【中文摘要】在数字经济时代,数据作为基础性资源需要通过共享与跨境流通来发掘潜在价值,但当前数据共享的各环节面临安全风险,而且数据跨境流通过程中监管乏力,应该基于对个人法益的保护诉求来加以完善。在数据共享的全流程中,在数据共享前对数据进行分类分级,在数据共享中引入数据中介机制来审核数据质量并优化共享双方的衔接模式,在数据共享后对数据进行追踪,防止数据被二次加工而侵害公民个人法益。在数据跨境流通过程中构建监管机制,应该借鉴域外现有规范,审查数据实质内容中是否涉及公民个人隐私、是否坚持数据最小化原则以及是否保证数据透明度,同时确保数据跨境流通的通道能安全运行,并对数据持有者与数据使用者这两个平台展开有效监管。
【全文】
伴随数字经济的高速发展,数据作为新兴科技发展与运行的“石油”而成为各方势力争抢与角逐的对象,为了让“流动的数据”真正成为“燃烧的石油”{1},需要推动数据共享流通,并解决数据共享与跨境流通过程中存在的问题,真正发掘并利用数据的潜力。在数据使用过程中,数据自身所具有的非竞争性和非排他性特征意味着其实质价值不会因共享使用与跨境流通而贬值,与之相反,数据只有不断流通并共享使用才可以发掘出其中的潜在价值并实现数据价值的最大化目标,在数字经济参与者之间人为地设置数据自由流通的障碍只会导致数据开发滞后并掩埋其潜在价值{2}。在宏观政策层面,为了推动数据共享与跨境流通、充分发掘数据的潜在价值,2022年12月2日,中共中央、国务院联合发布了《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称《数据要素意见》),其中第3条提出要建立“场内外结合的数据要素流通和交易制度”,具体包括“完善和规范数据流通规则,构建促进使用和流通、场内场外相结合的交易制度体系……有序发展数据跨境流通和交易”,由此体现出国家对于推动数据共享与跨境流通的重视,希望借助数据共享与跨境流通来真正实现对数据的全面应用,并借此促进我国经济社会发展和制度创新{3}。但伴随数字经济的发展,数据共享与跨境流通的范围在不断扩张、频率在不断提升,并由此产生各类安全风险,比如在数据共享的各个环节中面临数据泄露的风险,在数据跨境流通过程中监管乏力等,尤其是其中涉及个人隐私的数据,因为其属于各类数据中的“富矿”而为各方所觊觎{4},在人工智能技术的加持下可以在其中发掘出更多有价值的信息内容,因此其成为数据共享与跨境流通过程中的保护重心。退言之,如果不能构建有效的法律保护体系,那么不仅会阻碍数据共享与跨境流通,还可能反向吞噬数字经济的发展红利,破坏正常的数据开发利用秩序,而数据中所蕴含的公民个人法益也会面临最为严重的威胁。鉴于此,对于数据共享与跨境流通过程中存在的问题,应该在分析问题的基础上结合数字经济发展的实际状况来构建配套的法律保护体系,以个人法益保护为立足点来促进数据共享与跨境流通,不仅要消除数据共享全流程中的安全风险,还要全面推动数据跨境流通的监管机制的构建,从而充分利用数据的潜在价值,满足数字经济发展过程中日益增长的数据应用需求。
一、当前数据共享与跨境流通过程中存在的问题
在数字经济时代,数据共享与跨境流通的过程存在各类安全风险,而其中共享与跨境流通的数据主要是涉及个人信息的数据,因此需要提供更为严密的法律保护,如果不能合法共享并跨境流通数据,那么不仅无法发挥数据的实际价值,还会引发个人信息泄露、社会公共秩序紊乱以及国家安全遭受威胁等一系列风险,阻碍对数据的合理使用。在诸多类型的安全风险中,当前数据共享与跨境流通过程中存在的主要安全风险是公民的个人隐私泄露,而这来源于对保护个人法益的漠视,导致数据被随意共享或跨境流通,最终导致数据中最具有价值的个人隐私遭到各方觊觎,公民的个人法益也会因此受损。之所以将个人法益作为保护的立足点而非选择表面上的公共安全法益、数字秩序法益等概念,主要是因为这类集体法益是从个人法益中推导出来的,其源头仍然是回归到个人法益,集体法益只有能够还原为个人法益才值得法律保护{5},因此把个人法益作为数据共享与跨境流通的实质保护法益恰如其分。事实上,数据本身大多是由个人的具体行为转化为二进制代码再通过算法编译而来,因此其与个人法益紧密挂钩,即使表现为集体法益的外观,但实际上仍然是个人法益的内核,其所面临的威胁不仅来自其自身,还包括表面上侵害集体法益实际上却传导至个人法益的威胁,导致个人法益的风险来源更加多样且损害后果的影响也更为深远,那么对应的法律保护体系也应该围绕着保护个人法益来加以展开。鉴于此,分析当前数据共享与跨境流通过程中存在的问题,应该以个人法益为立足点来对数据共享与跨境流通的全流程展开类型化分析,从而为法律保护体系的完善指明方向。
(一)数据共享中的各环节面临安全风险
在数字经济中,数据共享是指数据持有者将自己所收集的数据与他人进行共享,二者间形成一种合同关系,数据共享的相对方一般被称为数据使用者,即那些被授权访问数据的需求方,而数据共享的过程则主要发生在机构、平台层面,包括不同机构、平台之间对数据的交换{6},数据共享是真正发掘数据潜在利用价值的前提。退言之,如果数据不能共享即只能归数据持有者自己利用,那么数据本身就无法成为一项真正的财产,数据产业也不能发展,因此数据共享对经济运行机制、社会生活方式和国家治理能力都存在重要影响{7}。事实上,虽然数据共享在数字经济中具有重要作用,但由于具体的数据共享过程存在不足,因此其中各个环节都存在各类安全风险,并阻碍了数据的有序共享与价值发挥。
鉴于数据共享过程居于数据生命周期环节的末端,所以数据处理过程中其他环节的不利因素将会在数据共享阶段不断累积且无限扩张,而由于技术手段所限以及监管机制乏力,则最终导致数据面临各类安全风险,尤其是对公民个人法益存在严重威胁。相较于其他数据处理流程,数据共享的敏感性和特殊性在于数据被共享后原来的所有者就失去了对数据的绝对控制权,那么数据在后续阶段的处理模式与处理权限即使在事先有所规定或限制,也仍旧面临技术处理界限被突破的风险,并且风险泛在地分布于数据共享的各个环节中,导致对数据共享加以保护的难度也随之增加。比如欧盟就认为数据共享过程中因为复杂性而缺乏透明度,同时在对数据的控制上缺乏竞争性,这可能会导致公民因数据共享而面临侵犯隐私、安全漏洞或其他有害行为(如去掉匿名或价格歧视)的伤害。第一,在数据共享的前期,数据存在类型混同而泄露个人隐私的风险,来源不同的各类数据的实质重要性存在差异,数据中的实质内容也不能一概而论。除此以外,数据共享过程中的数据分类分级机制不能完全照搬现有的其他处理过程中对于数据的分类分级机制,因为数据共享过程具有敏感性与特殊性,所以不宜通过“拿来主义”照搬其他分类分级机制并共享数据,而是应该根据数据共享过程中的实际情况来制定合适的数据分类分级机制,从而为数据共享做好前期准备工作。