转自:上观新闻
2022年12月国务院发布的“数据二十条”指出要探索建立创新容错机制,构建适应数据特征,符合数字经济发展规律的数据基础制度。尽管我国目前在以数据分级分类保护为代表的数据安全保护制度上不断推进,但有关数据创新利用的制度探索仍严重不足。数据监管沙盒是探索建立数据创新容错机制、完善数据基础制度的重要发展方向。兼具防范风险与追求创新的价值理念,使得监管沙盒这一肇始于金融监管领域的制度机制移植到数据治理领域成为可能。价值目的上,在数据要素治理中引入监管沙盒机制可推动贯彻包容审慎监管理念,平衡数据安全保护与数据创新利用间价值以及推动数据监管形式由事前监管向事中、事后监管转移。未来可以通过完善数据监管沙盒顶层治理框架、建立监管沙盒全流程制度设计以及在自贸试验区内围绕部分数据领域率先开展试点等方向推动我国数据监管沙盒的最终实践落地,以更好发挥数据要素价值,赋能经济社会发展。
2022年12月,中共中央、国务院发布《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“数据二十条”),提出构建适应数据特征、符合数字经济发展规律、保障国家数据安全、彰显创新引领的数据基础制度,支持有条件的部门、行业建立创新容错机制,探索完善贯穿数据要素流通、治理全过程的政策标准和体制机制,以充分实现数据要素价值。2023年1月,国家发展和改革委员会进一步发布细化制度举措,鼓励企业在数据要素应用上发扬首创精神,提倡建立有效的数据沙箱机制防范化解重大风险,以实现在统筹发展和安全基础上完善数据治理。其中,数据监管沙盒作为金融监管领域沙盒机制在数据治理领域的借鉴引入,有助于平衡保护数据安全以及实现数据利用价值间关系,是探索建立数字创新容错机制的重要发展方向。
在过往研究中,有关监管沙盒的讨论大多围绕金融监管领域。有学者分析了监管沙盒促进科技创新的价值意义、在域外的实践发展现状,以及我国相应的制度展开。另外国外有学者研究认为监管沙盒代表了对于动态和回应式新兴监管原则的主动回应,也有学者批判性分析了监管沙盒在具体实施过程中可能面临的利弊。新近研究中,有学者尝试将监管沙盒机制拓展到数字货币规制、个人信息保护以及人工智能治理领域。总体而言,前述研究成果为探讨监管沙盒价值理念以及制度设计提供了有益参考,但少有研究专门从数据要素治理领域切入,探讨数据监管沙盒的落地实施。实际上,围绕数据监管沙盒的讨论具有制度移植的可行性与可欲性。一方面,数据要素治理同金融监管领域相似,同样面临科技迅猛发展带来的挑战,也同样致力于实现发展和安全理念上的平衡;另一方面,作为后发领域的数据治理也迫切需要从已有相似领域规制实践中汲取有益经验。
数据监管沙盒能够在实现保护数据安全以及发挥数据流通利用价值等制度理念上有所裨益。
沙盒起初为计算机系统中的一个概念,指代可以安全测试新的代码或程序而不会给整个系统造成风险的特定环境。随后在其核心语义基础上衍生出监管沙盒概念,英国金融行为监管局将其定义为“企业可以自由测试创新产品、服务、商业模式而无需承担监管风险的‘安全空间’”。在金融监管领域,技术发展日新月异,其中涌现出的“破坏性技术”在带来发展机遇的同时也给金融监管带来了巨大挑战。而监管沙盒作为监管科技的新兴形式有助于实现推动金融创新以及维持金融稳定的双赢目标。事实上,世界各地的监管机构也逐渐接受了监管沙盒作为动态测试新兴技术的手段。
我国也高度重视并积极探索以监管沙盒为代表的金融科技应用试点工作。自2019年中国人民银行启动金融科技创新监管试点工作以来,已有逾20个省市或自治区开展超160个金融服务、科技产品的监管沙盒试点项目,其中不少项目都或直接或间接涉及数据产品或大数据技术。此外,在实践发展中,监管沙盒制度也逐步从金融监管领域延伸至产业实践中。总而言之,尽管我国尚未在数据领域专门实行监管沙盒制度,但在过往金融监管领域以及部分产业实践中已然积累了丰富的经验。
