【摘要】数字社会的创新发展产生了一些超出社会预期的新型社会问题，但由于信息技术的更新迭代，法学研究逐渐无法在传统理论范式中有效回应这些问题。特别是在大数据、云计算等技术释放了数据的经济价值后，传统法学研究逐渐开始向数字法学研究转型。不过，在转型过程中，数字法学的研究范畴、研究范式频繁遭受质疑，被认为脱离法学学科固有的研究体系。但从数字法学的发展历程来看，该类研究始终是以法律关系为重心，技术原理等跨学科知识要素不过是研究过程所必要的论据，这也是数字社会治理问题所固有的特性。并且，在现行数字法治体系趋于完善的背景下，数字法学研究范式也从最初的个体性风险预防转向风险的体系化治理，并借由分级分类治理、全生命周期治理以及协同治理理论等基础研究范式，完成数字法治体系内的规则衔接和义务协同。

【关键字】数字法学；风险治理；技术安全风险；人工智能

一、问题的提出

数字法学的勃兴与发展始于大数据与云计算两项信息技术的创新突破。在过往的法学研究中，有关个人信息的研究成果大多与个人隐私密切相关，因为此时的数据也仅是作为一种常见的技术要素而存在。但是，大数据、云计算革新了数据挖掘分析能力，这使得个人信息乃至商业数据的经济价值得到充分释放，数据挖掘、关联和分析被广泛应用于各个领域。在经济社会层面，互联网行业和传统行业借助这些信息技术完成了业态的创新与改造，但在新业态的形成过程中，产生了一系列诸如个人信息保护、大数据歧视、算法滥用等全新的法律问题，进而促使传统法学研究开始转向以数据和网络为研究客体的数字法学。特别是在《网络安全法》制定和公布之后，法学的研究视角开始延伸至网络安全保障领域，以往被视为纯粹技术管控事项的网络安全问题成为关注度较高的法学问题。在数字化技术的浪潮下，学者们普遍意识到从传统法学到数字法学的转变并非学术研究的“蹭热点”，而是后现代社会风险治理需求增长的必然结果。虽然过往的信息技术创新时有发生，但是大数据、云计算、区块链、人工智能等技术的创新却是改变了既有的社会生产模式。网络空间与现实生活之间既“平行”又“独立”的关系状态衍生出全新的权利和义务，并对传统的法学理论提出难以通过改良论、解释论解决的新问题，这促使法学研究不得不开始进行自我审视与理论创新。

尽管数字法学是以回应数字经济社会存在的技术安全风险治理、新兴权利保障等问题的研究模式，但是概念界定、研究对象范畴乃至成为独立部门法的必要性等争议和质疑贯穿于数字法学的发展全过程。客观而言，数字法学的研究对象、研究范围是以技术创新为导向，数字法学的研究模式始终处于动态发展状态，其有别于传统法学研究的非确定性特征必然会产生不同层面的质疑观点。在网络安全保护等立法体系初步成熟的当下，以填补法律空白为目标的数字法学又面临着新质疑：其一，经过周期性的质疑与辩驳之后，数字法学是否形成了独特的研究范式；其二，伴随着法律体系的完善，数字法学是否需要从侧重立法论转向侧重解释论；其三，在技术风险治理的研究趋势下，数字法学是否正在将风险对策论作为内在的研究范式。这些质疑实际上也构成了当下数字法学研究亟待回应的基础问题。

二、数字法学研究范畴的常见争议与成因分析

（一）数字法学研究常见的“三个争议”

在数字法学的研究活动中，因其自身的研究对象涉及数据处理、平台业务以及新兴信息技术应用等活动，势必会涉及不少技术原理分析和具体业务模式介绍。这些有别于传统法学研究的内容恰恰成为数字法学研究遭受质疑的关键环节，除了“网络和信息法学”“人工智能法学”“数据法学”“计算法学”等概念争议之外，数字法学研究的常见争议主要包括三类：

其一，数字法学的研究本质是否等同于“数字技术+部门法学”存在争议。从现有的研究成果中不难发现，大部分的数字法学研究视角是以传统的部门法学为主，例如，从民法学视角分析数据的财产权属性，从刑法学视角论证网络暴力行为对应的罪名，从经济法学的视角解构互联网平台间竞争行为的本质。因此，这种研究方式也时常被作为质疑数字法学缺乏独立研究范式的直接依据。即便数字法学研究者试图论证数字法学的研究路径已经突破了传统法学研究所固守的部门法界限，更侧重对技术安全风险背后法律关系的全方位分析，但往往又因为这种论证理由存在“部门法研究方法混同”等原因引发新一轮质疑。不过，部分成果也发现这些争议存在“以部门法的视角解释数字法学的研究结论”的问题。数字法学作为一类特殊的法学研究视角，其最后的研究结论无外乎是具体的立法建议或者现行立法的解释适用，而数字法学的核心内容除了这些应用导向型的研究结论之外，还包括涉及跨部门法的研究过程，两者实为互补关系。例如，有学者指出，人工智能刑法并不是“人工智能+刑法学”，虽然研究视角不可避免地采用刑法学的研究范式，但在研究过程中仍然需要击穿人工智能的技术本质，以跨部门法的方式解释人工智能在法秩序范围内是否能够成为“权利义务的统一体”。

