查看原文
其他

沈岿:数据治理与软法

沈岿 博雅公法
2024-08-14

作者简介:沈岿,北京大学法学院教授。

文章来源:《财经法学》2020年第1期。

内容提要

 “数据治理”起源于企业对其生成和获得的数据进行提高其质量、促进其有效利用的治理。之后,“数据治理”指向基于数据应用的公共治理。政府可以利用数据提升治理水平,企业、社会组织等也可以利用数据参与公共治理。制定规则是数据治理不可或缺的一项重要任务。由于 “对数据治理”和 “用数据治理”的普遍存在,以及组织之间可能需要的在两个维度上的合作,完全有必要通过软法性质的规则去引导组织自身的 “对数据治理”,以及组织或组织之间的“用数据治理”。数据治理的普遍性、技术性、复杂性和应时性,决定了其对软法有着非常大的需求。

我们生活在一个计算机时代、互联网时代,这似乎已经是无须多言的事实。然而,并不是所有人都清楚“计算机栖居”“网络栖居”会给我们带来什么。

我们已经习惯于在网上购买食品、药品,在网上下单购买所需书籍,在网上订购机票、火车票,在网上与客服沟通,在网上与认识的或即将认识的人聊天,在网上浏览新闻、收集信息。可是,我们并没有完全清晰地意识到,所有这些网上行为所产生的数据都已经以数字化的形式存储在网络中了。如果这些数据得以收集、集成、分析,那么,我们喜欢吃什么,有哪些常见小病,偏爱读什么书,何年何月何日曾经去过什么地方,待人接物的方式是什么,有哪些朋友,关注些什么话题,喜爱哪些电影、电视剧、视频或图片,都会被一一挖掘出来,从而可以对我们做一个即便我们自己可能都没有做过的立体画像(portrait)。或许,你可以选择逃离网络,去商场、超市、药店、书店、报纸杂志零售点,由此减少与你个人生活挂钩的数据生成的机会。可是,除非你完全使用现金,一旦你使用微信、支付宝或信用卡,你试图“摆脱留痕”的努力基本是前功尽弃。而你多半不会愿意自己成为时代的弃儿,去追求老古董式的生活。

数据不仅可以用来完成“历史画像”,而且,因为数据中隐含着规律性,对数据的深度分析有助于预测未来趋势。当我们早上起来后,手机助手会提醒,还有多长时间可以到我们所在的单位;当我们在网上浏览的时候,时常会遇到弹出的广告页面,恰好与自己最近的购物兴趣有关;当我们查看电子邮箱时,可能还会发现曾经去过的博物馆、剧院或房产中介给我们推送的展览、演出或房源信息。

这些正在发生的事情,让我们感受到了信息技术的力量,感受到了生活内容和方式的革命性变化,感受到了个性化定制的普遍发生和前所未有的便捷,但仔细琢磨,我们又同时产生了不少的担心和害怕。数据对人类的全方位且不断加深的渗透,如同历史上发生的任何一次技术革命一样,都会冲击革命前形成的、基本稳定的、人们安之若素的利益格局,形成双刃剑的效果。相同的逻辑和问题会再次发生:如何利用其好的一面,如何遏制其坏的一面。于是,“数据治理”(data governance)很快成为一个热门话题,并带动了与此相关的规则探索。毕竟,对任何事物的有效利用和遏制,都离不开相对周密、完善且具有高度针对性、匹配性的规则。本文试图从数据治理的自身使命、工作特性以及最佳实践中,发现软法在其中扮演的、作用丝毫不亚于硬法的重要角色。

一、数据治理的理论界定

“数据治理”虽然是一个热词,可并没有形成统一的定义。有人或许会问:数据治理到底是治理数据,还是利用数据进行治理?仅从语词构成的表面上看,两种解读都是有可能的,但答案其实并非简单的二选一。

