摘要: 数据安全风险的社会自我规制关涉风险规制责任的分配、国家的干预限度、社会主体的基本权利及责任边界等一系列宪法问题,有必要进行合宪性控制。现行法律中数据安全风险的社会自我规制方式主要包括组织性规制、行为性规制、协助性规制和伦理性规制。四类规制方式均具有合宪性。组织性规制和行为性规制构成对企业营业自由的限制,但限制是合宪的;协助性规制的主要宪法依据是民主权利(力)和“国家实行社会主义市场经济”的目标;伦理性规制的主要宪法依据是宪法的伦理性要求和补充实现国家安全保障任务的需要。为了保障数据的流通和利用,促进数字经济的发展,应当对数据安全风险的社会自我规制进行合宪性控制,做到合理分配规制责任、避免对社会自我规制的滥用,善用后设规制、控制协助性规制对其他主体基本权利的侵害以及以宪法凝聚伦理共识、防止伦理性规制泛化。
关键词: 数据安全风险;社会自我规制;合宪性论证;合宪性控制
进入新世纪以来,以物联网、大数据、云计算、人工智能为代表的数字科技的发展创造了巨大的社会价值,推动人类步入了“万物可数据”“万物能互联”的大数据时代。伴随着数字科技创新发展的不只有各种机遇,还有严峻的数据安全风险挑战。数据安全风险具有极强的不确定性,一项数字技术、一次数据处理活动是否潜藏数据安全风险,以及会在何时、以何种方式引发数据安全事件都具有不确定性,这对传统面向确定性的单一政府规制模式带来了较大挑战。[1]近年来,在应对各类现代化风险的实践中,我国逐渐转变了单一政府规制模式,更加关注发挥社会自我规制的力量,并形成了政府规制与社会自我规制相结合的复合规制模式。这种规制模式也被应用于数据安全风险规制的立法与实践。从立法上看,《数据安全法》《网络安全法》《个人信息保护法》都在规定国家规制责任的同时,明确了社会主体自我规制的责任。从实践上看,社会主体发挥能动作用进行自我规制和与政府展开合作规制,形式灵活多样,且处在不断创新之中。[2]《数据安全法》《网络安全法》《个人信息保护法》三部法律并未穷尽,也不可能穷尽所有社会自我规制方式,而是选择了几类重要的社会自我规制方式在法律中确定了下来,为了保障规制实效,还规定了对这些社会自我规制方式的国家规制,形成了“受国家规制的自我规制”框架。这些社会自我规制方式(而非其他社会自我规制方式)能够在立法中确定下来,证明了这些社会自我规制方式本身的重要性及立法者对其效用的高度重视。
当数据安全风险的社会自我规制与国家的后设规制相结合,且被以规范性条文的方式确定在立法之中时,数据安全风险的社会自我规制就不再仅仅是行政法层面的规制工具选择问题,其更是关涉国家对风险规制责任的分配、国家的干预限度、社会主体的基本权利及责任边界的宪法问题。因此,现行法律中有关数据安全风险社会自我规制的制度安排就有必要通过宪法原则和宪法规范的检验。本文即从宪法视角出发,对现行法律中的数据安全风险社会自我规制的制度安排进行合宪性分析,明确社会自我规制的宪法依据,并对社会自我规制制度的未来发展进行合宪性控制。[3]
一、数据安全风险的社会自我规制
不同种类的风险具有不同的特性、发生机制和潜在危害,因此针对不同种类的风险就会有不同的规制方案选择。相比其他风险,数据安全风险呈现出两大特性:一是动态性与隐匿性。数据安全风险既包括可能对数据基础设施造成破坏的“静态”风险,也包括可能对数据全生命周期的各个环节乃至整体环节造成破坏的“动态”风险。且数据具有虚拟性,很多数据安全风险难以被及时察觉,非法利用痕迹也较难追溯,导致对数据安全风险的规制难度陡然提升。二是损害的不可逆性。数据是对信息的记录,在数据中记录着大量的个人信息、商业秘密和公共信息等,由于数据具有可无限复制性,一旦数据安全风险现实化,就会影响到个人权益、商业利益、社会公共利益乃至国家安全,造成严重的、不可逆的损害。《数据安全法》《网络安全法》《个人信息保护法》针对数据安全风险的上述两大特性,规定了大量的社会自我规制方式。这些社会自我规制方式大体上可被分为组织性规制、行为性规制、协助性规制和伦理性规制四类。
(一)组织性规制
组织性规制要求数据处理者设立特定的机构或明确专门的负责人,专门负责数据安全工作或监督工作,如果数据处理者不履行该义务将受到行政制裁。根据法律规定,组织性规制可分为两种:一种是由企业内部成员组成安全管理机构或担任负责人,负责数据安全工作或合规监督工作。一种是由企业外部成员组成独立于企业内部经营管理机构和监督机构的独立监督机构,专门从事监督工作。[4]
第一种组织性规制方式意在将数据安全价值嵌入数据处理者的内部组织结构。例如《数据安全法》第27条要求重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任;同时在第45条规定如果重要数据的处理者不履行该义务的,由有关部门责令改正,给以警告、罚款等行政处罚。又如《网络安全法》第21条要求网络运营者按照网络安全等级保护制度的要求,确定网络安全负责人;第34条要求关键信息基础设施的运营者设置专门安全管理机构和安全管理负责人,并对安全管理负责人和关键岗位的人员进行安全背景审查。《个人信息保护法》第52条要求个人信息处理者在处理的个人信息达到国家网信部门规定的数量时,应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。
第二种组织性规制方式则通过要求特定数据处理者设立具有更高独立性的专门机构,加强其对自身的监督,保障数据安全。例如《个人信息保护法》第58条规定了提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。本条借鉴了欧盟《数字市场法(草案)》中的“守门人条款”,规定了特定个人信息处理者的特殊义务。[5]“由外部成员组成的独立机构”意味着该机构与个人信息处理者不存在组织隶属关系,独立开展监督工作,不对个人信息处理者负责。
(二)行为性规制
行为性规制是指法律要求科研机构和企业制定内部数据安全管理规范,并采取一定的技术措施切实预防数据安全风险。行为性规制可以进一步划分为激励性的行为性规制和强制性的行为性规制。
激励性的行为性规制是由国家通过指导、技术支持、物质奖励的方式,推动科研机构和企业加强自我管理和教育培训,提升安全技术水平。如《数据安全法》第20条规定国家支持教育、科研机构和企业等开展数据开发利用技术和数据安全相关教育和培训。
强制性的行为性规制则是由法律要求数据处理者制定数据安全管理制度、采取安全技术措施、加强安全风险监测,如果数据处理者不履行相应义务,则将受到行政制裁。如《数据安全法》第27条要求数据处理者建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全;第29条要求数据处理者加强风险监测,发现数据安全缺陷、漏洞等风险时,立即采取补救措施;第30条对重要数据的处理者提出了更高的要求,即重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。并且风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等内容。当主管部门发现数据处理者不履行上述数据安全保护义务的,责令其改正,给予警告,可以对数据处理者和直接负责的主管人员并处罚款;如果数据处理者拒不改正或者造成数据泄露等严重后果的,处罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。对违反国家核心数据管理制度,危害国家主权、安全和发展利益的行为,处罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,构成犯罪的,则追究刑事责任。[6]