其二，数字法学是否存在真正意义上法学与技术的交叉研究存在争议。在数字法学发展初期，部分学者提出数字法学的特殊性表现为法学与信息技术的深度融合交叉，更有甚者提出只有了解一定的技术原理才能有效开展数字法学研究。然而，时至今日，数字法学的范式似乎依然停留于法学理论分析与制度建构，“深度融合交叉”的基本特征似乎并没有充分体现。虽然部分数字法学研究成果确实是以相关的技术风险为预设前提，也涉及具体的技术应用模式和底层技术框架，但实质的论述逻辑还是传统的法学“三段论”。为此，也有学者从跨学科建设的视角解释数字法学的交叉研究创新性，如计算法学作为融合人工智能和法学的综合性交叉学科，主要侧重利用人工智能技术在法律咨询、量刑等领域的预测研究。还有学者则认为数字法学的交叉属性表现为“传统法律的知识逻辑因数字与算法而渗入了数理逻辑”，因而具备“可测量、可连接、可计算的数字技术属性”。也有观点以数据法学为例，认为其独特的研究方法是法律大数据方法，并作出“机器学习是法律大数据的技术特征”和“算力支持是法律大数据方法的动力特征”等论断。综合来看，这些观点意欲论证的交叉研究特征，但均未能有效地解释究竟法律与技术如何进行交叉，多为“技术现象在前，法学分析在后”的论证方式。

其三，数字法学的研究范畴是否仅以数据和信息为限存在争议。从现有研究成果来看，有关个人信息保护、数据安全保障以及数据财产权的研究在数字法学研究内容上占据了相当大的比例，故而存在“数字法学”是以数据和信息为研究对象的观点。相应地，鉴于算法安全风险以及生成式人工智能技术应用的创新发展，“数字法学”与“人工智能法学”分离的研究倾向也逐渐显现。其背后的原因在于，人工智能法学的支持者普遍认为人工智能技术风险与主流的数据安全风险存在显著差异，算法安全风险、深度合成内容监管等问题及其治理逻辑无法沿用数据安全、个人信息保护相关的理论基础。特别是在以ChatGPT 为代表的生成式人工智能技术取得突破性发展后，风险对策论和统一立法论成为主流的研究趋势。在风险对策论框架下，部分学者通过逐项列举ChatGPT 各类安全风险，在全景式的风险框架内提出针对性的制度建构方案；在统一立法论框架下，部分学者则以人工智能产业已经取得阶段性发展为基础，主张将有关算法、深度合成、AIGC 等技术环节的现有制度整合成统一的人工智能专门立法，多以欧盟“基于风险方法”的《人工智能法案》作为比照对象。从研究范畴来看，这两类研究倾向依然无法排除有关数据安全和数据处理行为的法律性质分析，这是因为在技术实践层面，人工智能是以“数据、算法和算力”为基础，故而人工智能法学与数字法学在研究范畴也存在“双重纠葛”，难以彼此明确地区分。

（二）“三个争议”的成因分析：研究范畴的不统一

数字法学研究面对诸多争议的根源在于“数字法学”本身就属于一个较为宽泛的概念，所谓的“数字”容易被理解为数据、网络信息等客体，这在一定程度上也导致相关论证从一开始就“文不对题”。现有研究在论及数字法学的定位、内容时，或多或少均会涉及数字法学的概念之争，这是因为相关概念论争未能在法学研究范畴层面达成一致。例如，“人工智能法学”的研究范畴是以人工智能技术应用及其安全风险为限；“计算法学方法”是“将部分或全部法律研究问题转变为可计算的问题，或者由计算机演算的过程”；“数据法学”的研究范畴则是以数据安全和数据使用为限。现阶段，学界已经开始普遍承认这些差异性概念表述的共性在于反映现代数字社会对传统法学研究的挑战与变革，故而数字法学这一概念指称也得到认可。在部分学者看来，数字法学中的“数字”实为“时代的指称”，而非指向问题或领域层面。相较于“数据”“人工智能”等具体研究客体作为概念表述的前缀，“数字”一词更能反映现代化社会中数字化进程对于法律体系和法学研究的体现，相应地，数字法学也通常被理解为“一门整合各部门法的横断性学科”，围绕数字中国建设目标展开全方位、体系化的研究。

客观而言，以边界分明的研究内容限定数字法学的研究范畴较为困难。这是因为数字法学从来不是针对某一类具体的研究客体而形成的法学研究体系，其本质是传统法学研究范式的现代化走向，即面向数字化社会中出现的各类新问题或旧问题，对既有的法律体系和传统理论进行自我审视和反思，形成能够回应各类技术风险以及法律关系变化的研究体系。简单而言，数字法学并不存在固定的研究范畴，其本身更侧重一种法学研究对数字社会的回应。这或许与传统法学研究一直强调的“理论研究需要以明确的概念界定为基础”相悖，但数字化技术对于传统法学的改变并非系统性、规模化的。面对“数字法学是基于数字化技术对传统法律关系的影响而形成的一种法学学科”这一论断，也有学者提出了“数字化是否挑战了整个实在法”的质疑，因为数字化的社会变革不大可能同时构成对所有部门法乃至整个实定法概念体系的挑战，否则数字法学本身即属于无法直接作用于社会实践的理论法学，这又与数字法学支持者所强调的“解决实践问题”这一应用法学特征相悖。数字法学延伸出的各类理论范式既包括对财产权、意思表示等传统概念的解释，也包括创设全新的权利义务架构，但这并不等同于数字法学创设了完全不同于传统法学的研究体系。

