,尤其是面对新领域。然而,刚性化的管控旨在追求监管效率和稳定性,导致政府缺乏足够的应变能力,无法有效回应数据要素创新中的试错行为。所以构建包容审慎的监管环境,需要颠覆严格的科层管控制度,塑造合作共享、协同治理的弹性监管。与科层式监管模式不同,在合作监管过程中利益相关方被纳入数据要素监管框架,主体间的协商互动软化了监管刚性,并为各行动主体留有宽松的自主管理空间。也就是说,各主体间基于自主权的协商合作所带来的动力可以使组织具有更强的弹性,形成了对严格科层管控的解构,从而提高组织对外部环境变化的适应能力。实际上这也是“去中心化”的过程,弱化政府机关集权治理和以政府为中心的治理理念,通过对利益相关者的放权,形成共同参与、协商互动的监管模式。监管沙盒为科层式监管的转型提供了可行路径。 监管沙盒是一个开放式协作平台,在沙盒实验中监管的目标、方式、手段及政府提供的政策支持等都由行政机关与市场主体协商确定,监管部门和市场主体形成的有效互动机制,使监管弹性得以形成。因为监管部门放权给私权主体,允许企业参与到监管政策的制定,就意味着科层组织不再过分强调“非人格化特征”和“按章办事”,行政官员可以发挥自身积极性、主动性,对数据要素创新提供差异化的监管措施。这种制度设计使监管沙盒摆脱了对政府机关的过度依赖,在行政机关与市场主体的持续互动中形成共同的观念、话语和规则。监管部门不仅能够根据数据产品或服务创新的需要,通过“一企一策”方式提供差异化规则豁免方案,使数据要素创新的需求直接转化为创新支持政策,为数据要素创新提供容错纠错空间;而且监管部门的“放权”使企业也获得了自我规制空间,可以发挥各自优势,实现对数据安全风险的有效防控。可见,监管沙盒的弹性化管控制度在政府监管与市场自治之间留有张力,并通过政府与企业的有效协作,实现数据要素创新与安全保护的平衡。
2.3 沙盒的扁平化架构纾解信息滞后难题
横亘于科层组织内部及科层组织与市场主体之间的信息不对称问题,导致政府机关行动迟缓,既无法适时制定鼓励创新的政策,也无法有效控制数据安全风险。监管沙盒则以一种公开透明、充分沟通的形式来缓解这一矛盾,促成信息的有效流通。 数字技术的发展形成扁平化、网络式的社会结构,突破科层式治理结构中自下而上层层筛选汇报的信息传递困境,纵向科层等级被压缩,信息传递不再需要上传下达的中间科层组织;横向部门壁垒被打破,信息以更加透明的方式在部门间流动。与科层式监管模式相比,标准化和透明度是监管沙盒的一项优势。沙盒测试过程中企业必须履行信息报告义务,将测试状态、存在的数据安全风险、采取的安全保护措施等事项向监管部门报告。如果测试者没有以充分合作的方式与监管部门沟通,则会被中止测试资格。监管部门则会在官方网站公布有关沙盒实验信息,包括企业参与沙盒的情况、沙盒测试的经验与成果等,与社会公众和其他监管机构共享监管信息。譬如,ICO 明确规定参与沙盒实验的条件是企业同意向社会及其他政府机构公开共享沙盒试验信息,ICO 已公开诺华制药英国有限公司、希斯罗机场有限公司及“住房,社区和地方政府部”等组织参与沙盒试验的情况。这使监管沙盒成为一个有效的信息交流平台。一方面由于监管沙盒本身就是嵌套于网络社会中,沙盒试验中的各种信息披露机制可以借助网络渠道进行跨部门、跨层级传递。监管沙盒平台取代了原先的中间科层组织,扁平化的信息传递结构为政府部门制定监管政策提供了及时、充分的信息支持,使相关的、分散的、及时的信息用于监管政策的确定。也就是说,政策制定者既直接接触到数据要素创新最前沿的信息,也可以利用各部门掌握的监管信息,在综合研判的基础上适时推出支持创新的监管政策,提升监管政策的前瞻性,避免政策的随意投放。另一方面,监管沙盒的制度设计也能够有效地实现数据安全风险预防。具言之,贯穿于沙盒试验全流程的信息报告,打破了科层组织与市场主体间的信息不对称,促成双方在信息透明的基础上对数据要素创新隐藏的风险进行深入挖掘,使监管部门及时掌握数据安全和操作风险成为可能,防止数据产品投入市场之后对国家安全、商业秘密或个人隐私造成损害。 数据监管沙盒的制度建构 3.1 由中央国家机关作为实施主体
