數據治理的法治化是一個(ge) 非常重要的命題。這一命題有兩(liang) 個(ge) 關(guan) 鍵詞，一個(ge) 是數據治理的結構問題，另外一個(ge) 就是法治化問題。數據治理的法治化問題，也就是數據治理主體(ti) 的權利義(yi) 務的設定及其關(guan) 係模式之製度安排應如何符合法治要求的問題。數據治理的立法應當充分考慮到形式合法性、體(ti) 係合法性和實質合法性要求。

　　數據治理製度設計應符合法治原則

　　數據治理的結構包括數據的采集、處理，到最後的刪除、消失，也就是我們(men) 說的數據的全周期中不同的主體(ti) 之間的關(guan) 係。結構是一種關(guan) 係模式，在法律上就是主體(ti) 之間的權利義(yi) 務關(guan) 係模式。數據治理是不同主體(ti) 基於(yu) 權利義(yi) 務關(guan) 係模式而展開的競爭(zheng) 和合作過程。數據治理的主體(ti) 包括自然人、平台、網絡經營者、數據控製者，以及監管部門。放到國際層麵考慮，數據治理主體(ti) 還包括不同的主權國家。主權國家相互之間會(hui) 基於(yu) 利益來主張自己的權利，比如說數據出境問題。在主權意義(yi) 上，理解主權的不同視角可能導致主權競爭(zheng) 。

　　數據治理中的不同主體(ti) 在法律上各自應擁有什麽(me) 樣的權利?這一問題涉及到數據治理的一係列基本問題，例如自然人作為(wei) 信息主體(ti) 的權利是什麽(me) 性質的權利?有哪些權利?信息權到底是什麽(me) ?是人格權、隱私權，還是人格加財產(chan) ，還是一種獨立的個(ge) 人信息權?平台數據也同樣麵臨(lin) 一係列的問題。對於(yu) 一個(ge) 企業(ye) 來說，數據到底是它的什麽(me) 權利，是財產(chan) ?是著作權?是知識產(chan) 權?這些問題，理論、實務和法律規則層麵都還沒有共識，甚至視角上都有分歧，比如，民法學界和公法學界對上述問題的認識就存在非常大的爭(zheng) 議。

　　在這樣的背景下，我們(men) 再來理解數據治理的法治化問題。數據治理法治化的問題之所以被提出來，主要是因為(wei) ，數據治理的不同主體(ti) 各自有哪些權利義(yi) 務，以及他們(men) 相互之間的關(guan) 係模式應如何設定，還有主權國家之間在數據治理領域如何競爭(zheng) 、合作等問題，在法律上還存在諸多的困惑甚至或缺。而已經存在的法律框架，也未必符合數據治理的公平正義(yi) 要求。在數據治理領域，個(ge) 人信息保護的不足與(yu) 過度，安全需求與(yu) 自由焦慮，監管的擴張衝(chong) 動與(yu) 能力匱乏，主權國家之間的競爭(zheng) 甚至衝(chong) 突，始終相伴相隨。治理的法治化問題，簡而言之，也就是對數據治理主體(ti) 的權利義(yi) 務的設定及其關(guan) 係模式之製度安排，應如何符合法治主義(yi) 要求的問題。

　　是不是我們(men) 隻要製定一套規則係統來設定權利義(yi) 務關(guan) 係就算是法治?《數據安全管理辦法》、《兒(er) 童個(ge) 人信息網絡保護規定》、《個(ge) 人信息出境安全評估方法》這三個(ge) 辦法，其出發點或許是邁向數據治理的法治化，但這些規則及由其組成的治理體(ti) 係是否滿足法治主義(yi) 的基本要求?

　　我們(men) 還要關(guan) 注合法性問題。搞這些規則，本身是要進行數據治理，要推進數據治理的有效性和效果。但有效性也好，治理質量也好，都有一個(ge) 關(guan) 鍵的製約性變量，這就是合法性。進一步展開的話，可以在三個(ge) 層麵理解這種合法性要求。

　　數據立法要有上位法依據並且不抵觸

　　第一個(ge) 層麵是作為(wei) 底線的形式合法性。

　　從(cong) 行政法和憲法的角度來說，形式合法性的本質要求是法律規則之間的一致性。在一套法律規則體(ti) 係中，這種“一致性”要求下位的法律規則必須與(yu) 上位的規則保持一致性，具體(ti) 來說也就是“依據原則”和“不抵觸原則”。前者要求下位法的製定必須要有上位法的依據，後者要求下位法的規定不得與(yu) 上位法的規定或原則相抵觸，否則將構成下位規則的違法，並導致其無效的後果。如果涉及到有關(guan) 基本權利和自由的限製，還需要遵守“法律保留”原則。