此外，数字法学常常被诟病为“风险对策研究”，因为从区块链到元宇宙，再到生成式人工智能，每一次技术创新之后总会涌现一波专门针对这些新兴技术风险的治理型研究。一概否定这些研究模式显然失之偏颇，针对区块链、算法、人脸识别应用等技术风险的研究浪潮助推了诸如《区块链信息服务管理规定》《互联网信息服务算法推荐管理规定》等立法文件的出台。数字法学作为一种新兴学科，本身处于一个发展过程，其特殊性体现为需要面向传统法学研究所未曾面对过的技术革新。需要说明的是，在信息技术创新初期，基于技术安全风险展开相应的法律关系分析属于一种尝试性探索，伴随着理论研究的深入和技术实践的发展，相应的研究范式会逐渐从“风险对策论”转向具体的理论分析。其中，最为典型的莫过于算法治理研究。在数据法学、网络信息法学等概念兴起的初期，算法实际上并未受到学者们的关注，其原因在于算法及其引发的算法歧视、算法偏见等问题往往被视为纯粹的技术问题，更确切地说，法律不应当过多地干涉某一技术环节，而是应当以最终产品或服务所呈现的法律关系作为研究内容。但是，伴随着学者们对于算法应用及其对实体权利影响的认知深入，算法透明、算法解释、算法安全评估等理论被相继提出。

（三）数字法学研究范畴的内在审视

回顾数字法学的发展历史，倘若以研究范畴的相对明确作为数字法学发展阶段的划分标准，那么，《电子商务法》和《网络安全法》的制定则可以被视为掀起数字法学研究浪潮的开端。在这两法颁布之前，主流的法学研究始终未曾将数据安全和网络安全纳入自身的研究范畴，因为这些安全问题在彼时多被视为计算机科学与技术等其他学科研究需要解决的研究任务。诚然，彼时的部分学者注意到信息、数据在法学研究领域的重要性，但由于技术实践本身发展滞缓，存在相应的研究成果缺乏予以回应和比照的实践问题。然而，在大数据和云计算取得创新性突破之后，数据分析能力和数据存储能力得到大幅度提升，数据开始呈现超乎预期的市场经济价值，广泛的个人信息处理活动使得学者们开始审视数据和网络在法学研究体系中的地位，而这是个人信息保护理论的研究开端。在此背景下，《电子商务法》和《网络安全法》的制定过程促成了传统法学向数字法学的转变。

一方面，《电子商务法》提出了对传统民法理论的创新适用与调整，平台经营者的法定义务开始成为法学研究重心。例如，民法领域的安全保障义务具有严格的适用条件，通常仅适用于线下实体的经营场所，其理论起源通常被归结为德国法中的“交易安全义务”。在数字社会中，电子商务平台的经营者不再处于一种完全的中立地位，其对平台内部的电子商务活动有着一定的管理能力，为了避免电子商务活动可能对消费者造成的人身损害，部分学者基于公共政策考量等正当性基础论证非线下实体的平台经营者承担安全保障义务的合理性。尽管在此期间有关安全保障义务扩张使用的合理性饱受争议，但《电子商务法》第38条第2款最终规定了安全保障义务，并且将这种义务的适用范围限定为“关系到消费者生命健康的商品或服务”，这与该理论最初是以解决各类交易危险为目标保持了一致性。有关安全保障义务适用范围的讨论远没有就此结束，因为“安全保障”这一名称与当下网络/数据安全保护的立法目标相同，部分学者试图将安全保障义务的相关理论用于解释网络平台的数据安全保护义务，但又难以解释按照此种逻辑如何避免安全保障义务与数据安全保护义务的混同问题。

另一方面，《网络安全法》的制定延伸出网络空间治理的研究体系与研究范式。不同于数据、信息的相关研究进程，在该法制定之前，有关网络安全的法学研究成果寥寥无几。这是因为网络安全保障被视为纯粹的技术问题，以权利义务为内容的法律制度在该领域难见成效。然而，产业实践和技术创新前沿使得网络安全问题的重要性被提升至国家安全层面，在《网络安全法》的制定过程中，仅仅是围绕网络安全法律制度应当包含哪些具体内容就存在诸多争议，而这构成了数字法学体系范式的研究基础。除了网络运营者的个人信息保护义务等具体制度的争议之外，最多的争议还集中在《网络安全法》的内部体系结构。在学术论证过程中，学者们逐渐发现所谓的内部体系结构应当与网络安全风险及其治理需求保持一致，提出基于网络安全风险来源、作用机制以及损害结果的综合性治理理论，强调在使用、运营、维护等各个阶段实现全环节的网络安全目标，并最终形成了“网络运行安全、网络信息安全、网络监测安全”的立法框架。

三、数字法学研究范式的体系化转向：以数字社会为研究范畴

数字法学不同于传统法学研究或者部门法学研究，其研究范畴是以数字社会的各类法律关系变动为主，并不局限于特定的研究客体或对象。并且，在“数字化”立法体系趋于成熟的背景下，数字法学的研究范式也发生变化，不再完全侧重个体类风险的治理研究，而是开始延伸出基础制度与配套制度的内容衔接研究，亦即社会风险的整体性治理。

