摘 要:当前,我国数字经济规模扩张,平台经济蓬勃发展,数据要素化进程加速推进。与此同时,数据交易、数据监管等安全问题日益凸显。面对数据要素的流动性、创新性、跨界性特征,需坚持统筹安全与发展,构建精细化敏捷治理体系,通过健全数据交易安全规则、构建精准差异化监管体系、强化风险敏捷响应机制、推动协同共治等路径,实现安全为发展护航、发展为安全赋能的动态平衡,从而筑牢国家安全屏障,促进数据要素价值高效释放。
关键词:数字经济 数据安全 精细化治理 敏捷治理 平台监管
【中图分类号】F20 【文献标识码】A
习近平总书记指出:“激活数据的基础资源作用和创新引擎作用,推进数据安全有序流动,加快数字经济高质量发展。”[1]党的二十届四中全会审议通过的《中共中央关于制定国民经济和社会发展第十五个五年规划的建议》(以下简称《建议》)提出“统筹发展和安全”,强调“加强网络、数据、人工智能、生物、生态、核、太空、深海、极地、低空等新兴领域国家安全能力建设”。[2]数字经济是推进中国式现代化的重要引擎。促进数字经济高质量发展,关键在于促进数据要素安全有序流动、充分实现数据要素价值。
当前,我国数字经济规模扩张、稳步推进。党的十八大以来,我国数字经济进入加速发展周期,规模由2012年的11.2万亿元增长至2023年的53.9万亿元,11年间规模扩张3.8倍,[3]平台经济蓬勃发展,数据要素化进程加速推进。同时要看到,安全与发展失衡、监管精准度不足、制度衔接不畅等堵点、卡点问题日益凸显。面对数据要素的流动性、创新性、跨界性特征,传统“一刀切”的简单化监管与“切一刀”的临时性整治难以为继,亟需构建精细化敏捷治理体系,在安全与发展的动态平衡中释放数据价值,促进数字经济高质量发展。
当前我国数据安全治理制度建设与政策实践
为促进监管与保护制度框架有效落地生根,近年来,我国监管机构在平台经济与数据安全领域采取一系列兼具力度与深度的政策措施,初步构建一套覆盖数据全生命周期的法律规范体系,为数字经济的规范发展提供基本制度保障。
基本制度框架
在平台经济监管领域,制度聚焦维护公平竞争的市场秩序与保障消费者合法权益。在市场竞争规制层面,2022年修订的《中华人民共和国反垄断法》积极响应平台经济发展特点,增设专门条款,明确平台经营者实施“二选一”、大数据杀熟、算法共谋等滥用市场支配地位行为的认定标准与法律责任,为规制平台垄断提供更锐利的法律武器。《中华人民共和国反不正当竞争法》针对数据抓取与掠夺、算法歧视、流量劫持、虚假宣传等新型不正当竞争行为强化规制力度,维护健康市场生态。在平台主体责任层面,《中华人民共和国电子商务法》详细规定平台经营者的资质审核、安全保障、信息披露、消费者权益保护等义务,确立“平台责任+经营者责任”的双重规制模式。此外,《中华人民共和国消费者权益保护法》《中华人民共和国个人信息保护法》等法律协同发力,形成覆盖平台竞争行为、经营行为、消费者权益保护的全方位制度网络。
在数据安全保护领域,以《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》三部基础性法律为支柱,辅以《网络数据安全管理条例》这一关键行政法规,共同构成数据安全治理“三法一条例”主干框架。这一框架覆盖网络运行安全、数据分类分级管理、数据出境监管、个人信息权益保障等关键环节,确立数据安全治理的基本遵循。《网络数据安全管理条例》,进一步细化重要数据目录管理、个人信息保护义务、平台责任边界等实操规则。配套出台的《关键信息基础设施安全保护条例》《数据出境安全评估办法》《个人信息出境标准合同办法》等部门规章与规范性文件,共同形成从顶层法律设计到具体操作指引的“法律-行政法规-部门规章-规范性文件”四级衔接、层层细化的制度体系,体现出立法者对数据安全风险的系统性考量与渐进式规制思路。
政策实践
