數據資源已成為推動國家治理現代化和經濟社會發展的關鍵生產性要素。我省是數字經濟發展的高地,數字產業發展保持強勁勢頭。如何從制度上保障數據資源的充分、有序流動,是我省數字經濟實現持續、快速發展的關鍵。數據的流動主要有兩大方向,一是數據從政府流向社會,即政府數據開放;二是數據從社會流向政府,即公民和企業的數據報送。數據的雙向流動不可偏廢,應協同發展。企業數據報送的規模與質量,直接影響到電子商務的發展與政府公共數據開放的規模與質量,也決定了數字治理的發達程度。[1]近年來,我省公共數據開放與管理、數字經濟促進等領域的地方立法正有條不紊地推進,相較而言,企業數據報送法律制度的構建相對緩慢。當前亟需結合我省數字經濟發展與公共數據開放的大趨勢,率先探索完善企業向政府報送數據的制度。
一、企業報送數據制度快速推進
近年來隨著社會經濟信息化的持續推進,我國政府積極探索能夠適應信息社會發展的新型監管方式,利用大數據提升監管效果成為改革的重要切入點。2015年7月國務院辦公廳發布的《關于運用大數據加強對市場主體服務和監管的若干意見》要求各級政府將大數據作為提高政府治理能力的重要手段,完善對市場主體的全方位服務和全生命周期監管。該《意見》指出要鼓勵和引導企業自愿公示更多生產經營數據、銷售物流等數據,及時掌握市場主體的經營行為、規律與特征,加強對市場主體的事中、事后監管,主動發現違法違規現象。[2]國務院于2017年1月發布的《“十三五”市場監管規劃》提出“智慧監管”的理念。該《規劃》要求:(政府有關部門)“適應新一輪科技革命和產業變革趨勢,適應市場主體活躍發展的客觀要求,充分發揮新科技在市場監管中的作用。運用大數據等推動監管創新,依托互聯網、大數據技術,打造市場監管大數據平臺,推動‘互聯網+監管’,提高市場監管智能化水平”。
目前網約車行業是數據報送要求最高的行業。[3]交通運輸部于2016年11月頒布的《網絡預約出租車經營服務管理暫行辦法》第29條允許交通行政、公安等部門根據管理需要依法調取、查閱網約車平臺公司的登記、運營和交易等相關數據信息。隨后交通運輸部開發了覆蓋全國的網約車監管信息交互平臺,并要求從事網約車經營服務的企業將其數據庫接入該平臺。2018年交通運輸部頒布《網絡預約出租汽車監管信息交互平臺運行管理辦法》,對網約車企業通過接口向監管平臺報送數據進行了細致的規定。根據該《辦法》,網約車平臺公司應向監管平臺報送基礎靜態信息以及訂單信息、經營信息、定位信息、服務質量信息等運營數據。網約車平臺公司還應保持傳輸數據的完整性、規范性、及時性和真實性等。
2018年頒布的《電子商務法》首次在國家法律層面確認了平臺經營者的數據提供義務。[4]該法對數據報送義務的規定從兩個方面展開。首先,規定平臺經營者應保存、核驗、更新平臺內電子商務經營者的身份信息。這些信息包括姓名、地址、聯系方式和行政許可等。保存和核驗這些信息構成了平臺經營者提供數據的基礎。其次,明確平臺經營者報送數據的對象。平臺經營者應向市場監管部門和稅務部門提供電子商務經營者的身份信息和與納稅有關的信息。不按照上述規定提供的,將被處以責令限期改正、10萬元以下罰款,乃至責令停業整頓并處最高50萬元罰款的行政處罰。
