摘 要:数字安全预防性法治以风险依法治理为指引,以对重要数字安全风险的监测、分析、预防为基础,表现为时间维度上治理手段的前馈、法律规范的前置。为了统筹推进数字创新发展和实现数字安全稳定,平衡维护数字时代的基本秩序和保障公民的基本权利,化解数字安全预防性法治发展初期的规制问题,需要突出预防性法治的风险依法治理本质,坚持预防性法治对回应型法治的补强功能及对管控性法治的改革功能,从建构数字安全预防性法律体系、规范数字政府治理及健全数字安全公众参与治理三个层面对预防性法律制度进行完善。
关键词:数字安全 数字创新发展 预防性法治 风险治理
【中图分类号】D920.0 【文献标识码】A
数字赋能是新一轮科技革命和产业变革的重要标志,数字化转型已成为各国抢占未来竞争优势的关键,而数字化的高速推进也给我国的国家安全、社会安全带来了巨大挑战,维护数字安全、防范化解各类重大数字风险成为我国亟需应对的关键问题。在总体国家安全观的指引下,我国将网络、人工智能、数据等数字安全问题纳入二十个国家安全领域。[1]2021年中共中央政治局审议的《国家安全战略(2021—2025年)》特别强调要“更加注重法治思维”,在新型安全领域要“加快提升生物安全、网络安全、数据安全、人工智能安全等领域的治理能力”。可见,数字安全风险既涉及数字时代出现的新技术、新要素及新关系的安全,也覆盖数字应用衍生的安全,还包括数字产业所涵盖的安全问题,常常表征为一个复杂、多变的综合风险集,传统的回应型法治模式难以应对不断演化、传导、叠加、升级的数字安全风险,容易造成风险的沉积,无法解决不可逆的危害结果。基于此,我国逐渐认识到面向数字安全问题更应注重前馈型的预防性法治模式,把重大安全风险防范于未然、化解于源头。对此,2021年《法治政府建设实施纲要(2021—2025年)》从数字法治化和法治数字化两条线提出了基本要求。2022年《关于加强数字政府建设的指导意见》强调要坚持安全可控原则。2023年,中共中央、国务院印发的《数字中国建设整体布局规划》将“筑牢数字安全屏障”作为数字中国建设的关键能力进行整体部署。我国从立法、执法、司法及守法等方面也启动了数字安全领域的预防性法治探索。然而,对比实践前端治理的“热点”,预防性法治在理论界受到相对“冷遇”。这是因为预防性法治表现为时间维度上治理手段的前移、法律规范的前置[2],与传统后端管控相比,往往表现为前端的介入。非理性的转向会使其走向另一个极端,过度的预防性法治手段既可能影响数字化的创新进程,又容易侵犯公民基本权利,甚至反噬良性发展的社会安全和秩序。本文以数字安全为切入口,聚焦数字安全预防性法治,着重讨论数字安全法治模式的转型、挑战和对策。
数字安全预防性法治建设现状考察
数字安全预防性法治以风险依法治理为指引,以对重要数字安全风险的监测、分析、预防为基础,表现为时间维度上治理手段的前馈、法律规范的前置。预防性法治模式的兴起源于数字与法治的持续互动,数字技术为法治政府的前端治理带来了变革机遇,也给法治建设提出了强化数字安全风险防范的新要求。
数字技术为预防性法治提供基础支撑
《关于加强数字政府建设的指导意见》强调要注重“技术创新和制度创新双轮驱动”“推动政府治理法治化与数字化深度融合”“全面建设数字法治政府,依法依规推进技术应用、流程优化和制度创新”。在数字技术赋能下,数据集成共享、跨部门系统、数字政府等成为法治建设的突破点和热点,扁平化体制、互联互通办案成为主要的发展趋势,预测、预警、预防成为地方数字化转型中安全治理的重点。可见,数字技术为法治建设向预防方向革新创造了条件。特别需要注意的是,当前数字安全技术逐渐从被动防御转向主动防御,开发了诸如欺骗防御、资产测绘、攻击面管理等产品。这些产品既为预防性法治提供了技术支撑,也进一步带动了预防性法治的发展进程。
数字安全风险对预防性法治提出回应要求