为保障个人数据安全,防止个人数据泄露、篡改、丢失,《个人信息保护法》也规定了强制性的行为性规制方式。如《个人信息保护法》第51条要求个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取一定的措施,包括但不限于:制定内部管理制度和操作规程;对个人信息实行分类管理;采取相应的加密、去标识化等安全技术措施;合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;制定并组织实施个人信息安全事件应急预案等。
(三)协助性规制
在实践中,行业协会、网络平台、认证机构等私主体事实上拥有一定的“社会权力”,[7]对其成员、用户、委托人(申请人)进行着不同程度的“监管”。为了引导这些“社会权力”服务于公共利益,国家通常会以法律形式承认或授予私主体一定的规制权力,督促其发挥协助规制风险的作用。协助性规制大致可以分为三种。
一是,国家承认相关行业组织的自律规范,并支持相关行业组织制定行为规范、团体标准,加强自我规制。例如,《数据安全法》第10条支持行业组织制定数据安全行为规范和团体标准,指导会员加强数据安全保护。《网络安全法》第11条支持网络相关行业组织按照章程,制定网络安全行为规范,指导会员加强网络安全保护。行业组织的权力,部分来自于会员的“让渡”以及会员的自愿服从,部分则来自于法律的背书。当然,这种背书只是国家在指引行业组织如何更好地开展行业自律,并非授予其直接的行政监管权力,不能使其成为行政主体。如《网络安全法》第29条规定有关行业组织建立健全本行业的网络安全保护规范和协作机制,加强对网络安全风险的分析评估,定期向会员进行风险警示,支持、协助会员应对网络安全风险。该规定旨在指导行业组织如何加强自律,而未赋予行业组织对会员的行政检查权或行政处罚权。
二是,国家通过设定行政法上的义务的方式,分享给数据交易中介服务机构和数据处理者一定的协助规制权力,要求其向行政机关报告存在的风险或者直接阻止危害行为发生。这种规制方式亦被称为“第三方行政法义务”。[8]如《数据安全法》第33条要求从事数据交易中介服务的机构在提供服务时,必须要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。该规定以行政法义务的方式授予了数据交易中介服务机构一定的交易审核权力,但这并不足以使其成为行政主体,因为数据交易中介服务机构提供服务时,与交易双方形成民事法律关系,同样受《民法典》调整,审核对数据交易的主体来说不会产生行政法效果,只会产生民法效果。又如《网络安全法》第47条规定网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。该规定同样以行政法义务的方式让网络运营者事实上分享了审查信息的权力,网络运营者停止传输信息与其用户之间只产生民事纠纷,而不产生行政纠纷。所以这种规制方式本质上仍然是由市场主体以私法手段完成规制目标,行政权力并未发生转移。
三是,国家授权第三方市场机构,进行数据安全检测评估、认证服务。《数据安全法》第18条规定,国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。《网络安全法》第17条规定,国家鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。除了自愿认证之外,法律还规定了数据安全强制认证。如《网络安全法》第23条规定,网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。虽然数据安全评估、认证一定程度上代替了国家质量监督和社会信用监督的职能,但这并不会使相关评估、认证机构成为行政主体。数据安全评估、认证不同于颁发资格证、资质证等行政许可行为,也不同于对有关事实进行甄别而给予确定或证明的行政确认行为,而属于第三方规制行为。[9]相关评估、认证机构依然是市场主体,与评估、认证委托人之间形成民事法律关系。《认证认可条例》第73条规定了认证机构不履行对认证产品的跟踪调查义务和及时暂停或撤销认证证书的义务,给消费者造成损失的,要与生产者、销售者承担连带责任。该规定通过民事连带责任的设置,表明了认证机构与委托人之间的民事法律关系。
当然,在协助性规制中,法律虽然承认了私主体的规制权力,或将原本由政府独占的规制权限分享给私主体,但这绝不意味着国家放弃了后续监管。国家依然会对私主体的规制进行监督,当发现问题时,会采取约谈措施督促私主体进行整改,消除隐患,并在必要时给以行政处罚。[10]
(四)伦理性规制
与上述组织性规制、行为性规制和协助性规制更侧重管理性、技术性的内容不同,伦理性规制将数据安全风险规制推进到伦理层面,要求行业组织、科研机构和企业的数字科技研究活动或数据处理活动符合伦理规范。《数据安全法》明确提出了数据处理活动与数据技术研发活动应当符合“伦理”的要求,表明了《数据安全法》对伦理性规制的高度重视。[11]例如,第8条要求开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信;第15条明确了数字科技在服务老年人和残疾人方面的伦理要求,强调“提供智能化公共服务,应当充分考虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活造成障碍”;第28条规定开展数据处理活动以及研究开发数据新技术,应当有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理。
《数据安全法》强调伦理性规制,无疑与数字科技的研发与应用对当下的伦理格局造成了严重的负面影响有关。近年来,我国高度重视对科技活动的伦理性规制。2020年10月,我国组建了国家科技伦理委员会。2022年3月,中共中央办公厅、国务院办公厅印发了《关于加强科技伦理治理的意见》(以下简称《意见》)。《意见》在《数据安全法》相关规定的实施上发挥着重要作用,构成对数据安全风险的伦理性规制的重要规范渊源。例如,《意见》指出:“科技伦理是开展科学研究、技术开发等科技活动需要遵循的价值理念和行为规范,是促进科技事业健康发展的重要保障。”《意见》还明确了“压实创新主体科技伦理管理主体责任”,科研机构、企业要履行科技伦理管理主体责任,建立常态化工作机制,加强科技伦理日常管理,主动研判、及时化解本单位科技活动中存在的伦理风险;尤其要求从事人工智能等科技活动的单位,研究内容涉及科技伦理敏感领域的,应当设立科技伦理(审查)委员会。此外,《意见》还设置了后设规制,要求各地方、相关行业主管部门“加强对各单位科技伦理(审查)委员会和科技伦理高风险科技活动的监督管理,建立科技伦理高风险科技活动伦理审查结果专家复核机制,组织开展对重大科技伦理案件的调查处理”。
二、数据安全风险社会自我规制的合宪性分析
判断现行数据安全风险社会自我规制的制度设计是否合宪,需要回答以下问题:其一,组织性规制和行为性规制意味着国家公权力深入到数据处理者内部,这是否构成对数据处理者的基本权利的限制?如果构成,这种限制是否合宪?其二,协助性规制中,国家将部分规制权力分享给私主体是否具有合宪性?其三,伦理性规制是否具有合宪性?