（一）数字法学的研究起点：风险治理

数字社会对法学研究最深刻的影响莫过于风险治理逻辑。虽然法学研究的基本范畴始终离不开对具体法律关系的分析，相应的论证过程也是围绕权利义务予以展开，但不同于以往的公共政策考量、法律价值权衡等内因，数字法学的研究范式需要遵循数字社会的发展特征。在数字法学研究框架内，风险治理、风险预防等类似表述频繁出现，基于风险的治理策略已成为主流选择。这并非数字法学的研究重心发生偏向，而是数字社会需要法律介入的环节恰恰是各类潜在的安全风险。从个人信息安全风险到算法安全风险，再到网络安全风险，这些现代化社会风险可能导致的安全事件难以通过恢复原状、赔偿金钱等方式实现真正意义上的救济。以数据泄露事件为例，数字法学如此重视数据安全问题的原因除了数据要素庞大的市场价值外，还因为数据作为财产权客体，一旦发生泄漏等安全事件，虽然可以在事后阶段明确责任主体并予以追究其侵权责任乃至刑事责任，但是对于企业而言，数据经济价值的来源之一恰恰是数据本身的稀缺性。数据泄露这一损害事实并不具有恢复原状的可能性。并且，从市场定价机制来说，曾经发生过数据泄露的企业数据意味着“独家占有”这一特征不复存在，相应的市价也会有所贬损。此外，个人信息泄露事件面临的问题更加棘手：自然人发现个人信息泄露具有滞后性，且难以证明个人信息泄露的源头。即便在司法实践中，部分法院倾向由个人信息处理者证明并非自身原因导致个人信息泄露，但这也仅仅在极少数案件中具有可行性。更为麻烦的是，个人信息权利作为人格权，除非能够证明个人信息泄露确实对其财产造成损害，自然人也仅仅能够主张精神损害赔偿。因此，数字法学对于安全风险的“敏感性”本质上是数字社会发展的必然结果。

“安全”这一法律价值在数字法学研究领域的重要性远超以往，“安全保障”“安全治理”等类似表述频繁出现于各个部门法学的研究成果之中。例如，在民法学领域，“安全”包含了两类典型的治理目标，一是传统民法学所关注的财产安全和人身安全，二是数字法学所关注的网络安全和数据安全。诸如此类的研究目标变化并非意味着传统法学正在向“安全法学”转变，而是因为在数字社会，最显著且最不可控的安全风险是由信息技术创新应用所导致的。网络安全风险的成因往往是内外部因素相互结合，即便在立法层面明确限制“危险制造者”应当尽可能采取合理的技术措施和内部管理机制控制风险，也无法彻底杜绝风险事件的发生。在纯粹的代码编写活动中，技术人员关注的是代码的功能性和简洁性。倘若在代码层面施加不合理的安全保障要求，不仅会导致代码的预期功能无法实现，还会存在过度干涉经营自主权的问题。然而，对于代码功能性和简洁性的追求决定了信息系统本身不可能实现绝对安全效果，否则代码将会呈现繁冗的状态。此外，硬件层面的设备故障、电力中断、自然灾害致损等因素更会加剧网络安全风险的不可控性。进一步而言，网络安全风险作用机制的特殊性改变了传统法学的研究范式，即单独通过增设强制性义务的方式已经无法有效控制风险，法律需要与市场、技术、社群等治理工具一并介入风险预防的治理活动。

（二）数字法学的研究转向：体系化风险治理

在数字法学的发展早期，相应的研究范式多是以个体性风险治理为主。在《网络安全法》制定之初，网络运营者、关键信息基础设施运营者的网络安全保护义务及其理论基础成为研究重心。虽然部分学者会论及网络安全立法体系，但其论证路径依然是以个体性的网络安全风险预防为主，根据网络安全漏洞风险、网络信息安全风险、网络监测预警风险等具体风险类型，分别论证相应的治理路径和法定义务。类似地，在《个人信息保护法》的制定过程中，个人信息处理者通常被视为控制和预防个人信息安全风险的主要义务主体，故而数字法学研究普遍侧重对个人信息处理者法定义务范围和具体内容的论证，强调对个人信息处理者各类不规范业务活动施加限制或禁止性规定。在新兴技术应用监管领域，这种个体性风险治理倾向更为显著。从早期的区块链技术监管到现在的人工智能技术应用监管，在这些信息技术创新之初，学者们通常会针对某一类特定技术风险开展论述。尽管表面上存在“风险对策”之嫌，但背后的论证逻辑其实是通过观察某一类特定技术应用对现有法律关系的影响，在现行立法基础上提出相应的解释论或立法论，以此确保受到影响的法律关系仍然能够保持原有的权利义务对等状态。