(一)数据治理内涵的不同观点


根据维基百科,“数据治理”用于宏观和微观两个层面。前者是一个政治(politics)概念,是国际关系和互联网治理的组成部分;后者是一个管理(management)概念,是公司治理的组成部分。在宏观层面,数据治理指向各国对跨境数据流动的治理,所以应更加准确地称之为国际数据治理。这一新的领域包括“治理各类数据的规范、原则和规则”。在微观层面,数据治理指向数据管理,其关心的是组织有能力确保数据在完整生命周期中具有高质量。企业数据治理的焦点包括可得性、可用性、一致性、完整性、安全性,包括建立流程以确保在整个企业中进行有效的数据管理。

成立于2003年的“数据治理研究所”(Data Governance Institute, DGI),旨在为全球提供深度的、中立的数据治理最佳实践(best practices)和指引。该机构2004年提出的《DGI数据治理框架》(以下简称《DGI框架》)已经为全球数百个组织所应用。这一框架对数据治理给出了简单和复杂的两种定义。简单定义是:数据治理是对数据相关事项进行决策和行使权力。复杂定义是:数据治理是对信息相关过程进行决策的权利和责任系统,该系统按照已经取得共识的模型执行,模型描述的是谁在什么时候、什么情况下、使用什么方法对什么信息采取什么行动。按此定义,对与数据有关的事项作出决策、采取行动以及相应的体系,都在数据治理的范畴之内,无论决策或行动的主体是谁。

英国人文和社会科学院(British Academy)和英国皇家学会(Royal Society)2017年发布的联合报告《数据管理和使用:21世纪的治理》(Data Management and Use: Governance in the 21st Century)使用的“数据治理”一词,就是指向“对数据管理和数据使用的治理”,为了提升对数据管理、数据使用以及衍生技术的信任而设计出来的任何事物,都属于该报告所关注的数据治理。

美国俄克拉荷马州管理和企业服务办公室(Office of Management & Enterprise Services, OMES)的数据治理项目办公室,于2019年4月17日发布的《数据治理概览》(Data Governance Overview)报告指出,数据治理是一个组织过程和结构。它建立对数据的责任,组织工作人员通过系统地创建和实施政策、角色、职责和程序来协作并持续地改进数据质量。因此,它是用来定义关于数据的决策过程的,指向一个战略性的长期过程,通常出现在达到相当成熟水准的组织里。它为管理、使用、改进和保护组织信息的过程增加了严谨性和纪律性。高效的数据治理可以促进跨组织协作和结构化决策,进而提高数据的质量、可用性和完整性。

应当指出,虽然维基百科把微观层面上的数据治理等同于数据管理,但在一些研究者看来,二者还是存在差异的。数据治理是政策、程序、结构、角色和责任的组织与实施,旨在为有效管理信息资产,提供和实施有关参与、决策和责任的规则。无论如何定义,底线在于数据治理是运用权力和政策,确保信息资产的妥善管理。因此,数据治理不是由信息管理人员承担的职能。数据治理确定必需的控制、政策和过程,并制定规则,而信息管理人员负责执行这些规则。类似地,国内有观点认为,数据治理明确战略方针、组织架构、政策和过程,并制定规则和规范,来评估、指导和监督数据管理;数据管理则是通过计划、建设、运营和监控相关方针、活动和项目,以获取、控制、保护、交付和提高数据资产价值来实现数据治理所作的决策,并向数据治理提供相应的反馈。

其实,若是从角色、职能分工而言,对二者加以区分是合理的。但数据治理既然是对数据管理和使用的治理,目的之一是确保数据的有效管理,因此,数据管理就是数据治理的有机组成部分,尽管二者之间绝对不能划等号。故有论者指出:“数据治理是围绕数据资产展开的系列工作,以服务组织各层决策为目标,涉及有关数据管理的技术、过程、标准和政策的集合。”

(二)数据治理的多层次意涵


以上并未穷尽也不可能穷尽所有关于数据治理的定义,只是管中窥豹。可以看出,各种定义虽然表述不同,但指向的基本都是对数据及其管理和使用的治理,甚至最广义的可以指向所有与数据有关的决策和行动及对这种决策和行动过程的治理。在数据治理这个概念最先出现的时候,这个决策和行动的主体更多是指企业,“数据治理最早被企业所重视”,“源于企业对数据资产的治理”。然而,数据尤其是大数据的利用,不仅可以为企业创造无限的商业价值,而且在政府对经济、社会、环境等公共事务的治理中,也同样有其巨大的用武之地。于是,政府数据治理观念应运而生。