我国正历经严峻的数字安全威胁,亟需提升数字安全风险防范和化解能力,把维护国家安全稳定放在突出的位置。
一方面,数字安全风险是一个关涉国家安全、公共安全和个人安全的复杂的综合风险集,需要全链条全周期的治理,实现数字化设施或项目的“规、建、管、评”各环节的统一。当前,网络金融犯罪、网络诽谤、网络诈骗等数字犯罪行为与日俱增,AI侵权、直播侵权、网络侵权等新型侵权问题突出,数字财产权、网络传播权、网络著作权等新型权属不断涌现,平台不正当竞争、垄断以及平台破产带来的衍生问题愈演愈烈,公共数据泄露、网络攻击、算法失灵等问题加重了政府治理的负担。特别是,数字领域已成为大国博弈、国际冲突、地缘对抗、恐怖行动的新阵地,以致数字安全风险更具跨域性、极端性和破坏性。为了防止数字安全风险的不断升级、扩散,必须将数字安全风险的全周期纳入法治轨道,并实现治理机制在规划、建设、管理和评估上的统一和闭环。
另一方面,数字安全风险具有持续性和隐蔽性,需要具有延续性、穿透性的治理措施。据Risk Based Security(RBS)机构统计,2021年全球公开披露的数据泄露事件有4145起,导致227.7亿条数据泄露。我国的数据泄露问题尤为严重,西北工业大学、华为等重要的科研机构、企业都曾遭受长期的网络攻击和数据窃取,给我国造成了难以计量的损失。此外,数字技术的应用使恐怖主义活动更趋常态化、渗透化和隐蔽化,给前端性反恐工作带来了巨大的挑战。对此,欧盟2018年出台了《防止恐怖主义在线内容传播监管条例》、2020年发布了《欧盟反恐议程》,通过反恐立法等预防性措施强化数字反恐。特别是2021年4月28日,欧洲议会通过一项最新法规,要求在欧盟国家境内运作的网络平台必须在接到成员国命令的一小时内删除涉恐内容,否则将面临高达全球营业额4%的罚款。可以看到,相比强调事后约束的回应型法治模式,以常态化预防和穿透性监管为核心的预防性法治成为数字安全治理的主流选择。
数字安全预防性法治尚处于起步阶段
习近平总书记在中央深化改革第十八次会议上强调:“法治建设既要抓末端、治已病,更要抓前端、治未病。”在中央政治局第十九次集体学习时强调:“要健全风险防范化解机制,坚持从源头上防范化解重大安全风险,真正把问题解决在萌芽之时、成灾之前。”党的二十大报告进一步明确了向事前预防转型的发展方向。此后,我国以构建科学高效的风险防范化解体系为目标,从建立主动防控机制、强化能力培养、制定前端法律制度等方面对预防性法治做了初步探索,形成了一定成果。与此同时,数字安全预防性法治面临着平衡创新发展和数字安全以及平衡维护社会安全秩序与保障公民组织基本权利的考验。可以看到,当前的数字安全预防性法治仍处于起步阶段,既未能有效回应预防性法治的正当性争议,也存在规范的缺失和偏差,亟需对数字安全预防性法治进行纠偏和完善。
预防性法治的正当性争议。在数字安全预防性法治转型逐渐受到域内外重视的同时,学界对预防性法治正当性争议仍未消除。质疑主要集中在两点:一方面,影响数字化转型进程的推进。数字经济已成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量。数字化转型是当前时代发展的重中之重,数字安全风险的治理最终应当服务于数字化的创新发展和高质量发展,以数字安全新格局保障数字发展新格局。尽管数字安全风险的特殊性需要预防性法治的回应,但向预防性法治的过度转型又容易导致监管权力的扩张、市场主体义务的加重,由此造成数字化积极性的削弱,最终不利于数字化转型的实现,影响数字化的创新发展。另一方面,损害公民组织的基本权利。法律干预的正当性、合理性和有效性是判断法律必要性的重要标准,行政法的比例原则、刑法的谦抑性、民商事赋权性为主的法律样态等都从不同侧面体现了法律的适度性要求。但如今的数字安全预防性法治有从严从泛的发展态势,由此引发了一些争议。从政府治理层面看,强调预防性法治,使有关部门更有理由、有条件、有正当性搜集更广泛、全面的行政相对人信息,这种监控趋势也会出现偏误,由此引发如个人隐私、人脸识别伦理性等方面争议。同时,数字技术在政府治理中的运用也面临着公平性、保护数据隐私、算法可靠性和可解释性等方面的伦理质疑。比如美国警务实践表明,算法设计者对犯罪威胁或风险预测、违规自动监控等的相关性赋值与权衡带有偏见乃至错误。[3]