(一)组织性规制与行为性规制的合宪性
现行宪法第16条和第17条分别规定了国有企业和集体经济组织的经营自主权。私营企业可以援引经营自主权的规定主张营业自由,且由于作为营业自由宪法依据的经营自主权条款位于我国宪法第二章之外,因此并不受到章名对于基本权利主体资格的限制,其保护范围当然及于法人。[12]营业自由有较强的防御权属性,抵御国家对企业营业活动进行的不当干预。营业自由的内容包含准入自由、退出自由、交易自由、交易平等等内涵。为了保障营业自由的充分实现,企业有必要获得一定的自治权限,所以企业自治当然是营业自由的重要内容。
组织性规制与强制性的行为性规制意味着国家的干预力量可以介入到数据处理者的组织结构、管理流程和技术措施等方面,实质性地影响了企业自治。且国家的介入会升高数据处理者的组织成本、管理成本和技术成本,影响数据处理者的市场竞争力,构成了对其营业自由基本权利的限制。因此,需要从形式性审查与实质性审查两个方面判断这种限制是否合宪。
1.对两种规制方式的形式性审查。[13]对组织性规制与行为性规制的形式性审查,就是检讨相关制度设计是否遵循对基本权利限制的法律保留原则。“法律保留是指,国家只能通过制定法律的方式限制宪法基本权利,法律以下的规范文件(如行政命令等)无权设立限制。”[14]现行宪法关于营业自由的规定强调“在法律规定的范围内”[15]“遵守有关法律的前提下”,[16]表明对企业营业自由的限制应当遵循法律保留原则。由于立法机关在立法能力上的局限性,为应对复杂的现实,法律保留原则并不绝对排斥由立法机关授权行政机关对基本权利进行限制。如我国《立法法》就规定了绝对法律保留事项和相对法律保留事项,全国人大及其常委会有权授权国务院根据实际需要对相对法律保留事项先制定行政法规。[17]由于营业自由并不是宪法明确列举的基本权利,且规定在总纲基本国策之中,就表示宪法有意消减其作为基本权利的主观防御权功能。[18]因此,适当将两种规制方式的设定权放宽到行政法规,并不违反法律保留的要求。作为保障公司自治的重要规范的《公司法》,在第5条规定了公司从事经营活动,“必须遵守法律、行政法规”,为这一推论提供了规范依据。
在组织性规制方面,《数据安全法》等立法都明确了设置数据安全管理机构和负责人、网络安全负责人、个人信息保护负责人、独立监督机构的条件。法律和行政法规还明确了管理机构和负责人的职责,或未明确但交由数据处理者自行探索,符合法律保留原则。
在行为性规制方面,《网络安全法》和《个人信息保护法》将行为性规制的设定权限放宽到行政法规。如《网络安全法》第21条和第34条分别规定了网络运营者和关键信息基础设施的运营者的行为性规制义务,这两条都在最后一项规定了“法律、行政法规规定的其他义务”,表明网络运营者和关键信息基础设施的运营者履行制定内部安全管理制度和操作规程、采取重要数据备份和加密等技术措施的义务的来源只能是法律和行政法规,而不能是地方性法规和规章。《个人信息保护法》第51条第6项规定“法律、行政法规规定的其他措施”,也表明个人信息处理者采取制定内部管理制度和操作规程、采取相应的加密、去标识化等安全技术措施的义务的来源只能是法律和行政法规。根据前述分析,将行为性规制的设定权限放宽到行政法规,并不违反法律保留原则。
但是,《数据安全法》第27条规定:“开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度……”直接将行为性规制的设定依据进一步放宽到所有“法规”,这就有违反法律保留原则的嫌疑。对这一规定有两种可能的回应方案:其一,主张营业自由不是宪法直接规定的基本权利,所以对营业自由不适用法律保留原则。其二,尽量对《数据安全法》的规定做合宪性的解释。第一种方案并不符合现行宪法尊重企业经营自主权和实行社会主义市场经济的价值取向,如果地方立法可以任意限制企业自治,就会抑制企业活性,阻碍全国统一大市场的建立,与宪法规定相违背。第二种方案则尽量不否定法律规定的合宪性,并对法律规定作合宪性的解释。解释方案包括:其一,将“法规”分为行政法规和地方性法规,行政法规可以设定强制性的行为性规制方式,而地方性法规所设定的行为性规制方式必须限缩为“激励性的行为性规制”,即地方性法规应当多采用激励、引导等柔性方式推动数据处理者完善内部管理制度,不能任意创设强制性的义务;其二,当法规规定强制性的行为性规制时,应当只限于对法律和行政法规的细化,而不能创设。其三,行为性规制的设定权不能再放宽到规章,否则可能导致部门利益进入立法,对数字经济发展产生负面的影响。
2.对两种规制方式的实质性审查。实质性审查,即审查相关制度设计的目的是否适当,是否符合必要性、狭义比例原则的要求,是否构成对基本权利的过度限制。
适当性原则要求对基本权利的限制必须能够有助于公共目的的实现,即在“目的—手段”的关系上必须是适当的。《数据安全法》确立了数据安全风险规制的目的,即满足数据“有效保护”“合法利用”“保障持续安全”三项标准。[19]组织性规制和行为性规制旨在限制数据处理者的过分营利动机,督促其通过自我反思和自我监督,合法利用数据,保护数据安全,提高保障数据持续安全的能力,符合适当性原则。
必要性原则又称为“最小侵害原则”,即当诸多方式都能够达成法律目的时,应选择对基本权利限制最小的方式。《数据安全法》等法律在组织性规制与行为性规制方面将对企业营业自由可能造成的侵害降到了最低:其一,在组织性规制上,法律并未要求所有数据处理者都必须设置数据安全负责人或数据安全管理机构,而是在数据分类分级保护制度和网络安全等级保护制度的基础上,仅要求重要数据的处理者和关键信息基础设施的运营者承担义务。且除特殊情形外,数据安全管理机构的成员或数据安全负责人由数据处理者内部员工担任即可,不会过度干涉营业自由。[20]其二,在行为性规制方面,《数据安全法》等相关立法并未要求数据处理者将数据安全管理规范向政府备案,或者经政府批准后才能实施,表明法律尽量减少了国家的干预,鼓励数据处理者自行完善内部治理机制。而且法律也根据数据分类分级保护制度和网络安全等级保护制度对不同主体作了差异化的义务要求,减少了对企业营业自由的侵害。[21]其三,《数据安全法》对违反数据安全保护义务的处罚,以警告和罚款为主,较少涉及吊销营业执照的资格罚。这种“先礼后兵”式的处罚策略,尽量降低了对企业营业自由的限制。其四,《数据安全法》等对社会主体自我规制的规定都较为原则,为社会主体自主建构适合自身的自我规制方式预留了制度空间。
