下载掌阅APP,畅读海量书库
立即打开
不论对于我国还是世界主要国家而言,数据市场的培育和发展尚处于起步阶段,政府对于数据市场的治理缺乏经验,因此数据市场基础性制度成熟度均不高。特别对于我国而言,传统要素的市场化配置程度还有待提升,在这样的条件下,作为新型要素的数据其市场基础性制度建设的短板更为突出,具体表现在以下几个层面。
数据要素是新型生产要素,数据市场也是一种新兴的市场领域,我国虽然在某些层面已经制定了相关数据市场规则,但是这些规则的集成程度还不高,特别是一些关键性制度尚未完全建立或者依然存在缺失,因此难以形成完备的基础性制度体系。
第一,数字要素产权界定制度还不完备。现有部分法律对于数据要素权属的规定仍然是原则性的,数据要素产权规则不清晰,法律对数据要素所有权及相应的使用权和收益权均没有明确的界定,相关法律规章仍处于空白状态,现有的《反不正当竞争法》《反垄断法》等法律均不能明确界定数据要素产权并进行充分保护,也不能有效保障收益权利得到合理实现。
第二,数字基建市场规制制度仍然缺位。目前适应5G网络共建共享要求的规制制度尚未建立,共建共享交易成本高、进展慢,直接导致各利益相关方产生矛盾。首先,在电信行业内部,基础电信企业共享铁塔企业5G基站的租赁费用管制缺位,除铁塔等国家强制要求必须共建共享的设施外,基础电信企业共建共享积极性不高。其次,在电信行业与其他基础设施行业和公共部门之间,互利共赢、可持续的共建共享机制尚未建立,特别是与电力、铁路、高速公路等具有较好共享潜力行业的沟通合作亟须加强。最后,5G建设站址资源需求大,但目前在选址和配套建设方面,与写字楼、居民小区之间缺乏有效合作机制,部分重点项目选址难、物业准入难(进场难)、租金高。此外,中国铁塔垄断铁塔建设,三大基础电信企业既是用户又是股东,铁塔等基础设施租赁费直接关系到用户利益,但目前对铁塔企业的规制制度缺失,如租赁费由企业协商定价且定价协议不公开等。
第三,数据交易的分级分类制度不健全。尽管上海在分级方面作出了较好示范,但由于是地方探索,在分级分类方面以引导性和指南性为主。在国家层面,数据类别和管理分级更为复杂,除了政府部门外,更多公益性领域的企事业单位也面临着数据分级分类等问题。此外,随着数据调用方式的多元化,数据类型还将进一步增多。分级分类不精细还部分导致数据开放质量下降,例如,我国数据开放中低容量数据、碎片化数据现象普遍,重复创建、格式问题、无效数据问题较多,高价值数据偏少且可视化程度低。
第四,数据泄露通知制度还需持续完善。虽然我国《网络安全法》在《全国人大常委会关于加强网络信息保护的决定》的基础上进一步强化和完善了信息泄露通知制度的相关要求,但对于哪些情形需要向用户告知,哪些情形需要向有关部门报告,以及在什么时限内、采取什么方式向用户告知、向有关部门报告等具体问题,《网络安全法》本身并没有给出具体的答案,制度适用的主体范围、泄露通知制度的触发、安全风险补救、通知和报告、罚则、实施机构等制度要素并不明晰,缺乏可操作性,从而使数据泄露通报制度的功能大打折扣。
第五,数据市场的反垄断制度尚需改善。2020年公布的《〈反垄断法〉修订草案(公开征求意见稿)》第一次将互联网行业的垄断行为界定及其处置写入了法律,为数据市场反垄断提供了重要制度性依据。但是,对于数据市场一些特有的垄断行为,现有的反垄断相关法律条款难以覆盖。比如,对于数据市场特有的“杀熟”“二选一”“寡头市场共同支配”等垄断形式认定标准不清楚,且其处置的具体条款依然缺失。再如,对于经营者集中的垄断行为,现行《反垄断法》主要以销售额和营业额作为门槛标准,而对于数据公司来说可能没有营业额,或者营业额非常低,但对市场的影响力非常大,数据公司或者与数据有关的公司合并问题在现行的《反垄断法》范围内难以界定和评判。由此,针对这些数据市场特有的垄断行为及其处置的相关配套性规章、指南、规范性文件还处于不完善的状态。
现代市场经济是法治经济,数字要素市场的管理也必然是法治化。从我国现有数字要素市场相关法律制度来看,缺乏相关顶层立法,整体法律框架不完善,且法律体系完备性不够,这些因素导致我国数据市场基础性制度的总体法治化程度不高。
第一,数据市场治理相关顶层立法缺失。截至2019年底,国务院及各部委共出台近30项综合性或专业性的与数据市场发展相关的政策,但是在上位立法和顶层制度方面缺乏统筹,完整的法律与制度框架还未形成。数据管理立法呈现出滞后于经济社会发展的状态,与行业的快速发展极不协调,现存的规制网络空间的法律、法规效力不高,缺少一部能够具有统领性管理效力的基础立法。由于数据权属的不确定,与数据管理相关的立法多是由法规和部门规章予以规定,多头管理、协调不畅、职责不清的情况常有发生,无法对网络管理行为做出统一规定。近年来,政府和企业逐步开始重视数据治理的重要性,地方各级也在探索制定符合地方实际的数据市场相关制度,但是自上而下、协调一致的全局性数据市场治理法律体系还未建立,因而国内数据市场制度在不同区域、不同行业存在差异,数据交易的便利化程度不高,且流通成本高居不下。
