摘 要:精巧规制理论主张授权多元主体共同参与规制,利用丰富的政策工具组合,追求较少干预下的双赢结果,是对回应型规制理论的改良与革新,成为理论界追求更优规制过程中的重要里程碑。精巧规制理论在西方政府战略和组织倡议等领域得到广泛应用,并成为金融危机后金融科技监管的新范式,同时也在理论适用场景、政策工具组合、协调配合要求与成本收益均衡等方面存在争议。在数据法领域,精巧规制影响了欧盟数据保护机构的组织定位与执法方式选择,体现在自我规制、第三方规制等诸多方面。精巧规制理论在规制策略选择、行政执法协调等环节与我国数据要素治理相契合,《关于构建数据基础制度更好发挥数据要素作用的意见》亦体现出该理论的内在原理。有必要考虑在重塑我国数据要素规制目标并确立底线红线的基础上,推动政府功能朝向规则制定统一与规制协调转型,引导被规制者和第三方更充分地参与数据要素治理全过程,以精巧之治实现数据要素的良法善治。
关键词:数据治理;数据要素;精巧规制;金融科技;“数据二十条”
20世纪90年代以来,随着对放松规制(Deregulation)和命令-控制型规制(Command and Control Regulation)等理论的反思,理论界与实务界开启了对更优规制(Better Regulation)的探索。精巧规制(Smart Regulation)建立在回应型规制(Responsive Regulation)理论之上,二十多年间在各国的政府战略、金融科技监管等场景中得到应用,已成为规制理论界的一块重要里程碑。进入数字经济时代,数据要素是继土地、劳动、资本后的经济社会又一重要生产要素,成为数字经济繁荣发展的核心引擎。2022年12月2日,中共中央、国务院印发《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称《意见》),确立了我国数据基础制度的指导思想与顶层设计,将数据要素治理制度作为数据领域基础制度的重要一环。探索适合数据要素的规制理论,优化数据要素治理模式并实现数据要素治理的良法善治,已经成为我国数字经济健康发展的关键。
精巧规制提出的时代背景与理论基础是什么,在政府战略与金融科技创新等领域的域外适用实践如何?精巧规制在欧盟数据治理中的应用进展情况如何,又是否与我国数据要素治理相适配?本文试图回答以上与规制理论、数据要素治理相关的议题。文章第一部分对精巧规制理论提出的时代背景、理论基础与基本内容进行梳理;第二部分探究精巧规制在加拿大、欧盟等地区的政府战略、金融科技监管领域中的应用情况,总结该理论的实际适用要点与争议;第三部分考察欧盟数据治理中的精巧进路,分析其在我国数据要素治理中的应用空间;最后一部分通过论证明确规制目标与底线红线、重构政府功能实现方式、引导多元主体参与治理,尝试构建我国数据要素的“精巧之治”。
一、精巧规制的背景、基础与涵义
(一)精巧规制理论的时代背景与理论基础
回应型规制、精巧规制和更优规制等一系列规制理念或理论的产生,源自规制理论界对命令-控制型规制与放松规制的反思。第二次世界大战后,为应对市场失灵,主要资本主义国家对经济实施了强有力的国家干预政策,并在遵从(Compliance)或威慑(Deterrence)进路之中,将命令-控制型规制作为主要的规制形式。随着垄断资本主义不断发展,西方国家在职业安全健康、环境保护、消费者权益等方面的社会性规制大幅增加。这种规制过度的现象,招致对繁文缛节(Red Tape)、超负荷、经济和社会生活过度官僚化等批评。命令-控制型规制逐渐暴露出繁琐、昂贵、僵化且成效缓慢等特征,规制供给过度也成为企业活动的严重障碍,由此造成的生产和配置无效导致大量社会福利损失。20世纪70年代末,在新自由主义思想与私有化浪潮的冲击下,美国、英国等开始在民航、电信、电力等行业全面放松规制。强调对公用事业等核心产业减少干预的放松规制,逐渐成为西方各国新的规制选择。然而,放松规制也并非是规制理论的灵丹妙药,逐渐暴露出无法应对日渐复杂的环境规制问题。
20世纪90年代中期后,规制理论界开始在命令-控制型规制与放松规制之间探索“第三条道路”。Ayres和Braithwaite于1992年提出的回应型规制理论,构成了精巧规制的理论基础。回应型规制受Selznick的回应型法(Responsive Law)理念影响,意在破除严格威慑或是自由放任的单一性规制,检视如何将遵从和威慑策略相互结合。回应型规制将规制活动预设在互动式的场景中,假定规制对象具有美德且会采取合作态度,并向对象发出如果干预性较低的措施失灵,规制者将逐渐采取更为严格执法措施的信号。这种“投桃报李/以眼还眼”(Tit-for-tat)式规制的关键是如何识别被规制者的守法程度。对此,Ayres和Braithwaite设计出执法金字塔(Enforcement Pyramid)模型,依据被规制者回应的阻力提升程度,从警告、警示等告知性和说服性规制措施,逐步升级到罚款、剥夺资格等严重制裁。