狭义比例原则要求法律对于基本权利的限制与所要达到的目的之间合比例。数据安全风险的动态性与隐匿性决定了,如果只由政府进行规制,将导致巨额的规制成本,并且不一定能够实现很好的规制效果;而企业作为风险的生产者,可以保持时刻在场性,及时进行风险监测,动态处理自身产生的数据安全风险。不可否认,组织性规制和行为性规制为数据处理者带来了一定的挑战,但同时也为其带来了发展机遇。数据处理者可以将法律义务转化为企业加强内部管理、强化安全技术研发和应用、提高自身竞争力、提高市场占有率的契机。总之,组织性规制和行为性规制有利于发挥数据处理者的主动性,从源头上控制风险,同时还大量节约了政府的规制成本,“政府可以将有限资源投入到如何提供更好的法律框架,进而切实提高规制效率”,[22]符合狭义比例原则。
所以,总体上看,组织性规制和行为性规制具有合宪性。
(二)协助性规制的合宪性
在风险社会背景下,面对各种不确定性,政府要“决策于未知”,此时若依旧坚持单一政府规制模式,显然违反民主理念。[23]而政府向社会主体分享规制权力,使社会主体有较多机会参与到规制决策的形成和执行过程中,是行政民主、规制民主发展的结果。[24]现行宪法为社会主体分享政府规制权力提供了总体性的依据。《宪法》第2条第3款规定:“人民依照法律规定,通过各种途径和形式,管理国家事务,管理经济和文化事业,管理社会事务。”社会主体分享政府规制权力,即是其“管理经济和文化事业,管理社会事务”的重要体现。具体来看,不同类型的协助性规制的宪法依据还分别体现在不同的方面。
国家鼓励和支持行业组织制定行为规范、团体标准,是对公民结社自由和科学研究自由的保障。《宪法》第35条规定公民有结社的自由,即公民有权依照法律规定结成社会团体、组织,进行社会团体活动。结社自由当然包含行业组织、协会、企业联盟、学术团体等非政治性的结社。行业组织“是因行业、产品等共同特征来组合起来的共同体,相对于政府而言,它们可以更明了生产经营过程所涉及到关键工艺流程、技术信息”。[25]所以国家鼓励和支持行业组织制定行为规范和团体标准,是对行业组织专业性的认可,是对公民结社自由的保障。科研人员也有权结成学术团体,发挥专业知识的优势,对相关技术规范、技术标准进行研究。现行宪法还规定了公民有科学研究的自由,[26]虽然该条规定的权利主体是公民,但在现代社会条件下,公民的科学研究自由往往依托高校、科研机构和科研团体进行,所以,可以将科学研究自由的权利主体扩大解释为包括高等学校、科研机构和科研团体在内。因此,《数据安全法》等法律鼓励和支持行业组织制定行为规范、团体标准,是对公民结社自由和科学研究自由基本权利的尊重和保障,同时发挥着引导相关主体将实现基本权利与实现公共利益的目标结合起来的作用。
通过设定行政法上的义务的方式分享给数据交易中介服务机构或者数据处理者一定的规制权力的规制方式相对复杂。行政法上的义务构成了对相关主体营业自由基本权利的限制,但这种限制是由《数据安全法》和《网络安全法》直接作出,符合法律保留原则;而且,要求数据交易中介服务机构履行的审核义务以及要求网络运营者承担的停止传输禁止传输的信息义务,并未超出义务主体所掌握的技术水平,符合技术规律,同时发挥了数据交易中介服务机构和网络运营者在发现和制止危害行为方面具有的明显优势,相比行政规制,较大地提升了规制效率,符合比例原则,具有合宪性。且分享给数据交易中介服务机构和数据处理者一定的规制权力,也是对其营业自由基本权利的保障。数据交易中介服务机构和数据处理者可以发挥优势地位,通过对交易过程、用户信息的监管,及时发现数据安全风险源,快速处置危害数据安全的行为,保障数据安全秩序,有效降低自身经营风险。国家通过分享出一定的规制权力间接实现监管目的,而不是越过相关主体直接进行监管,本身就是尊重企业营业自由基本权利的体现。
授权第三方市场机构进行数据安全检测评估、认证服务,是对企业营业自由基本权利的保障,也是对“实行社会主义市场经济”国家目标的贯彻。《宪法》第15条规定“国家实行社会主义市场经济”,就是要让市场在资源配置中起决定性作用,而数据安全检测评估、认证服务机构就是代替政府在市场中发挥了引导资源配置的重要作用。以第三方认证为例,它是指“在现有资源条件和约束条件下,由独立、权威、可信的认证机构依据某一标准对市场主体产品质量、服务、体系私有信息的揭示和证明”。[27]认证机构通过对数据产品和数据服务的安全性进行检测和认证,决定是否发放认证证书或认证标志,向市场传达出委托人的安全性、可信性等信息,让市场主体自行选择是否交易,极大地优化了数据要素市场资源配置。第三方认证机构不是行政机构,而是市场主体,自身也要参与市场竞争。认证机构可以根据市场需求和自身的发展定位设定不同的认证标准,“满足社会公众多元的数据安全需求”。[28]通过认证市场的繁荣发展,可以引导和激励数据企业合法合规经营,不断优化数字经济营商环境,培育数据要素市场,促进数字经济稳健发展。而且,通过第三方认证代替国家的直接规制,为数据企业营造了更大的发展空间,是对企业营业自由基本权利的保障。
(三)伦理性规制的合宪性
伦理性规制的特殊性在于规制活动所依据的主要规范是伦理规范。虽然伦理规范是法律规范之外的另一种社会调控规范,但伦理性规制并不能超脱于宪法的控制范围,这是因为:其一,国家也是一个伦理共同体,而建构这个伦理共同体的“总章程”就是宪法;其二,对于一些关乎重大公共利益和重要人身权益的伦理规范,国家往往会将之法制化以加强保护,而立法过程必须受到宪法约束。从这两个角度出发,伦理性规制必须遵从宪法的基本价值,受宪法的约束。