第二,在数据共享的中期,在数据共享过程中缺乏合适的中介机制,无法充分发挥数据共享的潜在价值并合理调配数据资源,在共享技术的衔接上也存在壁垒,难以调动不同部门之间共享数据的积极性。事实上,早在2022年5月30日,欧盟委员会就颁布了全球首部关于数据中介的法案,即《数据治理法》(Data Governance Act,DGA),其立法初衷在于帮助数据持有者与数据使用者建立信任关系并提升数据互操作性。鉴于此,我国为了处理数据共享过程中存在的各类问题,可以借助数据中介制度来有效地提升数据共享的效率,贯彻技管结合理念,拓宽数据来源并促进数据开放,构建标准化、规范化的数据共享流程,并通过政府背书、组织中立、程序民主等方式提升数据共享制度可行性和信任度{8}。第三,在数据共享的后期,不能动辄放弃对共享数据的监管,而是应该根据数据的具体流向进行持续性追踪,如果在数据共享后放任其被无限制地加工利用,则可能被人工智能算法技术进行二次加工并被挖掘出其中的潜在价值,算法技术的复杂性以及其引发的黑箱效应可能在数据共享后造成“次生灾害”{9}。总之,在数据共享全流程的各个环节之中,由于当前技术、规范、制度等多方面存在空白,数据共享面临各类安全风险,包括前期的泄露风险、中期的交易风险以及后期的加工风险,并且最终都会损害公民个人法益,所以需要从数据共享的流程入手,以个人法益保护为切入点来解决上述问题,尝试构建覆盖数据共享全流程的法律保护体系。
(二)数据跨境流通时面临监管机制乏力难题
在数字经济时代,推动数据跨境流通是盘活数据资源、降低数据冗余、提升处理效率的必然举措。2023年11月9日,欧盟委员会通过了最新的《数据法案》(Data Act),其中指出“为了满足数字经济的需求,消除数据内部市场的良好运作所面临的障碍,有必要制定一个协调一致的框架,明确谁有权使用产品数据或相关服务数据,以及在什么条件下基于什么依据”。相较于一般意义上的数据共享,数据跨境流通的特殊之处在于以下三个方面。第一,数据跨境流通的过程更为复杂漫长且面临更多安全风险,技术监管措施在跨境过程中容易“鞭长莫及”。第二,在数据跨境流通过程中不同国家对于数据监管的政策与保护的尺度存在差异,因此容易导致违规跨境流通。第三,在数据跨境流通过程中,数据大多因为自身价值较高而被流通,这就意味着数据一旦泄露或流通后被违规加工则可能产生更为严重的负面影响,且造成的法益损失因为涉及域外而难以及时弥补。鉴于此,数据跨境流通比一般意义上的数据共享更需要在安全风险和因应机制方面进行优化,在保持高度关注数据跨境流通风险的共性基础上,更进一步地关注域外各国关于数据跨境流通的治理政策,并将各国政策上的差异作为监管机制的关注重点,尝试制定完备的监管框架。
事实上,当前数据跨境流通已然是数字经济增长的重要助力,世界各国通过数据跨境流通可以实现对数据资源的优化配置以促进经济发展,欧盟尝试构建数据跨境流通框架则意味着世界各国在数据跨境流通过程中都要给出相应的应对方案与监管机制,否则其他国家将在数据跨境流通中居于下风。比如日本政府就与欧盟在2024年1月31日签订了包含数据跨境流通条款的《欧盟—日本经济伙伴关系协定》,其目的是加强二者之间数据的跨境流通。与之相对,《中华人民共和国数据安全法》(以下简称《数据安全法》)第11条就规定“国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动”,而在《国务院关于加强数字政府建设的指导意见》(国发〔2022〕14号)中同样规定了“强化数据资源全生命周期安全保护,推动数据跨境安全有序流动”以及“积极参与数字化发展国际规则制定,促进跨境信息共享和数字技术合作”,由此可见我国对于数据跨境流通工作的重视。
鉴于数据跨境流通在整个数字经济发展浪潮中发挥着重要作用,为了在维护我国数据安全的前提下推动数字经济发展,我国应该结合国内外数据跨境流通的现实境况构建对应的监管机制,并且着重强调对公民个人法益的保护。换言之,如果我国在数据跨境流通过程中缺乏监管,则不仅会导致我国在数据跨境流通中损失合理的经济利益,还会导致涉及公民个人信息安全的数据被无端泄露,公民个人隐私在域外处于“裸露”状态。例如在之前沸沸扬扬的“滴某公司赴美上市案”中,滴某公司就是因为在数据跨境流通过程中存在监管缺失,并产生泄露有关公民个人隐私数据的风险,因此被责令强制下架,最终罚款80.26亿元{10}。事实上,根据我国数字经济的实际情况来构建针对数据跨境流通的监管机制,能够为我国司法机关处理相关境外企业违法犯罪提供法律依据{11},维护数据跨境流通的正常运行,并为公民个人法益提供强力保护。因为数据跨境流通过程本身就极为复杂,所以需要在参考域外相关规范的前提下制定有效的监管框架并设置完备的监管任务,从而实现对数据传输全流程的有效监管。
二、基于个人法益对数据共享机制全流程提供保护
在数据共享过程中,为了避免数据面临安全风险,应该以保护个人法益为立足点来对数据共享的全流程展开保护。数据所对应的个人法益内涵不是以隐私权为代表的传统个人权利,而是在网络信息时代作为新型权利的个人信息权,其内涵与价值要远超一般意义上的个人隐私权,兼有精神性权利与物质性权利,主要是对公民人格利益以及信息财产利益的综合保护,所以需要在数据处理过程中强化对个人法益的保护。事实上,在数据共享的全流程中,因为数据共享的阶段存在差异,所以需要完善的具体环节也存在区别,因此需要以保护个人法益为核心诉求来完善数据共享机制,并根据实际需求优化具体的数据共享措施。
(一)数据共享前进行数据分类分级
欧盟在《数据治理法》中将“数据共享”定义为“数据持有者(Data Holder)以共同或单独使用共享数据为目的,根据自愿协议,直接地或通过中介机构向数据使用者(Data User)提供数据的行为”,因此数据共享本身就涉及了双方共同的利益,在共享过程开始之前就应该预先对数据进行分类分级以防止后续处理失当。但值得注意的是,在数据共享前对数据进行分类分级,不能完全照搬以往法规中对数据的分类分级方法,以往对数据的分类分级办法是以其实质属性展开分类,将具有相同属性的数据划分为同一种类,从而可以为某一类数据的特定属性提供具体的安全保护措施{12},随后再根据数据的重要程度设置对应的分级机制。在现有规范中,《数据安全法》第21条就提出要根据数据个人合法权益造成的危害程度来实行分类分级保护,而国家互联网信息办公室《网络数据安全管理条例(征求意见稿)》第5条将数据划分为一般数据、重要数据与核心数据。在此基础上,全国信息安全标准化技术委员会发布了《网络安全标准实践指南——网络数据分类分级指引》,其中进一步细化数据分级与分类框架,在数据分类框架中考虑公民个人维度、公共管理维度、信息传播维度、行业领域维度、组织经营维度,而在数据分级框架中按照一般数据、重要数据、核心数据进行分级,并可以根据具体需求对一般数据进行细化,即分为无危害、轻微危害、一般危害以及严重危害,上述分类分级模式更为细化,同时为构建数据共享前分类分级机制提供参照。
