【数据法学】沈岿:数据治理与软法(二)
B D A I L C
欢 迎 关 注
“数据治理”起源于企业对其生成和获得的数据进行提高其质量、促进其有效利用的治理。之后,“数据治理”指向基于数据应用的公共治理。政府可以利用数据提升治理水平,企业、社会组织等也可以利用数据参与公共治理。制定规则是数据治理不可或缺的一项重要任务。由于 “对数据治理”和 “用数据治理”的普遍存在,以及组织之间可能需要的在两个维度上的合作,完全有必要通过软法性质的规则去引导组织自身的 “对数据治理”,以及组织或组织之间的“用数据治理”。数据治理的普遍性、技术性、复杂性和应时性,决定了其对软法有着非常大的需求。
Sophia Heymans
数据治理与软法
文 / 北京大学法学院教授 沈岿
二、数据治理的目标及规则任务
在如此广义的数据治理概念之下,讨论数据治理的目标,是有相当难度的。毕竟,两个关联的维度——对数据治理和用数据治理——都各有其不同的使命。更何况,即便在其中任何一个维度,又有许多更加具体化、特定化的需求。不过,对多维度、多领域数据治理的复杂性了解越多,就越能意识和理解软法在其中可能发挥的重要作用。
(一)数据治理的第一个维度:对数据的治理
首先,在第一个维度,政府、企业、社会机构等不同形式的组织,都有对其产生、获得的数据进行治理的需要。之所以如此,是因为数据或多或少会面临以下主要问题: (1)数据不完整。缺少关键基础数据,部分辅助数据缺失或不全面,历史数据丢失严重。(2)数据分散、不一致。组织——尤其是略具规模的组织——内部数据入口众多,同一类数据采用的标准、规则不一致。(3)数据质量低。大量数据 “堆积”在一起,集成数据的可用性差。(4)数据共享集成成本高。数据标准不统一、分散,数据核对、清理、映射的工作量巨大,导致共享集成数据和数据分析的成本非常高。(5)数据效益不显著。数据决策分析的结果可靠性差,投入与产出不匹配,影响良好决策。(6)不良数据散布风险。在数据管理混乱的情况下,不良数据 (baddata)也容易散布并产生负面影响。(7)数据安全风险。木马、病毒、僵尸网络、黑客等都会使数据存在篡改、泄漏、崩溃的风险。(8)数据隐私泄露风险。敏感隐私的数据被泄露或非法利用的可能性加大。
当然,不同组织需要解决的数据问题是不尽一致的。为解决不同问题,就需要确定不同的目标,并采取相应的、针对性强的措施。不过,根据 《DGI框架》,数据治理还是存在普遍性目标的,即:(1)确保更好的决策;(2)减少运行的摩擦;(3)保护数据利益相关者的需求;(4)培训管理部门及其人员采取通用方法处理数据问题;(5)构建标准的、可重复的流程;(6)通过协作减少成本、提高效率;(7)保证流程的透明度。
与此类似,杨琳等认为,数据治理的目标主要有四项:(1)战略一致。即数据治理应当满足组织持续发展的需要。(2)风险可控。治理同时作为价值来源和风险来源的数据,可以避免决策失败、经济损失。(3)运营合规。治理数据可以让组织的运营符合法律法规和行业规范,降低合规风险,提升组织信誉。(4)价值实现。通过大数据与业务的融合,保证数据价值的实现。张一鸣指出,通过有效的数据治理,可以获得: (1)完善的数据管控体系;(2)统一的数据来源;(3)标准化、规范化的数据;(4)提高的工作效率;(5)降低的数据管理、维护、集成成本。张宁等给出了更简洁、更直接的目标叙述:数据治理旨在确保数据的准确性、可获取性、安全性、适度分享和合规使用。
这些关于数据治理目标的论述尽管不同,却可看出其中包含许多共同的指向,并且都有助于解决前文所述数据存在的问题。要实现这些一般性目标,数据治理的任务会根据目标的特定化差异而有不同的侧重和措施。例如,《DGI框架》给出了数据治理六个可能的聚焦领域,并且在每个领域,都指出了应予从事的不同任务。
需要注意的是,在林林总总关于数据治理目标的叙述中,可以发现一点共性,即制定规则是数据治理不可或缺的一项重要任务。《DGI框架》就指出,所有的数据治理项目都会采取行动,以完成由三个部分构成的治理任务:创制规则(createrules)、解决冲突(resolveconflicts)和提供持续服务 (provideongoingservices)。这是它们的共性所在。把创制规则放在数据治理任务三个组成部分的首要位置,可见其重大意义。
《数据管理和使用:21世纪的治理》在定义数据治理的时候,也指出它 “包括关于活动、惯例和实践的法律规范、道德规范、职业规范和行为规范的制度性结构,以及制定和实施这些规范的制度性机制,这些规范加起来共同对数据的收集、储存、使用和转让进行治理”。可见,数据治理必定是一个复杂的规范集的治理过程。联系其需要解决的问题,不难想象,若没有有效的规范体系,就无法实现数据的高质量、安全、可靠、协调,也无法实现数据管理和应用的合法、合规与效率。