为了统筹发展和安全、平衡安全秩序和公民基本权利保护,域外存在两种不同的规范模式。欧洲为了强化安全与秩序,采取保守立法控制数字风险,对数字安全进行前端限制;而美国为了鼓励数字创新发展、维护公民基本权利,采取后端裁判控制数字风险。这两种规范模式各有利弊,并逐渐向着交叉融合的方向发展。在向前端规制发展的过程中,以美国为代表的国家又表现出强烈的滥用和泛化国家安全概念,2018年美国政府发布《国家网络战略》提出的“防御前置”理念、2022年美国国会通过的《2022年芯片与科学法案》以及2023年美国总统拜登发布的对涉及国家安全的产品和技术投资进行限制的行政命令都体现了这一问题。这种发展态势既不利于以中国为代表的发展中国家实现技术创新突破,也不利于国际政治的安全稳定,由此也加重了理论界对推行预防性数字法治正当性的质疑和担忧。数字安全预防性法治还关涉当前国际竞争与数字技术风险规制,亟需我国提出中国方案,因应国际数字霸权,凸显我国数字化转型中的竞争优势和制度优势。
预防性立法的规范性问题。我国通过《中华人民共和国网络安全法》《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》《生成式人工智能服务管理暂行办法》等数字安全专门立法对规范前端监管、构建前端防范机制、完善相关主体的前端义务等预防性法治作出规定,明确了分级分类制度、预测预警预防机制、安全保护义务等。同时通过修改《中华人民共和国民法典》《中华人民共和国刑法》等传统部门法以及在《中华人民共和国反恐怖主义法》《中华人民共和国反垄断法》《中华人民共和国不正当竞争法》等法律制度中增加专门条款等方式对数字安全问题进行回应。但当前预防性立法仍旧面临着规范粗糙、缺乏一致性、操作性等问题。
首先,数字安全分级分类制度问题。我国在2017年《中华人民共和国网络安全法》中首次提出“网络安全等级保护制度”概念后,在数据安全、人工智能安全领域也延续了分级分类原则。如今的分级分类保护制度存在如下问题:第一,分级分类目标单一。以安全保障作为主要目标,相对忽视数据开发利用的现实需求,容易导致安全和发展的失衡。[4]第二,分级分类标准较抽象。以刑事数据为例,我国的刑事司法数据尚未区分主犯、共犯、相关人员的数据,也未区分重要数据、隐私数据、基本数据,由此容易引发刑事司法数据错误和数据伦理问题。[5]第三,分级分类治理机制未健全。分级分类未与治理的程序对接,呈现出不同阶段的同质性趋向。
其次,预测预警预防机制问题。当前,我国通过《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国国家安全法》《外商投资安全审查办法》《重大行政决策程序暂行条例》等制度构建了数字安全监测预警制度、安全审查制度及风险评估制度,并通过《关键信息基础设施安全保护条例》《数据出境安全评估办法》《信息安全技术—信息安全风险评估方法》等制度对相关机制做细化规定。但这些制度存在操作性、实效性不足的问题。具体表现为:第一,制度规范较粗糙。大多仅解决了构建机制的合法性问题,对机制的具体内容、评判标准、适用范围等规范较少。第二,组织和实施主体不清晰。数字安全法律大多以“国家”作为相关制度机构的组织者,未对预测预警预防机制的具体职权主体进行明确。此外,从地方看,数字安全风险体现出明显的跨域性特质,而我国采取的属地管辖体制难以应对跨域性风险治理要求。第三,程序规则不完善。主要表现为救济、更新、纠错程序的缺失。
