数据治理如何避免陷入逻辑混乱和政策失据

在全球范围内，数据治理正在进入重大政策议程。中国于2022年底颁发的《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》，就提出了“数据要素治理结构”和“数据要素治理制度”的命题；欧盟于2023年开始实施的《数据治理法》（Data Governance Act，DGA）则引起了全球广泛关注。

这些政策行动只是起步。最终要形成良好的数据治理，首先还是应该把握底层逻辑，并在此基础上讨论数据治理的基础构架，否则有可能陷入逻辑混乱和政策失据。 

一、数据治理的底层逻辑

（一）底层逻辑之一：超越生产要素和财产的数据基本权利

数据的权责利绝对不仅仅限于被当作生产要素的权责利，即使数据没有进入生产过程，没有滋生经济价值，它仍然可能涉及人的基本权利，譬如人格权、隐私权，以及由此衍生的关于个体安全、个体尊严、个体独特性、个体自主性方面的关切，等等。简单地把数据视为生产要素，或者资产、财产，并在此基础上进行数据资产的产权界定和资产交易，根本不能全部覆盖数据权责利的所有方面，甚至可能导致错误的思维和思路。

在超越生产要素的数据基本权利逻辑中，数据治理思维，就是要使那些初始的基本权利，得到尊重和保护。确立了这个底层逻辑，数据治理的其他底层逻辑，以及数据治理的基础构架乃至具体制度，都将应运而生。

（二）底层逻辑之二：数据采集者与数据投射物或其拥有者、管理者之间的契约

数据投射物或其拥有者、管理者，应该基本理解数据采集对其意味着什么。如何实现知情权、同意权？如何帮助数据投射物或其所有者、管理者获得对采集意义的理解？合乎逻辑的方式，就是建立简洁明了的契约，哪怕是自动契约。

不管数据采集的知情权、同意权被设计得如何隐蔽，譬如默认、勾选等方式，来淡化合约的存在。合约的重点应该是知情和同意的问题，然后才会有利益的分配、私人信息的使用，以及数据的私人信息含量等问题。而要增强知情和同意的力量，就应该在法律中，强化知情和同意的契约性质，譬如，欧盟于2023年开始实施的《数据治理法》，就明确了数据共享行为的合约基础，即强调需要通过协议来促进个体直接或者通过数据中介向数据使用者提供数据，这无疑就强化了契约的地位。由于采集后的数据使用场景将会复杂，数据使用所能带来的经济利益也很难预知和预算，所以，最初契约的重点并不是经济利益分配。

当然，在采集环节的初始契约之后，每个环节都可以有各自契约。为了使数据加工、转移、使用的链条能够延伸得尽量长，并产生更多的有益用途，国家应该鼓励开发数据脱敏、隐私计算等技术，并推行广受信任、广被接受的数据脱敏标准，使之成为数据治理的基础性技术之一。国家也应鼓励一些探索性的数据模式与生态，譬如数据信托。在此基础上，初次采集者可以免于承担后续的数据转移、加工、使用可能带来的连带责任，从而构造比较合理的责任链条，使契约关系更加简洁和易于操作，使数据治理更加灵活化、多元化。

（三）底层逻辑之三：对数据利他主义的鼓励与引导

在采集之后，加工、转移、使用的场景将更加纷繁复杂，数据权责利结构，也即所涉及的个人和团体将远远超出采集之时，从而使数据治理进一步复杂化。同时，数据脱密、数据合成等技术方法的发展，也可能使后续数据与最初的数据投射者之间的关系模糊化，从而改变权责利结构。

在数智化时代，数据具有强大的驱动力，且这个驱动力与被使用的数据体量，以及数据的被使用次数成正比。除了可以给予被采集者以一些经济补偿之外，还应该大力探索和发展数据利他主义制度。欧盟于2023年开始实施的《数据治理法》，一个重要内容就是引入数据利他主义，但欧盟的尝试范围还比较有限。中国其实可以探索和试行更加广泛的数据利他主义政策，并纳入数据治理逻辑。

（四）底层逻辑之四：对用途的匡正与问责

数据之所以被采集、转移、加工，最终目的还是被利用。如果说数据采集是起点，那么数据使用无疑是重点。

无论是数据规制，还是数据治理，在加工、储存、交易、流动等环节施加影响和控制，比较困难；而从入口和出口，即数据采集和使用环节，来施加影响和控制，则容易得多。出口在一定程度上比入口更具重要性。

必须对数据用途进行匡正。数智化时代的数据，不能用来监控个人行为、窥探个人秘密，也不能用来刺激和放大人性弱点以实行诱使、欺诈、情绪控制等活动，当然也不能用来危害社会秩序与安全。应该对明显违背正当用途的行为进行问责。       

二、数据治理的基础构架

（一）个体维权与利他通道

建立数据治理的基础构架，首先就是要建立并畅通个体维权通道。

这里的个体，既包括个体自然人，亦包括个体机构，企业。个体维权通道，包括接受诉讼的法庭，以及所凭借的法律。特别是应该鼓励数据维权方面的集体诉讼。欧盟在颁布《通用数据保护条例》（GDPR）之后，这方面的维权通道比较畅通。在欧洲一些国家，这方面的集体诉讼已经开始，并且对数据侵权者带来很大的震慑作用。此外，还应该发展公益诉讼，政府公共机构可以就当地的一些典型的数据侵权现象代替老百姓提出公益诉讼。