域外监管沙盒实施主体包括由综合主管部门统一实施,如 ICO 作为个人信息保护专职部门,统一实施数据保护沙盒;或采取分业监管原则,由各行业监管部门负责实施,如我国香港地区。在我国地方实践中实施主体更加多样,包括由地方政府实施,如北京;或由行业协会实施,如深圳;抑或由地方政府、事业单位和企业共同实施,如赣州[9]。尽管各地实践具有一定合理性,但从统一监管主体,防止政策掣肘角度看,应当由国家数据局制定数据监管沙盒政策,各行业主管部门负责在本行业具体执行。
3.1.1 地方政府及其组成部门不宜作为实施主体 由于数据要素具有流通性特征,数据产品或服务具有明显的跨区域、跨市场特性,监管沙盒的构建应重点考虑促进数据要素的有效流通,为市场主体和消费者提供平等的保护。我国数据要素市场存在区域发展不协调问题,东部数据要素市场化指数高,如广东 3.69、浙江 3.64;而中西部数据要素市场发展缓慢,如江西 1.21、新疆及甘肃不足 0.1,推进全国数据要素市场的整体发展成为数字经济发展的重要课题。《中共中央国务院关于加快建设全国统一大市场的意见》提出加快培育全国统一的技术和数据市场,推进市场监管规则、市场监管执法的统一。如果由地方政府机关各自推出沙盒计划,会因各地监管沙盒政策迥异、市场监管执法不统一等问题影响数据要素的有效流通和市场的公平竞争,最终加剧区域间的数字鸿沟和市场分割,不利于数据的开发利用。 3.1.2 监管沙盒应当由中央国家机关实施 监管沙盒应当由中央国家机关实施,具体可由国家数据局制定监管沙盒政策,各行业主管机关具体执行。 (1)国家数据局是监管沙盒政策的制定机关。2019 年 11 月,党的十九届四中全会正式将数据列为新型生产要素,明确数据在经济发展中的地位。针对数据要素缺乏统一归口管理部门,存在“九龙治水”现象,2023 年组建国家数据局,负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,统筹推进数字中国、数字经济、数字社会规划和建设等,实现数据要素治理的“政出一门” 。数据监管沙盒是一项国家数据基础制度,目标是推动数据要素的创造性应用,激活数据要素潜能,做强做优做大数字经济,增强经济发展新动能,这涉及数据要素在各部门、各行业的互联互通,也需要各部门之间的政策协调,应当坚持一类事项原则上由一个部门统筹、一件事情原则上由一个部门负责。由国家数据局作为数据监管沙盒政策制定机关,可以有效减少协调成本,实现政策统一,防止各部门间的政策掣肘,实现制度的有效运转。 (2)从数据开发利用实践的角度来看,应当由行业主管机关在本行业内负责具体执行数据监管沙盒政策。不同于国家数据局的宏观政策制定权,各行业主管部门行使的是在本行业具体执行、实施数据监管沙盒的权力。一方面数据安全与利用的平衡是一项场景化工作,需要结合数据开发利用的具体场景,采取实用主义的方法来提出制度化的建设方案。进一步讲,数据在不同的应用场景,如医疗、教育、征信、自动驾驶,面临数据开发利用技术、数据分类分级等行业特殊性,对专业知识和技术要求高。数据监管沙盒制度的实施,需要考虑到各行业数据开发利用的特殊性。另一方面,在国家机构改革后,各行业主管部门仍旧保留了具体的数据安全监管职责,是本行业数据安全管理的权威机构。因此,由各行业主管机关负责具体实施数据监管沙盒,也符合国家机构改革后的数据要素监管格局。 3.2 将创新性作为申请资格的核心评价标准