國家網信辦于2019年5月發布的《網絡交易監督管理辦法》(征求意見稿)對于網絡交易領域的數據報送進行了較為具體的規定。具體而言,市場監管部門有權要求網絡交易經營者直接向其提供交易數據信息,包括特定時代、特定品類、特定區域的商品或服務的銷量、銷售額等信息。此外,市場監管部門還有權要求平臺企業提供商戶的數據。相關規定主要明確了四個方面的內容:首先,規定了提供數據的最低頻率。該《辦法》要求平臺經營者至少每半年報送一次商戶的身份信息,同時鼓勵平臺經營者增加報送的頻次。其次,明確了數據提供的對象。該《辦法》規定縣級市場監管部門是數據報送的對象,但上級市場監管部門可以直接向平臺經營者提出數據報送的要求。再次,列舉了商戶身份信息的類型。這些信息主要包括營業執照、行政許可、聯系方式、店鋪名稱、網絡經營場所等五類。最后,規定了平臺經營者的協助、配合義務。該《辦法》要求平臺經營者應協助、配合市場監管部門的調查取證工作。
以上對政策和法律的梳理蘊含豐富的信息,展現了數據報送制度的若干特點,總結如下。
第一,從立法類型來看,數據報送相關立法呈現出國家法律牽頭,部門規章積極推進的態勢。中央立法在該領域成為主導,地方的立法極少。具體而言,《網絡安全法》、《電子商務法》等國家法律的有關原則性規定起支架作用,而近期涌現的政府部門規章才是政府數據報送的主要法律依據。這些數量可觀的部門規章則在各自領域對數據報送進行了細化規定。國家法律牽頭、部門規章積極推進的立法進路是謹慎可行的,有助于保障法律規范的實施效果。需要引起高度重視的是在數據報送領域行政法規缺位的問題。國家法律過于原則,而規章的規制范圍偏窄,法律位階偏低,不利于指導數據報送實踐的順利發展。未來應積極總結規章的立法經驗,及時制定綜合性較強的行政法規,對上承接國家法律,對下指導部門規章和地方性法規(規章)的制定。
第二,與數據報送相關的立法主要針對網絡安全、電子商務、網絡信息服務、交通出行等領域,且在這些領域的規制強度存在較大差異。上述領域是我國信息化發展程度較高、對人民生活影響較大領域,也是大數據的價值體現較為顯著的領域。相關立法的及時制定表明盡管目前數據立法尚處于起步階段,但數據報送相關的規范已實現了及時跟進,覆蓋面具有相當的代表性。不足之處在于,目前的立法仍然是部門法推進的進路,其他互聯網新興領域的數據提供問題就面臨缺乏明確法律規范的指引。此外,國務院各部門制定規章的規制強度存在較大差異。[5]例如網約車和網絡交易相關的規章對網絡平臺經營者施加的數據報送義務較強。根據《網絡預約出租汽車監管信息交互平臺運行管理辦法》,縣級市場監管部門及其上級部門不僅可以要求平臺上的商戶提供身份信息,也可以直接要求平臺經營者提供其平臺內所有商戶的身份信息。同網約車和網絡交易相比,網絡信息服務領域的數據報送的規制強度就要小很多。根據《數據安全管理辦法》(征求意見稿)的要求,網絡經營者收集重要數據或個人敏感數據應向所在地網信部門備案,備案內容包括收集、使用的目的、規模、范圍信息等,但不包括數據內容本身。
第三,大體而言,當前立法承認平臺經營者占有、使用數據的權利,但不承認此項權利的絕對性。根本上看,數據報送問題涉及數據權屬問題。如果能夠從法律上厘清數據權屬問題,那么數據提供問題將迎刃而解。但問題在于數據權屬問題目前尚處于不清晰的狀態,立法上也并未給出明確的答案。[6]盡管如此,我們可以從二級權利,即占用、使用權入手來認識關于數據提供立法的基本立場。《電子商務法》規定國家保護電子商務用戶信息,鼓勵電子商務數據開發應用,保障電子商務數據依法有序自由流動。而《數據安全管理辦法》(征求意見稿)也要求網絡經營者備案的內容是其收集重要數據或個人敏感數據的規則,不包括數據內容本身。還有部分規章規定平臺經營者僅限于向執法部門提供必要的協助。從立法的趨勢來看,基于執法目的所提供的數據類型趨向于明確化。這些立法動向都表明國家尊重平臺經營者占有、使用數據的權利。此外,我國《網絡安全法》等國家法律規定基于刑事偵查的需要,公安機關可以要求平臺經營者提供任何相關的數據。這說明平臺經營者的占有、使用數據的權利并不是絕對的。[7]