针对数字经济发展过程中纷繁复杂的数据类型,在数据共享前通过分类分级来对数据进行预先处理,主要考虑数据共享这一场景因素以及个人法益保护这一核心诉求。在数据共享前的分类过程中,应该充分考虑数据共享这一技术场景所产生的实际影响,基于场景理论来分析数据共享所可能带来的技术风险{13},并融合风险场景理论来对不同类型数据构建对应的保护架构,在预防数据犯罪风险时秉持犯罪圈均衡化与刑罚轻缓化的立场{14}。2020年2月19日,欧盟发布了《欧洲数据战略》(The European Strategy for Data)为建立高度共享且使用方便的轻快型数据经济和一体化数据市场描绘了蓝图,并将数据共享划分为四种场景,即企业对政府数据的共享(Business to Government Data Sharing)、企业间的数据共享(Business to Business Data Sharing)、政府对企业的数据共享(Government to Business Data Sharing)和政府间的数据共享(Sharing of Data Between Public Authorities),而根据场景差异,对应的数据共享各方以及其利益诉求也存在差异。质言之,在数据共享场景中主要考虑数据持有者与数据使用者之间的利益平衡,双方虽然共享并交换了数据,但是所处的地位不同代表了不同的利益诉求,数据持有者希望尽可能限缩数据共享的程度,在获取利益的前提下尽可能降低共享数据所可能带来的风险,而数据使用者则希望在已有成本的前提下尽可能多地获取数据,并提升自身对数据的加工利用权限,二者行为相对且目的诉求存在偏差。鉴于此,应该以个人法益为限度来划定分类界限,在不损害个人法益的前提下,尽可能满足数据持有者与数据使用者之间各自的利益诉求,在限缩与开放之间达成平衡,以个人法益保护为尺度对数据共享过程中的数据进行分类,即分为涉及个人法益的数据与不涉及个人法益的数据,并对于涉及个人法益的数据采用更为严格的分级标准,针对不同级别的涉及个人法益的数据采用不同的保护模式,提升对其的整体保护强度,而对于不涉及个人法益的数据则采用较为宽松的概括性保护标准以促进其有效流通,推动数字经济的长远发展{15}。
在数据共享之前,对于涉及个人法益的数据进行分级,在设计分级标准时应该参照数据可能对个人法益造成的损害后果,即按照数据所承载的个人法益大小以及其一旦被非法共享所可能导致的法益损害后果之大小来进行重要性上的层级划分。具言之,在数据共享过程中,根据对个人法益可能造成的法益损害程度进行级别划分,包括无危害数据、轻微危害数据、一般危害数据以及严重危害数据,并规定相应级别的数据是否可以进行共享以及共享的具体边界。事实上,从“技术中心主义”(Technocentrism)的视角加以观察,数据脱敏、脱密技术的完善和数据要素市场的日渐成熟意味着数据的人身性特征正在逐渐被削弱,数据中开放的组织模式意味着数据共享可以通过相应的技术预处理来预防共享所带来的潜在风险{16},因此在评估法益损害时不宜过于严苛,并且法益内容不应过于抽象化,而应相对具体{17}。鉴于此,第一,无危害数据不对个人法益存在损害,因此可以直接进行共享,挖掘数据的潜在价值。第二,轻微危害数据可能对个人法益造成轻微损害且可以在事后恢复或者在事先预防,因此要求在共享前进行脱密技术处理,并限制数据被共享后的使用方向。第三,一般危害数据中部分内容对于个人法益可能造成直接损害,所以应该限制其使用范围与使用强度,只有在必须共享的情况下才可以共享,并需要及时汇报数据共享后的使用方向,在使用目的达成后责令数据使用者及时销毁。第四,严重危害数据一定会造成公民个人法益损害且无法恢复,因此不允许对其进行数据共享,并对其进行实时监控、定时报备与事后销毁,防止其出现共享或者泄露的情形。
总之,在数据共享之前以个人法益为立足点来进行分类,根据数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用所可能面临的法益损害程度的差异,评估行为对法益造成的侵害事实或者危险状态{18},并将其进行四级划分来规定对应的共享要求,可以奠定数据有序共享与安全共享的基础。在数字经济时代,立足数据共享的实际情形来构建数据分类分级机制,应该将实质评判的重心回归到对数据中所蕴含的个人法益的评估过程之中,从而限定对数据共享的最低保护要求,相较于国家安全、社会安全等更为宏大的利益保护诉求,保护个人法益更为直接也更符合数字经济的发展需要,而由此构建的数据分类分级机制也更加科学合理,有助于保障公众利益并达成法律预期的规范性期待{19}。
(二)数据共享中构建数据中介机制
在数字经济时代,数据共享是激发数据加工潜力的重要举措,而在具体的数据共享流程中,数据类型、内涵、形式的差异导致不同数据之间存在互操作性低的难题,从而影响了数据共享的效率与效果,数据收集与共享的方式的差异甚至会导致不同来源的共享数据无法被读取,间接增加了数据共享的成本。为了消除数据共享过程中存在的阻碍,早在2013年10月,欧盟委员会就曾呼吁整合数字单一市场,促进所有经济领域内的数据驱动型创新,拓宽数据的获取途径从而在整个经济体系中共享数据。2015年5月,欧盟委员会正式制定了“数字单一市场(DSM)战略(Digital Single Market Strategy)”。该战略旨在建立一个数字单一市场的监管框架,消除当前数据自由流动的障碍与限制,从而为数据共享扫除形式上的阻碍。随之,欧盟委员会发表了促进“数据自由流动”的倡议。2018年4月,欧盟委员会推出一系列数据治理新举措,包括提高对公共部门数据的可访问性、支持企业间共享数据、促进科研数据共享、支持公民使用个人数据用于健康和医疗护理等用途等,旨在提高欧盟内数据的共享程度与可利用程度。经过上述举措,欧盟已经逐渐建立起内部数据共享的循环系统,而其中在各个环节扮演疏通角色的重要机构就是数据中介机构,其主要分为三种形式,即数据市场(Data Marketplaces)、个人数据管理系统(Personal Data Management Systems)以及数据合作社(Data Cooperative)。这三种形式的数据中介机构虽然对应不同的共享规模与共享场景,但本质上都是为了消除数据共享过程中的阻碍,促进欧盟内部在不同成员国和不同部门之间共享并利用数据{20},而这同样值得我国数据共享机制在运行过程中予以借鉴。