政府数据治理又有不同层次上的意涵。首先,政府如企业一样,需要对其在行政管理和服务过程中产生和使用的数据进行治理,以维护数据质量,保证数据安全。其次,政府应当充分利用数据和数据分析,为其决策和行动提供支撑,提升其治理能力和水平。这就是前文提及的基于数据、利用数据的治理。第三,政府应当对政府数据资源的对外共享和开放利用加强治理,以促进企业和社会乃至个人,利用安全可靠的政府数据,参与公共治理。治理(governance)不同于统治(government),其主体不限于政府,各种公共和私人机构行使权力得到公众认可,就能成为各个层面上的权力中心。政府数据资源的开放利用可以促成各方主体的智慧决策,更有助于善治的形成。如第三方机构利用和分析开放的政府数据,形成对企业的信用等级评价或认证。第四,在更为宏观的层次上,政府对数据产业、数据经济乃至整个社会数据化过程进行全方位的、引领式的治理,如国家数据战略。由于企业并没有政府那样的治理之责,故狭义的数据治理很少有以上后三个层次的含义。

综上,回到之前提及的问题,本文所用的“数据治理”概念是最广意义上的。简单说,既包括对数据的治理,也指向利用数据进行治理。而且,二者经常是相互交织的。政府、企业、社会组织等都需要对其产生、获取的数据进行有效管理和利用,这种需要是大数据时代的应时而为,而非任何法律所强制。政府可以利用数据提升治理水平,企业、社会组织等也可以利用数据参与公共治理。但是,数据的有效管理和利用,都需要一套相适应的、由不同规范构成的制度体系,这就是对数据及其管理和利用进行的治理。没有对数据的良好治理,就不会有基于数据的良好决策,包括企业、社会组织乃至政府的各自决策,更无法利用数据对经济、社会、环境等进行良好治理。

二、数据治理的目标及规则任务

在如此广义的数据治理概念之下,讨论数据治理的目标,是有相当难度的。毕竟,两个关联的维度——对数据治理和用数据治理——都各有其不同的使命。更何况,即便在其中任何一个维度,又有许多更加具体化、特定化的需求。不过,对多维度、多领域数据治理的复杂性了解越多,就越能意识和理解软法在其中可能发挥的重要作用。

(一)数据治理的第一个维度


对数据的治理


首先,在第一个维度,政府、企业、社会机构等不同形式的组织,都有对其产生、获得的数据进行治理的需要。之所以如此,是因为数据或多或少会面临以下主要问题:(1)数据不完整。缺少关键基础数据,部分辅助数据缺失或不全面,历史数据丢失严重。(2)数据分散、不一致。组织——尤其是略具规模的组织——内部数据入口众多,同一类数据采用的标准、规则不一致。(3)数据质量低。大量数据“堆积”在一起,集成数据的可用性差。(4)数据共享集成成本高。数据标准不统一、分散,数据核对、清理、映射的工作量巨大,导致共享集成数据和数据分析的成本非常高。(5)数据效益不显著。数据决策分析的结果可靠性差,投入与产出不匹配,影响良好决策。(6)不良数据散布风险。在数据管理混乱的情况下,不良数据(bad data)也容易散布并产生负面影响。(7)数据安全风险。木马、病毒、僵尸网络、黑客等都会使数据存在篡改、泄漏、崩溃的风险。(8)数据隐私泄露风险。敏感隐私的数据被泄露或非法利用的可能性加大。

当然,不同组织需要解决的数据问题是不尽一致的。为解决不同问题,就需要确定不同的目标,并采取相应的、针对性强的措施。不过,根据《DGI框架》,数据治理还是存在普遍性目标的,即:(1)确保更好的决策;(2)减少运行的摩擦;(3)保护数据利益相关者的需求;(4)培训管理部门及其人员采取通用方法处理数据问题;(5)构建标准的、可重复的流程;(6)通过协作减少成本、提高效率;(7)保证流程的透明度。