申请资格是监管部门为实施沙盒计划而设定的筛选条件,以便通过评估机制将有限的监管资源投入到最具应用前景的数据开发利用项目。在申请资格上,我国应设立创新性、安全性及规范性三项评价指标,并将创新性作为核心评价标准。近年我国数字经济发展增速明显,数据体量不断增大,预计到 2025 年中国数据保有量将超过 48.6ZB,占全球数据圈 27.8%,位居世界第一。然而当前我国数字经济规模为 7.1 万亿美元,远低于美国的15.3 万亿美元,数据要素驱动经济发展的价值未能充分释放。其中的原因除社会主体普遍缺乏数据运用能力外,也与我国数据立法价值取向有直接关联。我国数据立法将安全利益作为法律规范的基本价值,对数据收集、共享等行为施加多重限制,在一定程度上对数据要素的自由流通和创造性应用造成阻碍。所以突破数据开发利用的制度障碍,充分利用我国海量数据资源优势,增强数据要素的创新驱动成为现阶段的主要任务。数据监管沙盒制度应当成为有效激活数据要素创新能力的监管工具,将鼓励创新作为申请沙盒测试的首要标准。从形式上讲,数据产品创新具有多种样态,可以是利用数据仿真、数据区块链等解决了数据脱敏、存储等环节存在的问题,也可以是通过对数据的价值挖掘、建模分析等形成新的数据流通利用方案。譬如,实践中贵阳大数据交易所多次通过数据大赛的形式,就城市垃圾暴露检测、气象数据安全流通、充电桩点位设置等探索数据应用新形式,充分释放数据服务经济发展和社会治理的价值。但就实质性标准而言,应仅限于同现有数据产品相比具有突出的实质性特点和显著进步的项目进入测试,进而筛选掉“伪创新”产品,鼓励“负责任创新”。
3.3 监管行为应注重释放数据要素价值
《数据二十条》提出构建包容审慎的数据要素监管环境,目的在于实现数据安全保护与创新发展的平衡,这也是数据监管沙盒的内在要求。就数据安全保护维度而言,数字经济时代,数据安全风险具有明显的动态性和等级性特征。数据大规模的流动、分析在释放数据价值的同时,也使数据在收集、存储、传输、共享等环节存在安全风险,而重要数据、敏感个人信息的高价值性也使得风险呈现出不同等级。对此,《网络安全法》《数据安全法》《个人信息保护法》《数据出境安全评估办法》等法律规范已建构起数据生命周期保护、数据分类分级保护及数据安全风险评估等制度,可以有效实现数据的安全保护,在沙盒测试中不存在实现数据安全保护的制度难题。我国当前的主要任务是通过优化监管措施激活市场主体创新活力,释放数据推动传统产业转型升级和数字经济发展的内在价值。因此,政府机关在沙盒试验中应当更加注重数据要素的创新和发展之维。 (1)协商确定沙盒测试计划。数据监管沙盒并非“一刀切”式的监管工具,监管双方协商制定测试计划为数据要素创新提供了灵活的监管支持。在沙盒测试前应当由监管部门与数据企业就测试的时间、范围、对象、规则豁免、合规指导、监测方式、信息披露义务等内容进行磋商,根据数据要素创新需要提供差异化的监管措施。 (2)对数据要素创新行为应采取合规免罚的政策。监管沙盒的核心机制就是责任豁免,沙盒实体在出现数据违法行为时不必立即承担由此带来的监管责任。合规免罚为企业提供了稳定、可预期的监管环境,对冲创新过程中因不确定性风险可能承担的法律责任,有效激发市场主体的创新动力。因此,若测试过程中发生数据违法事件,监管部门应中止或终止测试。但在行政违法责任追究上,可与沙盒实体达成行政和解协议,只要其承诺重新调整合规计划、降低数据安全风险,监管部门就可以视重整效果对其从轻、减轻或免除处罚。 (3)通过对数据垄断行为的监管,维护数据要素市场秩序,促进数据资源共享。数据要素的有序流动和公平利用是数字经济创新发展的内在动力,当数据要素被少数超级平台控制时,数据的流动性降低,其他市场主体无法获得相关数据,难以开发更具有价值的数据产品和服务,社会创新能力降低,对数字经济的全面发展和创新迭代产生扼杀效应。根据《互联网平台分类分级指南(征求意见稿)》的规定,目前我国存在包括淘宝、美团、京东、支付宝、新浪微博等公司在内的数十家超级平台。