《数据安全法》强调伦理性规制的一个重要原因在于,现代数字技术的发展与应用,越来越产生伦理性的影响。数据独裁和算法黑箱问题,使人的主体性地位受到前所未有的冲击,人被降格为可分析、预测、设计的数据;[29]个人数据被过度收集,严重侵犯了人的尊严和自由;数字鸿沟和算法歧视问题,导致社会不平等加剧,公平正义遭到破坏……总之,在数字科技的影响下,伦理世界的确定性走向终结。[30]这些伦理问题,无疑都破坏了以保障人权、维护社会公平正义为核心的宪法伦理价值。因此,作为专门保障数据安全的立法,《数据安全法》强调伦理性规制,是维护宪法伦理价值的必然要求。现行宪法为伦理性规制的开展提供了规范依据。《宪法》第53条规定:“中华人民共和国公民必须遵守宪法和法律,保守国家秘密,爱护公共财产,遵守劳动纪律,遵守公共秩序,尊重社会公德。”“社会公德”是指“社会公共生活中应遵守的道德”。[31]虽然伦理与道德存在概念差异,伦理更指向对道德现象和道德关系的研究,但伦理与道德也存在较多相通之处。[32]因此,“尊重社会公德”可以扩大解释为包含“符合伦理规范”在内。同时宪法中的诸多有关人权保障、维护社会公平正义的规定,都为伦理性规制提供了具体的规范依据。如《数据安全法》第15条明确了数字科技在服务老年人和残疾人方面的伦理要求,其直接宪法依据就是《宪法》第45条规定的对特殊群体的物质帮助义务。[33]企业有帮助老年人和残疾人的义务,在提供智能化服务时,当然不能对这些人群的日常生活造成障碍。
《数据安全法》强调伦理性规制的另一个重要原因在于,补充实现国家安全保障任务。“公共风险是群体唯一的公共事务,是国家唯一的公共事务,国家的政治、经济、社会、法律制度都是风险管理系统,以对冲公共风险为目标。”[34]从这个角度看,现行宪法就是一部要求国家承担安全保障任务,防范化解各类风险的宪法。虽然宪法文本中没有出现“风险”概念,但其依旧为防范各类风险提供了依据。如有学者通过对宪法文本的分析,认为现行宪法蕴含了七种不同领域的基本风险形态,以及“监测—评估—控制”“反思—协调—学习”“处置—转移—分散”和“完善—发展—容忍”等四种风险预防义务规范体系。[35]进入大数据时代后,为了保障公民基本权利免受数据安全风险威胁以及确保建成社会主义现代化强国目标的实现,宪法要求国家必须承担安全保障义务,应对“数据安全风险”。此处的“数据安全风险”是广义的、接近社会学意义上的概念,可包含数据泄露、算法黑箱、大数据杀熟等可量化、可评测的风险,也可包含伦理道德层面的不可量化的风险。而且,由于数据安全风险涉及个人权益、商业利益、社会公共利益乃至国家安全,事关重大,国家和社会公众极易在“安全焦虑”下扩张“数据安全风险”的范围,把一切与数据有关的、有侵害公民基本权利和阻碍建成社会主义现代化强国的风险,都纳入此类广义的“数据安全风险”范畴。
但问题就在于,“风险本身是一个扩展性很强的概念,它可以用来描述所有非预期后果”。[36]当“数据安全风险”的范畴过宽时,则容易导致国家滥用预防权力,阻碍数字技术的研发和数字经济的发展,显然与宪法限制国家权力的目的相悖。宪法是“限权”之法,其重要作用就在于控制国家权力的运行,防止国家权力滥用。具体到数据安全风险预防方面,宪法既要授予国家风险预防权力,也要限制国家对数据安全风险的宽泛界定。因此,为贯彻宪法要求,《数据安全法》必须明确数据安全风险的概念,划定国家预防权力的边界,提高科研机构、企业等对自身行为法律后果的可预测性。《数据安全法》规定了“数据安全”和“数据安全风险”的概念,但只明确了“数据安全”的内涵,不过不难由此反推出“数据安全风险”的内涵。也即,无论如何界定“数据安全风险”,都不可能脱离“有效保护”“合法利用”“保障持续安全”三个标准。可见,《数据安全法》对“数据安全风险”的界定是相对窄化的,可以将此“数据安全风险”概念称为“狭义的数据安全风险”。
“广义的数据安全风险”概念强调国家的安全保障义务,范围较为广泛。而“狭义的数据安全风险”概念更强调对国家权力的规范功能,划定国家预防权力的边界,具有明确的教义学意义,即要求“行政机关必须证明其对风险存在的怀疑是有合理根据的,而对于这种合理根据的程度必须是以现有可供利用的科学资料,相当地加以支持”。[37]可见,两种不同的“数据安全风险”概念之间的核心差距在于:一些无法用技术衡量、无法量化,但却对基本权利和国家目标实现造成潜在威胁的风险(如数据伦理风险),无法纳入围绕“狭义的数据安全风险”概念建构起来的风险规制制度的调整范围。此时,国家安全保障任务就面临无法充分实现的可能。《数据安全法》强调伦理性规制,进行“治理任务的扩容”,[38]就补足了围绕“狭义的数据安全风险”概念建构起来的风险规制制度的不足,发挥了补充实现国家安全保障任务的作用。
三、数据安全风险社会自我规制的合宪性控制
目前,《数据安全法》等法律只是提供了数据安全风险社会自我规制的基本框架,为之后具体制度的细化留下了较多空间。但制度的细化潜藏着合宪性风险,如政府可能借社会自我规制摆脱自身规制责任,或者政府任由社会主体侵犯其他主体的基本权利等等。而且风险社会具有很强的不确定性,现行法律确定的数据安全风险社会自我规制的基本框架在未来很有调整的可能,而基本框架的调整也可能潜藏着上述合宪性风险。这些合宪性风险威胁着对数据的安全开发和数据产业的健康发展。因此,为了保障数据的流通和利用,促进数字经济的发展,应当对数据安全风险社会自我规制进行合宪性控制。所谓对数据安全风险的社会自我规制的合宪性控制,就是以宪法确立的价值体系、规范体系为标准,审视法律所设立的数据安全风险社会自我规制方式,实现宪法精神、原则和规范在数据安全风险社会自我规制领域的贯彻实施。
(一)合理分配规制责任,避免对社会自我规制的滥用
社会自我规制是应对“政府失灵”、发挥社会主体力量、从源头上规制风险的重要举措,在风险社会治理实践中发挥着重要作用,成为规制各类现代化风险的必然选择。但在发挥社会自我规制作用的同时,应当避免对社会自我规制的滥用,否则,可能导致如下两种结果。
一是导致社会主体规制负担过重,侵害其基本权利。在“万物可数据”的大数据时代,一切生活维度都与数字技术发生了深度关联,再加之数字科技的不断研发与应用,未来对不确定性数据安全风险规制的广度和深度只会加强。可以预见,将有更多的带有“压制性”“强迫性”色彩的社会自我规制方案出台。社会主体承担规制任务,固然有利于其提升自我管理能力,但过重的规制任务会导致研究机构和企业将大量的资源消耗到承担公共任务上,增加其合规成本和运营压力,对其研究自由、营业自由的基本权利构成较大限制。而且,当法律不断提高社会自我规制的标准时,首先受到冲击的就是广大中小数据企业,这无疑将对数据要素市场的培育和数字经济的发展产生负面影响。
