一、數據安全治理及其主要問題

　　數據是電子化的信息，數據安全治理與信息保護密切相關，以信息涉及的個人、組織權益及國家利益保護為主要治理內容。另外，數據安全治理應結合數據的性質特點，以規范數據活動，促進數據價值釋放，平衡數據保護與數據發展為治理目標。不同類型數據要素呈現的數據安全問題各異，數據安全治理的主要問題既要綜合分析當前數據安全問題的共性，又要結合不同類型數據要素的安全治理需求突出治理側重點。

　　數據安全治理的內容構成：在數字化時代，數據因與信息緊密結合而被視為信息的新型表現形式，主要是以計算機語言對信息作出記錄，經計算機讀取、處理后為人們所識別和理解。數據安全與信息內容安全密切相關，信息內容既涉及財產權益，也涉及人身權益，還可能涉及社會公共利益與國家利益。故此，數據安全治理要平衡協調多重利益。數據具有明顯的非競爭性、可復制性、非排他性的特征，數據安全治理還應當保障商事主體享有的數據資源競爭權益。

　　數據安全治理的價值目標：根據《數據安全法》第三條第三款的規定，“數據安全，是指通過采取必要措施，確保數據處于有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力。” 數據安全以數據存在狀態為安全衡量標準，這種狀態應具有 “有效保護”“合法利用” 和 “可持續性” 三種特征。數據安全治理應實現數據 “有效保護” 和 “合法利用” 的平衡，并促進數字經濟的發展。

　　數據安全治理的主要問題：數據的內部管理與外部流通構成了數據安全治理的兩類基本領域，目前立法與實踐中普遍使用的數據要素類型依據數據活動主體、數據信息內容、數據產生及應用場景等維度劃分。結合當前普遍存在的數據安全損害事實，數據安全治理應著重于數據管理安全領域的個人信息保護、數據流通安全領域的企業數據流通與公共數據開放利用兩方面。

　　數據安全治理的基本領域：數據安全管理和數據安全流通共同構成了數據安全治理的基本領域。數據安全管理指的是各行業或組織內部為實現數據安全防護目標而對其享有的數據資源、資產進行有效計劃、組織、控制、執行的活動過程，各行業部門或組織的數據安全管理能力與經驗不足，數據泄露等安全事件頻發。數據安全流通指的是不同行業或組織間對其享有的數據資源、數字資產進行合法合規交換、共享等數據流轉過程，數據流通利用主體、環節、場景的復雜多樣引發了諸多數據權屬糾紛等數據流通失序事件。

　　數據要素的類型劃分：《中共中央國務院關于構建數據基礎制度更好發揮數據要素作用的意見》將數據要素的基本類型劃分為個人數據、企業數據、公共數據。個人信息(數據)的特征是具備 “可識別性”;企業數據大體是指企業在生產經營過程中收集的各類數據信息的集合;公共數據的產生主體為公共管理和服務機構，是其在履職過程中收集、產生的數據。

　　數據安全治理的主要問題分析：不同數據要素的安全治理問題既有共性，又有區別。現有數據安全治理制度要么難以落實執行，要么因 “碎片化” 而治理效果不佳。個人數據面臨泄露、濫用風險，根源在于數據安全管理責任主體缺位、管理責任邊界不清;數據流通規則缺失限制了企業數據高效流通，阻礙了公共數據面向市場供給，數據流通安全的法律治理重點應聚焦于交易數據來源可信和數據交易可溯及。

　　二、數據安全治理的經濟法理念基礎

　　經濟法的目的價值主要體現為效率與公平、自由與秩序、發展與安全等多種相互關聯的價值，可以有效平衡不同主體在相互作用、彼此影響的數據活動中的安全需求，兼顧數據安全與數字經濟發展。經濟法的獨特性在于注重整體性、公共性、系統性、全局性。全國人大常委會已將有關信息、數據、網絡的重要法律，均歸入經濟法部門，經濟法的特有視角對于解決數據安全治理的主要問題具有獨特優勢。