事实上,当前数据中介机制主要是通过专业技术、法律和业务等方面的知识来对数据访问和抓取过程进行管理,通过标准化的专业技术来降低数据共享过程中的阻碍,增强数据持有者与数据使用者之间的互操作性,并保证数据共享过程的安全性与有效性{21}。相较而言,当前我国数据中介服务的形式主要是数据交易平台(所),比如2015年在贵阳建立了我国第一家大数据交易所,并随之在广州、上海、长春、北京、深圳等地建立了大数据交易平台,这在推动数据资产化的同时完善了数据共享的中介服务{22}。在此基础上,当前我国基于“全国一体、分层分级、互联互通”的总体考量,初步构建了“1+N+X”全国一体化数据交易场所体系,明确了国家级、区域级、行业级数据交易场所差异化的业务定位和互联互通方式{23},从而推动了数据中介机构的发展。鉴于此,在数据共享过程中,为了提升数据共享效率,数据中介机制应该从提高共享数据质量与完善共享双方沟通衔接两个方面着手予以提升,全方位保障数据共享过程,通过数据中介机制赋予共享数据更高的利用价值,并力图兑现数据的经济利益{24}。
第一,数据中介机制应该严格审核共享数据的质量,提供高质量数据用于数据共享,从而避免数据共享因为监管不严而存在后续隐患。在域外,欧盟颁布的《开放数据指令》(Directive2019/1024)就从广阔的数据概念中提炼并新设立了“高价值数据集”(High-Value Datasets)这一独特概念,其主要是指具有明显的社会经济或环境效益,并且能够使大量用户受益的价值密集的数据。该规范还要求将高价值数据集以程序间接口(Application Programming Interface)、批量下载和机器可读的方式进行供给,力求提升数据共享的效率。鉴于此,我国数据中介机制也应该严格审核共享数据质量并尝试提供“高价值数据集”。高价值数据要求其中蕴含企业发展所实际需要的信息内容,并且数据要以能够被有效利用的方式予以呈现,数据以最为精简的方式呈现其所需要展示的信息以避免冗余过多,个人数据因为兼具人身属性与财产属性而具有较高价值{25},因此具有共享价值,但同时需要完善对其的保护措施。虽然数据中介机构应该尽可能提供高质量数据用以共享,但这一过程同时要求其担负“守门人”责任,发挥相应的数据安全防范与数据治理功能。数据共享应当以保护个人信息和隐私为前提,所以数据共享中介机构不得将其提供服务的数据用于其他目的{26},对于蕴含高价值的数据则更要审查其中是否存在敏感的个人信息,对于存在涉及个人隐私的部分进行数字脱敏、脱密技术处理才进行适当共享,防止高价值数据在共享后被二次加工而损害公民个人法益。
第二,数据中介机制应该尽可能完善共享双方的沟通衔接,构建安全高效的数据共享通道,避免衔接障碍阻碍数据共享。2020年7月28日,韩国国务会议通过了《信用信息法实施令》的修订方案,其中规定设置专门负责数据共享的指定机构来安全地共享数据,在共享过程中提供匿名化、脱敏化数据,并建立风险管理制度和内部控制机制来防止共享数据泄露个人信息。鉴于此,我国构建安全高效的数据共享通道需要对共享过程中的数据进行实时监控,要求数据持有者和数据使用者都按照既定流程提供或接收数据,数据在共享过程中则由数据中介机构进行实质审核,数据中介机构主要是调整其形式上的格式并审查其实质上的内容是否会损害公民个人法益,从而履行自身的忠实义务,同时确保数据共享双方都遵循公平、透明、非歧视性的程序获取中介服务{27},最大化提升数据共享的效率。
(三)数据共享后设置数据追踪体系
鉴于数据类型复杂且内涵丰富,为了避免被共享的数据在事后被二次加工从而对公民个人法益产生难以预测的风险,有必要在数据共享后设置相应的数据追踪体系,对共享数据的加工处理模式予以及时追踪与反馈。在数据共享过程中,数据本身是中立的,所以其使用场景决定了其具体属性,并可能因为特定的使用场景而导致其对公民个人隐私保护产生威胁,所以需要基于场景理论来剖析其是否存在侵害公民个人法益的潜在威胁,尤其是对通过市场化原则进行采集、交易、共享的数据资源,由于其中具有明显的值得尊重和保护的个人法益而尤为值得重视{28}。在数据共享之后,当数据转移到数据使用者这一方时,不同于以往的交易模式,因为数据自身具有的特殊性以及内容上的复杂性,所以应该尝试在共享后对数据的使用进行及时追踪与反馈,基于技管结合理念来将先进的数字处理技术应用于数据共享后的追踪过程中。比如俄罗斯就曾通过《俄罗斯联邦数字经济规划》来推行电子标签技术进行数据追踪,认为强化公民数字权是构建数字金融资产法的先决条件,应该加强对市场中以数据为交易客体的经济活动的规制,这有助于避免数据在共享后被二次加工从而对公民个人法益造成次生损害。与之相对,我国也应该在技术和制度上共同对共享后的数据进行有序追踪。当前比较成熟的技术分别是数据溯源技术、数字指纹技术和叛徒追踪技术,利用分布式结构来多源头追踪数据,优化路径算法并尝试增加标识化水印{29},因此我国需要在技管结合理念下根据数据类型与使用方向的差异对共享数据展开类型化追踪,既要防止数据在共享后被二次加工,也要避免无序化追踪导致共享成本增加且降低数据共享的效率。
在数据共享后设置对应的追踪体系,不能盲目扩张数据追踪范围,而是应该结合数据共享的实际情况以及数据共享后的实际使用场景进行类型化分析,基于技管结合理念展开有序化的数据追踪,以保护公民个人法益为核心诉求,体现人民利益并增进人民福祉{30},进而优化技术资源的配置。第一,对于共享数据进行后续追踪需要明确数据的具体类型,参照共享前对数据的分类分级结果,将追踪重点放在轻微危害数据与一般危害数据,并根据数据类型的差异采用不同的追踪模式与审查强度。对于轻微危害数据,应该限定合理的追踪周期,并且只需要数据使用者对共享数据的使用方向进行日常性的报备即可,不必进行常态化审查,而是在发生损害结果之后进行回溯审查即可。对于一般危害数据,应该要求数据持有者主动进行追踪与审查,在共享数据之后直接进行追踪并要求数据使用者提供数据的使用方向,对这类数据的使用要尤为审慎且进行常态化监管,当数据面临被二次加工的情形时及时收回数据并进行销毁。第二,对于共享数据进行后续追踪主要考察的内容是其是否存在危害公民个人法益的风险,以此作为实质审查标准可以维护个人的人格尊严等精神利益,同时有利于建立公民对数据共享机制的信任,这不仅对于数字经济的发展有利,而且对于维护社会利益、公共利益以及国家利益等也具有重要意义{31}。在司法实践中,数据持有者一般会倾向于积极追溯数据的使用方向,在“北京某某网络技术公司诉北京某某技术公司、北京某某科技发展公司不正当竞争纠纷案”中,北京某某网络技术公司就认为北京某某技术公司的脉某软件获取并使用非脉某用户的新某软件的数据信息违反了与新某软件之间的《开发者协议》等约定,并且上述数据可能危害新某软件用户的数据安全,[1]因此新某软件的行为也被视为履行了保护用户个人信息数据安全的义务{32}。事实上,司法实践中数据共享后的确会存在不当利用的风险,这类数据共享平台可能将共享数据进行谋利或者获取佣金,[2]导致公民的个人隐私泄露。鉴于此,数据共享后根据数据类型与使用方向的差异进行类型化追踪并实质审查,以个人法益保护作为核心切入点,既可以避免审查范围过度扩张阻碍数字经济发展且浪费审查资源,又可以避免数据被不当利用而对公民个人法益造成难以预料的风险,从而综合权衡好各种利益关系,恪守利益均衡原则{33},在利益平衡体系下构建数据出境制度体系,从而实现对数据进行全生命周期的安全保护,并为数字经济发展提供持续的安全状态{34}。