以回应型规制为代表的规制理论,开启了西方社会对更优规制理念的追求。更优规制本质上是一种“强烈的热望,而非明澈的概念”。规制理论的优劣取决于与国家制度特点、文化特色和政治结构的匹配,因此并不存在放之四海而皆准的“最优”规制,只存在不断探索中的“更优”,因此更优规制一词便成为了改善规制质量、探索新规制理论的理念代名词。总体来看,更优规制的核心思想在于避免陈旧的命令-控制型规制,通过引入理性的政策制定进路来改进规制,并趋向适用非正式的、低干预度的控制方式。更优规制的理念在理论界与各国政府中得到发展与应用,英国政府在1997年以“更优规制工作小组”(Better Regulation Task Force)取代了先前设置的“放松规制小组”(Deregulation Unit),向政府规制提供行动建议。2000年,欧盟制定了“里斯本战略”(Lisbon Agenda),希望通过更优规制努力推动欧盟经济改革与就业水平。
(二)精巧规制理论的基本涵义
精巧规制理论是追求更优规制过程中的重要理论创新,也是对回应型规制这一理论的改良与革新。该理论由Neil Gunningham等在1998年的《精巧规制:设计环境政策》一书中提出,最初被运用于环境规制中,从规制理念、规制主体与政策工具三个方面可以提炼出其基本涵义。
首先,在规制理念方面,精巧规制追求较少干预之下的双赢结果(Win/Win Outcomes)。高强度干预的政策工具往往缺乏灵活性、规制成本较高,还可能导致需要花费额外的规制资源,调整原本可能自愿遵守规则的被规制者。例如,森林管理委员会(Forest Stewardship Council)所建立的全球环境标准制定系统,在Gunningham看来是低干预主义的代表。森林管理委员会建立了认证机构(Certify the Certifiers)及林业产品的标准,形成了独立于政府规制之外的全球环境标准制定新制度体系。对比之下,这种低干预主义可以提供更大的回应灵活性与速度、更少的规制阻力、更强的规制正当性与更低的规制成本,还能够集中规制资源以应对不合作的被规制者。而在这个过程中,由于追求短期利润与有限理性的存在,市场主体并无主动追求双赢结果的可能,这就需要政府在制定干预工具时秉承低干预主义的思维,助推(Nudge)和引导市场主体而达成双赢结果。
其次,在规制主体方面,精巧规制主张授权多元主体共同参与规制,这是相对回应型规制理论最重要的革新。精巧规制理论认可对被规制者采取回应型、互动式和逐步升级的规制干预,并对回应型规制的执法金字塔进行了重构。回应型规制的执法金字塔以政府(第一方)规制为核心,但并未重视规制者自身(第二方)、以及被规制者的贸易伙伴、非商业机构、行业协会、公民社会(第三方)的共同参与。对此,精巧规制将执法金字塔拓展至第二、第三方,如图1所示。授权最有能力方充当替代规制者(Surrogate Regulator),不仅能够提升规制整体效率与节省资源,其天然的正当性与受认可度还更容易使被规制者接受。在此过程中,政府的规制功能迎来转型:政府的主要作用应当从直接进行规制干预转为催化剂或促进者(Catalyst or Facilitator)的角色,为第二方、第三方开展规制创造条件、提供规制资源,便于后者在执法金字塔体系中拾级而上并替代规制。
最后,在政策工具(Policy Instruments)方面,精巧规制主张丰富的政策工具组合。单一政策工具能够解决特定问题的情况当然存在,如颁布对制造剧毒物质的禁令足以最有效地达到禁止效果,但丰富的规制场景决定了适用单一政策工具的局限性。所有的政策工具都有各自的优点和缺点,精巧规制主张将命令-控制型规制、经济工具(Economic Instruments)、自我规制(Self-regulation)、自愿主义(Voluntarism)以及信息战略(Information Strategies)等一系列不同政策工具的优势互补,以多元化组合的方式达到最佳的规制效果。正如加拿大精巧规制外部咨询委员会(External Advisory Committee on Smart Regulation)的报告所言,精巧规制兼具保护(Protecting)与赋能(Enabling)效果,主张发挥多元规制主体的功能并使用多重政策工具组合,实现成本更低、效益更高的规制效果。