第二,数据市场整体法律体系层次性不够。我国已基本形成在不同层次、多个领域分布的具有多种属性的数据市场法规体系,但法律制度断层和相关政策碎片化的问题仍然突出,这其中有立法技术带来的阻碍,也有数据产业特性的问题。直接对数据进行规制的法律普遍存在层次与效力偏低的问题,也伴有立法部门众多、可操作性和系统性差的问题。顶层立法中对数据市场涉及的内容有限,法律条款过于笼统,对信息网络安全无法予以直接、全面的保障。行政法规与部门规章适用范围与力度都非常有限,且因部门利益与领域差异,存在互相冲突与矛盾之处,立法中相关部门与当事人的权利、义务和职责规定均有待衔接与整合。许多禁止性规定并没有明确行为责任,当出现纠纷时,具体义务的落实与保障,会因责任的不健全而受到影响,因此需要后续立法的进一步跟进和完善。
第三,数据市场的法律可操作性还有待强化。我国数据市场法律制度可操作性不足直接来源于数据法律制度的层次性不足和系统性缺失,在实践中主要体现在数据综合性监管体系不健全、法律监管理念和监管机构设置不能完全适应数据市场的发展要求。当前我国法律监管依然侧重于数据安全保护,规定了数据收集规则、数据泄露报告制度、数据存储制度等,却缺乏促进数据流通的监管措施。我国现行的法律监管是按照传统分业监管模式授权各监管机构在各自所涉及的领域内进行监管,在没有专业数据监管机构对整体数据行业的监管进行协调的执法中,极易出现多重监管、监管空白、监管推诿等漏洞。此外,数据市场具体领域的单行法与配套法建设也存在不足,直接导致潜在的立法冲突、执法困难等问题。
我国已经初步建立起了一些数据市场的法律规则,但是由于制度设计缺陷或者执行机制不灵等原因,这些法律和制度仍然难以落地,数据市场监督和管理的难度加大,也给未来数据市场相关制度出台后的实施与执行造成了十分不利的影响。
第一,个人数据信息保护执行不力。从我国已有的数据市场制度体系来看,针对个人交易数据使用有严格的条件和程序限制。例如,2012年发布的《关于加强网络信息保护的决定》较早规定了收集、使用个人电子信息应遵循“合法、正当、必要原则”。此后,《网络安全法》《民法典》等作了同样或类似的规定。此外,大型互联网企业都建立了个人信息保护的专门机构和管理机制。但需要看到的是,由于各级监管部门执法不严的问题,现实中仍然广泛存在政府向企业随意或变相索要数据、向企业索要相关数据在使用后未及时销毁等情况。
第二,数据市场事前监管需加强。当前我国数据市场监管有两个特点,即刑事打击和刑事追责非常活跃,但执法方式以专项行动为主,偏离了数据监管的主要路径。虽然刑事打击和刑事追责在应对数据市场安全方面取得了一定的成效,但长期来看,刑事追责是一种事后打击手段,虽然可以通过对违法犯罪行为的惩戒产生威慑作用,但在推动数据安全监管方面的效果和意义并不十分明显。以专项行动为主的“运动式”执法方式,虽然在短期内能够解决数据市场监管中面临的急迫问题,但具有明显的被动性和功利性,行政执法也无法满足现实需要,不是主动地、有条不紊地执行现有法律规范,而是被各种违法现象牵着鼻子走,许多明显的甚至是公开性的违法行为难以得到根治。
第三,数据侵权行为惩处力度待增大。数据保护是数据流动的前提,因此必须要有大力度惩罚以形成有效威慑。从目前情况来看,我国的处罚力度还很不足,与欧洲相比存在较大差距。以《数据安全法(草案)》中的规定为例,不履行数据安全保护义务或者未采取必要的安全措施的,处一万元以上十万元以下罚款,对直接负责的主管人员可以处五千元以上五万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。而欧盟《通用数据保护条例》(GDPR)中最低一档的最高处罚金额也达到一千万欧元或公司全球2%的营收,远远高于我国处罚的额度。处罚力度不够、违法成本过低,从而导致数据市场相关制度的落实难以形成实效,制度约束的力度也大打折扣。
第四,数据市场监管协调难度较大。我国目前以行业主管部门负责为主的数据市场监管体制虽然能够结合行业特点进行有针对性的管理,但其分散化特征也给主管部门执法、企业创新发展、公民维权救济等都带来了一些困难,导致实践中存在诸多问题。尤其是随着跨行业的数据融合应用更加常态化,条块分割的管理体制正面临挑战,沿用行业管理体系的数据安全监管不免造成职责的交叉,产生重复监管问题。虽然《网络安全法》从法律层面确立了国家网信部门的统筹协调职责,但并未授权其作为统一或专门的数据监管或保护机构,网信部门的主要职责仍是“维护互联网安全”和“加强网络信息保护”,并没有改变我国数据市场监管体制分散化的现状。从监管效果来看,多头监管和监管空白并存,各部门监管边界不清,难以形成数据市场监管合力。
第五,数据跨境流动监管难以落实。虽然我国已经初步建立了数据跨境流动监管的基本框架,但相关具体制度规则细化程度不高,难以落实。首先,《网络安全法》只对关键信息基础设施领域的重要数据和个人信息跨境流动问题作了原则性规定,但对于重要数据的界定等并没有作进一步的规定。其次,安全评估是我国在跨境流动机制建立初期较为稳妥的选择,由于“数据出境”合法渠道过于单一,可能会对已经具有一定实力的中国企业参与数字经济全球竞争带来负面影响。最后,同我国数字经济高速发展的态势相比,跨境数据流动国际合作方面相对滞后,且与主要国家跨境数据流动政策及国际规制对接不够,现实管理中仍面临诸多挑战。