三、基于个人法益来推动跨境流通监管机制的构建
伴随数字经济的发展,世界各国都在逐渐被纳入数据大潮之中,因此数据跨境流通已经是数字经济发展过程中的必然趋势。《数据要素意见》第11条提出要构建数据安全有序跨境流通机制,具体包括“开展数据交互、业务互通、监管互认、服务共享等方面国际交流合作……探索安全规范的数据跨境流动方式……对影响或者可能影响国家安全的数据处理、数据跨境传输、外资并购等活动依法依规进行国家安全审查……探索构建多渠道、便利化的数据跨境流动监管机制,健全多部门协调配合的数据跨境流动监管体系”。正是上述规定奠定了数据跨境流通的整体框架,而伴随数据跨境流通趋势的不断增强,我国也需要随之提升数据跨境流通的安全性与效率{35},并以保护个人法益作为监管机制的落脚点,构建全方位、系统性的数据跨境流通的监管机制,从而跳脱出“法律保护一元论”的桎梏,并以监管为抓手来兼顾安全与自由。数据跨境流通的监管机制的重心在于贯彻体系性监管,从而齐头并进从多渠道展开监管,不仅要借鉴域外规范来保持规范层面的协调统一,还要将规范内容转化为具体的监管任务。鉴于此,在数据跨境流通过程中,应该由政府机关牵头开展对数据平台的全面监管,倡导数据跨境流通行业联盟自我监管,协调司法机关在案件裁量过程中考虑监管因素的具体影响,充分发挥监管机制的司法激励效用。
(一)借鉴数据跨境流通的域外规范
在数据跨境流通监管机制的构建过程中,首先需要明确监管任务,并在任务设置过程中强调对个人法益的保护,从而以此为核心展开实质监管。域外早已展开数据跨境流通的监管机制的构建与研究,从而对数据跨境流通进行全流程监管。因为数据跨境流通监管机制中涉及跨境问题,所以监管过程中需要考虑域外国家对于数据跨境流通的管理规范。当前域外出台并逐步落实了一系列关于数据跨境流通监管机制的政策法规,以适应新时代科技高速发展的要求,并借助监管方式实现公私法秩序的协同治理{36},值得我国加以借鉴。
第一,欧盟在数据跨境流通监管机制的建设上起步较早,2018年5月欧盟就发布了《欧盟数据保护通用条例》(The General Data Protection Regulation,GDPR)要求第三国提供“充分保护”来作为跨境流通数据保护的基本原则,同时考虑到部分国家的数字技术水平有限而推出标准合同文本(Standard Clauses Contract,SCC)、BCR规则体系(Binding Corporate Rules,BCR)等保护措施作为补充措施,并以此作为监管机制的参照内容。在具体的数据跨境流通过程中,欧盟主要与美国等发达国家签订安全港协议、伞形数据协议等具体规范文件,并在监管过程中对现存的阻碍数据流通的因素予以清除。鉴于此,欧盟设置的监管任务比较契合数字经济的发展现状,并在监管过程中强调对个人法益的保护,尤其是注重防范大型互联网平台在数据跨境流通过程中对个人法益的损害,避免大型互联网平台居于绝对强势的主导地位。2020年12月15日,欧盟委员会公布了《数字服务法案》(Digital Services Act,DSA)与《数字市场法案》(Digital Markets Act,DMA),其宗旨都是限制大型网络平台作为“守门人”的市场力量。《数字服务法案》要求建立专门的监督体系和问责框架,防范其对用户权利与数据流动产生潜在的系统性风险;《数字市场法案》则禁止具有市场主导地位的“守门人”企业从事限制用户权利和中小型企业发展的行为,从而尽可能促进数据跨境流通,避免大型网络平台构成数据垄断并违规利用的局面。质言之,欧盟提供的数据跨境流通方案在当前最为成熟,其中对于个人法益的保护值得我国数据跨境流通方案予以镜鉴。但是从数据产业不发达国家的视角,欧盟方案可能导致数据霸权的产生,因此我国在数据跨境流通过程中应该注重维护数字正义与自身合法利益。
第二,美国在数据跨境流通过程中注重对国际数字贸易经济规则的构建,早在2000年美国与欧盟达成的《安全港协定》中就给过于严苛的《数据保护指令》增设“后门”并允许美国企业转移和处理欧盟公民的个人数据。2013年底,美国参议院专门提出《2013美国数字贸易法案》(Digital Trade Act of2013),其目的同样在于促进涉及互联网的商业和数字贸易,提倡数据的跨境自由流动,从而明确了监管机制的适用目标。在具体的数据跨境流通过程中,美国在2020年2月通过的《外国投资风险审查现代化法案》中明确界定了个人敏感数据,并将其作为国家安全的组成要素,将涉及个人敏感数据的交易纳入外国投资安全审查范围。由此可见,美国在数据跨境流通的监管过程中仍然是强调对个人法益的保护,即使其倾向于推动全球化数字经济发展,但数据实质内容中所蕴含的个人法益仍旧是其监管的核心任务,从而在监管大型网络平台的同时保障数据进行有序跨境流通并促进数字经济发展。相较而言,美国的数据跨境流通方案是在保护个人法益的前提下强调数字经济的发展,这启发我国要挖掘数据潜力,在数据跨境流通过程中避免自身数据资源被无端挖掘与过度利用。鉴于此,我国的数据跨境流通平台在传输数据过程中应该接受合理的安全评估,不能为了过度追求经济利益而放弃对个人法益的保护,即使数据经济蕴藏巨大潜力,也应该在合理合法的框架下进行开发利用。
第三,新加坡对于数据跨境流通的监管也集中在对个人信息和数据的保护方面。2018年2月,新加坡加入了亚太经济合作组织(APEC)并倡议构建跨境隐私规则体系(CBPRs),同时其注重新兴技术对于数据跨境流通的影响,在监管框架中考虑内部治理、决策模型、运营管理和客户关系管理这四个方面因素。上述四个方面监管因素主要是从技术手段入手来规避数据跨境流通对个人法益的潜在损害,通过监管传输渠道与交易平台来对数据跨境流通进行全流程监管,体现了技管结合的理念。新加坡数据传输方案的亮点在于其贯彻了技管结合理念,而这也和我国数据产业发展的整体趋势相一致,在数据跨境流通过程中,对于跨境数据的监管不能仅限于数据自身,还要对传输过程中的技术路径予以实质监管,这在当前我国数据跨境流通过程中具有较强的可行性。质言之,基于技管结合理念来通过技术优化为数据跨境流通提供优质通道,可以有效平衡数据跨境流通过程中的效率、质量与安全之间的关系,实现对数据中个人法益的有效保护。