在国际社会上,监管沙盒机制逐步拓展至数据治理领域,出现数据监管沙盒概念。以新加坡为例,数据监管沙盒制度允许企业及其数据合作伙伴通过与新加坡信通局(IMDA)以及新加坡个人信息保护委员会(PDPC)协商,在安全的监管环境中探索数据创新使用方式,以规避当前监管政策的不确定性以及可能在现实中给公司或者社会公众造成的风险。在DEPA围绕数据监管沙盒达成“数据创新”专门条款之后,澳大利亚—英国、韩国—新加坡、澳大利亚—新加坡间签署的双边数字经贸协定中普遍纳入了“数据创新”规则,推动建立以监管沙盒为代表的数据创新治理路径。
据统计,2022年我国数据产量达8.1ZB,同比增长22.7%,数字经济规模50.2万亿元,占国内生产总值比重提升至41.5%,总量居世界第二。在数据要素治理中,我国高度重视保护数据安全,将安全利益作为数据立法的基本价值。
数据监管沙盒同样也遵循数据安全治理理念,其意在营造一个风险可控的“安全空间”,在其中数据企业通过与监管机构协商获取有限授权,在确保安全的前提下充分试验新兴数据产品及服务模式。在沙盒测试过程中,数据处理行为需要充分保护数据主体权利,征集社会公众意见并且接受监管机构的审核、评估与指导,以实现在评估测试、试点运营数据创新方案的同时,将潜在风险控制在“盒内”,防止风险外溢扩散。
而且,当下社会对于数据“风险”和“安全”的理解也应逐步由“绝对”走向“相对”,从“消除风险”转向“控制风险”,从追求“绝对安全”转向维持“相对安全”。在技术迅猛发展的后工业社会,不确定性逐渐取代了经验与传统,成为风险社会的基本特征。我们所处的社会不仅弥散着无处不在的风险,我们作出的每个决定、每项选择也在无形中制造着新的风险。由此,绝对消除风险成为奢望,法律的理性目标也由“绝对安全”转向“相对安全”。在数据要素治理过程中,以《数据安全法》为代表的法律规范通过持续的危险识别以及风险管理控制,来降低损失并将风险维持在可接受水平。数据监管沙盒正是迎合了当今社会对于“风险”和“安全”概念理解的转变,创设沙盒看似主动“寻求”风险的行为实际正是基于风险无法完全规避的认识;而且沙盒机制通过在沙盒范围内创设风险可控的制度安排来试验新兴数据治理模式、路径,正是为了规避更大意义上的风险。
数据要素治理也要处理、协调好安全和发展的关系,认识到促进数据流通利用是保障数据安全的目的遵循。要统筹发展和安全,不能只求发展罔顾安全,也不可一味追求绝对安全。数据要素治理领域也是如此。自2019年首次将数据与土地、劳动力、资本、技术并列作为重要生产要素以来,我国陆续出台多份政策文件强调培育和发展数据要素市场,促进数据高效流通使用。作为一种新兴的数据要素治理路径,协调好数据流通利用价值与保障数据安全间关系也是数据监管沙盒的内在要求。数据监管沙盒力求在保障数据安全的风险可控空间内,打造安全可信的数据流通环境,探索试点贯穿于数据产权、流通交易、收益分配、安全治理全过程的数据要素治理制度,以推进数据要素市场高质量发展。
无论是数据安全保护还是数据利用发展,数据要素治理应最终致力于通过数据要素为创新赋能,促进数字创新发展。数据监管沙盒最终制度意旨也在于实现数字创新。无论是准入阶段的审核、运作阶段的包容监管还是退出阶段的经验总结、模式推广,都服务于提供创新产品、探索创新服务模式以及试点创新业态的最终目的。
在监管理念层面,数据监管沙盒有助于贯彻数字治理领域包容审慎的监管理念;在价值实现层面,数据监管沙盒利于兼顾平衡数据安全保护和数据创新利用间关系;在监管形式层面,数据监管沙盒还可帮助推动我国在数据要素治理领域由事前监管走向事中、事后监管,以充分释放数据要素价值。
包容审慎监管,是指政府对新技术、新业态、新模式采取宽容的态度,在守住安全底线的前提下,审时度势采取监管措施,谨慎干预市场行为,为新产业发展留足制度空间。目前这一监管理念已在我国金融科技、互联网平台经济以及数据交易等领域展开了探索。其中包容监管着眼于新技术新业态蕴含的创新性,要求政府鼓励包容创新,对其可能产生的错误持宽容态度,以提升交易效率、促进市场竞争;审慎监管则要求政府积极预防和控制新技术新业态发展过程中存在的潜在技术、安全以及信息风险。作为监管领域对政府与市场关系的最新理论表达,其要求政府以包容之心对待新经济,给予其必要的发展时间与试错空间,并根据公共风险的大小进行适时适度干预。
