全球数据治理回顾：难题与抉择

《经济学人》在回顾2022年时不由感叹说：“有些年份带来混乱，有些年份提出了方案，而今年则提出了问题。” 的确，在数据治理领域，从数据安全到个人信息保护，从人工智能到数据要素市场，从立法方向到执法动向，2022年均向世界发出了严峻的价值拷问。回顾过往，我们以四大问题为线索，梳理全球数据治理的重大事件，以此记录这终将载入史册的一年。

01、个人信息保护：GDPR之外的选择？

作为数字经济与社会的基础性制度，个人信息立法已成为各国共识。截至2021年，共有145个国家出台了相关法律，而到了2022年，这个数字进一步上升到157。

在美国州法层面，2022年3月24日，犹他州州长Spencer Cox签署了名为《犹他州消费者隐私法》（"UCPA"），成为第四个制定全面数据隐私法的州。5月10日，康涅狄格州发布了《关于个人数据隐私和在线隐私的法案》。2022年12月，科罗拉多州总检察长办公室公布了《科罗拉多州隐私法（CPA）规则》的修订草案。变化主要是对数据控制者有利的，例如对隐私通知、同意和数据保护评估条款的修改可能有助于其满足合规要求。同时，规则草案保留了许多标志性条款，这些条款使CPA规则成为美国隐私法领域的重要补充，如建议控制者必须建立和执行文件保留时间表。

在联邦层面，2022年7月20日，《美国数据隐私和保护法》（“ADPPA”）在美国众议院能源和商业委员会以两党53比2的投票结果被通过。《美国数据隐私和保护法》将为美国所有个人的信息建立重要的保护措施。《美国数据隐私和保护法》将对收集和使用个人信息的公司规定数据最小化义务；严格监管敏感数据的所有用途；为未成年人提供特别保护；建立访问、纠正和删除数据的个人权利；在网上建立强大的公民权利保障；要求算法决策的透明度；并禁止跨背景的行为广告。同时规定，联邦贸易委员会、州检察长和隐私管理机构以及个人通过私人诉讼，进行三级执法。根据《美国数据隐私和保护法》，任何州都不允许执行涉及与《美国数据隐私和保护法》相同问题的法律条款，而涉及这些问题的现有法律条款将被取代。但是，《美国数据隐私和保护法》中有许多例外条款，如在一般消费者保护法、有关面部识别的规定等领域依然允许各州自行立法。

▲ 图源Pixabay

立法先行，执法亦不甘落后。2022年，整个欧洲基于GDPR的罚金总额达到29.2亿欧元（31.0亿美元），是2021年数额的两倍还多。迄今为止最高的一笔罚款源于Meta（Facebook）旗下的Instagram。爱尔兰数据保护委员（Irish Data Protection Commissioner）以其在没有法律依据的情况下处理儿童数据，被处以4.5亿欧元的罚款。

无独有偶，在美国，最高额的数据隐私执法也与儿童隐私有关。2022年，联邦贸易委员会（FTC）要求游戏《堡垒之夜》的创造者Epic Games, Inc.支付总计5.2亿美元的救济金，因为该公司被指控违反了《儿童在线隐私保护法》（COPPA），并部署了被称为“黑暗模式”的设计技巧，欺骗数百万玩家进行非故意的购买。FTC对Epic的行动涉及两个单独的破纪录的和解。其中，公司将为其违反COPPA规则支付2.75亿美元的罚款——这是对违反FTC规则的最大惩罚。此外，公司还被要求对儿童和青少年采用更强大的隐私默认设置，确保默认关闭语音和文本通信。根据另一项拟议的行政命令，Epic将支付2.45亿美元，为其黑暗模式和计费做法向消费者退款，这是FTC在游戏案件历史中最大的退款金额。

正如数据法比较学者Graham Greenleaf所言，虽然各国个人信息保护的法律实践不尽相同，但迄今为止其规则受到GDPR的深刻影响。正因如此，GDPR所固有的缺陷，特别是个人权利保护和数据利用之间的失衡同样体现在后来者中。美国的立法尝试能否在GDPR外，开辟新的典范，尚有待观察。