　　《立法法》第80條規定，沒有法律或行政法規的規定，規章不得自我賦權，不得減損公民的權利和自由，不得增加其義(yi) 務。也就是說，在規章這個(ge) 層麵的立法，如果做權利義(yi) 務的“加減法”，進行權利義(yi) 務的設定，應受到原則和權限的法律限製。這個(ge) 限製是最低限度的形式合法性的要求。如果違反了法律和行政法規的規定而設定權利義(yi) 務，那麽(me) 其合法性本身就將是一個(ge) 巨大的問號。

　　在當前數據治理的相關(guan) 規則製定過程中，許多學者都指出了這些問題。比如，就《數據安全管理辦法》(征求意見稿)而言，在征求意見的過程中，很多業(ye) 界專(zhuan) 家和法律界學者都指出，該辦法的不少條文，特別是第23條、第25條、第30條、第31條等，都存在著缺乏上位法依據的問題，因而可能直接麵臨(lin) 形式合法性的危機。

　　另外像36條也存在同樣的問題。一個(ge) 部門的規章對網絡經營者設定了向諸多國務院行政管理部門提供數據的義(yi) 務，這種規定使網絡經營者承擔巨大的義(yi) 務，也使我國網絡經營者在國際競爭(zheng) 環境中麵臨(lin) 不利問題。其上位法的依據到底是什麽(me) ?數據治理的有效性追求，當然無可厚非，但如果突破形式合法性要求，就會(hui) 突破法治的底線，造成對法治的破壞。正因為(wei) 如此，我國建立了法規、規章的備案審查製度和合憲性審查製度，對違法和不合憲的規則予以糾偏。

　　整個(ge) 數據治理法律體(ti) 係應保持一致性

　　合法性的第二個(ge) 層麵是體(ti) 係一致性，或者稱體(ti) 係合法性。

　　這個(ge) 問題跟前麵所說的形式合法性有關(guan) 係，但也有所不同。作為(wei) 法治底線的合法性要求，主要是根據《憲法》和《立法法》所體(ti) 現的依據原則和不抵觸原則。也就是要用這兩(liang) 把尺子來看哪些條文逾越了原則。而所謂的體(ti) 係合法性，主要是指數據治理的整個(ge) 法律體(ti) 係應當保持必要的一致性。對於(yu) 當前正在討論中的數據治理規則製定而言，最典型的問題就是，十三屆全國人大已經對數據治理的一些重要立法做了規劃，包括個(ge) 人信息保護、數據安全，還有民法典中的人格權編等。在這種情況下，先行製定位階較低的規章和規範性文件，就會(hui) 存在立法的“層級錯亂(luan) ”問題。

　　體(ti) 係的合法性，最主要的就是同時列入規劃的幾個(ge) 不同位階的立法，是不是應該保持一致?回答當然是肯定的。你不能隻考慮監管機構一馬當先衝(chong) 出來拋出一係列規則。如果是進行試驗性的立法，是不是也需要立法機關(guan) 的特別授權。如果沒有任何特別授權就緊鑼密鼓地“開張”，不僅(jin) 會(hui) 麵臨(lin) 立法權限問題，也會(hui) 給後續人大的立法帶來現實難題，也會(hui) 使守法和合規麵臨(lin) 進退兩(liang) 難的困境。所以，當前正在進行的幾個(ge) 管理辦法的製定，應當放在我國數據治理的整體(ti) 和係統性立法體(ti) 係中考慮。在法律還沒有出台的情況下，管理的需要當然是一個(ge) 需要考慮的現實問題，但如果僅(jin) 僅(jin) 隻考慮眼前的管理需要而不考慮數據治理立法的係統性，將會(hui) 顧此失彼，在解決(jue) 一些問題的同時，也會(hui) 製造新問題。

　　實質合法性包含安全與(yu) 發展的平衡

　　數據治理合法性的第三個(ge) 維度，也是業(ye) 界最關(guan) 心的問題，可以稱為(wei) 實質合法性問題。這是許多平台像阿裏、騰訊，還有許多傳(chuan) 統的行業(ye) 像金融、電力、交通等行業(ye) 對數據治理遊戲規則最關(guan) 心的問題，主要是本行業(ye) 的發展問題，甚至是生存問題。這個(ge) 問題就是數據治理中如何處理安全與(yu) 發展的平衡問題。