与此类似,杨琳等认为,数据治理的目标主要有四项:(1)战略一致。即数据治理应当满足组织持续发展的需要。(2)风险可控。治理同时作为价值来源和风险来源的数据,可以避免决策失败、经济损失。(3)运营合规。治理数据可以让组织的运营符合法律法规和行业规范,降低合规风险,提升组织信誉。(4)价值实现。通过大数据与业务的融合,保证数据价值的实现。张一鸣指出,通过有效的数据治理,可以获得:(1)完善的数据管控体系;(2)统一的数据来源;(3)标准化、规范化的数据;(4)提高的工作效率;(5)降低的数据管理、维护、集成成本。张宁等给出了更简洁、更直接的目标叙述:数据治理旨在确保数据的准确性、可获取性、安全性、适度分享和合规使用。

这些关于数据治理目标的论述尽管不同,却可看出其中包含许多共同的指向,并且都有助于解决前文所述数据存在的问题。要实现这些一般性目标,数据治理的任务会根据目标的特定化差异而有不同的侧重和措施。例如,《DGI框架》给出了数据治理六个可能的聚焦领域,并且在每个领域,都指出了应予从事的不同任务。

需要注意的是,在林林总总关于数据治理目标的叙述中,可以发现一点共性,即制定规则是数据治理不可或缺的一项重要任务。《DGI框架》就指出,所有的数据治理项目都会采取行动,以完成由三个部分构成的治理任务:创制规则(create rules)、解决冲突(resolve conflicts)和提供持续服务(provide ongoing services)。这是它们的共性所在。把创制规则放在数据治理任务三个组成部分的首要位置,可见其重大意义。

《数据管理和使用:21世纪的治理》在定义数据治理的时候,也指出它“包括关于活动、惯例和实践的法律规范、道德规范、职业规范和行为规范的制度性结构,以及制定和实施这些规范的制度性机制,这些规范加起来共同对数据的收集、储存、使用和转让进行治理”。可见,数据治理必定是一个复杂的规范集的治理过程。联系其需要解决的问题,不难想象,若没有有效的规范体系,就无法实现数据的高质量、安全、可靠、协调,也无法实现数据管理和应用的合法、合规与效率。

(二)数据治理的第二个维度:


利用数据进行治理


第二个维度“用数据治理”是与第一个维度紧密交织的,但又有其自身的目标和任务。虽然用数据治理的主体是多元化的,不限于政府,但政府确实是用数据治理体系中的主导者。由于数据时代的来临,政府治理的内容和方式发生急剧的变化。唐斯斯等就指出,政府用数据治理可以:(1)就公共服务而言,实现公共服务环境的开放化、公共服务方式的推送化、公共服务产品的个性化以及随需所想的公共服务;(2)就社会管理而言,实现“微”决策(运用数据挖掘发现分散、小概率事件背后的问题,发挥提前预警功能)、“被”决策(利用数据把握民意和民智,更多地参考和回应公众意愿)、“智”决策(通过数据分析形成精准报告和预测,有助于实时决策),让参与型社会实质化,更好地实施社会危机和风险治理;(3)就政府绩效管理而言,实现“用数据说话”的政府绩效评估、关联化评估(外部对政府的参与度、评价,内部对工作绩效、组织管理绩效、资金管理绩效、IT资产管理绩效等各种相关因素的综合评估)以及政府绩效的量化评估。而要实现大数据助推政府治理的目标,也同样需像企业治理数据那样对政府数据进行有效的治理,保证政府数据的安全可靠、有机融合、内部共享、分析利用,以及企业数据治理并不必做的对外开放。

把对数据治理和用数据治理更加充分地结合起来的政府数据治理以及基于数据的公共治理(data-based public governance),势必会有更重的规则创制任务。因为,除了对政府生成或获得的数据进行治理、保障这些数据的高质量和可用性的需要以外,政府应该如何通过政府信息公开、政府数据的收集和开放、电子政务的实施、政府数据利用与个性化管理、个性化服务的对接、政府数据与不同企业和社会组织数据的分享利用以及个人隐私的保护,来充分提升政府治理乃至公共治理的水平,都需要大量的法律、政策、指令、指导性意见等规则的支撑。这在其他国家的政府数据治理中已经有充分体现。如李重照等指出,这或许也可以理解为政府数据治理的第三个层面:数据环境治理,即对与数据相关的要素进行治理,通过完善政策法规、建立标准规范、保障数据安全,构建良好的“用数”环境。