(二)数据治理的第二个维度:利用数据进行治理
第二个维度 “用数据治理”是与第一个维度紧密交织的,但又有其自身的目标和任务。虽然用数据治理的主体是多元化的,不限于政府,但政府确实是用数据治理体系中的主导者。由于数据时代的来临,政府治理的内容和方式发生急剧的变化。唐斯斯等就指出,政府用数据治理可以: (1)就公共服务而言,实现公共服务环境的开放化、公共服务方式的推送化、公共服务产品的个性化以及随需所想的公共服务;(2)就社会管理而言,实现 “微”决策(运用数据挖掘发现分散、小概率事件背后的问题,发挥提前预警功能)、“被”决策(利用数据把握民意和民智,更多地参考和回应公众意愿)、“智”决策 (通过数据分析形成精准报告和预测,有助于实时决策),让参与型社会实质化,更好地实施社会危机和风险治理;(3)就政府绩效管理而言,实现 “用数据说话”的政府绩效评估、关联化评估 (外部对政府的参与度、评价,内部对工作绩效、组织管理绩效、资金管理绩效、IT 资产管理绩效等各种相关因素的综合评估)以及政府绩效的量化评估。而要实现大数据助推政府治理的目标,也同样需像企业治理数据那样对政府数据进行有效的治理,保证政府数据的安全可靠、有机融合、内部共享、分析利用,以及企业数据治理并不必做的对外开放。
把对数据治理和用数据治理更加充分地结合起来的政府数据治理以及基于数据的公共治理(data-basedpublicgovernance),势必会有更重的规则创制任务。因为,除了对政府生成或获得的数据进行治理、保障这些数据的高质量和可用性的需要以外,政府应该如何通过政府信息公开、政府数据的收集和开放、电子政务的实施、政府数据利用与个性化管理、个性化服务的对接、政府数据与不同企业和社会组织数据的分享利用以及个人隐私的保护,来充分提升政府治理乃至公共治理的水平,都需要大量的法律、政策、指令、指导性意见等规则的支撑。这在其他国家的政府数据治理中已经有充分体现。如李重照等指出,这或许也可以理解为政府数据治理的第三个层面:数据环境治理,即对与数据相关的要素进行治理,通过完善政策法规、建立标准规范、保障数据安全,构建良好的 “用数”环境。
三、数据治理的软法空间
数据治理的规则创制任务是否可以完全由国家法律完成呢? 尤其是有强制约束力的国家法律(后文简称为 “硬法”)来完成? 如前所述,数据治理是现代公共治理体系中一个新的组成部分,由于公共治理需要软法之治已经基本成为共识,似乎很容易得出一个否定的答案。然而,为更好地理解数据治理的软法空间,仍然有必要脱离这个简单的推理结论,针对数据治理的特殊性,探讨软法为什么以及在什么范围内有助于数据治理。
(一)数据治理的普遍性需要软法
数据治理并不是一个企业、一个行业或一个政府机构的事情。任何有着一定规模的组织,都会在当下与未来面对如何在数据的管理和应用上最大化其收益的问题,因此都需要通过相应的规则加强数据治理。当然,组织为其自己的数据治理任务而创设的规则,并不属于软法范畴。然而,由于 “对数据治理”和 “用数据治理”的普遍存在,以及组织之间可能需要的在两个维度上的合作,完全有必要通过软法性质的规则,去引导组织自身的 “对数据治理”,以及组织或组织之间的 “用数据治理”。
例如,尽管微软公司只是一家企业,但其发布的由五个部分组成的《隐私、保密与合规的数据治理指引》,在国际隐私专家协会的网站上,作为一种资源得到强力推荐。而前文提及的《DGI框架》已经为全球数百个组织所用。这些文件的内容没有传统国家法的色彩,它们提出的数据治理规则都是建议性的、指引性的,却得到了广泛参考和应用。
(二)数据治理的技术性需要软法
数据治理之所以需要软法,技术性也是其中一个原因。数据治理是现代信息技术 (IT)发展的结果。已有的或可能的技术发展带来什么样的数据治理问题,以及针对这些问题应该如何结合技术特点,制定相应的数据治理规则,是数据治理必须应对的。由于技术性太强,这些规则的提供不可能完全依赖正式国家法律的制定。
例如,云技术是在广域网或局域网内将硬件、软件、网络等系列资源统一起来,实现数据的计算、储存、处理和共享的一种托管技术。为了给新加坡金融机构在外包云技术及相应管理方面提供指引,新加坡银行协会(ABS)于2019年8月2日发布了《ABS云计算实施指南2.0》(以下简称《ABS云计算指南2.0》)。这个指南中的建议都是经过新加坡银行协会网络安全常务委员会讨论和同意的,旨在帮助金融机构了解云技术外包过程中应持续进行的尽职调查、供应商管理和关键点控制。它还专门指出,该指南包含的最佳实践建议和注意事项是为了支持安全使用云技术,但不是一套强制性要求。