不过，随着数字法学研究的不断深入，这种个体性风险治理渐显不足。数字社会是以网络空间为基础，互联互通的网络空间决定了风险治理模式不能局限于个体性风险治理，同样需要关注风险的体系化治理。因为在互联互通的数字社会，安全风险的预防和控制逻辑往往是“牵一发而动全身”，既需要对主要的风险来源加以控制，还需要注意不同风险之间的相互作用。风险体系化治理通常表现为基础法律制度与配套法律制度、不同基础法律制度之间的内容衔接，进而达成更大范围内的风险综合治理效果。例如，在数据财产权研究中，数字法学研究的内容已经从单纯的权利架构论证延伸至数据财产权与数据定价、数据交易、数据中介服务等配套机制予以衔接。数字法学作为以数字社会实践发展为导向的法学研究模式，研究结论需要在理论支撑或制度建构方面服务于数字社会发展。数据财产权属于一项综合性的交易安全保障制度，仅是解决数据处理环节各参与者的权益分配问题远远不够，还需要回应数据财产权与其他市场交易机制的衔接。根据传统的会计准则，数据资产纳入资产负债表的前提是“产权明晰”，这意味着数据财产权的构建不能停留于法律价值层面的权益平衡，除了需要设置较为明确的权利边界之外，还需要综合考量基于数据财产权的交易模式能否与会计准则层面的资产减值、摊销等规则予以衔接。

当然，数字法学研究转向也产生了另一个问题：法学研究的边界在哪里。因为在“治理”与“规制”两类研究盛行的当下，非传统法学研究的方法论逐渐被引入数字法学领域，相应的研究成果是否属于法学范畴也受到质疑。审视传统法学到数字法学的发展过程，无论是跨学科研究视角，还是其他学科的方法论，不过是作为论证相应法律关系的论据而已。数字法学方法论的创新归根结底还是为了剖析和解构复杂技术原理背后的法律关系，并为明确权利和义务的具体内容提供相应的解释依据。并且，风险体系化治理也需要数字法学完成法律与其他治理工具的内在衔接。在个人信息保护立法框架内，数字法学的研究范式是以个人信息处理者与自然人之间的法律关系为基础，结合个人信息安全风险来源以及风险因子的实际控制能力，平衡双方法律主体之间的权利和义务。另外，现有研究也同样发现，技术漏洞、外部网络攻击、内部员工违法行为等风险因子已经逐渐超出了个人信息处理者的控制能力，并且不同个人信息处理者因其自身的业务规模、资金状况以及技术能力等客观因素，无法以统一的义务履行体系实现风险的标准化控制。为了尽可能填补风险控制的缺口，有必要引入诸如合规审计、安全技术标准等其他治理工具，补足义务性规范的功能不足。

（三）数字法学的范式变化：三类基础研究范式

数字法学转向风险体系化治理研究本质上属于风险的精细化控制，故而相应的研究范式是以安全风险为基本特征、实际水平、作用来源等控制要素为基础，延伸出分级分类治理、全生命周期治理、协同治理三类理论工具。

分级分类治理理论是以风险特征和风险程度为导向，根据各类风险的差异性确定有针对性的治理方式，并在此基础上进一步论证各类风险背后的权利义务内容。该理论工具普遍适用于数据安全、算法安全、网络安全等各个领域，即便是数据财产权等研究范畴，同样强调对数据资产的分级分类。虽然分级分类治理理论转变为具体制度最早起始于《网络安全法》，但是，分级分类治理的内在逻辑与数字法学研究侧重的风险精细化控制较为契合，故而在算法等其他领域也相当普及。特别是在数字社会各类技术安全风险呈现差异化特征的背景下，以分级分类治理理论为基础，更能充分地论证相应的法律关系中如何划定权利和义务的具体内容。欧盟在其《人工智能法案》中也是遵循风险分级分类的基本逻辑，将通用人工智能划分为“禁用不可接受的风险类型”“重点监管高风险类型”“有限风险或轻微风险类型”“低风险类型”四类，并分别设置不同程度的监管要求。如“禁用不可接受的风险类型”的人工智能系统因其可能存在操纵社会信誉评分、歧视弱势群体等风险而被严格禁止应用。“重点监管高风险类型”的人工智能系统又可划分为“用于欧盟产品安全法规范围的产品”和“需要在欧盟数据中注册的八大领域应用的产品”。

全生命周期治理理论是以风险来源为导向，基于风险的作用机制对可能产生或加剧风险水平的技术环节实施全方位控制。该理论最早兴起于个人信息保护领域，针对个人信息处理活动涉及的各相关具体环节，明确个人信息处理者应当采取不同的内部管理制度和技术保障措施预防和控制个人信息安全风险。如在传输环节，个人信息处理者需要明确已经事前征得自然人同意，且接收方同样能够采取同等水平的保护措施确保个人信息安全。在销毁环节，个人信息处理者需要明确删除和销毁的差异性，必要情况下采取物理存储介质与电子数据一并销毁的措施。当然，全生命周期治理理论同样被学者们应用于技术安全监管、网络空间安全治理等领域，并突破了传统法学研究所追求的“不干涉底层的技术环节”之立场。一项技术从研发设计测试，再到普及应用，相关义务主体需要对各个业务环节进行安全风险评估，以便区分技术研发者与技术服务提供者各自的法律责任。如《生成式人工智能服务管理暂行办法》第8 条直接对人工智能研发环节的数据标注活动作出限定，要求研发者应当对数据标注进行质量评估，制定清晰、具体、可操作的标注规则。

