目前,我們已經生活在一個數字化和數據化的時代。在數字化、數據化時代,我們每個人的身份、行為都處于被數字化、被數據化過程之中。社會關系就是由行為引發的,行為被數字化和數據化,社會關系也隨之數字化和數據化。在數字化背景下,人類進入了新知識生產與新知識體系亦即新學科構建的新時代。所謂知識,就是人類對客觀事物和人自身研究的成果。大數據、云計算、區塊鏈等數字技術的蓬勃發展和廣泛運用,在變革經濟社會發展的同時,產生著大量新知識,正在形成若干新的知識體系,推動著社會科學的新發展。在這方面,法學界同樣非常活躍。一方面,傳統法學學科在研究中實現突破和升級;另一方面,基于研究產生的新知識,正在進行學科新體系的構建。學科,即知識體系。學科體系化就是對知識體系的體系化再造。因應數字化時代新法學知識及其體系化構建的新需求,中國政法大學在2020年申請設立“數據法學”二級學科,順利通過教育部備案。建設數據法學學科是構建中國自主法學知識體系的必要之舉。自主的數據法學知識,是參與全球數字經濟治理的話語能力體現。
構建與數字技術和數據相關的法學自主知識體系,需要格外注意以下幾個問題:
第一,數字技術與數據既是法治對象又是法治工具,雖然均為法學研究的對象,且高度關聯,但是,相關法學研究的出發點和落腳點并不相同。
數字技術作為法治對象時,數字技術研發和運用過程中所涉社會關系的權利配置和行為規則,成為法學研究的本體問題;數據作為法治對象時,數據權利、數據行為、數據法律關系等則成為法學研究的本體問題。因數字技術作為法治對象與數據作為法治對象的不同,法學研究產生的知識并不相同。盡管兩者高度相關,但是,不能混為一談。
數字技術作為法治工具,與數據作為法治工具一樣,均實時內化或者內嵌到法治過程之中,從而賦能立法、執法、司法和守法各個環節,實現更高水平的科學立法、嚴格執法、公正司法和全民守法。近年來,數字技術作為法治工具的典型實踐就是智慧司法和數字檢察,推動著司法更公正、更高效、更公開、更廉潔。在司法實踐的基礎上,最高人民法院出臺了若干規范和保障數字技術賦能司法過程的程序規則。
數字技術和數據高度相關,作為法治對象和法治工具時,同樣高度相關,但是,法學研究所生成的知識及其所屬體系有很大差異。前者,多數屬于實體法范疇;后者,多屬于程序法范疇。
第二,正確認識和理解數字與數據,數字化與數據化、數字權利與數據權利之間的差異,是保障法學新知識體系構建科學性的邏輯前提。
法學無疑以研究權利及其配置為己任。因此,數據確權成為法學研究的熱點。由于數據自身的特殊性和復雜性,決定了數據確權的難度。理解數據權利、數據行為、數據利益,一個非常重要的基點,就是要正確認識和處理信息與數據、數據與數字、數字化和數據化之間的差異和關系。
數據既是一個技術概念,也是一個經濟概念,還是一個法律概念。作為法律概念,數據的內涵與外延在數據安全法之中有明確的界定,并在網絡安全法之中也有涉及。數字是一個技術概念,目前,還沒有一部法律對何謂數字進行定義。數據是信息的載體,數字是傳輸信息的技術方式,在不同的智能終端之間,信息是被傳輸的對象,數據是被傳輸的載體,數字是傳輸的形式。在傳輸的過程當中,信息、數據、數字三者雖然合一,但不是同一個事物,三者有各自的制度需求。數字化帶來了數據化,但數字化無法取代數據化。換句話講,數據化和數字化是有本質的區別。研究數字化和數據化相關的法律問題,需要對ICT技術有基本的認知。與傳統法學研究相比,這無疑是一個非常大的差別。只有這樣,才能夠在把握技術規律、市場規律和法治規律前提下,科學研究數字技術和數據作為法治對象和法治工具對法律提出的新需求。不僅數據、數字、數字化、數據化、信息和數據有很大的差別,而且,數據所有權(data ownership)與數據權利(data rights)、數據權利(data rights)與數字權利(digital rights)有很大差異。概括地講,數字權利(digital rights)就是基本人權在數字化時代的一個新的表達、新的內容和新的實現方式。數據權利(data rights)則是對數據要素化資源化過程中正當數據利益的保障機制。
第三,數據法學概念體系的引進與自主構建——以數據行為為例。
概念是反映對象本質屬性的思維形式,是學術研究的起點,是制度建設的邏輯基礎。制度實質上就是概念體系及其展開。概念的紊亂不僅影響學術研究和交流,而且制約制度的構建。
數據行為即數據處理或數據處理行為,是數據法學的基礎概念。在法律層面,數據安全法、個人信息保護法、網絡安全法均有列舉式規定。例如,數據安全法第三條第2款規定,“數據處理,包括數據的收集、存儲、使用、加工、傳輸、提供、公開等”。個人信息保護法第四條第2款在承襲數據安全法列舉的7種數據處理行為的基礎上,增加了“刪除”行為。網絡安全法第七十六條第4項規定,“網絡數據,是指通過網絡收集、存儲、傳輸、處理和產生的各種電子數據”。在數據安全法和個人信息保護法中,“處理”是一個上位概念;在網絡安全法中,“處理”則是一個與其他行為并行的概念。法律規定的不一致躍然紙上。
在地方數據立法層面,關于數據處理行為的外延,同樣有較大差異。例如,《蘇州市數據條例》創設了“銷毀”行為,《深圳經濟特區數據條例》創設了“開放”行為,《上海市數據條例》創設了“歸集、整合、共享、開放、運營”等行為。不僅如此,作為我國數據基本政策的《關于構建數據基礎制度更好發揮數據要素作用的意見》(以下簡稱“數據二十條”)亦引入了一些新的數據處理行為,例如,數據來源、生成、生產、采集、持有、托管、加工、流通、交易、應用、治理、供給、跨境流動等。這些數據處理行為與數據安全法和個人信息保護法規定的收集、存儲、使用、加工、傳輸、提供、公開、刪除等處理行為的關系需要進一步研究。又如,“數據二十條”引入的“采集”與前述兩部法律的“收集”在規則和后果等方面有無區別?再如,“數據采集”與“數據收集”、“數據應用”與“數據使用”、“數據供給”與“數據提供”、“數據交易”與“數據流通”存在哪些差異?須知,數據行為不同,則數據利益不同、數據法律關系的內容亦不同。法律概念既是制度體系的支點,又是法學研究的起點。數據行為概念的確定性,直接影響數據行為規則的合理性、數據法律關系內容科學性。因此,無論引進或者自主創設與數據行為相關的概念,都應符合數據的特征、遵循數字經濟的規律。
(作者系中國政法大學教授、數據法治實驗室主任)