最后,安全保护义务。我国数字安全立法已对积极安全保护义务和消极安全保护义务进行了具体规定,但当前的义务规范仅确定了基本的义务内容,未对相关主体履行义务的标准、程序性要求进行规范,由此带来了一定的负面作用。表现为:第一,平台义务的异化。数字平台在搜集处理数据、设置内部管理规约、解释平台行为等方面具有一定威权,实际上享有了一定的“准公权力”,集中管理的平台横亘在负面清单制的国家与分散的大众之间,冲击着政府干预与市场自律的传统架构。[6]第二,特殊公民群体权责不平衡。当前,我国对特殊的公民群体施加了特定的义务。比如对程序员提出了“责任与义务”“不行损害之事”等专业伦理要求。[7]这些义务规则需要进一步的责任细化。
数字安全预防性法治建设的现实逻辑与实践进路
数字安全预防性法治应面向数字时代发展,紧扣现实问题和挑战,从基本逻辑和制度规范两个层面确定转型的进路。
数字安全预防性法治建设的现实逻辑
数字安全预防性法治的正当性基础来源于风险治理的现实需要,弥补回应型法治的不足以及消除管控性法治不利影响是预防性法治的合理性边界。
第一,预防性法治是对重大风险防范的强化。乌尔里希·贝克的风险理论对技术风险进行了深度的剖析,指出未知的、意外的后果成了风险社会的主宰力量。相比工业时代,数字时代更具风险社会的特质。为了应对“科林格里奇困境”,必须采取以防范和化解重大数字安全风险为核心目标的预防性法治,发挥前端治理的作用。然而,当前我国风险治理机制的构建以战略政策为主要依据,尚需具有体系性的制度体系为预防性法治提供合法依据。
第二,数字安全预防性法治能够有效弥补回应型法治的不足。应对数字安全风险,事后的惩处手段难以形成有效威慑,事后的保障措施难以弥合前期损失,归因困境、责任落实障碍等问题进一步弱化了回应型法治的约束力。与此同时,预防性法治以对相关数据的监测、分析为基础,突出对未发有害行为的预先评估、处置和规范,其所指向的可量化、可视化的数据有助于提升法律预测功能的可解释性和可接受性,其所凸显的对未发行为的规范有助于强化法律应对数字安全风险的实效性,能够更好地发挥法律固根本、稳预期、利长远的保障作用。据此,应立足预防性法治的补强功能定位,设置预防性法治的合理性边界。
第三,预防性法治是对管控性法治的变革。相比传统的前端管控性法治模式,预防性法治更具合理性和适应性。一方面,预防性防控是精准预防、穿透式预防。从本质上看,法律的局限性或者说法治的局限性主要体现在对未发生的行为和事件缺乏预判能力。预防性法治依托数字技术应用在一定程度上实现了“先知”,为精准预防、穿透式预防提供可能,与事前管控的普遍管理、形式管理有明显区别。另一方面,预防性防控是体系性多元协同预防。预防技术滥用风险不能简单等同于限制技术发展,而是回归至多方治理主体共同参与的话语体系中,确定面向研发设计、技术应用和服务反馈等各阶段的风险预防义务,形成全流程、全环节的治理机制,形成协同式、系统性的治理架构。[8]
数字安全预防性法治建设的实践进路
从制度层面看,推进数字安全的事前防控从战略性要求转化为多结构的制度性安排,从过度防控转向规范化预防,从政府主导的单向度治理转变为多主体参与的协同治理是保障数字安全预防性法治正当性和合理性的有效路径。