协同治理理论是以不同类型风险的影响机制为导向，强调在治理框架内部达成各类治理模式彼此之间的体系衔接。该理论并非纯粹的传统法学理论，多出现于公共管理学科，通常被视为一种“社会治理安排”，即“其中一个或多个公共机构与私人机构的利益相关者共同参与到集体决策的论证当中，这个决策过程是正式的、面向共识的、慎重的、旨在制定或执行公共政策，或者对公共事业和资产进行管理”。该理论的核心特征在于强调“多中心的治理主体、动态系统中子系统的协同性、自组织组织间的协同性和共同规则下社会秩序的稳定性”，但由于现有研究大多直接从“各方主体如何参与共同治理”之视角予以论述，故而部分学者也认为协同治理理论的适用往往“缺乏参与主体的界定过程及理论依据”。而在数字法学领域，该理论对于社会风险的整体性观察被视为解决各类技术安全风险的创新型研究视角。因为面对未来可能不断涌现的创新型技术应用，不可能也没有必要针对每一项技术都设置专门的治理机制，这也是早年“科技法学”被诟病的原因之一，即在“一项技术风险对应一项立法活动”的立法趋势中，只会将法律与监管政策之间的边界模糊化。诚然，无论是区块链技术，还是人工智能技术，在立法层面确实已经制定了专门立法，但这种立法活动的正当性基础是因为这些技术应用在底层架构、基本功能等环节存在显著差异，故而需要区分对待。并且，面对未来的技术创新，其相应的技术风险已经呈现趋同化特征，基本表现为数据安全、算法安全、个人信息保护、科技伦理安全等已由现行立法规定的安全风险。事实上，协同治理理论本身更侧重强调基于体系化风险所采取的综合性、系统性的治理机制，其中网络暴力信息的研究成果便是典型的范例。总结来说，面对近年来越发严重的网络暴力现象，数字法学的研究内容既包括从罪名认定、侵权责任等部门法学视角确认单一行为主体的法律责任，也包括划定能够控制网络暴力风险的法律主体范围，并基于网络暴力事件的发生过程（由零散信息传播到爆发式网络舆情海啸），明确各个环节的义务主体及其具体义务。例如，在网络暴力信息发布和传播初期，平台应当设置网暴信息审核机制，自动屏蔽存在辱骂等显著违法的信息内容；自媒体、网络大V等网络意见领袖则应当审慎发布评价信息，不得以恶意营销等非法目的操纵、诱导网络言论。在网络暴力信息开始泛滥传播时，监管机构应当及时介入，一方面督促平台删除、屏蔽网络暴力信息，另一方面则需要展开事实调查，阶段性回应社会公众的关切。

四、数字法学研究范式的实例展开：以人工智能、数据跨境传输和数据财产权为例

（一）人工智能技术治理的体系化研究范式

ChatGPT 横空出世后，数字法学研究的内容越发侧重人工智能技术风险预防，其中“统一立法论”“专门立法论”等主张较多。其中的问题是，以ChatGPT 为代表的生成式人工智能所产生的技术风险并没有超出现行立法的规范范畴，无论是算法歧视、数据安全等问题，还是生成内容的侵权风险等问题，实际上在《互联网信息服务深度合成管理规定》《互联网信息服务算法推荐管理规定》等法律法规中均有所提及。并且，因为技术原理的同一性，算法治理研究与人工智能技术治理研究之间的边界越发模糊。这就导致人工智能技术治理的体系研究亟须一个清晰且独立的论证框架，以此明确人工智能技术治理研究的特殊性与必要性。

在全生命周期治理理论框架下，人工智能技术风险的法学研究除了需要结合研发设计、测试评估、应用反馈等业务环节，明确研发者、提供者各自的法定义务，还需要结合保障产业安全发展的目标，从产业发展关键环节论证具体的风险预防机制。在技术层面，影响人工智能技术创新发展的核心要素包括数据、算法和算力。

其一，数据安全保障机制和数据供给机制属于人工智能技术风险治理体系亟须协调的两个基础制度。因为人工智能技术的创新发展离不开高质量的训练数据提升相应的算法性能，但在《个人信息保护法》《数据安全法》等法律法规的要求下，训练数据的采集和使用不得侵犯自然人的个人信息权利、著作权或肖像权。此时，根据协同治理理论，政府的公共服务职能决定其应当参与到数据安全与数据利用的协调机制中，公共数据作为最具市场经济价值的社会资源，能够有效满足人工智能产业的技术需求。因此，公共数据开放与利用制度成为人工智能技术监管体系的必要内容。诚然，《生成式人工智能服务管理暂行办法》第6条明确提及推动公共训练数据资源平台建设，但是这些公共训练数据的来源、权利归属等问题依然还是回归到公共数据的开放利用问题。