二、精巧规制的域外实践与理论争议
(一)政府战略领域的精巧规制实践
精巧规制理论被认为是探索更优规制理论过程中的一项里程碑,一经提出便在理论界与实务界引起巨大反响。回顾千禧年初各国政府追求更优规制措施与政府战略转型的道路,很多都体现出精巧规制理论的理念与原则。2002年,加拿大联邦政府启动为期十年的政府改革计划,并将精巧规制作为当年施政演说中政府规制的改革方向,认为需要“以增强投资环境和市场信任的方式规制”。在加拿大政府后续的改革中,先是于2003年5月组建成立了精巧规制外部咨询委员会,发布了一系列有关政府战略如何朝精巧规制转型的研究报告;后于2005年3月发布《精巧规制:行动和计划报告》,在总结联邦政府在卫生、社会安全、环境可持续发展、创新商业环境等领域的精巧规制改革进展基础之上,系统阐释了精巧规制的内在含义、实施意义及后续的推进计划。
加拿大精巧规制外部咨询委员会认为,21世纪以来经济和社会发展存在着三个重大变化:一是现代社会中新兴技术的爆炸式增长、商业交易及信息获取的速度提升,二是政策制定问题的复杂化与国际化,三是社会公众对加强问责、决策透明、选择自由的迫切需求。传统政府规制模式难以回应上述变化,促使政府需要向精巧规制变革。从Gunningham等学者的理论出发,加拿大政府提炼出精巧规制适用的三项基本原则,并在后续几任联邦政府的改革中以基于绩效的规制(Performance-based Regulation)继续沿用。首先,是使用政策工具的有效组合,例如基于绩效的规制。传统的指令性规制(Prescriptive Regulation)对行为进行明确规定,但可能导致被规制者一旦达到指令即终止合规行为的后果。而基于绩效的规制则明确了结果或期待的绩效水平,能够克服指令性规制的灵活性缺失,避免政府法规与行业标准之间的冲突问题,同时根据技术和环境的变化调整规制措施。其次,在政府内外部之间推进规制协调与规制合作。最后,要实现“精巧”,就必须以可信的方法评估规制效率(Efficiency)和效果(Effectiveness),规制措施需要具备及时性且满足成本收益的考量。
进入21世纪的第二个十年,精巧规制的理念深刻体现在英国、美国及欧盟等地区的政府、非政府组织追求更优规制的各项改革之中。英国从成立更优规制工作小组时即融入了精巧规制的理念,并在2005年发布题为《规制:少即是多》的报告,从精巧路径探寻更优的规制政策制定。在美国,克林顿政府是制定精巧规制战略的初始领导者,虽然这一战略方向在布什政府中回归到放松规制,但在奥巴马政府改革、以及美国商业圆桌会议(Business Roundtable)等组织的倡议中得到大力提倡。以商业圆桌会议为例,该组织成立了精巧规制委员会,针对美国联邦规制在过度繁文缛节、低效和复杂的联邦许可程序等方面的问题,主张政府战略应用精巧规制时使用下列四项策略,即尽早与利益相关者接触、扩大使用成本收益分析(Cost-Benefit Analysis)、以基于绩效的规制代替指令性规制、以及承诺持续改进政策。在欧盟,自2000年启动“里斯本战略”并逐步探索更优规制的改革以来,精巧规制理论在其中的影响持久且深入,已经成为在“欧盟2020战略”中实现“智能、可持续和包容性增长”的重要理论基础。欧盟委员会在2010年发布的《欧盟的精巧规制》文件指出,精巧规制的目的是“设计和实施符合辅助性(Subsidiarity)和比例性(Proportionality)原则、尽可能高质量的规制”。在精巧规制的具体适用层面,欧盟委员会认为:首先,精巧规制理念应贯穿从立法到实施、评估、修订的整个政策和法律制定周期之中;其次,精巧规制是欧盟机构和成员国的共同责任所在;最后,利益相关者的意见将会在精巧规制中发挥关键作用。回首欧盟规制改革进程,精巧规制的应用体现在规制适当性和绩效计划(REFIT)、影响评估(Impact Assessments)、质量控制等多项创新之中,欧委会认为“更优的规制必须朝向精巧规制迈进”。
(二)金融科技创新的精巧规制实践