▲ 图源Pexels

02、数据跨境流动：安全还是自由？

尽管我们都知道“信息想要自由”（ Information wants to be free）的口号，但自从GDPR生效以来，数据跨境自由流动就面临着与日俱增的窒碍，基于基本人权、国家安全、公共利益、经济发展等不同的理由，数据自由流动的理想渐行渐远。

2020年7月16日，欧盟法院发布了一项具有里程碑意义的数据保护裁决，即“数据保护专员诉Facebook爱尔兰和Maximillian Schrems”（“Schrems II案"）。

在Schrems II案中，法院认为美情报机构执法不可控，欧洲公民缺乏救济渠道，判决“欧盟-美国隐私保护协议”（隐私盾）无效，从而令美欧之间数据传输的合法性面临挑战。

2022年3月25日，美国与欧盟原则达成《跨大西洋数据隐私框架》（Trans-Atlantic Data Privacy Framework），经过数月努力，EU-U.S DPF不断完善。2022年10月7日，美国白宫签署了《关于加强美国信号情报活动保障措施的行政命令》，要求美国基于国家安全目标开展信号情报活动时候务求“必要和相称”，情报办公室（DNI）将负责监督情报行动并受理行政投诉，同时成立独立的数据保护评估法庭以提供救济机制。

2022年12月13日，欧盟委员会启动了通过《欧盟-美国数据隐私框架充分性决定》的进程，解决欧盟法院在其2020年7月的Schrems II决定中提出的关切，尤其是数据数据获取权的范围以及特定广告活动中处理合法性依据等问题，实现促进安全的跨大西洋数据流动。

▲ 图源Pixabay

回到中国，2021年《数据安全法》第11条确定了“数据跨境安全、自由流动”原则，但安全与自由如何平衡依然悬而未决。2022年7月，国家网信办公布《数据出境安全评估办法》，明确了数据出境安全评估的范围、条件和程序，2022年8月，为指导和帮助数据处理者规范、有序申报数据出境安全评估，国家互信办公室编制了《数据出境安全评估申报指南（第一版）》，对数据出境安全评估申报方式、流程、材料等要求作出具体指引。

除了安全评估，2022年6月，全国信息安全标准化技术委员会《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》、国家网信办《个人信息出境标准合同规定（征求意见稿）》相继出台，《个人信息保护法》下的其他两种出境合规方式——个人信息保护认证制度与个人信息出境标准合同亦初步成型。纵观安全评估、标准合同、认证的整体框架，其设计均以“数据安全流动”优先，“数据自由流动”的目标远未达成。

▲ 图源Pexels

03、数据要素利用：多方如何共赢？

数据要素的有效利用是数字经济发展的关键驱动力。2022年12月，党中央、国务院发布《关于构建数据基础制度更好发挥数据要素作用的意见》，以激励数据生产、促进数据流通、优化数据分配为线索，从数据产权、流通交易、收益分配、安全治理四方面搭建我国数据基础制度体系，为最大化释放数据要素价值、推动数据要素市场化配置提出了最新指引。

与中央层面的审慎立法不同，地方有关数据要素的立法延续了2021年的热度，《浙江省公共数据条例》《重庆市数据条例》《黑龙江省促进大数据发展应用条例》《陕西省大数据条例》《辽宁省大数据发展条例》《江苏数字经济促进条例》《北京市数字经济促进条例》相继出台。

另一方面，作为多元主体、多元利益的复合体，数据在富含经济价值的同时，也承载着个人权益、公共利益和国家安全。随着信息技术的迭代，包括深度学习、神经网络在内的人工智能算法业已成为主流的数据利用形式。对人工智能算法的规制由此成为数据治理的新领域。

▲ 图源Pexels

在欧洲，《人工智能责任指令》（AI Liability Directive）和《人工智能法（草案）》（draft AI Act）在2022年9月和12月先后出台。其中，《人工智能责任指令》要求欧盟各成员国实施规则以减少因人工智能相关产品或服务而受伤的受害者提出民事责任索赔的举证障碍。最重要的是，该指令在责任认定方面对人工智能系统的开发者、提供者或使用者采用“因果关系推定”模式；《人工智能法（草案）》旨在确保在欧盟境内运行的AI系统的安全性，并保证人工智能之运用符合现存法律和欧盟在人权方面的基本价值。