总之,当前域外各国大多在积极拥抱数字经济浪潮的过程中保持审慎态度,在数据跨境流通过程中设置相应的监管机制,同时这种专门性的监管机制的目的诉求一般都集中在保护公民个人法益上,所以应该将规避个人法益受损的风险作为监管的核心导向{37}。事实上,基于个人法益保护来构建数据跨境流通的监管机制符合国际社会惯例与数字经济发展需要,这有助于避免数据跨境流通导致个人法益受损,因此这种监管机制值得借鉴。鉴于此,我国的数据跨境流通监管机制将从数据实质内容、数据流通渠道以及数据流通平台这三个方面入手设置监管任务,并以个人法益保护作为监管任务中的核心诉求,从而构建数据跨境流通的系统性监管机制。
(二)强化对数据内容的实质审查
《数据要素意见》中提出了“三权分置”的数据产权制度,包括数据资源持有权、数据加工使用权和数据产品经营权,并推动数据要素收益向数据价值的创造者合理倾斜,因此数据跨境流通的监管机制也需要审查并保护数据要素的实际价值,而这一实际价值则与公民个人法益紧密联系。在数据跨境流通过程中,监管机制的直接任务与审核重心就是数据的实质内容以及实质内容背后蕴藏的个人法益是否受损,而这关系到监管机制是否能够在事后提供合理的出罪路径,从而影响数字经济的可持续发展。
第一,监管机制审查数据的实质内容主要是分析其中是否涉及公民个人隐私,以及是否损害了公民个人信息自决权。数据要素在经过三权分置之后,其中的实质价值由公民个人在创造数据时进行赋值,而在这一过程中,隐私、信息与数据分别处于事实层、描述/内容层和符号层,虽然最终是以数据的形式进行跨境流通,但是其中底层所蕴含的隐私与信息则与公民个人法益密切联系。鉴于此,数据跨境流通的监管机制应该实质审查数据中是否存在个人隐私以及敏感的个人信息,当出现上述内容时,监管机制应该及时报备并征询数据所有者的意见,尊重公民的个人信息自决权。事实上,由于这类数据中涉及的个人信息体现了信息主体的意志力并具有赋权效果,所以在监管过程中实质审查并保护公民的个人信息自决权可突出个人信息权在理论源头上与人的尊严和自由密切相关性{38},从而实现对个人法益的真正保护。
第二,在实质审查跨境流通数据的过程中,应该评判其是否遵循了GDPR所倡导的数据最小化原则(Data Minimization Principle),这实际上来源于行政法中的比例原则,即要求收集并跨境流通的数据应当符合法律目的,排除不相关因素的干扰,所采用的措施和手段应当必要、适当,尽可能将措施和手段对公民个人法益所造成的损害减少到最低限度,并根据法益损害判断是否应该引入刑法保护{39}。在数据跨境流通过程中,由于技术手段的进步,数据可能会被二次加工并因此损害个人法益,因此数据内容不仅不能超过收集目的的合理需要,还不能超过完成其收集目的所需的合理时间,从而在数据的实质内容上减少其被二次加工的价值性,将数据限制在最小且必要限度内以降低个人法益被损害的可能性。
第三,在实质审查跨境流通数据时实质审查其透明度,这要求数据持有者在提供数据时应保持透明,避免数据持有者对数据进行技术处理以掩藏其关键信息而造成个人隐私泄露。在欧盟2015/1535号指令(透明度指示)中就曾规定了对数据透明度的监管要求,其旨在防止成员国通过信息社会服务规则来掩藏数据中的关键内容。鉴于此,在数据跨境流通过程中,应该实质审查数据的透明度,这可以有效降低数据在跨境流通过程中的潜在风险,提升监管机构的数据追踪能力,同时可以增强数据的可操作性,而透明度高的数据也更易为数据市场所接受,这种通过实质审查的数据反而更易发挥其价值,从而被广泛地应用于数字经济的发展之中。
(三)规范化监管数据跨境流通渠道
在数据跨境流通的具体过程之中,应该将流通过程规范化作为监管机制的重要任务,而只有构建安全可靠且规范化的跨境流通渠道,才能避免在跨境流通过程中出现数据泄露等情形,降低个人法益所面临的潜在风险,同时可以借助完善的渠道来降低跨境流通的数字交易成本。质言之,对数据跨境流通渠道进行监管,实际上是为了防止数据在跨境流通过程中因为自身缺陷而受到侵害并造成数据泄露,同时以统一格式来尽可能降低数据跨境流通过程中的损耗,以构建多边数据跨境流通协议为重要目标,在区域甚至全球范围内为数据跨境流通提供统一可靠的制度指引,并配套对应的监管机制{40}。
第一,落实《数据出境安全评估办法》中的具体规范要求,将其作为跨境流通渠道的主要规范指引,在跨境流通渠道的建设过程中落实相应指标,并重点考核数据跨境流通渠道中“数据安全和个人信息权益是否能够得到充分有效保障”。事实上,虽然数据出境安全评估在实践中存在范围限制,并且存在其他数据出境渠道,比如“按照国家网信部门的规定,经专业机构进行个人信息保护认证”以及“按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务”,但是在多数情形下,数据出境安全评估路径的适用范围为三者中最广,所以对于其进行监管也最为紧迫,亟须将《数据出境安全评估办法》中的规范要求转化为具体的监管任务。鉴于此,在数据跨境流通渠道的监管过程中,主要考察个人法益是否得到有效保护,分析数据的包装形式是否规范化,具体的检查要素包括数据性质、即将进行的数据处理操作的目的和持续时间、敏感度、传输数量等{41},从而实现数据跨境流通过程满足规范要求。在此基础上,对渠道的监管包括软件层面与硬件层面:一方面,软件层面要求遵循《数据出境安全评估办法》等一系列规范性文件中对于数据跨境流通的规范要求,明确数据出境安全评估机制的细则和实施标准{42},从而与域外的数据跨境流通规范形成有效衔接;另一方面,硬件层面要求数据跨境流通渠道的技术手段与基础设施符合跨境流通的要求,在技术手段的选择以及传输设备的选取上要求符合硬性标准,完善在传输前对数据的本土化储存与审查{43},要求硬件设施能够为数据中的个人信息提供精准识别与全面保护服务,并将此作为监管的重点内容。