金融科技(Fintech)监管可谓一场创新先行、监管紧随其后的追逐。在2008年全球金融危机之前,金融科技创新在西方各国政府普遍较为放松的规制下发展迅猛,而经历了金融危机的市场崩溃后,对金融科技的监管改革由放松规制转向了另一个极端。危机后的近十年间,相较于促进金融创新这一监管目标,保障金融稳定、保护金融消费者、防范发生新的金融危机这些目标,成为各国确立金融监管范式的重点。不过,在寻求金融科技创新监管的未来进路时,需要考虑到21世纪新的金融市场趋势。首先,金融服务市场的参与者类型更加丰富,金融科技创新更多地发生在初创企业之中,远离硅谷等技术传统创新地,而且初创企业、科技巨头(Bigtech)、金融科技公司等多类新兴市场参与者的商业模式不尽相同,这意味着发现和监测金融科技风险的难度大大提升。其次,传统上相互隔离的金融服务领域正在逐渐融合,金融科技监管规范的制定与执行需要更多资源,以及跨领域、跨区域性的执法协调。最后,随着互联网基础设施与先进科学技术的不断发展,企业融资、支付、征信、财富管理等金融体系融入了大量以大数据、云计算、算法、区块链为代表的科技元素,数据和算法的应用正在加快金融创新速度。
面对机遇与挑战并存的金融市场新趋势,如何在金融科技创新、金融稳定及消费者保护等监管目标之间取得平衡,成为新时代金融科技的监管难题。对此,卢森堡大学Dirk Zetzsche等学者将精巧规制理论与金融科技监管相结合,认为精巧规制能够实现“金融创新与传统监管目标之间的黄金分割点(Golden Mean)”。在全面检视并构建新的金融科技创新监管框架时,Zetzsche将其原则概括为五个要点。第一,注重基于业务性质的监管(Activity-Based Regulation)。金融科技创新的监管应基于金融业务的性质展开,具有相同风险的相同金融业务性质应受到相同的监管对待。第二,根据比例相应调整监管方式(Proportional Regulation),金融监管需要在初创型、业务规模较小的公司与主要、重要金融机构之间分类施策。第三,遵守全球基本原则(Global Fundamentals),面对如反洗钱和资助恐怖主义(AML/CFT)等国际间、全球性的金融监管统一标准,各国政府应注重对监管机构广泛授权(Mandate),以追求与国际基本规则在细节上的一致性。第四,降低市场进入壁垒(Towards Lower Entry Barriers)以促进竞争。竞争与金融科技创新的关系是一体两面的,相较市场现有的大型金融科技公司而言,新的市场进入者既会带来新的金融科技产品与技术,其议价能力也远低于金融监管机构,便于后者从一开始就对新进入者开展监管,逐步有序地跟上金融科技创新的进程。第五,坚持技术中立(Technology-Neutral),金融监管机构需要了解如区块链、生物识别等新技术对金融商业模式的影响,但不应当寻求对特定的科学技术进行监管,而应聚焦技术背后的金融服务与活动。
DirkZetzsche等学者将精巧规制在金融科技创新领域的应用划分为四个阶段,分别是测试和实验环境(Testing and Piloting Environment)、监管沙盒(Regulatory Sandbox)、限制性牌照或特别许可(Restricted Licensing/Special Charter)计划、以及完全许可牌照(Full License)阶段。随着应用阶段的不断深入,金融监管的难度、金融科技运作空间与创新可能性都会同步提升。金融科技创新的精巧规制思路在理论界引发了很大反响,其突出特点是追求技术精确性、数据驱动性、市场友好性和务实性,要求监管规则达到适应特定金融市场发展的情境化(Contextualizing)和定制化(Customizing)状态。走向精巧的金融科技监管是在追求多赢:金融从业者将能够自由创新,金融消费者将从创新金融产品和服务中受益,监管机构以监管科技一并加入创新者的行列。与此同时,精巧规制在金融科技领域的应用也不乏争议。受限于监管目标、监管资源的权衡与分配等因素,金融监管通常难以达成如此和谐的多赢效果。以监管科技的应用为例,如果用标准化数据、算法匹配取代原有基于法律规范的、整体性的判断,将会大大降低金融监管的比例性(Proportionality)与实际效力,且可能引发私人市场参与者对技术和金融的深度控制。
(三)围绕精巧规制的理论争议
没有哪种规制理论是完美且适用于所有情形的。尽管精巧规制已经在西方各国政府战略、组织倡议、金融科技创新等领域得到全面深入的应用,其理论构建与实际应用也存在一定的边际与争议。就其理论的适用范围而言,一方面,精巧规制的理论建构基础是回应型规制,这决定了该理论必须在规制主客体各方持续互动的场景中才有可能有效。只有在持续互动时,低干预主义下的规制回应被证明不够充分,才有空间在执法金字塔中升级干预强度或转换规制面。相应地,这一理论基础也决定了精巧规制不适合用于存在不可弥补的损失或灾难性破坏的严重风险之中,例如重大金融风险、濒危物种保护、核能管理等情形。在此种情形下,由于规制者与被规制者之间可能仅有一次性的互动,互动的负面回应可能引发对经济和社会极大的损害后果。此时,相较于按次序逐一适用政策工具,横向且同时实施政策工具是更优的选择。