其二，算法安全管理机制属于人工智能技术风险治理的核心内容。按照分级分类治理理论，人工智能技术风险治理同样需要根据算法功能、规模等特征实施分级分类监管。但是，棘手的问题在于如何明确相应的分级分类监管标准。倘若采用欧盟模式，根据实际风险水平划定重大风险、一般风险以及可控风险三类，其背后的风险程度判断标准难以明确。并且，这也仅仅是满足了人工智能技术分级监管，但对分类监管的相应标准亦没有回应。从《生成式人工智能服务管理暂行办法》等近期立法活动来看，我国现阶段人工智能的治理目标是促进技术创新发展和控制技术风险。鉴于技术创新迭代周期逐渐缩短，分级分类监管更适宜采取动态多元化的划分标准：一是根据应用场景和权利影响程度，划分重点监管和一般化监管两种模式。对于涉及生命健康等人身权益的人工智能技术应用需要纳入重点监管清单，避免存在以人工智能决策代替医护人员决策的高风险应用场景。二是将基础算法模型是否开源以及能否有效要求研发者对算法模型进行优化作为划分标准。因为在市场实践中，部分服务提供者采用的是国外开源算法模型，一旦出现与国内现行立法相悖的情况，服务提供者本身没有能力按照监管机构要求对训练数据选取范围、算法模型优化进行直接干预。另外，采用国外基础算法模型属于正常的技术研发活动，但是诸如GPL等开源许可证会具有“传染性”，即研发者需要按照许可证要求，将修改后的源代码或者衍生软件代码予以公开，这可能会涉及相应的算法安全监管问题。三是按照人工智能生成内容、用户规模进行划分，因为涉及深度合成等视频合成功能的人工智能产品存在被滥用的风险，再加上庞大的用户体量，进而威胁到良性的网络信息内容生态，因此需要被重点监管。对于生成内容仅限于纯文本信息的，则可纳入常态化监管范畴，定期对生成内容的合规性进行评估，判断服务提供者能否对涉及关键词的文本生成内容进行事前屏蔽或删除。

其三，算力保障机制属于人工智能技术监管的保障类机制。所谓的算力是指信息系统对数据的计算分析能力，其物理载体是芯片。人工智能技术的发展需要进行高强度的算法训练和优化，其中的计算过程需要算力资源的支撑。但是，面对算力需求的持续增加，现有的算力资源难以支撑；并且在碳中和等绿色经济的发展理念下，算力资源的发展并非纯粹增加芯片制造即可实现，还受到电力资源的约束。因此，算力互联互通成为人工智能技术治理体系的另一个关键环节。算力资源通常是由算法服务提供者借由算力基础设施予以提供，这也决定了算力互联互通不能简单划归为算力资源共享，强制性将个体性财产资源划归至公共领域，显然与财产保护制度的基本理念相悖。按照分级分类治理理论，算力互联互通的建构同样需要按照通用算力、智算算力、超算算力等算力类型设置不同层面的算力网络管理机制。

（二）数据跨境传输的体系化研究范式

数据跨境传输机制作为数据要素市场化配置的重要基础制度，通常被视为数字法学研究的重点内容。不过，在我国《数据出境安全评估办法》《个人信息出境标准合同办法》《个人信息保护认证实施细则》等法律法规相继出台后，数据跨境传输制度框架已经初步成型。尽管如此，数据跨境传输制度的研究任务远没有彻底结束，因为在体系化衔接层面仍然存在诸多困惑。这些困惑可以划分为两个层面的问题：一是内部的制度衔接问题，即安全评估、标准合同、个人信息保护认证以及特殊机制之间的适用关系，二是外部的制度衔接问题，即数据跨境传输制度与其他数据安全保障制度之间的规则衔接。

在内部机制衔接方面，各类数据跨境传输制度之间的功能性区隔有待明确。一是《数据出境安全评估办法》和《个人信息出境标准合同办法》第5条提及的评估事项具有同质性问题，均囊括了“个人信息处理目的、范围、方式等”具体事项。二是《数据出境安全评估办法》第4条和第6条提及的申报书、自评估报告、拟订立的法律文件等材料与《个人信息出境标准合同办法》第7条提及的向省级网信部门备案合同和影响评估同样存在内容的相似性。三是《数据出境安全评估办法》第9条规定了“数据安全保护责任义务”具体事项包括“数据出境目的、方式和数据范围”等内容，这与《个人信息出境标准合同办法》第5条提及的“重点评估内容”相似。这种功能相似性虽然在理论层面可以解释为确保数据出境的安全监管效果相同，但又与自由选择多元化的数据跨境传输机制之立法目标相悖。故而在《促进和规范数据跨境流动规定》中，立法者开始尝试厘清安全评估、标准合同和保护认证三类机制之间的适用顺位。此外，自贸区、自贸港能否采用有别于现行数据跨境传输机制的特殊规则仍然有待进一步明确。该类机制应当属于《个人信息保护法》第38条规定的“法律、行政法规或者国家网信部门规定的其他条件”，故而应当优先适用于前三类数据跨境传输制度，不过，也有学者将这类特殊区域试点的数据跨境传输制度视为补充性的沙盒规制模式。

在外部机制衔接方面，数据跨境传输制度与个人信息保护制度之间存在法律适用的问题。按照《个人信息保护法》的规定，个人信息出境属于需要“获得自然人单独同意”的特殊情形，这也意味着企业在跨境传输个人信息之前需要询问自然人是否同意。但是，在实践层面，这种“单独同意”的方式究竟如何认定存在尴尬局面：如果需要自然人作出明示的单独同意，那么数据跨境传输的商事效率必然会受到影响，企业需要逐一询问自然人并等待各个权利人作出同意或拒绝决定后才能开始进行数据跨境传输；如果允许企业以批量处理的方式获得自然人同意，则有可能无法满足清晰易懂的告知义务履行方式。另外，《个人信息保护法》虽已明确规定“个人信息”的概念和认定标准，但数据跨境传输的实践复杂性难以通过精炼的法条表述予以充分囊括。按照分级分类治理理论，外部机制衔接的法律适用难题需要根据具体数据出境场景和数据类型予以明确。如《促进和规范数据跨境流动规定》第3 条就将国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境排除在数据跨境传输机制的适用范围之外。