　　安全與(yu) 發展必須平衡考慮。網絡空間治理、數據治理，肯定是要考慮到數據安全、經濟安全、公共安全、社會(hui) 安全等。從(cong) 更宏觀的層麵來說，還需要考慮國家利益層麵的安全。但是安全並不等於(yu) 一味地對網絡經營者進行控製，而是建立起互聯網技術和監管的有效合作，既保護數據主體(ti) 的權益，也實現國家利益和社會(hui) 福利的最大化。技術權威就是這些新興(xing) 的企業(ye) ，監管權威就是傳(chuan) 統的監管者，甚至涉及到主權國家自身等等。他們(men) 的結合，有一個(ge) 內(nei) 在的邏輯前提，那就是行業(ye) 必須要不斷進行升級和發展。如果離開了行業(ye) 本身的升級發展，可能就把這個(ge) 東(dong) 西管死了，這將會(hui) 從(cong) 根本上損害國家安全和國家利益。在這個(ge) 意義(yi) 上，發展的問題本身就是安全問題。整個(ge) 互聯網、整個(ge) 數據產(chan) 業(ye) ，它的發展不光是產(chan) 業(ye) 的問題，在宏觀意義(yi) 上也是國家安全的問題。因為(wei) 隻有靠這些企業(ye) 不斷更新技術，不斷提升競爭(zheng) 力，我們(men) 才更能夠獲得安全。

　　從(cong) 這個(ge) 角度來看的話，同樣會(hui) 發現幾個(ge) 辦法裏麵，可能更多強調加強監管的安全、秩序等目標。雖然立法也在原則層麵宣示了安全與(yu) 發展並重的“平衡原則”，但在具體(ti) 的內(nei) 容上，安全與(yu) 發展出現了失衡，這是業(ye) 界普遍的擔憂和焦慮所在。

　　比如說爭(zheng) 議比較大的《數據安全管理辦法》(征求意見稿)第25條。25條主要想象的場景就是網絡社交平台。但由此可能帶來的問題是，社交平台是否因此而被迫麵對合規和侵犯公民通信自由的兩(liang) 難選擇?

　　在數字經濟全球博弈的背景下，建議充分考慮國內(nei) 規則的外溢性和競爭(zheng) 性，既要避免規則缺失導致中國在數據治理國際博弈中缺乏製度工具，也要避免規則過嚴(yan) 扼製國內(nei) 企業(ye) 的創新發展，最終影響國家整體(ti) 競爭(zheng) 力的提高。《數據安全管理辦法》(征求意見稿)第3條將“數據安全與(yu) 發展並重，保障數據依法有序流動”作為(wei) 總則，值得肯定。但具體(ti) 製度設計上仍以嚴(yan) 監管為(wei) 主，促發展有帽子、沒抓手。草案全文40條，對企業(ye) 新增各類義(yi) 務高達30項，並且，監管嚴(yan) 厲，義(yi) 務繁瑣，可能會(hui) 不利於(yu) 中國互聯網企業(ye) 的走出去。此外，考慮到《辦法》還將適用於(yu) 所有在中國境內(nei) 進行數據收集處理的外國企業(ye) ，過嚴(yan) 的監管究竟是否恰當，需要再斟酌。

　　目前來看，數據安全管理辦法更多體(ti) 現了對秩序的強烈偏好，這種偏好本身是沒有問題的，但是如果這一偏好損害了互聯網網絡經營者的利益，可能將會(hui) 損害公共的利益，最終也會(hui) 涉及到國家利益。

　　數據治理法治化要考慮國內(nei) 法治與(yu) 國際法治

　　數據治理的立法應當充分考慮以上所提到形式合法性、體(ti) 係合法性和實質合法性要求。

　　放在數字經濟全球競爭(zheng) 和主權博弈的背景之中，我們(men) 應當認識到，互聯網治理、數據治理都不可能是關(guan) 起門來進行的，必須考慮遊戲規則的外溢效應和外部性。因此，數據治理的法治化問題，不僅(jin) 需要國內(nei) 法治，也需要考慮國際法治，建立既促成維護國家利益又能進行對話、競爭(zheng) 和合作的國際數據治理體(ti) 係，以提升我們(men) 在國際數據治理體(ti) 係中的話語權和治理能力。國內(nei) 數據治理規則體(ti) 係的過分“內(nei) 化”，在單向度追求秩序的同時，如果脫離了國際數據治理的體(ti) 係，就有可能被邊緣化，這不僅(jin) 會(hui) 危害國內(nei) 數據治理的效果，也會(hui) 帶來數據治理引發的網絡安全和國家安全問題。