另一方面,精巧规制主张政策工具之间的组合,但并非所有政策工具都是互补性的。Gunningham承认,在特定规制场景中确定最佳的政策工具组合是很困难的,搭配不当甚至可能产生适得其反的后果。以命令-控制型规制与其他政策工具的组合为例,将其与自愿主义(Voluntarism)搭配通常是内在互补的。在美国环境保护署(EPA)的33/50计划中,通过前者建立刚性的最低绩效基准,利用后者鼓励被规制者在出于自愿的基础上降低有毒化学品的排放水平,取得了很好的规制效果。相反,命令-控制型规制与经济工具的搭配往往是互斥的,前者将会限制后者通过价格信号等方式对企业决策灵活性的提升。
由此可见,精巧规制的灵活性和对政策工具适用的想象力,同时也构成了该理论适用中的现实挑战。一方面,精巧规制对于政策工具组合、执法金字塔的构建、以及规制机构之间的协调配合要求较高,由于国家政治风格、权力平衡、规制机构能力与制度框架局限性等原因,可能导致特定国家与精巧规制理论不相兼容。实践中,规制机构会出现因担心失去控制而不愿与第三方组织等替代规制者合作,或是倾向于使用全套政策工具的“规制炖菜”(Regulatory Stew)而非将其搭配互补组合。另一方面,执法有时表现为资源的对抗,精巧规制的背后是成本收益的均衡。对于真正有效的规制改革措施而言,对规制效率的分析与回顾是先决条件,但也是一项艰巨的任务。从精巧规制在加拿大的应用来看,该国政府对精巧规制改革的规制成本进行了一些研究,但由于规制组合的复杂性、政策工具和规制主体的多元化等因素,难以对政策工具效率及其有效性展开深入的实证分析。规制措施本身的绩效不易被证明,会引发“规制机构持续在其‘武器库’中添加新工具,却不考虑总体的战略影响”的风险。
三、精巧规制在数据要素治理中的应用分析
(一)融入精巧规制的欧盟数据治理
欧盟作为我国《个人信息保护法》等相关立法主要借鉴的法域,其《通用数据保护条例》(以下简称“GDPR”)等数据立法充分结合了精巧规制理论,探索出一条明确规制目标、合理设计行政机构职责、强化自我规制与第三方规制的数据治理“精巧”道路。欧盟近年贯彻对精巧规制等更优规制理念追求的选择,在以GDPR为代表的数据立法中尤为明显。学界对于GDPR的草案稿开展过热烈的讨论,认为草案内容预示着欧盟数据保护立法向精巧规制迈进的趋势。数据的精巧规制是一种灵活的共同规制(Co-regulatory),不仅要通过强化问责制(Accountability Principle)提高对企业文化和声誉的压力,还需要将法律硬性规定与“理性的利己主义”(Enlightened Self-interest)相结合。对于欧盟而言,更优的数据保护方法应当是一种结合多元工具的精巧规制,行政机构最大限度地使用强制性和干预程度较小的方式,尽可能利用以市场为基础的自我规制,并保留在必要时实施重大制裁的能力。对此,如何在欧盟数据保护立法中设计合理的执法机制,以保障有效利用执法资源、及时发现违法行为、强化规制机构之间的执法协作,是实现数据精巧规制的重点。
精巧规制理论在GDPR中的典型应用,体现在欧盟对数据保护机构(Data Protection Authorities)的组织定位与执法方式之中。欧洲数据保护的显著特征是依据欧盟宪法要求,在各成员国建立具有高度独立性的数据保护机构,同时监管欧盟国家机构和私营部门机构。数据保护机构在GDPR中被称作独立监管机构(Independent Supervisory Authorities),GDPR第六章第57条规定了数据保护机构包含监控和执行GDPR、提高公众对数据保护关键事项的理解等22项具体任务。并且,数据保护机构在其中具有高度的自由裁量权,这种行政权力设置方式对欧盟数据执法带来重大变化。数据保护机构的组织定位,能够取代以往从企业被个人投诉违法处理数据所开启的事后规制关系,使其以积极、定期和非正式的方式,提前开启规制者与被规制者之间的沟通对话。尽早建立这种长期博弈关系,不仅可以在使数据保护机构了解辖内公司的产品、商业模式和数据处理操作的前提下,能动性地改变执法策略,也能够让其了解公司的合规态度,作为确定执法策略和调整规制选择的回应基础。在这种模式下,数据保护机构还能够制定动态的规制策略,根据公司的回应态度,将政策工具从说服、警示等软性措施向执法金字塔的更高层升级。