第二,对数据跨境流通渠道进行监管需要审查数据流通的连接接口格式是否统一,从而尽可能消除数据流通过程中因为格式问题存在的资源损耗,防止人为设置的技术壁垒阻止数据流通。由于数字经济拥有巨大的发展潜力,世界各国都倾向于从自身利益出发来构建数据跨境流通的基础框架,但在实际运行过程中,这种本土主义思维容易导致数据跨境流通受阻,甚至因为数据格式差异导致公民个人信息被泄露。比如欧盟颁布的GDPR在客观上成为数据保护领域的“达摩克利斯之剑”,其不仅统一了欧盟市场,还利用区域的市场准入来扩大其域外监管的权力,提升了欧盟利用市场标准参与全球事务的话语权{44},实现了对数据跨境流通通道的“绝对垄断”。鉴于此,我国应该基于一般访问原则(General Access Principle)来构建数据跨境流通的格式框架,要求在数据跨境流通过程中不得以禁止、限制竞争之目的,使用技术手段设置新型技术壁垒来限制数据获取,如限制API接口接入等措施,而是应该尽可能保持数据跨境流通的格式统一,以此减少数据跨境流通的资源损耗。此外,实质审查格式的统一还有助于确保数据保护模式的完善,防止在数据跨境流通过程中因为保护不善而产生数据泄露等风险,帮助司法机关准确认定个人法益是否受损,防止在其规制个人信息犯罪时出现认定上的随意性和扩大化,避免损害公民的自由和权利{45}。
(四)全面监管数据跨境流通的平台
在数据跨境流通过程中,应该着重监管数据持有者与数据使用者这两个平台,要求其在数据跨境流通过程中管理自身的行为,落实《数据出境安全评估办法》中的相关规定,从而在起始端与终点端实现对数据平台的全面监管。事实上,欧盟2006/123/EC号指令(服务指令)中就规定了服务商在访问与执行的授权机制过程中的注意事项,确保数据跨境流通过程中不同平台之间的地位相对平等,而不是附加额外的限制性要件。鉴于此,在监管数据跨境流通的平台时应该坚持FRAND原则,即坚持公平、合理、非歧视原则在不同平台之间流通数据{46},具体包括主体之间公平合理地分配数据控制、访问和使用权,并且不得施加非公平性与歧视性义务,而在数据跨境流通之后,数据使用者应该确保使用方式的公平性与合理性。综合来看,对于数据跨境流通过程中平台的监管应该从两方面展开,分别监管数据持有平台与数据使用平台,并将《数据出境安全评估办法》等规范要求予以落实,参考世界各国对于数据跨境流通的通行做法并保持协调一致,通过监管来规避对个人法益的侵害风险。
第一,对于数据持有者平台,要求其在提供数据进行跨境流通时起到应尽的前期审核义务,并将此作为监管任务。首先,《数据出境安全评估办法》第4条要求数据出境前由数据持有者通过所在地省级网信部门向国家网信部门申报数据出境安全评估,这是数据出境的前置性要求,如果数据持有者没有进行安全评估,则属于违规提供数据跨境流通服务。在“滴某公司赴美上市案”中,滴某公司为了实现赴美上市而提供大量数据,但是其在没有进行安全评估的情形下就贸然进行数据跨境流通,并且这类数据中很多是包含了公民个人隐私的敏感数据,不仅有违数据伦理,还会对公民个人法益造成严重损害,产生极为严重的负面影响。其次,《数据出境安全评估办法》第5条要求数据持有者应当开展数据出境风险自评估,这对数据持有者提出了更高的监管要求,整个风险自评估过程包含了对方处理数据的目的、范围、方式、出境数据的规模、范围、种类、敏感程度、境外数据使用者承诺承担的责任义务、数据在境外面临的风险以及数据安全保护责任义务等内容,从而构建对跨境流通数据的全方位保护,而数据持有者也应该在跨境流通前进行全面审查,避免出现安全漏洞。尤其是对于涉及公民个人信息的数据,因为其中价值内涵大多较为隐蔽,所以需要采用更为严格的标准进行审核,防止监管漏洞造成公民的个人法益损失。最后,《数据出境安全评估办法》第9条要求数据持有者与数据使用者之间所订立的法律文件中“明确约定数据安全保护责任义务”。因此确保数据跨境流通的合同内容满足规范要求也是监管过程的重点内容,这要求数据使用者在订立合同时充分考虑《数据安全法》等具体法规中对于数据保护的要求,禁止对方利用人工智能技术二次加工利用数据,禁止对方将数据应用于人工智能系统的语料训练{47},避免形成针对国内公民的算法偏见,应在合同制定过程中充分考虑公民个人法益。
第二,对于数据使用者平台,要求其在接受跨境流通数据之后按照合同约定的技术与处理方式来加工使用数据,未经许可不得拓展数据的使用用途,不得挖掘数据背后的个人信息,避免对公民个人法益造成损害,并在使用结束后及时销毁数据,这是重点监管内容。在数字经济生态中,这类平台因为拥有数字资源而大多被认定为“数字守门人”,所以需要承担较为广泛的事前预防义务和主体责任{48},在数据处理过程中起到示范作用。事实上,数据使用者平台即使在域外也应该遵守我国关于数据使用的相关规定,在处理数据时不能私自对数据进行二次加工,而是应该遵循合同约定来处理数据。当域外规范与我国法规存在冲突时,仍然应该遵循我国法规中对于数据处理的相关规定,鉴于数据来源于我国,所以应该按照我国的规范要求来严格保护数据,避免数据被违规处理。当域外规范与我国法规不冲突而数据使用者想更改数据处理模式时,双方应该进行协商,在不损害公民个人法益且获得公民许可的前提下更改数据处理模式,且对新处理模式进行实质审查与备案登记。除此以外,在数据处理完成之后,数据使用者应该按照约定流程来销毁数据,防止数据泄露被挖掘出潜在的个人信息而损害个人法益。总之,在数据使用者平台处理跨境流通数据的过程中,应该督促其遵守事先确定的要求,坚持以“管”促“建”,通过强化反垄断监管、推进公平竞争政策实施来完善负外部性治理,以协同共治的风险防范体系引导数字经济积极正面发展,当出现规范冲突时,应该基于个人法益保护的视角来协调规范冲突,合法推动数据处理过程,同时防止违规处理措施侵害公民个人法益。
四、结语
当前数字经济的高速发展离不开海量的数据资源以及日益增强的数据运用能力,在当前世界各国交流合作日益加深的时代背景下,数据共享与跨境流通是未来不可阻挡的数字经济发展趋势。鉴于此,在数据共享与跨境流通过程中,必须基于个人法益保护来对数据全生命周期构建全面的法律保护体系。在数据共享过程中,根据数据全生命周期构建类型化的保护机制,在数据共享前对数据进行合理的分类分级,在数据共享中引入数据中介机制并充分发挥其效用,并在数据共享后设置对应的数据追踪体系,实现对数据共享的全流程保护。在数据跨境流通过程中,虽然法律保护扮演着重要角色,但是监管机制却可以平衡数据安全与流通自由之间的关系,在保护数据中个人法益的同时发掘其中的潜在价值,所以应该基于域外已有的规范经验来设置符合我国数字经济实况的监管机制,从数据实质内容、数据流通渠道以及数据流通平台这三个方面入手来进行有效监管,将上述三个要素作为监管有效性的评判指标,以保护个人法益为核心诉求来创设监管机制,并作为事后缺乏答责性而予以实质出罪的依据,从而避免对数据资源被违规利用导致公民个人法益遭受风险。总之,在数字经济的发展过程中,数据是数字经济持久发展的基础,而数据共享与跨境流通也是激发数据价值潜力的必要举措,因此要合理地共享、跨境流通与利用数据,并在促进数字经济发展的同时保护公民的合法权益。
【参考文献】
{1}付奇,胡明峰,王梦然.让“流动的数据”成为“燃烧的石油”[N].新华日报,2022-11-24(1).