（三）数据财产权的体系化研究范式

在数字法学研究领域，数据财产权的研究已经相当充裕，学界普遍的共识是传统的财产权制度难以解决数据资产认定、数据交易安全等新型实践问题，故而新型数据财产权建构主张成为主流。权利束理论、数据用益权理论、新型企业财产权理论等学说观点相继涌现，这些学说在一定程度上解决了数据安全与数据利用、不同数据处理者之间的利益分配问题。然而，按照全生命周期治理理论，数据财产权的内容建构仅仅是相应数字研究的开端，在明确数据财产权的正当性基础、权利归属、权利行使方式、权利边界等基础性问题后，还需要关注从数据资产到数据交易的制度衔接。诚然，数据定价机制、数据中介服务机制在一定程度上可能属于实践性的管理问题，而非典型的法学议题。但是，数字法学研究的创新之处正是强调为实践问题提供明确的行为规范指引和理论支撑。换言之，数据财产权的理论建构不仅需要解决数据财产权何以成立的理论问题，还需要解决数据财产权何以行使的实践问题。数据作为一类特殊财产，相应的数据财产权制度应当能够解决数据加工处理、数据交易、数据使用等各个环节产生的经济收益分配问题。

按照分级分类治理理论，数据财产权的制度建构需要与数据资产分级分类治理予以衔接。当然，这种数据资产分级分类治理与数据安全分级分类保护有所区别，前者的目标是确定数据的经济价值和可交易性，后者的目标则是确定数据安全风险水平。虽然学界普遍认为数据已经成为数字社会重要的商业战略资源，但实践中，并非所有的数据均具有可估算的市场价值和可交易性。特别是在数据资产入表领域，这类纯粹的会计学问题确也反作用于数字法学研究。因为数据资产入表的前提条件包括“权属明确”和“能够在未来产生一定的经济收益”，故而在数据财产权制度建构层面，数据资产的获取方式、使用前景等要素同样会影响相应的权利内容设置。例如，在现有的数字法学研究中，电商平台持有的用户购物消费数据属于典型的数据财产，但是，这些数据在很大程度上同样属于“个人信息”范畴，按照《个人信息保护法》的规定，电商平台是不能直接出售这些原始数据并获得经济利润的，那么也就无法纳入“无形资产”的范畴，而仅仅作为“费用”予以处理。此外，在资产负债表层面，数据资产本身属于非竞争性财产，企业在研发数据增值产品和后续使用数据资产还涉及资产的减值、摊销等会计学问题，这也是未来从数据财产权研究过渡到数据财产权制度体系研究所需要解决的难点问题。

按照协同治理理论，数据财产权的制度建构还需要市场主体的参与。因为财产权的发展历史是以充分的财产交易实践为基础，“财产权客体的扩充是由生产力发展、生产生活资源形态的扩张所决定的”，例如房屋买卖、融资租赁等民事法律制度是在成熟的市场活动中予以形成。数据财产权的建构目的始终是以促成数据流动和数据交易为根本目的，故而数字法学研究在关注权利内容创设方式的同时，还需要关注市场主体正在探索的数据交易模式，并在此基础上多元化建构数据财产权及其相应的交易模式。当然，这里的市场主体除了直接的数据交易双方之外，还需要侧重数据中介服务机构。国内先后建立了多个大数据交易中心、数据交易平台等中介服务机构，但是，如何通过这些中介服务机构解决数据交易活动中财产权争议、数据安全保障等问题同样属于数据财产权体系化研究的重要内容。

结语

数字法学的兴起与发展是数字社会转型的必然结果，其创新性主要表现为研究范畴的扩张和研究范式的转向。一方面，数据、网络、人工智能等客体被纳入法学研究视野之中，其背后的技术安全风险也顺势成为法学研究的重点内容。不过，在数字法学的研究体系中，风险治理实际上是客观社会现象与法律关系解释、建构之间的论证桥梁。关注技术安全风险不等于将法学研究引入其他学科体系中，而是在借由其他学科的研究视角发现安全风险的成因，进而判断在特定法律关系中权利和义务的具体内容。另一方面，数字法学的研究范式也与数字社会的实践发展保持同步。在数字法学发展早期，数字法学的研究范式更加侧重个体性的风险治理目标，相应的研究结论主要以网络运营者、数据处理者的法定义务内容及其边界为主体。在数字法治体系趋于成熟的背景下，数字法学的研究范式开始更加深入地考量社会风险的整体性控制，在互联互通的技术架构下，论证不同制度之间的规则衔接以及体系协同化。

赵精武，北京航空航天大学法学院副教授，工信部工业和信息化法治战略与管理重点实验室副主任，北京航空航天大学网络空间国际治理研究基地副主任；周瑞珏，北京航空航天大学计算机学院讲师，北京航空航天大学网络空间国际治理研究基地研究员。