除了数据保护机构代表政府进行的第一方规制之外,精巧规制理论还体现在GDPR对自我规制、第三方规制的规定中。早在2010年,欧委会就在一份沟通文件中表示,要“探索行为准则等自律举措”,研究“隐私和数据保护领域的欧盟认证计划”。就助推自我规制而言,GDPR第40条允许行业协会等组织起草行为准则,对GDPR规则进行细化。就第三方规制而言,GDPR第25条允许根据数据保护认证来证明企业符合该条文所施加的合规要求,第42条明确规定鼓励建立证明控制者和处理者的操作符合GDPR要求的保护认证机制。认证能够激励被规制者利用该类认证获得市场信任,通过认证达成规制主客体之间的一致性目标。整体而言,在精巧规制理念的影响下,欧盟数据保护立法构建了以独立、动态的行政规制为核心,鼓励自我规制与第三方规制共同发挥作用的数据治理体系,推动GDPR成为输出欧盟数据法律标准、实现数字经济“布鲁塞尔效应”的新标杆。
(二)精巧规制在我国数据要素治理中的应用空间
数字时代中,国家对公民人格尊严、隐私和安宁的保护义务扩展至信息和数据领域,政府通过规制策略落实积极保护义务的程度与方式、以及如何在公民与数据处理者之间取得良好的制衡关系,已经成为当前数据要素治理的突出问题。对于数据领域的规制策略选择,目前还未形成扎实的规制理论与法律制度基础,有待根据数据生产要素特征进行针对性、系统性的归纳提炼。
就规制策略而言,一方面,数据作为新型生产要素的定位与特征对规制策略提出更高的要求。数据要素作为数字经济时代的新型生产要素,对于个人观念型塑、企业合规使用、政府保护方式和国际跨境流通来说都是新生事物,其要素特征与发展规律的认知之路道阻且长。传统规制策略无法跟上数字生态的发展步调,亟需侧重回应性、动态性的规制策略。另一方面,受限于有限的独立性与规制资源,我国行政机构在事中阶段的执法与保护仍有较大补进空间。《个人信息保护法》第60条规定网信办负有个人信息保护工作和相关监督管理工作的“统筹协调”职责,以及工信、市监、公安、金融等多个领域的主管部门对数据保护负有的监管职责。不过,由于数据行政规制的“九龙治水”问题形成已久,规制协调问题引发了不同程度的规制重叠与规制空白,按条块分割的行业分治、属地治理模式,与数据要素跨地区、跨行业、跨层级流通的需求难以匹配。以金融数据治理为例,随着金融混业经营程度加深,以互联网金融和金融科技为代表的新金融业态的出现,使得金融数据治理工作难度加大,央行也仅仅能在银行业、征信业推进治理,导致现阶段在全国层面既缺乏专门的金融监管机构负责数据治理工作,也缺少金融数据治理的统筹协调部门。
值得注意的是,精巧规制的内在原理逐渐显现在对数据要素更优规制的探索中。2022年12月出台的《意见》,将创新政府数据治理机制、压实企业数据治理责任和发挥社会力量多方协同治理作为治理制度构建方向,为丰富和完善我国数据要素治理理论、追求对数据要素更优的规制提出了新的思路。对被规制者商业模式、市场操作和合规态度的了解与尊重,是精巧规制理论展开的基础。对此,《意见》将“遵循发展规律,创新制度安排”作为首要工作原则,力求贴近市场实践,追求较少干预之下的双赢格局。《意见》中一共22次出现“探索”表述,第2条要求“在实践中完善,在探索中发展”,为市场创新留出充足的规制弹性与试错空间。这种回应性、动态性的规制策略制定思路,并非是自上而下式的制度空想,而是基于近年来地方实践的总结与提炼,与强调灵活性、想象力的精巧规制在以下三个方面具备逻辑同构性。
首先,是在规制策略制定层面的利益相关者参与。除了《关于构建更加完善的要素市场化配置体制机制的意见》以及“十四五”规划等前期顶层设计之外,数据要素基础制度经历了推动利益相关者深度参与、搭建规制者与被规制者沟通桥梁的关键节点。2022年3月,国家发展改革委门户网站开设了“数据基础制度观点”征集意见活动专栏,公布《数据基础制度若干观点》,吸收个人、企事业单位、科研院所、行业协会、地方政府部门等利益相关者的有效意见建议共计621条。其次,是尊重市场实践的规制策略制定方法。例如,在数据产权与交易相关条文中,考虑到在传统财产权框架之内解释数据要素流通的局限,以及近年来各地数据交易所业务模式、交易规模、安全保障等方面的困境,《意见》认可深圳、上海等地“数据经纪商”的基层探索,在第3条、第9条提出以数据资源持有权、数据加工使用权和数据产品经营权为组成的数据产权结构性分置制度,推进数据交易场所和数据商功能分离,以顶层设计尊重和回应市场的实际运行情况。最后,在规制策略后续的动态完善层面,《意见》第20条提出,要及时总结提炼可复制可推广的经验和做法,并由数字经济发展部际联席会议适时进行动态调整,凸显总体规制策略在持续完善路径上的动态性。
四、精巧规制在我国数据要素治理中的应用展开
(一)明确数据要素治理的规制目标与底线红线