　　數據安全治理的經濟法理念：經濟法的公平、秩序和風險理念與數據安全治理的主要問題高度契合，能夠為數據安全法律治理提供理論基礎。

　　公平理念：經濟法追求的價值目標是實質公平，將外部性內部化，化解外部成本促進社會實質公平，任何市場主體都不能忽視對社會實質公平的關注。

　　秩序理念：經濟法以維護良好的市場秩序實現市場資源優化配置為目標，其核心是維持市場競爭秩序，保障交易安全，形成良好的宏觀經濟運行秩序和微觀市場秩序。

　　風險理念：風險規制是經濟法的特有規制手段，經濟法從宏觀性視角與社會本位視角出發，確定制造風險的主體，設定義務、規范行為、設定法律責任，并由監管機構嚴格監管。

　　經典經濟法理念與數據安全治理的關聯分析：經濟法的公平理念為確定數據安全管理責任主體提供了理論依據，數據控制者和利用者應負擔個人數據安全受損的治理成本，并對被數據化對象作出補償。經濟法的秩序理念著力于構建數據安全流通的整體狀態，市場競爭法與規則統籌平衡數據安全利益與數據發展利益，促進數據交易的可信有序開展。經濟法的風險規制理念對防范公共數據開放風險具有理論價值，可形成風險治理系統，判斷是否開放公共數據，促進《數據安全法》立法目標的實現。

　　三、數據安全治理的制度構建

　　經濟法的公平理念解釋了傾斜性保護個人信息的正當性與合法性;秩序理念證立了企業數據安全建立在數據有序流通的基礎之上;風險理念則從宏觀性與整體性的視角出發，以事前規制的方式預防公共數據開放的風險。數據安全治理法律制度的構建應當遵循上述理念及其相應規制手段。

　　個人數據保護的多元治理：解決個人數據泄露與濫用問題可以通過增加數據保護主體的類型與增強數據保護主體的責任實現。認證機構、消費者協會在個人數據保護中具有重要作用。數據安全認證制度可以消解信息不對稱、分擔政府管理成本、激勵數據處理者采取更嚴密的安全保護措施;消費者協會應建立并完善個人數據保護的工作體系，受理投訴、督促調查并監督整改，必要時提起行政公益訴訟。

　　企業數據流通的秩序建設：企業數據的流通安全風險與商事主體間的數據競爭相關，應形成合法合規的企業數據流通的市場秩序。《反不正當競爭法》應將數據商業利用行為納入規制范圍，以保護市場主體的合法數據權益、保障企業數據安全流通。自律秩序對實現企業數據安全流通具有重要作用，行業內自發形成的數據流通規則能夠細化相關法律條款，為事實認定提供標準，有影響力的行業規約還能促進數據的國際流通。

　　公共數據開放的風險防范：加強公共管理和服務機構的數據管理義務，明確其數據安全責任，能夠實現對風險的源頭防控。應提高公共數據管理、開放立法的效力層級，對公共管理和服務機構的數據活動進行雙向監督。公共數據分類分級應遵循系統性、整體性的規制思路，明確細化規則，將技術措施納入法律規制體系。在公共數據開放涉及利益沖突時，國家安全、公共安全與個人安全應受到優先保護。

　　結語

　　個人、企業與公共機構之間的數據提供、使用、開放行為既繁榮了數字經濟活動，也引發了安全風險。國家出臺一系列數據(信息)治理法律法規保障數據安全，但數據安全法律體系的構建和完善還需要多種有效法律理念的配合。現代經濟法理念與數據安全治理的價值取向契合，能夠指導數據安全治理法律制度的構建。在制度構建層面，多主體協同可增強個人數據保護效果;法律秩序與自律秩序協同配合可構建有效流通規則;降低公共數據利用風險可為其進入流通領域奠定基礎。數據安全法律體系的豐富需要各個法律部門互相協作，隨著認識的深化，數據安全治理將不斷完善。

胡俊宏;仲瑞洋,北京師范大學法學院,202405