二、企業報送數據的運行現狀
通過調研,筆者發現目前向政府部門報送數據較多的企業集中在運營大型線上商業平臺的企業,主要涵蓋購物、交通出行、支付等與公眾日常生活密切相關的領域。這些企業的客戶群規模巨大,往往覆蓋全國。這些互聯網企業向政府部門報送數據的方式主要有兩類。第一類是應有關國家機關個案協查的要求,提供某個或某些主體的具體數據。提出協查要求的國家機關主要包括具有刑事偵查、反恐、反間諜等職能的政府部門,以及從事具體民事、刑事、行政案件審判的法院。從企業經營角度來看,基于個案協查的數據報送涉及信息的廣度和深度有限,一般不涉及企業的商業秘密或對企業權益造成較大威脅或損害。同時所指向的數據結構化程度不高,類型不多,也不會耗費企業過多的人力和財力。正是因為如此,互聯網企業對于這類數據報送要求通常予以積極配合。第二類提供數據的類型是應政府部門的要求,報送綜合性數據。提出這類要求的政府部門主要是具有相關行政管理權限的政府部門。從整體趨勢來看,政府監管部門要求獲取平臺經營者數據的需求越來越大,而相較于第一類數據提供要求,此種類型的數據報送義務對企業經營活動及權益的影響也更為凸顯。因此,第二類數據提供是本報告考察的重點內容。企業向政府部門報送數據的基本情況總結如下。
第一,從形式上看,企業同政府部門事前簽訂的“數據報送協議”是報送數據的基本依據。該類協議內容較為簡短,通常規定了數據報送的主體與接收主體、類型、目的等。從性質上看,數據報送協議并非是政府部門同平臺經營者就具體事項的數據提供達成的合意,而是針對不特定事項達成的“協助”合意。數據報送協議并非是傳統意義上的雙方權利義務關系對等的協議,而更多地具有備忘錄的性質。簽訂數據報送協議說明雙方有實現規范化數據報送的意愿,也體現了雙方提高數據報送可預期性和穩定性的共識。
第二,企業報送數據通常一事一議且在收到具體要求后才予以提供。企業報送數據活動的啟動具有被動性。盡管事前簽署了數據報送協議,但是企業一般是在收到政府部門的具體要求時,才會啟動數據報送。除網約車行業的通過接口進行數據報送外,目前尚不存在主動的、常態化的數據報送實踐。此類經政府部門要求從而啟動數據報送的實踐符合《網絡安全法》、《網絡交易管理辦法》等法律規范的要求,但是尚未達到以《電子商務法》為代表的新近國家立法所提出的主動、常態化報送數據的標準。近年來,國家網信辦、國家市場監管總局等部門陸續公布了《數據安全管理辦法》(征求意見稿)、《網絡加以監督管理辦法》(征求意見稿)等規章草案。這些草案的相關規范普遍地細化了《電子商務法》中關于數據報送的原則性規定。可以預見的是未來關于企業常態化數據報送的法律規定將更為的明確、具體,相應的執法力度也會加大。目前常態化報送實踐的缺失表明:現實情況同法律的要求及立法的趨勢還存有明顯的距離。