在平台经济监管实践方面,呈现出从“集中整治”向“常态化监管”过渡的轨迹。2021年起,国家市场监督管理总局等部门开展平台经济领域反垄断专项行动,依法查处一批具有社会影响力的典型案件,产生强大的执法震慑效应,有效遏制平台垄断行为的蔓延。在专项行动取得阶段性成果后,监管重心逐步转向构建常态化监管机制。例如,发布《北京市平台经济领域反垄断合规指引》,引导平台企业加强内部合规建设;优化经营者集中审查程序,为符合条件的企业开辟绿色通道,体现“惩防并举、规范与促进并重”的治理思路转变。
在数据安全保护实践方面,则凸显差异化监管、专项执法与技术赋能三大特征。其一,差异化监管体现在对数据进行分类分级管理。《网络数据安全管理条例》明确对国家核心数据实行严格保护,对重要数据加强管理,并对个人信息,尤其是敏感个人信息,设定了更高标准的保护要求。其二,常态化专项执法成为重要手段。国家网信办等部门定期开展“清朗”“净网”等专项行动,并发布执法情况通报与典型案例,持续打击数据违规收集、滥用、泄露等行为,强化警示教育的社会效果。其三,技术赋能安全能力建设。国家大力推动隐私计算、数据加密、区块链等关键安全技术的研发与应用,加快建设国家网络安全监测预警平台,力求通过技术手段提升数据安全防护的主动性与智能化水平。
总体观之,我国在平台经济监管与数据安全保护领域,初步形成“制度引领-政策落地-实践强化”的良性互动闭环。通过制度构建与执法实践,平台资本无序扩张的势头得到有效遏制,重大数据安全风险事件的发生概率有所降低,市场秩序与消费者权益保障水平得到提升。
数据要素化进程中的安全治理短板
当前,我国数据安全治理制度与实践衔接存在诸多亟待优化之处。数据作为生产要素的应用仍面临一系列难题,数据的开放、共享、确权、交易和流通等关键性问题,亟待有效解决。[4]
数据交易安全规则体系尚需完善。首先,数据权属界定缺乏统一标准。公共数据、企业数据、个人数据的权属边界模糊,导致数据交易“定价难”,企业不敢轻易参与数据交易,担心陷入权属纠纷,制约数据要素流通。其次,市场准入规则不清晰。当前全国已成立多家数据交易所,但缺乏统一的市场准入标准,各交易所对交易主体资质审核、数据合规性审查的要求差异较大,加之,数据交易的“负面清单”尚未明确。再次,交易过程安全管控机制空白。当前数据交易缺乏“安全审查+全程追溯”的全流程监管机制,数据资产评估、清算结算规则缺失,交易过程中存在数据泄露、滥用风险。最后,纠纷解决机制不完善。数据交易双方发生权益侵害纠纷时,面临举证难、责任认定难的问题,抑制数据供给方与需求方的参与积极性。
监管体系精准度与有效性有待强化。一是分类分级监管流于形式。缺乏按数据类型划分的细化标准与实施细则,监管精细度不足。二是反垄断与反不正当竞争执法精准性不足。对于“数据+算法”的新型垄断行为,如算法合谋、数据垄断,其认定标准仍较为模糊。评估企业在数据市场是否具有支配地位时,数据规模、数据质量、算法能力等关键因素尚未被明确纳入考量范围。执法中缺乏对“故意违法”与“过失违规”的明确区分依据。三是激励约束机制失衡。对于数据安全合规水平高、在数据创新应用方面表现突出的企业,缺乏诸如税收减免、融资便利等实质性正向激励。对不同性质、不同程度违规行为的惩戒标准不够统一、透明,难以引导企业形成主动合规的内生动力。
风险响应与敏捷治理水平有待提高。其一,缺乏全国统一的智能化风险监测预警能力。未能有效整合各部门数据资源,构建起全国“一盘棋”的数字经济风险监测预警平台,容易错失“早识别、早预警、早处置”的风险防控最佳窗口期。其二,敏捷治理工具应用不足。“监管沙盒”作为一种鼓励创新与控制风险并重的治理工具,目前在我国的推广范围仍显有限,应用场景较为单一,尤其在新兴领域的试点覆盖面不足,未能形成“创新试点-风险评估-规则完善”的闭环管理机制,导致技术应用与监管规则更新脱节。其三,风险应急处置流程有待优化。面对人工智能生成内容导致的数据泄露、跨境数据流动引发的突发性安全事件等新型风险,现有的应急响应预案针对性不强,缺乏政企协同、跨区域联动的快速处置机制。