(三)数据治理的复杂性需要软法
数据治理的复杂性也是其相当程度依赖软法的重要原因。复杂性不仅源于技术,而且与任务的多样性、组织及其所在国家或地区的差异性有关。例如,前文已经提及,《DGI框架》给出数据治理六大聚焦领域的同时,大致说明了每个聚焦领域应予完成的任务,而对应于这些不同的任务,就需要不同的操作规则,包括但不限于政策、标准、策略等。又如,IBM 公司的《大数据时代信息治理原则和实践》(以下简称 《IBM 信息治理》)也指出,“当企业和信息技术专业人员首次考察信息治理主题时,许多人对这个主题的复杂性感到不知所措。信息系统的数量和相互竞争的企业议程将如此多的变量混杂在一起,以至于手头的任务似乎是无法应付的”。对于许多企业而言,在全球经济时代,它们都需要履行来自国际的、国家的、地区的各种外部规制所提出的不同义务,才能做到合规。至于政府利用数据治理,更是牵扯不同的部门、不同的领域、不同的治理任务,显然无法通过屈指可数的国家法规则予以全面覆盖。多个变量造成的复杂性,使得软法更具适应性。
(四)数据治理的应时性需要软法
数据治理建立在信息技术发展基础之上,而信息技术的发展速度是极快的。传统上,通过赋予法律 (主要是国家法)的强制约束力,可以保证法律在相当一段时期内得到普遍遵守,保证法律具有高度的稳定性,从而维系应有的秩序。但是,现如今,技术的日新月异使问题的产生远远快于问题的解决。如何于迅速变化之中在稳定性和适应性之间寻得平衡,是当代法治必须应对的棘手难题。数据治理就处于如此情境之中。
因此,《IBM 信息治理》指出,数据治理实践必须对技术、客户需求以及内部流程的变化反应灵敏。而要做到这一点,比硬法更具有应时性特点和功能的软法,就有了更大的存在空间。例如,新加坡银行协会2016年6月发布了《云计算实施指南》,而仅仅3年之后,该协会就对指南进行了更新升级,颁布了 《ABS云计算指南2.0》。
由上分析可知,数据治理的普遍性、技术性、复杂性和应时性,决定了其对软法有着非常大的需求。当然,数据治理对软法有着极大数量的需求,并不意味着其单凭软法或主要依靠软法即可实现数据的安全性、完整性、一致性、可靠性、可得性、可用性及其利用的智慧性、准确性和权益平衡性。其实,如同在许多领域一样,数据治理若没有硬法规定基础性规范,软法也难以发挥真正有效的作用。
例如,加拿大的政府数据治理依靠大量的软法规则,如 《信息和技术政策框架》《信息技术管理政策》《信息技术管理指令》《加拿大政府2016至2020年信息管理和信息技术战略计划》《运营安全标准:信息技术安全管理》《加拿大白皮书:数据主权和公共云》《开放政府伙伴关系第三个双年计划:2016—2018》《加拿大2018—2020开放政府行动计划》《关于隐私实践的指令(2014)》《隐私保护政策 (2018)》《综合风险管理指南》《国家风险简档》《风险陈述指南》《风险分类指南》等等,不胜枚举。然而,所有这些都建立在比较成熟的硬法体系基础上,如 《隐私法》《个人信息保护和电子文件法》《信息获取法》《信息安全法》《加拿大安全信息共享法》《加拿大国家图书档案馆法》等。英国、美国等的政府数据治理也呈现类似硬法、软法混合治理的情形。
结论
本文是一个相当初步的探索,旨在说明当代不可回避的数据治理对软法的需求。数据治理内含 “对数据治理”和 “用数据治理”两个相互关联的维度,从个体商家、企业、行业协会、非政府组织,到地区和国家的政府,乃至跨越国境的共同体,不计其数的不同类型的组织或机构都有数据治理的需要。在其之下的深层世界中,人类正在被难以计量的、快速繁殖的数据 “围剿”。对安全、隐私的关怀,同对数据的商业、社会和政治价值的挖掘利用,经常交织在一起,以至于相关的权利、权力边界产生了更多的模糊性、流动性。希冀硬法对此进行常规的、定准的调整,显然是一种奢望。数据治理的普遍性、技术性、复杂性、应时性,都在呼唤硬法与软法的共同构建。若能就此达成共识,那么,未来的研究将会更多地与数据治理的具体目标和任务——例如,数据质量、安全保障、数据公开、隐私保护等——相结合,探究具体目标和任务之下,哪些规范必须由硬法提供,哪些规范可以考虑由软法供应,以及二者之间如何实现有效的互动与作用。在未来,由于技术将更大范围、更强有力地改变人们的日常生活,对数据治理与法律的研究,对算法、人工智能与法律等的研究,将对传统上更多栖息在人文社科岛屿的法律人提出巨大挑战,当然也给法律人和技术专业人才在规则制定、实施以及研究方面的深度结合提供了契机。
转载自数字经济与法治
原载于《财经法学》2020年第1期
仅作学习交流之用
Mark Wilson
往期荐读
编辑:韩雨硕
欢迎点击“阅读原文”