第三,數據報送主要以事件為導向,提出此類數據報送要求的政府部門呈現多元化的趨勢。與個案協查主要圍繞數據主體不同,綜合性數據報送圍繞的是某項事件,如稅收稽查,打擊假貨等。如果說個案協查針對的是數據的“點”的話,那么綜合性的數據報送針對的是數據的“面”。[8]政府部門多元化體現在兩個方面:一是提出此類要求的政府部門類別多元,包括市場監管、稅務、網監、金融監管、商務管理等部門;二是政府部門層級多元,從縣級部門到國務院組成部門等多個級別的政府部門都有權向企業提出數據報送的要求。大型互聯網企業往往需要對接本地和外地的多個政府部門,且各部門要求提供數據的內容存在重疊的部分,這給企業的日常經營管理帶來一定的煩擾。有受訪企業表示,希望政府能夠搭建一個數據報送平臺,企業將數據提交到該平臺,供有需求的政府部門自行下載。
第四,互聯網企業報送數據屬于無償服務,在這一過程中企業承擔了一定的經濟成本。從性質上看,企業數據報送更多地屬于履行法定的協助義務,目的是配合政府部門履行其法定的監管職權。企業并未在履行義務時獲得相應的經濟補償。此外,互聯網企業需要投入一定的人力和財力來進行有針對性的數據處理,這體現在以下兩個方面:首先,政府部門所需要的是結構化程度較高的數據,要求具備可視化的效果。面對政府部門的數據提供要求,企業往往需要對原始數據進行加工、提煉和清洗,從而提供滿足政府部門的要求。其次,不同政府部門提出的數據報送要求存在較大差異。各政府部門根據其承擔的行政職責的不同,要求企業提供數據的目標、要求、內容以及頻次也并不相同,因此面對不同政府部門的要求,企業往往需要逐一進行有針對性的處理,這同樣會帶來成本的增加。
三、當前存在的主要問題
筆者調研發現目前企業向政府部門報送數據的實踐已有相當的進展,但相關制度遠未完善,存在若干問題。
第一,企業數據報送的國家立法相對缺位,地方立法的機遇與挑戰共存。目前,關于企業數據報送在國家層面的上位法主要是2018年頒布的《電子商務法》,該法第25條和第28條要求平臺經營者應向市場監管部門和稅務部門提供電子商務經營者的身份信息和與納稅有關的信息,以及2017年國務院各部門制定的規章,對數據報送進行了細化規定,涉及網絡安全、電子商務、網絡信息服務、交通出行、稅務、市場監管等領域。但是,這些法規仍過于原則,管理色彩較濃、規制范圍偏窄,缺少對數據報送應遵循的基本原則、報送的范圍等的規定,也難以照顧到地區差異。目前各省市尚未就企業數據報送進行專門立法。我省經信廳牽頭起草的《浙江省數字經濟促進條例(草案)》提到應實現政企數據的雙向流通,但該草案缺乏關于企業報送數據的全面、細致規定。因此,建立健全企業數據報送制度對于我省發揮地方立法能力、突出數據產業優勢具有重要意義。
第二,數據報送機制尚未有效落實,存在選擇性實施的問題。企業履行數據報送義務時,存在差別對待的現象。從筆者在浙江省調研反饋的信息來看,受訪互聯網企業盡管存在擔憂,但是對于本地政府部門的數據報送要求仍較為配合。但是對于業務較少地區的政府部門所提出的數據報送要求,企業拒絕后者要求的情況較多。此外,筆者調研的對象是具有全國影響的大型互聯網企業,這些企業的實踐并不能反映數據報送機制在互聯網經濟中運行的整體狀況。實際上數據報送在總體上并未普遍開展。以稅收數據報送為例,課題組對杭州地區相關政府部門的訪談顯示,企業履行數據報送義務的程度不高。稅務部門的負責同志表示,只有稅務部門主動發起稅務檢查行動時,才會要求平臺經營者報送數據。平臺經營者也并未向稅務部門主動提供商戶的相關信息。筆者發現數據報送落實不力的現象同樣存在于市場監管、網監、金融監管等領域。