多方参与的协同治理机制有待完善。一是缺乏国家层面统一的数字经济安全治理协调机构。网信、工信、市场监管、公安、司法等部门职责交叉,存在监管重叠与监管并存的现象,未能形成统一的监管规则与协同流程。二是政企协同治理机制不健全。企业作为数据处理的首要责任主体,其主体责任尚未完全压实。有的大型平台的数据安全合规体系建设仍然滞后,首席数据安全官制度在一些企业流于形式。企业在参与国家数据安全标准制定、行业合规指南编制等方面的渠道不够畅通。政企之间在数据安全风险信息共享、应急联动处置等方面,缺乏常态化、可操作的机制安排。三是跨区域监管协同不足。数字经济的跨地域特性与行政区划下的属地监管模式之间存在矛盾,各地区在数据分类分级标准、执法尺度、信息系统互联互通等方面存在差异,导致跨区域数据流动面临监管壁垒,数据安全风险易在区域间扩散蔓延,难以形成全国一体化的监管防护网。
构建数据安全精细化敏捷治理体系
“十五五”时期是数字经济由规模扩张到价值深化的关键阶段,需要以《建议》提出的“统筹发展和安全”“坚持有效市场和有为政府相结合”[5]等为遵循,构建并深入推进精细化敏捷治理体系,以安全为基础,以发展为依托,推动数字经济成为经济社会稳定运行的新引擎。[6]
数据安全是数字经济高质量发展的前提,没有安全的发展是不可持续的;数字经济发展是数据安全的基础,只有通过发展才能提升安全防护的技术水平与资源保障能力。应摒弃“重发展轻安全”或“重安全轻发展”的思维,将数据安全纳入数字经济发展全局统筹规划,在制定政策、开展监管时,充分考虑安全与发展的双重需求,实现“安全底线守得住、发展动能放得开”。
适应数据要素的流动性、创新性、跨界性特征,树立“精准监管、敏捷响应、系统治理”的治理理念,根据数据类型、企业规模、应用场景实行差异化监管,根据技术迭代与场景创新动态调整监管规则,实现新兴领域的常态化系统性监管。
健全数据交易安全规则体系
破解数据权属难题。建议在立法层面区分公共数据、企业数据、个人数据等不同类型,探索构建“数据资源所有权归国家、数据加工使用权归企业、个人数据权益归个人”或类似的“所有权-使用权-收益权”分置的法律框架,为数据确权与定价奠定法律基础。
优化数据交易规则。加快制定全国统一的数据交易市场准入规则,明确交易主体的资质条件与数据产品的合规性审查标准。探索建立科学、公允的数据资产评估指南和市场化的定价机制,完善数据清算结算规则。
强化交易过程监管。推行数据交易“安全审查”与“全程追溯”机制,利用区块链等技术,记录数据从来源到使用的全链条信息,有效防范交易环节的数据泄露与滥用风险,提振市场信心。
健全精细化监管体系
加强数据分类分级。针对不同类别等级的数据,采取不同监管方式。对于与国家经济运行、社会秩序稳定、公民个人利益关系较为密切的数据,采取较为严格的保护措施,防止数据泄露带来风险与挑战;对于商业价值较强的数据,可采取较为宽松的监管措施,允许商业主体在合理范围内使用这些数据。此外,可结合不同行业的不同特点,进一步细化各类数据的分类分级规则。[7]根据行业领域、企业规模、市场地位,以及自动驾驶、远程医疗、金融科技等具体应用场景的不同,制定并执行高度差异化的监管标准。例如,对大型平台实行“强监管+常态化监测”,防范系统性风险;对中小企业实行“轻监管+合规指导”,激发创新活力;对敏感数据实行“严格管控”,对非敏感数据在符合安全要求下“适度放开”,促进共享利用。
提升精准执法水平。应尽快完善针对“数据+算法”新型垄断行为的认定标准,明确将数据规模、数据独特性、算法能力、网络效应等,作为评估市场支配地位的关键因素。建立“阶梯式处罚”与“容错纠错”相结合的执行机制,清晰界定“故意违法”与“过失违规”。对恶意垄断、严重损害竞争的行为,予以从严从重处罚;对中小企业非主观、轻微的违规行为,以责令整改、指导教育为主。同时,强化算法透明度与可解释性监管,要求平台在必要时公开算法基本原理与关键决策逻辑,有效防范算法歧视与算法合谋。
细化激励约束机制。为落实《建议》提出的“激发各类经营主体活力”[8]的目标,需改变重惩罚、轻激励的倾向。一方面,对那些数据安全合规体系完善、在数据要素化利用和创新应用中成效显著的企业给予优惠。例如,提高研发费用加计扣除比例、提供专项信贷支持或科创板上市绿色通道、在政府项目中优先考虑等。另一方面,实行更为精细的阶梯式惩戒。探索建立数据违规行为分级清单,明确区分轻微违规、中度违规与严重数据泄露、恶意垄断等重大违法行为,并配置与之相适应的、从约谈警告、罚款到暂停业务、吊销许可等轻重有序的法律责任,实现过罚相当,引导企业自觉合规。