在中国，针对“利用深度学习、虚拟现实等生成合成类算法制作文本、图像、视频、音频、虚拟场景等网络信息的深度合成技术”，国家网信办会同工信部、公安部在2022年11月发布《互联网信息服务深度合成管理规定》，以技术和法律二元规制为方法，以技术开发、技术服务、技术使用为线索，彰显出综合治理格局，与《互联网信息服务算法推荐管理规定》《关于加强互联网信息服务算法综合治理的指导意见》一道，共同构建了具有中国特色的算法规制体系。

▲ 图源Pixabay

2022年，最能体现数据上利益冲突的事件，莫过于滴滴公司网络安全审查终于尘埃落地。

2021年7月16日，国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局等部门联合进驻滴滴出行科技有限公司，开展网络安全审查。2022年2月15日施行《网络安全审查办法》新增网络平台运营者赴国外上市申报网络安全审查的情形，将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查范围，并明确要求掌握超过100万用户个人信息的网络平台运营者赴国外上市，向国外证券监管机构提出上市申请之前必须申报网络安全审查。

2022年7月21日，国家网信办做出最终决定，对滴滴全球股份有限公司处人民币80.26亿元罚款，对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。这一处罚为中国企业数据利用的边界划定了一条鲜明的红线。

▲ 图源Pixabay

04、超级平台：兴利还是除弊？

《经济学人》在《2018年的世界》中首次用“科技抵制”（Techlash）一词来描述了针对Facebook、Google和Amazon等硅谷科技巨头严厉监管的政策。四年后，《经济学人》在《2022年的世界》中再次用“新一波科技抵制”来描述世界各国试图驯服科技超级平台的努力。

欧盟在这一领域依然是制度创设的领先者，于2020年12月提出的《数字市场法案》（Digital Market Act）和《数字服务法案》（Digital Service Act），以创纪录的速度在2022年得到欧洲议会和欧洲理事会的批准，旨在为超级平台制定明确规则，防范其滥用其市场力量，保护所有数字服务用户的基本权利，在欧洲单一市场和全球范围内建立一个公平的竞争环境，以促进创新、增长和竞争力。

与之相比，2022年的《数字治理法案》（Data Governance Act）和《数据法案》（Data Act）是更为柔性的治理工具。其中，《数字治理法案》希冀增加对数据共享的信任，加强提高数据可用性的机制，克服数据再利用的技术障碍，并在战略领域支持建立和发展共同的欧洲数据空间，涉及私人和公共参与者，如健康、环境、能源、农业、金融、制造业、公共管理等部门。

《数据法案》也称“关于公平获取和使用数据的统一规则的拟议条例”，其统一规定了谁可以获取和使用产生于欧盟各经济部门的数据，其旨在确保数字环境的公平性，刺激竞争性的数据市场，为数据驱动的创新提供机会，并使所有人更容易获得数据。根据2030年的数字发展目标，该法案将在欧盟数字转型中发挥关键作用。

▲ 图源Pexels

与欧盟专门性立法不同，中国选择了修法方式回应超级平台的挑战。2022年6月，《反垄断法》修改，在总则中增加“经营者不得利用数据和算法、技术、资本优势以及平台规则等从事本法禁止的垄断行为”，在“滥用市场支配地位”一章中增加“具有市场支配地位的经营者不得利用数据和算法、技术以及平台规则等从事本法规定的滥用市场支配地位的行为”。在之后的市场监管总局《禁止滥用市场支配地位行为规定（征求意见稿）》中，针对超级平台在增设自我优待这一特殊类型，禁止具有市场支配地位的平台经营者利用数据和算法、技术以及平台规则等，没有正当理由，在与该平台内经营者竞争时，对自身给予下列优惠待遇：（一）对自身商品给予优先展示或者排序；（二）利用平台内经营者的非公开数据，开发自身商品或者辅助自身决策。

尽管超级平台规制日渐严密，但在动态竞争的市场环境下，如何科学、全面地评估我国超级平台的利弊，尚未形成统一观点。2022年末举行的中央政治局会议上，“支持平台企业在引领发展、创造就业、国际竞争中大显身手”就体现出顶层认识的发展变化。展望未来，从专项整改向常态化监管转换，意味着超级平台立法的体系性与协同性将进一步优化，而兴利与除弊的均衡亦将成为法律规则的难点所在。