第三,企業數據報送過程中的安全風險未能得到有效控制,企業數據報送的積極性和主動性亟待提高。隨著大數據價值的日益提升,互聯網企業將數據利用與安全保障視為其核心競爭力。企業普遍認為向政府部門報送相關數據將增加數據的安全風險,從而對企業的發展帶來不利的影響。盡管《電子商務法》第25條提出了明確要求,但是實踐中安全保障問題仍然是短板。除網約車、快遞等行業外,一般不存在企業向政府報送數據的固定安全渠道,通常也未設置常態的接口,報送方式往往是企業同執法單位的具體職能部門和具體負責的工作人員對接。結合數據“儲存即所有”的特性,數據在政府部門服務器中,以及在不同政府機構中多次流轉,這無疑大大增加了數據泄露與濫用的風險。企業報送的數據在政府部門的存儲與處理也存在很大的安全隱患。政府部門的數據庫通常由互聯網企業來搭建和維護,甚至存在一些政府部門同企業共用數據庫的現象。企業報送數據給政府部門后,通常會導致第三方介入到數據的存儲與處理中來,這增加了數據泄露與濫用的風險,也加深了企業對數據報送問題的擔憂。
四、改革建議
按照“增量改革”的思路,未來企業報送數據的制度建設在按照既定目標加快推進的同時,還應重點考慮克服當前存在的問題。為此,相關對策建議如下。
第一,發揮地方立法的先行示范作用,打造企業數據報送的浙江經驗。在當前數字經濟發展與公共數據開放的關鍵期,我省應通過地方立法,結合本地實際,積極探索企業數據報送的相關規定。[9]
數據報送以優化營商環境為宗旨。應通過地方性法規或地方政府規章的形式,進一步完善和細化《電子商務法》關于數據報送的原則性規定。為了提高企業對于數據報送的可預期性,降低監管部門提出數據報送要求的恣意性,未來立法應重點明確企業報送數據的原則與范圍。
數據報送應追求企業經營活力和政府數據需求的平衡。考慮到該項實踐尚處于初步階段,目前選擇必要性原則較為適宜,一是政府主管部門要求企業報送數據的類型、數量與頻次應以實現監管目標所必需為限;二是政府主管部門如果已掌握同類數據,或者能夠通過其他方式獲取所需數據的,不得要求企業再次提供此類數據。
第二,加強數據報送機制的落實力度,提高執法的效力與守法的效果。在強調公共數據開放與大數據監管的大背景下,主動、常規化數據報送已成為企業守法的新義務。應激活《電子商務法》和相關部門規章的規定,積極探索數據報送的實踐,提高執法的效力與守法效果。為了適應大數據監管的趨勢,具體而言,應當發揮地方立法的主動性,從供需匹配、外部執法、內部管理三個方面強化現行數據報送機制的落實。
依托地方立法的靈活性和自主性,根據各政府部門的監管需求,對企業數據報送義務作出定制化、個性化的制度設計,使監管需求和數據供給達到精確匹配,避免給企業徒增負擔。
加強執法,確保企業切實履行數據報送義務,保障數據的完整性、規范性、及時性和真實性。對于未依法履行數據報送義務的企業,政府主管部門應及時責令其限期改正,情節嚴重的,應當依法予以相應處罰。
應建立健全內部工作機制,明確同企業對接的責任人、業務人員與技術人員,指定專人負責本部門數據庫的運轉、利用與維護。
第三,強化數據報送的安全保障,解除政府和企業數據流動的后顧之憂,徹底解決“給的不想要,要的不愿給”的數據流動僵局。隨著《民法典》的出臺以及《數據安全法》與《個人信息保護法》起草工作的啟動,可以預見未來我國數據安全與個人信息保護的立法要求將大幅提升。[10]政府部門與企業作為數據共享機制的雙方都應順應立法的大趨勢,強化數據的安全保障,確保對數據資源采集、傳輸、存儲、利用和開放過程的規范管理。保障個人數據隱私是重中之重,政府和企業在數據共享過程中,應切實保障數據處理過程中的合法性,明確相關主體的責任和義務,加強對個人數據濫用、侵犯個人隱私行為的防范和懲戒。