二是导致政府推卸规制责任、不作为。社会自我规制并不意味着政府规制的退场,而是为政府优化规制方案提供空间。但实践中,有些政府部门却将本应由自身承担的规制责任推卸给社会主体承担。如国家认证认可监督管理委员会于2019年发布的《移动互联网应用程序(APP)安全认证实施规则》规定,在进行“技术验证”和“现场审核”时,如果检测机构或认证机构“发现不符合时”,“向认证申请方出具不符合报告,并要求限期整改;逾期未完成整改的,中止认证过程”。“出具不符合报告”是检测机构和认证机构作为市场主体所具有的权利,当报告已经出具时,交易本应就此“终止”。但《移动互联网应用程序(APP)安全认证实施规则》却规定由检测机构和认证机构要求申请方“限期整改”,这就存在较大的问题。“限期整改”在性质上是行政检查或行政命令,应当由监管部门负责执行,授予检验、认证机构“限期整改”的权力,实际上就是将监管部门的监管责任“甩给了”市场主体。而且这一规定极容易导致市场机构官僚化,为“利益俘获”留下制度缺口。
对社会自我规制的适度利用,实质上就是对数据安全风险规制的国家责任与社会主体责任的合理分配。在这类问题的处理上,有学者借鉴比较法的经验认为,国家规制应当遵守补充性原则,即“在社会事务的规制手段选择上,个人或私人团体通过自我规制手段足以满足公益的需要,应优先选择自我规制手段,国家的规制手段就失去了干预的正当性,只有在自我规制手段不足以满足公益的情况下,国家权力才介入与干预”。[39]但该原则并不能在我国宪法规范中找到明确依据。“补充性原则”本质上是指社会自我规制的优先性。反观我国,自1954年宪法至现行宪法,历部宪法都赋予了国家广泛的干预权力,即使在规定了“实行社会主义市场经济”的现行宪法中,国家也被赋予了塑造社会形态、规制各类风险的优先权。其典型表现就是宪法序言中规定了国家的根本任务,总纲中规定了经济制度、社会制度、文化制度等各项制度,要求国家主动作为。而且,在当前,“补充性原则”有绝对化的倾向,这无疑是不可取的。为了合理分配风险规制责任,宜根据宪法原则和宪法精神,并适度参酌“补充性原则”的精神内涵,构建一套功能主义的规制责任分配理论。
首先,在责任分配原则上,应当根据功能适应性的标准,针对具体的规制客体,适合由政府规制的,由政府直接规制;适合由社会主体规制的,交由社会主体自我规制;适合合作规制的,则选择合作规制。在功能适应性的判断标准上,应当综合考虑规制客体、规制目标、规制路径、规制成本、基本权利保障、规制违法风险、规制效果等多种因素。优势方案应当是无违法(违宪)风险、规制效率高、规制成本低的方案,在多个优势方案中,最优的方案应当是无违法(违宪)风险、规制效率高的方案。例如,针对一些重大的、涉及国家主权安全的数据安全风险,可以由政府采用行政许可、安全审查等前置性规制方式直接进行规制。
其次,还要明确国家对数据安全风险规制承担主要的监管责任和结果保障责任。国家应当对整体的数据安全风险规制制度进行顶层设计,明确数据安全的主要目标,组织制定数据安全标准,完善数据分类分级保护制度,制定重要数据识别标准和重要数据保护目录,并对国家整体的数据安全保障能力承担保障责任。
再次,分配给社会主体的规制责任,除伦理性规制外,都应当符合法律保留原则和比例原则,其中协助性规制不应当超过社会主体的营业范围、行动范围,还要考虑“能否产生有效的威慑”,“除非第三方义务可以有效阻止违法行为,否则立法者不应过多地赋予私人主体承担第三方义务”。[40]
最后,政府应当多采用柔性的、激励性的手段,通过加强对科研机构和企业的引导和物质技术帮助,激励其自愿参加风险规制。政府也可运用风险沟通和行政约谈等手段,加强与社会主体的信息交流。“健全的风险沟通,是政府与公众之间就风险的含义,不确定性的范围进行理性讨论,双向沟通,并相互调适自己活动的过程。”[41]政府应当搭建风险沟通平台,完善沟通程序设计,保障各方主体有序参与,促进各类信息充分展示、各方意见充分交流,形成较优的数据安全风险规制方案。
当然,社会形势千变万化,对风险规制责任的分配也需要根据变化的现实随时作出调整。本文不是妄图“一劳永逸”地解决风险规制责任的分配问题,而只是尝试提出一项可行的原则指引。
(二)善用后设规制,控制协助性规制对其他主体基本权利的侵害
虽然协助性规制具有一定的优越性,但也存在较大的问题,即有可能侵害其他主体的基本权利。协助性规制有天然的局限性:一是,第三方主体制定规则时,往往存在民主正当性不足的问题。第三方主体制定规则往往由内部成员制定,并不会吸收利益相关方和社会公众参与,且有些规则并不公开但却实际上对利益相关方和社会公众产生了影响,由此引发了民主正当性的诘问。二是,协助性规制内含追求自身利益最大化的动机,这一动机容易造成“利益俘获”,缺乏约束的社会主体会利用规制权力谋取自身利益而使公共目的无法实现。当上述两个方面的问题叠加在一起时,承担规制责任的社会主体就极有可能利用规制权力,侵害其他主体的基本权利。如行业组织在制定数据安全行为规范和团体标准时,倾向于部分成员的利益,排除和限制竞争,导致侵犯其他会员公平参与竞争的权利;或者行业组织和企业结盟,利用信息、技术、资源优势,操纵市场,侵犯消费者的合法权益。又如网络平台根据自行制定的规则,任意删除用户发帖、随意禁言、随意限制用户登录,且不提供实质性的申诉渠道。在网络平台事实上已经成为人们日常生活重要的沟通渠道和表达意见渠道的情况下,上述行为无疑构成了对公民言论自由基本权利的侵害。
基本权利的防御权属性及国家保护义务要求法律在尊重或授予社会主体规制权力的同时,应当要求政府发挥后设规制的作用,防范社会自我规制权力的异化,保障其他主体的基本权利免受侵犯。因此,需要做到:
其一,要求私主体制定规则时,应当遵循公法原则。社会自我规制的框架立法呈现公私法融合的特色,社会主体在制定自我规制的规则时,往往选择以私法规范为依据,将之视为“自治”事项,但不应因此免除其遵循公法原则的义务。法律应当明确要求自我规制不得排除和限制竞争,不得侵害其他公民的基本权利。在自我规制规则的制定程序上,应当要求其符合程序正当原则,吸收社会公众参与,或者最起码吸收利益相关方的参与,并向利益相关方公布制定的规则。在第三方认证的程序设计上,应当要求认证机构遵守利益回避原则,要求其做到客观独立、公开公正、诚实信用、无偏无私。