实践中,美团与大众点评合并、新浪微博诉脉脉公司不正当竞争案及淘宝诉美景公司不正当竞争案的背后都隐藏着数据垄断的风险。对此,我国部分监管机关提出,“促进更公平的市场竞争……更多关注大公司是否妨碍新机构进入,是否以非正常方式收集数据,是否拒绝开放应当公开的信息 [43]。”《数据二十条》也要求,增强数据要素共享性、普惠性,激励创新创业创造,打破数据垄断,促进公平竞争。因此,在监督企业履行数据安全风险防控义务时,也应当加强反垄断和反不正当竞争执法,对企业实施数据垄断的行为依法进行规制。
3.4 以协同合作实现监管目的
数据要素监管创新需要多元主体的共同参与,《数据二十条》明确提出构建政府、企业、社会多方协同的治理模式,这种协同治理理念也是数据监管沙盒的价值内涵。 一是企业自我规制,即数据企业对自身行为施加控制的规制,这是沙盒实验中监管部门对企业“放权”的必然要求。由于企业在专业知识、技术水平等方面具有优势,企业的自我规制能够及时发现数据产品、技术运行过程中存在的安全风险,提出适当的解决方法。数据监管涉及产品开发、技术创新、产业升级等问题,为防止我国数据安全立法中规定的繁多数据安全保护义务阻碍技术创新,应当在沙盒测试中给予企业较大的自我管理空间,让企业能够根据数据要素开发利用的现实需要合理采取风险保护措施。同时,由于自我规制措施的采取完全出于企业自身意愿,为防止发生系统性数据安全风险,企业也应当履行信息报告义务。譬如,在申请沙盒测试时应当就数据产品创新性、安全性进行详细说明,在测试过程中将数据产品或服务的测试状态、采取的数据安全保护措施、数据安全风险及应对方案、测试记录等及时报送监管部门。监管部门则可以据此对数据安全风险进行评估,并及时向社会发布风险预警。二是发挥行业协会的指导作用。《数据安全法》第 10 条规定,行业组织应当制定数据安全行为规范和团体标准,加强行业自律,指导会员加强数据安全保护。我国已在信息技术、数据识别、数据采集等方面形成了系列行业标准,行业协会不仅可以提出专业化数据安全风险防控措施,更能够从行业发展、产业升级视角为企业提供创新思路。三是发挥数据交易平台的监管功能。市场交易是数据产品流通的核心环节,贵州、上海、广东及北京等地已建立数个数据交易所,为数据产品交易提供定价、结算、撮合及安全保障等服务,由政府主导建立的数据交易平台成为构建市场交易体系和规则的主要场所。数据交易平台作为数据市场关键主体承担着对交易数据真实性、合法性的审核义务,在数据交易环节实现包容审慎监管,是实现数据产品流通和释放数据要素价值的重要渠道。一方面数据交易平台应当建立数据安全保护规则,向市场公布沙盒试验产品目录,并通过数据来源核验、数据脱敏审查、数据质量监管确保数据产品交易的安全性;另一方面数据交易平台应当尊重交易双方的意思自治,使市场主体能够根据自身需要自主选择交易相对方,自主决定交易数据的范围、种类、数量、规格,并为市场主体提供交易撮合服务,促进数据要素的开发流通。 结语
云存储、人工智能及数据挖掘等技术的进步,使数据资产的内在价值逐步释放。但其技术性强、风险内在不确定性高及发展速度快等特征也使传统科层式监管日益捉襟见肘。换言之,监管机构周期性地面临着属于其主管范围但不适合旧监管框架的新产品、技术或商业模式,从而造成监管混乱。对此,许多学者和政策制定者认为,适当的反应是监管部门要审慎,而不是果断。基于此,我国转向包容审慎的监管模式,监管沙盒则是实现包容审慎监管的有效工具。监管沙盒功效的发挥,必须倚赖法治化、规范化的制度构建。未来,我国应当以“国家数据局+行业主管部门”作为数据监管沙盒实施主体,将创新性作为监管沙盒申请资格的核心评价标准并转变监管方式,形成包容审慎的数据要素监管环境,为数据要素的创造性应用提供容错纠错空间,实现数字经济的高质量发展。