{2}潘雪娇,聂建强.数据共享法律原则证成[J].学术探索,2023(11):94-101.
{3}周佑勇.中国行政法学学术体系的构造[J].中国社会科学,2022(5):103-121.
{4}杨志琼.数字经济时代我国数据犯罪刑法规制的挑战与应对[J].中国法学,2023(1):124-141.
{5}张明楷.集体法益的刑法保护[J].法学评论,2023(1):44-58.
{6}罗洁.网络开放平台用户隐私权的风险防范研究[J].理论月刊,2014(11):173-176.
{7}王利明.数据共享与个人信息保护[J].现代法学,2019(1):45-57.
{8}张韬略,熊艺琳.拓宽数据共享渠道的欧盟方案与启示——基于欧盟《数据治理法》的分析[J].德国研究,2023(1):84-106.
{9}张恩典.超越算法知情权:算法解释权理论模式的反思与建构[J].东南法学,2022(1):1-17.
{10}纪正坦.平台数据安全治理优化路径探析——以“滴滴公司网络安全审查案”为切入视角[J].信息安全研究,2023(1):66-72.
{11}高景峰.涉案企业合规改革的立法完善与监督评估实践创新[J].政法论坛,2023(1):117-131.
{12}郑曦.刑事司法数据分类分级问题研究[J].国家检察官学院学报,2021(6):3-16.
{13}NISSENBAUM H.Privacy as Contextual Integrity[J].Washington Law Review,2004,79(1):119-158.
{14}刘艳红.犯罪圈均衡化与刑罚轻缓化:轻罪时代我国刑事立法发展方向[J].中国刑事法杂志,2024(1):17-31.
{15}杨志琼.搜索引擎处理个人信息的法律风险及其应对[J].法学论坛,2023(6):53-62.
{16}司马航.欧盟公共数据共享的制度构造和经验借鉴——以欧盟《数据治理法》为视角[J].德国研究,2023(4):67-87.
{17}张明楷.具体犯罪保护法益的确定标准[J].法学,2023(12):70-86.
{18}张明楷.抽象危险犯:识别、分类与判断[J].政法论坛,2023(1):72-88.
{19}刘艳红.人性民法与物性刑法的融合发展[J].中国社会科学,2020(4):114-137.
{20}王轶,张浩.借鉴欧盟数据中介制度促进我国数据流通利用[J].数字经济,2022(5):25-29.
{21}闫志开.欧盟对数据中介服务提供者的规制模式及其镜鉴[J].德国研究,2023(2):124-143.
{22}田鹏.加快国家数据交易所建设推进数据资产化[N].证券日报,2023-03-08(A02).
{23}窦悦,郭明军,张琳颖,等.全国一体化数据交易场所体系的总体布局及推进路径研究[J].电子政务,2024(2):2-11.
{24}戚聿东,刘欢欢.数字经济下数据的生产要素属性及其市场化配置机制研究[J].经济纵横,2020(11):63-76.
{25}史宇航.个人数据交易的法律规制[J].情报理论与实践,2016(5):34-39.
{26}陈喆.DEPA数据开放共享规则:中国立场与规则对接[J].学术论坛,2023(6):33-46.
{27}倪楠.欧盟模式下个人数据共享的建构与借鉴——以数据中介机构为视角[J].法治研究,2023(2):22-33.
{28}王锡锌,王融.公共数据概念的扩张及其检讨[J].华东政法大学学报,2023(4):17-27.
{29}胡韵,胡爱群,胡奥婷,等.大数据背景下数据可追踪性应用分析与方法研究[J].密码学报,2020(5):565-582.
{30}周佑勇.大变局下中国式民主的制度优势与宪法保障[J].中国法学,2023(1):46-64.
{31}程啸.个人数据授权机制的民法阐释[J].政法论坛,2023(6):77-89.
{32}李迩.新浪微博胜诉“脉脉”开了好头[N].深圳商报,2016-04-29(A02).
{33}周佑勇.推进国家安全治理现代化的法治逻辑[J].江汉论坛,2023(10):5-12.
{34}刘艳红.数据要素全生命周期安全风险的刑事保障制度研究——以数字经济安全法益观为视角[J].法学论坛,2024(1):39-50.
{35}赵姗.提升企业数据跨境合规性、安全性与效率[N].中国经济时报,2023-02-07(1).
{36}刘艳红.网络暴力治理的法治化转型及立法体系建构[J].法学研究,2023(5):79-95.
{37}陈瑞华.企业合规整改中的专项合规计划[J].政法论坛,2023(1):28-44.
{38}刘艳红.民法编纂背景下侵犯公民个人信息罪的保护法益:信息自决权——以刑民一体化及《民法总则》第111条为视角[J].浙江工商大学学报,2019(6):20-32.
{39}张明楷.刑法修正的原则与技术——兼论《刑法修正案(十二)(草案)》的完善[J].中国刑事法杂志,2023(5):3-20.
{40}梅傲.数据跨境传输规则的新发展与中国因应[J].法商研究,2023(4):58-71.
{41}齐鹏.“一带一路”数字经济数据跨境风险的系统性应对逻辑[J].西安交通大学学报(社会科学版),2021(5):104-113.
{42}徐程锦.中国跨境数据流动规制体系的CPTPP合规性研究[J].国际经贸探索,2023(2):69-87.
{43}沈伟,冯硕.全球主义抑或本地主义:全球数据治理规则的分歧、博弈与协调[J].苏州大学学报(法学版),2022(3):34-47.
{44}翁国民,宋丽.数据跨境传输的法律规制[J].浙江大学学报(人文社会科学版),2020(2):38-53.
{45}刘艳红.民刑共治:中国式现代犯罪治理新模式[J].中国法学,2022(6):27-46.
{46}唐要家,唐春晖.“数据垄断”的反垄断监管政策[J].经济纵横,2022(5):31-38.
{47}王禄生.ChatGPT类技术:法律人工智能的改进者还是颠覆者?[J].政法论坛,2023(4):49-62.
{48}喻文光.论数字平台的合规监管[J].法学家,2024(1):116-130.