实现数字安全预防性法律的体系化。数字安全预防性法治的成熟和定型应从战略层面逐渐转向制度层面,构建结构完整、充分衔接的数字安全预防性法律体系。一方面,要建立结构性的数字安全预防性法律制度,为统筹发展和安全,采用鼓励性规范与惩罚性规范并行的立法模式,为实现秩序和自由的平衡,坚持正式规范与非正式规范的统一。对于前者,既通过财税、奖励、荣誉、宣传、说服等鼓励性规范突出正向激励,又通过犯罪处罚、违法处分、经济赔偿、公示批评等多元惩罚规范进行惩处。当然,惩罚性规范主要属于后置性的治理规范,需要保证制度的谦抑性,仅在特殊情况下提前介入施加惩罚。特别是在法律适用中,应谨慎采用预备犯既遂化、帮助犯正犯化。对于后者,尽管标准、指南等非正式规范在及时应对数字安全变动、灵活处理数字安全风险上发挥着重要作用,但非正式规范并不能替代正式法律制度的作用,必须通过正式法律制度确定非正式规范的基本功能、适用方式及边界,保障正式法律与非正式规范的协同,实现非正式规范适用的合法性、规范性及合理性。另一方面,要实现制度的衔接,明确分散规定的制度位阶、适用范围及衔接方式,以解决当前规范重复、不统一等问题。《网络安全审查办法》第二十二条就专门规定了“国家对数据安全审查、外商投资安全审查另有规定的,应当同时符合其规定”,从而与《外商投资安全审查办法》第四条、《中华人民共和国国家安全法》第五十九条实现了有效衔接。在数字安全预防性法律制度中仍存在大量未能实现衔接的规定。以责任的界分为例,应确定数字安全治理主体的内外部责任,实现党内法规和国家法的衔接,同时也应实现民事、行政、刑事责任的界分和衔接,以保证法律的精准适用和适度担责。
规范数字政府治理。数字政府建设是我国提升政府治理能力的重中之重,规范数字政府治理是保障数字政府建设正当性、合理性、适应性的必然要求。规范数字政府治理的有以下着力点。
首先,明确数字政府治理主体的分工与协同。在顶层设计层面,应立足专业性和协同性建立治理体制,以防止“九龙治水”的情形。基于数字安全风险的跨域性、叠加性及衍化性,强化多个部门的协同治理是提升治理能力的关键。此外,有学者以刑事数据评估为对象,指出网信部门负责的专业性不足困境,并提出由具有刑事司法职权的部门负责的正当性和合理性。[9]可见,专业性是职能分工的重要指标。总的来说,应以协同为基础,并根据专业性确定相关机构的权属及职权范围。此外,监管职能的权属也可做进一步划分。为了避免多方治理主体共同参与下的效率低下问题,可以国家安全领导机构为统筹领导主体,以网信部门为具体受理和发布主体,并将审查权、决定权或者是决议建议权交由数据相关专业部门,包括大数据局、公安部门、网信部门等。从地方实践层面看,应建立跨区域协同机制,以化解属地管辖的局限性。2022年全国人民代表大会关于修改《中华人民共和国地方各级人民代表大会和地方各级人民政府组织法》的决定以及《中华人民共和国立法法》第八十三条为加强区域协同治理提供了法律依据。据此,以长三角、大湾区、京津冀、成渝双城经济圈为代表的城市群在加强区域协同上进行了诸多尝试。未来,面向数字安全问题,需要搭建风险预防综合治理平台、建立风险预防数据共享平台、明确风险预防协同治理机制,以化解因属地管理产生的风险治理壁垒问题。在分工和协同的基础上,应严格按照“谁实施谁负责”的原则对相关部门的职责进行规范。如《中华人民共和国政府信息公开条例》第五十一条、第五十三条通过强化政府责任,在政府的数字开放性、公民权利的保护与商事主体的商业秘密之间实现平衡,具有一定的积极性,但在多个行政部门参与的现状下,应建立不同的责任承担机制细分责任,以突出权责一致性。
其次,完善数字政府治理的分类分级制度。为了实现精准治理、穿透治理,必须坚持分类分级治理原则,确定多元数字安全划分标准,建立更具化的对应措施。对于前者,针对当前我国数字安全分类相对模糊的问题,应尽可能考虑更多元的划分标准如技术要素、行业领域、所涉主体、治理阶段等,并分析不同划分标准之间的关联性,建立数字安全类型“一张网”,作为统一数字安全预防性治理的前提。数字安全分级标准的突出问题主要体现在实用性上。当前,《中华人民共和国数据安全法》《网络数据安全管理条例(征求意见稿)》以对国家利益、公共利益以及公民和组织合法权益的影响力为依据将数据分为一般数据、重要数据、核心数据、国家核心数据等,可见我国以危害性为分级的基本依据。然而,风险治理不能忽视风险发生可能性及风险治理可控性对风险级别的影响。因此,在以危害性为判断基础的前提下,可结合风险发生的可能性及风险治理的可控性对数字安全风险的级别进行综合判断、动态调整。对于后者,应以全生命周期为视野,针对不同类别级别的数字安全确定不同场景、阶段、程序的对应措施。