健全数字经济风险敏捷响应机制
构建智能化的全国性风险监测预警平台。打破部门数据壁垒,整合网信、工信、市场监管、公安等多方数据资源,运用大数据、人工智能、态势感知等先进技术,建设覆盖全国、统一指挥、高效联动的数字经济风险监测预警系统。
推动“监管沙盒”的常态化与规模化应用。在人工智能、跨境数据流动、量子科技、具身智能等新兴领域,扩大“监管沙盒”试点范围与覆盖场景,实现监管规则与技术迭代、场景创新的动态适配。明确沙盒准入标准,优先吸纳技术创新突出、合规意愿强的企业进入沙盒,限定沙盒适用范围与期限;建立“企业自主申报+监管评估+公众监督”的沙盒运行机制,企业在沙盒内开展创新活动,监管部门同步跟踪监测风险,公众可对沙盒内企业行为进行监督;完善沙盒退出机制,对沙盒内运行良好、风险可控的创新模式,及时将实践经验转化为制度规则,对存在重大风险的创新模式,责令退出沙盒并整改。此外,及时将沙盒内成功的测试经验和暴露的风险问题,转化为普适性的监管规则或风险提示,形成“创新试点-风险评估-规则完善”的良性闭环,确保监管与创新同步演进。
健全高效协同的应急响应处置机制。制定数字经济领域重大数据安全事件应急预案,明确政企协同处置流程、责任分工与时间节点。建立分级响应机制,根据事件影响范围、危害程度,分等级对应不同的响应流程与处置措施。强化政企协同处置,明确企业的应急处置主体责任,要求企业建立内部应急预案,定期开展应急演练;建立跨部门应急联动机制,由网信部门牵头,协调工信、公安、司法等部门协同处置,明确各部门的职责与响应时限;常态化开展政企联合应急演练,提升协同处置能力。
健全新兴领域数据安全协同治理机制
加强部门协作。促进政府部门之间的沟通与协作,是确保数据流通监管体系高效运行的关键。可考虑设立国家数字经济安全治理协调机构或类似机制,统筹协调网信办、工信部、市场监管总局、公安部、央行、司法部等关键部门的职责。
促进政企协同。压实企业主体责任,通过立法或强制性标准,要求大型平台和重要数据处理者,建立并维持与其业务风险相匹配的数据安全合规管理体系,强制设立首席数据安全官并确保其权威性与独立性,建立其直接向董事会和监管部门报告重大风险的机制。拓宽企业参与规则制定的渠道,鼓励行业龙头企业、代表性行业协会,深度参与国家数据安全标准、技术规范、行业合规指南的制定过程,在制定数据安全标准、监管规则时充分征求企业意见,确保规则贴合实践。推行“合规激励”政策,对数据安全合规水平高的企业,降低监管频次、优先给予财政补贴与融资支持;鼓励企业参与数据安全技术研发与标准制定,对优秀成果给予奖励。建立政企应急联动机制,定期组织针对特定场景的数据安全联合应急演练,提升重大风险协同处置能力。推广普惠性安全服务,弥合中小企业数字鸿沟。
深化国际合作。大力推动数据分类分级管理、个人信息保护、网络安全应急响应等多个关键领域的技术标准互认及监管层面的深度合作。积极探索建立区域性的数据流通圈,在充分保障各方安全诉求的前提下,有效促进数据在区域内的有序、高效流动,进而为数字经济高质量发展筑牢坚实基础。支持有条件的国内数据服务商、数字平台企业“走出去”,参与国际市场竞争。
结语
数据作为新型生产要素,其流动性、创新性的内在属性,早已超越传统刚性治理模式的适配边界,唯有以“精细化”破解监管精准度不足的堵点,以“敏捷治理”回应技术迭代与场景创新需求,才能在动态平衡中释放数据要素价值,将其转化为驱动“十五五”时期数字经济高质量发展、筑牢国家安全屏障的强大动能,为以中国式现代化全面推进中华民族伟大复兴,奠定坚实的数字基础。
【本文作者为南开大学法学院副院长、教授、博导;本文系2025年度国家社科基金重点项目“促进具身智能发展的法律适配研究”(项目编号:25AFX023)研究成果】
注释略
责编:张宏莉/美编:石 玉