三、数据治理的软法空间

数据治理的规则创制任务是否可以完全由国家法律完成呢?尤其是有强制约束力的国家法律(后文简称为“硬法”)来完成?如前所述,数据治理是现代公共治理体系中一个新的组成部分,由于公共治理需要软法之治已经基本成为共识,似乎很容易得出一个否定的答案。然而,为更好地理解数据治理的软法空间,仍然有必要脱离这个简单的推理结论,针对数据治理的特殊性,探讨软法为什么以及在什么范围内有助于数据治理。

(一)数据治理的普遍性需要软法


数据治理并不是一个企业、一个行业或一个政府机构的事情。任何有着一定规模的组织,都会在当下与未来面对如何在数据的管理和应用上最大化其收益的问题,因此都需要通过相应的规则加强数据治理。当然,组织为其自己的数据治理任务而创设的规则,并不属于软法范畴。然而,由于“对数据治理”和“用数据治理”的普遍存在,以及组织之间可能需要的在两个维度上的合作,完全有必要通过软法性质的规则,去引导组织自身的“对数据治理”,以及组织或组织之间的“用数据治理”。

例如,尽管微软公司只是一家企业,但其发布的由五个部分组成的《隐私、保密与合规的数据治理指引》(A Guide to Data Governance for Privacy, Confidentiality, and Compliance),在国际隐私专家协会(International Association of Privacy Professionals)的网站上,作为一种资源得到强力推荐。而前文提及的《DGI框架》已经为全球数百个组织所用。这些文件的内容没有传统国家法的色彩,它们提出的数据治理规则都是建议性的、指引性的,却得到了广泛参考和应用。

(二)数据治理的技术性需要软法


数据治理之所以需要软法,技术性也是其中一个原因。数据治理是现代信息技术(IT)发展的结果。已有的或可能的技术发展带来什么样的数据治理问题,以及针对这些问题应该如何结合技术特点,制定相应的数据治理规则,是数据治理必须应对的。由于技术性太强,这些规则的提供不可能完全依赖正式国家法律的制定。

例如,云技术是在广域网或局域网内将硬件、软件、网络等系列资源统一起来,实现数据的计算、储存、处理和共享的一种托管技术。为了给新加坡金融机构在外包云技术及相应管理方面提供指引,新加坡银行协会(Association of Bank in Singapore, ABS)于2019年8月2日发布了《ABS云计算实施指南2.0》(ABS Cloud Computing Implementation Guide 2.0 for the Financial Industry in Singapore,以下简称《ABS云计算指南2.0》)。这个指南中的建议都是经过新加坡银行协会网络安全常务委员会讨论和同意的,旨在帮助金融机构了解云技术外包过程中应持续进行的尽职调查、供应商管理和关键点控制。它还专门指出,该指南包含的最佳实践建议和注意事项是为了支持安全使用云技术,但不是一套强制性要求。

(三)数据治理的复杂性需要软法


数据治理的复杂性也是其相当程度依赖软法的重要原因。复杂性不仅源于技术,而且与任务的多样性、组织及其所在国家或地区的差异性有关。例如,前文已经提及,《DGI框架》给出数据治理六大聚焦领域的同时,大致说明了每个聚焦领域应予完成的任务,而对应于这些不同的任务,就需要不同的操作规则,包括但不限于政策、标准、策略等。又如,IBM公司的《大数据时代信息治理原则和实践》(Information Governance Principles and Practices for a Big Data Landscape,以下简称《IBM信息治理》)也指出,“当企业和信息技术专业人员首次考察信息治理主题时,许多人对这个主题的复杂性感到不知所措。信息系统的数量和相互竞争的企业议程将如此多的变量混杂在一起,以至于手头的任务似乎是无法应付的”。对于许多企业而言,在全球经济时代,它们都需要履行来自国际的、国家的、地区的各种外部规制所提出的不同义务,才能做到合规。至于政府利用数据治理,更是牵扯不同的部门、不同的领域、不同的治理任务,显然无法通过屈指可数的国家法规则予以全面覆盖。多个变量造成的复杂性,使得软法更具适应性。