同时，在目前数据法律还不太完善的情况下，应该有政府或半政府机构来受理非诉讼性质的投诉，譬如可以在消费者权益保护机制的基础上，发展数据权利保护机制，并鼓励地方成立此类权益保护协会。

（二）自治平台与生态体系

数据治理在较大程度上依赖于探索和自治。在这个过程中，主要的数据采集者、加工者、转移者和利用者，与相对应的数据被采集群体之间，会有很多的协商、谈判以及争执、纠葛，因此，需要建立一些承担数据治理功能的平台，这些平台可以互联网企业为基础。

数据自治平台应该把主要的数据采集、加工、转移、使用主体，以及有关的技术开发和标准拟订主体聚合起来，也应该把数据被采集者和数据用户聚合起来，形成数据治理的生态体系。在广泛聚合的基础上，自治性平台可以发挥数据社区功能，适时制订数据社区的路规，维护数据社区的秩序，促进数据社区的繁荣和发展。

同时，需要跨政府部门平台在数据治理基础构架中发挥作用。欧盟通过的《数据治理法》，授权欧盟委员会设立欧洲数据创新委员会，该委员会成员包括成员国数据管理部门代表，以及欧盟特定专业机构和特定行业代表、中小企业代表，不但为欧盟委员会建设欧洲共同数据空间提供咨询意见，而且推进成员国的最佳实践（best practices），以及推行互操作标准。中国也应该发展这样的平台。

（三）数据专门管理机构的职能及与其他部门之间的关系

新兴的数据治理体系不能只停留于自治，而需要引入政府规制。

目前，一些国家已经设立和拟议设立这样的机构。欧盟《数据治理法》就规定，成员国应设置专门的数据管理机构，该机构应该独立于数据中介服务提供商或数据利他组织；数据管理机构有权要求停止侵权行为。中国已经确定设立国家数据管理局，全社会都期待其发挥良好作用。

不过，数据专门管理机构的职能需要谨慎界定。这样的机构应该促进大数据的合理与深度使用、推进基于规则的数智化进程，而不是构筑层层叠叠的管控体系。要防止这样的机构成为数据规则的独家垄断者，甚至数据资源的独家分配者，以及数据行为的全过程审批者。这样的机构不该有规则的垄断权和独家解释权，也不该自设各种审批权和惩罚权。这个机构最应该做的事情，是成为一个平台化的集成者、获信任的整合者，从而推进规则构建和规制到位。因此，应允许其他与数据有关的政府机构的存在，包括行业性的数据管理机构或机构中的专门司局的存在。

在这种情况下，如何使不同领域的数据摆脱本领域数据管理机构的束缚，就显得特别重要。譬如，消费、医疗、交通、工业等数据，各由不同部门来管理，而且各地政府也有相应的数据管理部门，就可能导致数据的条块分割。因此，未来，中央层面的数据专门管理部门在形成数据路规、构建数据秩序的同时，如何促进各领域、各层级政府积极地释放和共享数据，是一件十分重要又十分艰巨的工作。

（四）立法与法院

最后，需要健全数据法律。目前，世界上有不少国家都在推进数据方面的立法，中国也有不少进展。推进数据领域的立法，可能需要更大程度地发挥司法体系在其中的作用，而不是把立法和司法截然分开。因此，建立专门的数据法院，也是必要的。

在欧盟与美国签订的《跨大西洋数据隐私框架》中，就规定欧盟将设立独立的数据保护审查法院。设立这样的专门法院，有利于使其在实际判例中将司法与立法融合起来。数字技术、数字经济仍处于快速发展与变动之中，涉及数据的争执和纠纷，已有法律条文和司法判例都不能应对这些争执与纠纷，国际上许多涉及数据的诉讼大多以和解方式了结。这恰恰说明数据立法的不易，也恰恰反映了设立数据法院的重要性。

中国也可考虑尽快设立专门的数据法院。数据治理具有很强的专业性和新颖性，这个领域的法律细则制定和法官人才培养，应该在司法实践中推进。这也是探寻数据规则、积累数据判例、培养数据法官的好方法。中国若率先设立数据法院，可以在全球数字经济治理中谋得一定主动权。 

三、如何推进数据治理最佳实践

数据治理是新兴领域，在很大程度上也是未知领域，应该在遵循底层逻辑的前提下，在实践中积极探索和不断完善。也就是说，数据治理应该追寻并强化最佳实践。

数据治理最佳实践，实际上反映了人类社会的守正与创新之间的关系。在中国，一些重大的涉及数据的诉讼及其判决，以及一些重大的规制政策的实施，已经开始体现最佳实践的思维。其他一些国家也是如此。欧盟设立了欧洲数据创新委员会，目的之一就是要在成员国推行数据最佳实践。

中国推行数据治理最佳实践需要继续向前大踏步迈进。中国已经施行《个人信息保护法》《数据安全法》等法律和一些法规、指南、指导意见，但其中的条文规定仍然较为宽泛，并不易得到清晰判断和严格执行。数据治理在中国并不会随着几部法律法规和文件的颁布实施而万事大吉，而更需要通过最佳实践来追寻合适的、高效的数据治理。同时，中国应该通过最佳实践的国际交流，来弥合数据治理的国际分歧，为全球数据治理作出贡献。

（作者张文魁系国务院发展研究中心企业研究所副所长、研究员）