精巧规制理论具备灵活性、多元性与想象力等特征,如何将其融入我国数据要素治理,以精巧之治提升国家数据要素治理体系和治理能力的现代化,是实现数据要素良法善治的关键。对此,前提是重塑我国数据要素的规制目标,并确立相关治理的底线与红线。一方面是数据要素的规制目标,《意见》中确立了“促进数据合规高效流通使用、赋能实体经济”这条主线,推动形成了数据要素规制的全新目标。总体来看,数据要素规制目标应平衡安全与发展的价值要求,由强调数据控制转向以“流通使用”为核心。将“流通使用”作为规制目标,有充足的域外适用与理论价值基础。从其域外适用来看,长久以来,我国围绕个人信息、数据的规范思路与规制体系以欧盟GDPR为主要借鉴,以信息与数据安全为主要出发点,强调个人信息处理行为的规范性,规制目标注重个人控制而轻于数据流通。然而,规制的正当性基础在于发现市场运作的缺陷并予以纠正,最终实现资源配置效率的最大化。欧盟立法者已经意识到规制目标偏差引发的数字市场活动、数据国际竞争等方面问题,近年来在“欧盟数据战略”的引领下,相继出台《数据治理法案》《数据法》《数字市场法》等一系列法案,着力改善欧盟内外部市场的数据共享机制,通过提升数据可用性和流动性来释放欧洲数字经济潜力。从其理论基础来看,精巧规制理论追求较少干预之下的双赢结果,意味着数据精巧之治既要保障规制过程自身效率,也要实现数据要素在经济社会整体层面的价值最大化。数据可复制、非消耗、边际成本较低等要素特性,打破了资源有限供给在社会生产中的限制。在这个意义上,数据要素治理应摒弃“以安全换发展”“安全就会发展”的保守思想,将“合规高效”作为流通使用的规范条件而非目的,更好地实现数据要素的流通利用,促进全体人民共享数字经济发展红利。
另一方面,需要明确我国数据要素治理的底线红线。数据在跨境电商、跨境支付、供应链管理、服务外包等典型应用场景中,成为世界主要国家战略布局重点,数据安全也已经成为国家安全的重要组成部分。精巧规制理论的回应性与灵活性,只有在避免出现不可弥补的损失或灾难性破坏的严重风险前提下才能实现。因此,应围绕数据要素可能引发的国家总体安全风险来划定规制底线红线。近年来,数据要素与国家安全产生的深度交互,已经在中美审计监管、“滴滴出行”网络安全审查案等诸多案例中有所体现。以中美审计监管为例,根据美国《外国公司问责法案》(Holding Foreign Companies Accountable Act)及中美审计监管合作协议,外国公司会计事务所需要向美国公众公司会计监督委员会(PCAOB)提交审计底稿。审计底稿中可能包含我国企业敏感度较高的数据,甚至可能包含国民交通出行、战略能源储备等关键数据,可能被境外势力分析利用从而实施危害国家经济体系与整体安全的行为。对于此类数据,政府需要划定底线和确立标准,并施以事前审查、事中监管与事后追责措施。在中概股退市摘牌风波期间,国务院、证监会先后发布了对境内企业境外发行上市中保密与档案管理工作的征求意见稿,于2022年8月与美方签署了审计监管合作协议,并在此期间持续强化网络安全审查、数据出境审查执法工作,注重对“滴滴出行”等公司的事后追责工作。在审视国家总体安全风险来划定规制底线红线的思路下,中美双方最终达成一种可行的合作路径,由我国对审计底稿中特定数据进行专门处理,保障了境外发行上市过程中数据要素的良法善治。
(二)重构数据要素治理中政府的功能实现方式
从精巧规制理论内容及其发展脉络来看,政府是多元治理主体中起到最关键作用的一环。政府法令仍应处于相对优越的地位,并不意味着政府继续扮演命令-控制型规制中强干预性、直接作用的角色,有必要重构数据要素治理中政府的功能实现方式。具体而言,政府规制角色的首要转变,应由直接规制变为底线、规则和标准的制定与统一者,以完善整体规制体系。以金融数据的规范体系为例,近年来出台的《民法典》《个人信息保护法》等法律明晰了金融机构处理个人数据的逻辑起点与一般法依据。不过,金融机构负有保护客户隐私及相关信息的义务由来已久,数据在金融领域的保护路径远不止一条。在个人作为数据主体身份之外,还存在个人作为消费者、作为投资者的保护路径,如《金融消费者权益保护实施办法》《证券期货投资者适当性管理办法》等。目前过于分散的规范文件难以形成较为完整的规制依据,很难包容个体在金融服务活动中的多重身份,不仅无法实现全面治理和协同治理,甚至导致了不同规范之间的规则冲突。例如,就金融机构处理数据所应当明示的内容而言,《民法典》第1035条的披露规定是“目的、方式和范围”,而《金融消费者权益保护实施办法》第31条中的格式条款披露要求中,额外增加了“内容”和“可能后果”,容易造成实践中金融机构适用规则的混乱。因此,除前述划定规制底线红线的任务之外,政府应整合位阶较低、存在冲突的现有规范体系,形成协调统一的数据要素治理规范体系。例如,尽快推动制定《个人金融信息(数据)保护试行办法》,弥合金融数据专门性规范在部门规章位阶之上的缺失,整合、吸收和引领现有的各项金融行业标准,消除不同金融业务之间的规则割裂。