(四)数据治理的应时性需要软法


数据治理建立在信息技术发展基础之上,而信息技术的发展速度是极快的。传统上,通过赋予法律(主要是国家法)的强制约束力,可以保证法律在相当一段时期内得到普遍遵守,保证法律具有高度的稳定性,从而维系应有的秩序。但是,现如今,技术的日新月异使问题的产生远远快于问题的解决。如何于迅速变化之中在稳定性和适应性之间寻得平衡,是当代法治必须应对的棘手难题。数据治理就处于如此情境之中。

因此,《IBM信息治理》指出,数据治理实践必须对技术、客户需求以及内部流程的变化反应灵敏。而要做到这一点,比硬法更具有应时性特点和功能的软法,就有了更大的存在空间。例如,新加坡银行协会2016年6月发布了《云计算实施指南》,而仅仅3年之后,该协会就对指南进行了更新升级,颁布了《ABS云计算指南2.0》。

由上分析可知,数据治理的普遍性、技术性、复杂性和应时性,决定了其对软法有着非常大的需求。当然,数据治理对软法有着极大数量的需求,并不意味着其单凭软法或主要依靠软法即可实现数据的安全性、完整性、一致性、可靠性、可得性、可用性及其利用的智慧性、准确性和权益平衡性。其实,如同在许多领域一样,数据治理若没有硬法规定基础性规范,软法也难以发挥真正有效的作用。

例如,加拿大的政府数据治理依靠大量的软法规则,如《信息和技术政策框架》《信息技术管理政策》《信息技术管理指令》《加拿大政府2016至2020年信息管理和信息技术战略计划》《运营安全标准:信息技术安全管理》《加拿大白皮书:数据主权和公共云》《开放政府伙伴关系第三个双年计划:2016—2018》《加拿大2018—2020开放政府行动计划》《关于隐私实践的指令(2014)》《隐私保护政策(2018)》《综合风险管理指南》《国家风险简档》《风险陈述指南》《风险分类指南》等等,不胜枚举。然而,所有这些都建立在比较成熟的硬法体系基础上,如《隐私法》《个人信息保护和电子文件法》《信息获取法》《信息安全法》《加拿大安全信息共享法》《加拿大国家图书档案馆法》等。英国、美国等的政府数据治理也呈现类似硬法、软法混合治理的情形。

四、结语:未来的研究

本文是一个相当初步的探索,旨在说明当代不可回避的数据治理对软法的需求。数据治理内含“对数据治理”和“用数据治理”两个相互关联的维度,从个体商家、企业、行业协会、非政府组织,到地区和国家的政府,乃至跨越国境的共同体,不计其数的不同类型的组织或机构都有数据治理的需要。在其之下的深层世界中,人类正在被难以计量的、快速繁殖的数据“围剿”。对安全、隐私的关怀,同对数据的商业、社会和政治价值的挖掘利用,经常交织在一起,以至于相关的权利、权力边界产生了更多的模糊性、流动性。希冀硬法对此进行常规的、定准的调整,显然是一种奢望。数据治理的普遍性、技术性、复杂性、应时性,都在呼唤硬法与软法的共同构建。

若能就此达成共识,那么,未来的研究将会更多地与数据治理的具体目标和任务——例如,数据质量、安全保障、数据公开、隐私保护等——相结合,探究具体目标和任务之下,哪些规范必须由硬法提供,哪些规范可以考虑由软法供应,以及二者之间如何实现有效的互动与作用。在未来,由于技术将更大范围、更强有力地改变人们的日常生活,对数据治理与法律的研究,对算法、人工智能与法律等的研究,将对传统上更多栖息在人文社科岛屿的法律人提出巨大挑战,当然也给法律人和技术专业人才在规则制定、实施以及研究方面的深度结合提供了契机。


继续滑动看下一个
博雅公法
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存