其二,对私主体制定的规则进行审查。政府应当对协助性规制中行业组织、网络平台、第三方认证机构制定的规则进行审查,发现其有严重违反社会公平和市场规则的、侵犯成员或他人合法权益的规则的,给以警告,并责令相关主体立即改正,拒不改正的,应当给以一定的行政处罚。
其三,政府后设规制应当符合程序正当原则。政府在进行后设规制时,应当遵守正当程序,与受规制者充分交流信息,并尊重受规制者的陈述权和申辩权,不得因其陈述、申辩加重制裁。
(三)以宪法凝聚伦理共识,防止伦理性规制泛化
伦理性规制的重要功能在于弥补以“狭义的数据安全风险”概念为核心建构的风险规制制度的不足,但其本身也存在两个方面的问题:一方面,伦理规范关注人的本质、人的主体性,关注“善”的目标的实现,几乎所有的“善”的价值都可以纳入到伦理规范的范畴。但现代社会是一个价值多元的社会,不同的人、不同的群体可能有不同的关于“善”的主张,难以调和。在诸多“善”的主张中,应当以哪一种主张作为自我规制的依据存在疑问。另一方面,伦理性规制意味着对数据科技“上游”的评估与审查,即“要求相关主体在开展科学研究和技术开发项目前,按照法律的程序要求对所涉项目的价值影响与利益冲突开展伦理审查”。[42]伦理性规制可以介入到科技研发与应用的最上游环节,其规制的广度与深度会直接影响到数字科技的研发与应用,一旦适用不当,将直接阻碍数字科技的创新发展。从宪法角度解决这两个问题的途径在于:
其一,于宪法中寻找伦理共识,指引伦理性规制的开展。伦理性规制高度依赖伦理共识,没有伦理共识,就不可能形成有效的伦理性规制。宪法凝结着伦理共同体的伦理共识,可以为伦理性规制提供指引。《宪法》第53条以及宪法中有关人权保障、维护社会公平正义的规范都是伦理性规制的规范渊源。《宪法》第53条的“社会公德”指向了《宪法》第24条精神文明建设的规定,包括“社会主义核心价值观”和“爱祖国、爱人民、爱劳动、爱科学、爱社会主义的公德”。前述《意见》也明确了开展科技活动必须符合增进人类福祉、尊重生命权利、坚持公平公正、合理控制风险、保持公开透明等五项伦理原则。由于宪法规定和《意见》原则的抽象性,对于同一概念、同一原则可能出现不同的理解,所以,应当将《意见》的五项原则与《宪法》第24条有关精神文明建设的规定、宪法中有关人权保障、维护社会公平正义的规定结合起来,根据个案情景,为个案伦理审查的具体判断提供依据。国家科技伦理委员会以及各地方、相关行业主管部门应当加强不同群体间的沟通,最大限度地凝聚伦理共识。
其二,不得以伦理代替法律,严禁将伦理问题泛化。法律依然是数据安全风险规制的主要依据,伦理规范只应起到一定的补充作用,而且这一补充作用仅限于对事关重大的伦理事项的补充,不能泛化。一旦以伦理代替法律,将伦理问题泛化,可能导致为了伦理而伦理,以伦理评价取代一切其他评价,使得数字科技研发和应用的各个环节受到伦理批判,并且也只是止步于批判,不会对数字科技的发展产生建设性意见。此时,数字科技本身的价值将被伦理批判遮蔽,数字科技发展可能裹足不前,与现行宪法“促进发展”的价值取向相悖。现行宪法序言第七自然段指出:“我国将长期处于社会主义初级阶段。国家的根本任务是,沿着中国特色社会主义道路,集中力量进行社会主义现代化建设。”该段还指出要“把我国建设成为富强民主文明和谐美丽的社会主义现代化强国,实现中华民族伟大复兴。”这些规定表明,国家防范各类风险的目的就在于建成社会主义现代化强国目标的实现。除此之外,现行宪法第20条规定:“国家发展自然科学和社会科学事业,普及科学和技术知识,奖励科学研究成果和技术发明创造。”可见,国家鼓励数字科技的发展,不会因为防范风险就禁止科技的发展。因此,依据宪法的原则和精神,在进行伦理性规制时,应当将审查范围限制在一些关涉人的尊严、人的自由、社会公平正义等重大伦理争议上,避免伦理性规制的泛化。而且,伦理性规制的宪法依据也表明,不应将该规制方式泛化。首先,现行宪法有关人权保障、维护社会公平正义的规定可以直接通过立法机关实现法律化,为规制数据安全风险提供法律依据,仅在法律无力保障基本权利时,才需转化为伦理规范。其次,《宪法》第24和第53条所使用的语言也并非规范性语言,不具有明确的规范品格;《宪法》第51条对基本权利的限制,也只强调“不得损害国家的、社会的、集体的利益和其他公民的合法的自由和权利”,直接否认了社会公德可以作为独立的理由限制公民权利。[43]
避免将伦理性规制泛化应用的方式在于,应当主要发挥社会主体自我规制的作用,减少国家对伦理问题的直接干预。同时,国家后设规制的重要任务除了包含监督伦理性规制发挥实效外,还应当包含正确引导伦理性规制的走向,及时制止伦理性规制的泛化应用。
结语
在大数据时代,数据安全是相对的,数据安全风险是绝对的,应对数据安全风险是无法回避的时代问题。数据安全风险可能导致的损害的不可逆性,大幅压缩了制度“试错”的空间,国家无法再一味“容忍”传统单一政府规制模式存在的规制失灵问题。因此,数据安全立法必然更加注重政府与社会主体的合作规制。受国家规制的社会自我规制有诸多优势,既可以降低政府规制成本,避免“政府失灵”,也能够督促社会主体实现公共目的,防止“市场失灵”。政府与社会主体通力合作,通过建构完善的规制体系,把由规制方式造成的不确定性尽可能降到了最低。
现行法律对数据安全风险社会自我规制的制度设计是合宪的,但不可否认,社会自我规制还存在较多问题,有较大的完善空间。宪法的最高法律效力要求必须对数据安全风险社会自我规制的发展进行合宪性控制,避免国家对社会自我规制的滥用,同时防止社会自我规制权力的异化,更好发挥政府作用,适度发挥伦理性规制的作用。政府与社会主体只有在合宪的框架下开展合作,才能最大程度地降低制度风险,高效开展数据安全风险规制工作,妥善处理好“数据开发利用和产业发展”与“数据安全保障”之间的关系,在数据安全的前提下,推动我国数字经济快速发展,把我国建设成为数字中国、数字强国。
注释:
[1]有学者总结了在风险社会中,风险规制给行政法带来的“不确定性”“主观性”“全球化网络”等方面的挑战。参见金自宁:《风险中的行政法》,法律出版社2014年版,总序第3-5页。
[2]例如,网络平台通过隐私保护算法、隐私协议等进行自我规制,保障用户的数据安全。这些规制方式并没有规定在法律中,是网络平台自主创新的规制方式。
[3]为避免误解,在开始本文的论证前,有必要再次强调,本文所研究的数据安全风险的社会自我规制方式主要是指《数据安全法》《网络安全法》《个人信息保护法》等三部法律中规定的、与国家后设规制相结合的社会自我规制方式。
[4]参见杨合庆主编:《中华人民共和国个人信息保护法释义》,法律出版社2022年版,第148页。
[5]参见江必新、李占国主编:《中华人民共和国个人信息保护法条文解读与法律适用》,中国法制出版社2021年版,第192页。
[6]参见《数据安全法》第45条。
[7]社会权力的含义是指“在社会关系中,民间组织和各种诸个人集合以其所拥有的社会资源对社会所产生的影响力”。参见王宝治:《社会权力概念、属性及其作用的辩证思考》,载《法制与社会发展》2011年第4期。
[8]高秦伟:《论行政法上的第三方义务》,载《华东政法大学学报》2014年第1期;吴惟予:《“第三方行政法义务”:一种规制思维的转变》,载《行政法论丛》2019年第2期。
[9]参见刘权:《数据安全认证:个人信息保护的第三方规制》,载《法学评论》2022年第1期。
[10]如《数据安全法》第47条规定:“从事数据交易中介服务的机构未履行本法第三十三条规定的义务的,由有关主管部门责令改正,没收违法所得,处违法所得一倍以上十倍以下罚款,没有违法所得或者违法所得不足十万元的,处十万元以上一百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”
[11]《网络安全法》和《个人信息保护法》都未明确提出“伦理”要求。
[12]参见周雷:《营业自由作为基本权利:规范变迁、宪法依据与保护范围》,载《中国法律评论》2020年第5期。
[13]一般来说,对可能侵犯基本权利制度的形式性审查的第二个环节是审查相关制度是否具有“明确性”,即明确性原则审查。但社会自我规制的情形较为复杂,其不单单是政府权力和责任的下放问题,还涉及企业的正当权益和获利动机、自我规制的透明度、公共利益的保障等诸问题。所以对社会自我规制的审查,很难适用明确性原则。因此,本部分的分析只适用了法律保留原则,而未适用明确性原则参见高秦伟:《食品安全法治中的自我规制及其学理反思》,载《北京联合大学学报(人文社会科学版)》2020年第3期。
[14]王军:《出租汽车经营行政许可之合宪性分析》,载《行政法学研究》2016年第2期。
[15]《宪法》第16条第1款规定:“国有企业在法律规定的范围内有权自主经营。”
[16]《宪法》第17条第1款规定:“集体经济组织在遵守有关法律的前提下,有独立进行经济活动的自主权。”
[17]参见《立法法》第11条、第12条。
[18]参见李震山:《论宪政改革与基本权利保障》,载《中正大学法学集刊》2005年第18期。
[19]《数据安全法》第3条第3款规定:“数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。”
[20]参见龙卫球主编:《中华人民共和国个人信息保护法释义》,中国法制出版社2021年版,第236页。
[21]如《数据安全法》第30条仅对重要数据的处理者提出了定期开展风险评估,并向有关主管部门报送风险评估报告的要求。对一般数据的处理者未做此要求。
[22]高秦伟:《社会自我规制与行政法的任务》,载《中国法学》2015年第5期。
[23]参见赵鹏:《政府对科技风险的预防职责及决策规范》,载《当代法学》2014年第6期。
[24]参见陈军:《行政法视野下的自我规制》,载《云南行政学院学报》2009年第2期;高秦伟:《社会自我规制与行政法的任务》,载《中国法学》2015年第5期;匡文波、杨春华:《走向合作规制:网络空间规制的进路》,载《现代传播》2016年第2期。
[25]宋华琳:《论政府规制中的合作治理》,载《政治与法律》2016年第8期。
[26]参见《宪法》第47条。
[27]高国钧:《第三方认证权的法律属性与基本特征》,载《河北法学》2015年第11期。
[28]刘权:《数据安全认证:个人信息保护的第三方规制》,载《法学评论》2022年第1期。
[29]参见陈仕伟:《大数据技术异化的伦理治理》,载《自然辩证法研究》2016年第1期。
[30]参见朱锋刚、李莹:《确定性的终结——大数据时代的伦理世界》,载《自然辩证法研究》2015年第6期。
[31]孙国华主编:《中华法学大辞典·法理学卷》,中国检察出版社1997年版,第362页。
[32]参见宋希仁、陈劳志、赵仁光主编:《伦理学大辞典》,吉林人民出版社1989年版,第395页。
[33]《宪法》第45条第3款规定:“国家和社会帮助安排盲、聋、哑和其他有残疾的公民的劳动、生活和教育。”
[34]曹春:《公共风险与政府社会保障责任》,载《财政研究》2013年第3期。
[35]参见王旭:《论国家在宪法上的风险预防义务》,载《法商研究》2019年第5期。
[36]赵鹏:《科技治理“伦理化”的法律意涵》,载《中外法学》2022年第5期。
[37]赵鹏:《政府对科技风险的预防职责及决策规范》,载《当代法学》2014年第6期。
[38]同[4]。
[39]陈军:《行政法视野下的自我规制》,载《云南行政学院学报》2009年第2期。
[40]高秦伟:《论行政法上的第三方义务》,载《华东政法大学学报》2014年第1期。
[41]赵鹏:《风险社会的行政法回应:以健康、环境风险规制为中心》,中国政法大学出版社2018年版,第140页。
[42]赵鹏:《科技治理“伦理化”的法律意涵》,载《中外法学》2022年第5期。
[43]参见陈斯彬:《宪法文本中的“社会公德”条款及其公私法应用》,载《江海学刊》2016年第4期。
门中敬,法学博士,山东大学法学院(威海)教授;李瑾,山东大学法学院(威海)博士研究生。
来源:《法学论坛》2024年第2期。