政府规制角色的另一种转变体现在由直接规制转为规制协调,为第二方、第三方替代规制者合理分配权力。推动形成数据要素的多元主体协同共治,既是精巧规制的理论内涵,也是国家治理体系和治理能力现代化水平提升的必然要求。对此,政府规制角色应由侵入性、强制性的直接规制,转化为在政府内外部进行规制协调的角色。在政府内部,应重点聚焦前述“九龙治水”问题,在不同行业之间、同一行业内部完善规制协调机制与联合执法机制。如在金融领域,应进一步强化网信部门、数字经济发展部际联席会议等组织的统筹协调功能。建议将央行作为全国层面统一负责金融数据治理的专门机构,进一步明确承担统筹协调职责的网信部门与行业主管部门之间的规制责任划分与合作形式。在政府与被规制者之间,政府应减少直接干预强度与范围,坚持《意见》确立的积极鼓励试验探索模式,支持发达地区和有条件的行业企业先行先试,充分运用监管沙盒等创新容错机制。此外,优先选择信息策略、自愿主义等低干预度、与替代规制者能够巧妙结合的规制措施,激励并保障多重数据规制主体功能的实现。
(三)引导被规制者和第三方参与数据要素治理
党的二十大报告指出,要“健全共建共治共享的社会治理制度,提升社会治理效能”。《意见》第16条明确,要“充分发挥社会力量多方参与的协同治理作用”。国家的行政执法资源及其对数据违法行为的有效捕获存在上限,自我规制因为在专业性、成本、效率等方面具有优势,被视为放松规制或现代治理的一个重要内容。精巧规制理论对执法金字塔的探索与重构,体现出自我规制与第三方规制在数据治理中的重要作用,两者共同构成政府规制权力转型与下放的实现路径。
有鉴于欧盟数据保护机构运用精巧规制的经验,行政部门应以政府规制引导企业内部自我规制准则体系的建立完善,与被规制者尽早开启积极、定期的互动关系,将企业业务创新与合规态度的反馈,作为能动性调整规制策略的事实基础。在此基础上,一方面注重团体的自我规制,继续激活互联网公司、科技公司、大型平台企业深度参与数据要素治理过程中。引导广泛的规制对象参与个人金融数据治理法规与行业标准制定,能够推动其自下而上完善和维护数据治理秩序,提升治理规则在行业内部的普遍认同性。另一方面是注重从科技伦理角度强化个体的自我规制。对于处理个人信息达到国家网信部门规定数量的个人信息处理者,《个人信息保护法》第52条要求其指定个人信息保护负责人,由负责人对信息处理活动及保护措施进行监督。对于处理大量个人信息的处理者、大型互联网平台,不仅应落实个人信息保护负责人制度,还应当倡导企业内设科技伦理部门,或由某位高管分管科技伦理工作,激励被规制者主动审查其围绕数据的科技创新伦理性。通过规范算法、区块链、人工智能等新兴技术,落实《意见》“压实企业的数据治理责任”的要求,最终形成伦理与法律之间规则并行、包容促进与交融互通的复合进路。
自我规制作为更优规制探索中的代表,有其在专业性、规制成本与效率等方面的优点,但也存在需要长期培育、依赖共同体理念、规制俘获和集体行动等问题。良好的自我规制既需要服从政府规制的监督(Surveillance),在政府规制和自我规制间取得平衡,还需要从数据安全与数据流通两个层面,推动第三方规制体系的完善。在数据安全层面,第三方认证制度是以信息战略为代表的低干预规制措施,成为欧盟践行精巧规制理论的重要方式。相较于政府规制与自我规制,第三方认证制度能够引导和激励数据处理者提升数据安全保障水平,增强用户对数字产业的信任度,缓解政府规制“一刀切”式的检查,以声誉评价满足多元主体的数据安全需求。《网络安全法》第17条、《数据安全法》第18条第1款、《个人信息保护法》第38条等条款分别规定了网络安全认证、数据安全认证、个人信息保护认证制度,新近出台的《个人信息保护认证实施规则》等规范文件也在持续完善第三方认证制度体系。下一步,应当继续优化第三方认证制度体系,推动实现数据要素领域第三方认证的认证职权法治化与成本收益均衡性。而从数据流通层面来看,第三方专业服务机构成为激发数据要素流通的未来方向。以数据交易为例,相较于以数据交易所为中心的一元式交易模式,深圳、上海等地对“数据经纪商”从业模式与功能定位的基层探索,成为变革交易服务生态的关键。对此,应当鼓励多种所有制数据商建立起平等竞争的市场化交易体系,培育从事数据集成、审计、公证、托管、评估、培训等职能的第三方专业服务机构,推动数据要素的合规高效流通使用。