最后,建立数字政府治理的程序性规范。目前相关的程序性规范主要围绕监管治理的流程进行,还需要通过明确期限、建立常态化机制、突出主体责任等方式对救济性程序、核查程序、更新程序、保密程序进行完善。需要特别指出的是,对特定阶段掌握的数据,监管机构不得违背职权规定在其他阶段泄露。
健全数字安全的公众参与治理。数字生态涉及多个领域,具有跨部门、跨领域、跨地域、公私合作的特点,缘此,数字安全预防性法治既要求政府部门的协同,也要求政府与社会组织的协同。主要表现为:一方面,要平衡数字平台的权力和责任,既合理利用行政指导、行政建议、行政约谈、行政惩罚、行政奖励、行政合同等多元措施,又要突出平台间的相互制约及监督。欧盟新发布的《数字市场法》以平台间的互动为规范视野,强化“守门人”制度。以此为参考,在预防数字安全义务的施予上,亦可突出平台间的相互制约及监督,以保障市场行为的正当性。另一方面,采取赋权性和义务性措施并举的方式激活其他主体参与。全民守法是法治社会的基础工程,这要求:既要通过深入社区、街道、学校、企业进行数字安全宣传,集聚每个公民的作用,构筑坚固的数字安全公民防线;也要重视企业、研究机构、高等学校、行业组织等在专业性、前沿性、实践性上的突出优势,通过适当赋予参与权、建议权的方式调动这些主体参与治理的积极性。以数字安全重大决策评估为例,应在规划、建造、并购合作等各阶段落实专家论证、群众意见,以加深公众参与程度。
概言之,数字安全预防法治模式的转型需要在大安全、大应急的基本框架下,坚持底线思维和极限思维的结合,紧扣安全治理体系和治理能力现代化这一时代命题,以鼓励技术创新和防止技术滥用两个侧面构建体系化的法律制度,从维护社会稳定和保障公民基本权利两个维度规范相关治理主体行权,注重以人为本突出公众治理在数字安全治理中的作用。
【本文作者为西南政法大学政治与公共管理学院副院长、教授,西南政法大学数字法治政府研究院研究员;本文系重庆市社会科学规划项目《统筹发展和安全视阈下防范化解重大社会安全风险研究》(项目编号:2021YBCS34)、西南政法大学校级项目《数字安全法基本问题研究 》(项目编号:2023XZZXYB-43)阶段性成果;重庆工业职业技术学院教师、西南政法大学国家安全学院博士后、西南政法大学数字法治政府助理研究员彭嘉怡对本文亦有贡献】
注释
[1]陈文清:《牢固树立和践行总体国家安全观 谱写新时代国家安全新篇章》,《求是》,2022年第8期,第12—16页。
[2]单勇:《数字平台与犯罪治理转型》,《社会学研究》,2022年第4期,第46页。
[3][6]马长山:《迈向数字社会的法律》,北京:法律出版社,2021年,第53、47页。
[4]袁康、鄢浩宇:《数据分类分级保护的逻辑厘定与制度构建——以重要数据识别和管控为中心》,《中国科技论坛》,2022年第7期,第168页。
[5]张全涛:《从被动应对到主动防控:我国预测性侦查的理论证成与规制选择》,《中国人民公安大学学报(社会科学版)》,2022年第3期,第26—27页。
[7][美]Robert C.Martin,余晟等译:《代码整洁之道——程序员的职业素养》,北京:人民邮电出版社,2016年,第18页。
[8]赵精武:《谨防人工智能滥用 规范信息内容生成》,《法治日报》,2023年9月8日,第5版。
[9]郑曦:《刑事数据出境安全评估制度研究》,《法学论坛》,2023年第4期,第132—133页。
责编:程静静/美编:王嘉骐