引入数据监管沙盒机制有助于我国在数字要素治理领域进一步贯彻包容审慎的监管理念。监管沙盒要求政府以开放性态度面对数据产品和服务创新,通过对于沙盒中内嵌于真实消费市场的特殊实验区块实施差异化监管,满足其创新需求,避免“一刀切”式的监管方式,体现出监管之包容性。同时监管沙盒通过准入阶段的严格审批、运行阶段的全程监管做到风险控制,体现出监管之审慎性。
设置数据监管沙盒还有助于兼顾平衡数据安全保护和数据创新利用价值。一方面,监管沙盒可以更为有效地保护个人隐私和数据安全。通过在隔离封闭的沙盒环境中开展测试,沙盒机制不仅有助于将风险控制在可控范围内,也便于数据监管机构直接、有效地监督指导企业遵守监管规定。此外,沙盒中鼓励试点使用的区块链、加密工具、数据管理工具等新兴技术也可以为其数字产品、数字服务探索更为安全有效的数据处理方式。
另一方面,监管沙盒准入门槛偏低、响应市场需求灵敏以及鼓励测试新兴数据产品服务的特征有助于充分实现数据利用价值,推动数字创新。相较于企业将数字产品、服务直接推出市场,监管沙盒提供的模拟测试环境准入门槛和试错风险成本更低,同时沙盒中也可以即时收到市场需求反馈的特征,方便企业及时适应市场需求,调整优化产品服务。在监管沙盒测试中,监管机构针对不同企业开发数字产品服务的特殊性采取动态且个性化的监管策略,以满足其特殊监管需求。
在数字信息化时代,相较于传统的事前行政许可模式,事中事后监管在监管成本、执法效能与行政效率等方面均体现出明显优势,符合我国加快政府职能转变、深化行政体制改革的时代特征。而在新兴的数据治理领域,在“重安全严治理”的目标追求下,我国相关监管实践中呈现出明显的事前监管、严格监管特征。这种过于倚重事前乃至于事前事中事后全过程的严格监管倾向,会限制我国数据流动、利用的流畅度和自由度。而数据监管沙盒强调构建一个响应迅速、灵活有效的监管环境来实现事中、事后补充型监管,体现出明显的风险型数据治理模式倾向。在监管的灵活性和适应性上,沙盒机制通过创建过程中数据企业和监管机构的充分协商来实现数据监管的特殊针对性。同时,数据监管沙盒还通过沙盒测试运行过程中的实时动态风险评估和面向市场公众的透明度设计做到监管风险的实时反馈和后续监管方式的及时调整,而非倚重于静态、僵化的事前监管评估。总而言之,数据监管沙盒有助于推动我国在数据治理领域加快政府职能转变、建设服务型政府,并进一步推动释放数据要素价值。
“数据二十条”作为我国构建数据基础制度的框架性文件,未来还需在制度建设、技术路径、发展模式等方面进一步细化落实。而构建数据监管沙盒就是顺应这一思路,进一步提升我国数据监管效能,构建兼顾活力与秩序的数字治理体系的重要探索方向。
纵观国际社会具体设置金融监管沙盒授权依据的国家情形可以发现,其大致采取如下几种模式:(1)单行特别立法规定,如韩国;(2)政府出台指导法案,如澳大利亚;(3)中央银行发布指导文件,如马来西亚、荷兰;(4)金融监管机构颁布指引,如新加坡。对比可以发现,新加坡由监管机关颁布“指南”形式一方面内容更加详尽,实践中可操作性更强;另一方面更加灵活,可以适应科技发展适时调整监管需求。我国数据监管沙盒规范指引文件不宜采用专门立法形式,也不宜将权力分散给过多部门。可考虑由国家数据局颁布《数据监管沙盒实施方案》或者《数据监管沙盒建设指南》的形式,一方面做到权力由数据专门机关统一行使,避免“政出多门”;另一方面也有助于适应数据迅猛发展趋势,避免监管落后,以做到授权规范性和灵活性的统一。
在数据监管沙盒政策统筹上,应当明确国家数据局为数据要素治理政策制定机关,以实现政策统一,降低政策协调成本。2023年3月,国家决定组建国家数据局,赋予其协调推进数据基础制度建设,统筹数据资源整合共享和开发利用职能,以实现数据要素治理过程中的权责统一。数据监管沙盒作为数据要素治理领域的一项创新性制度,在统一政策制定层面也应当由国家数据局出台相关政策文件,以减少不同部门间政策的协调成本,实现数据监管沙盒制度在全国层面推行的协调一致,从而提升数据要素治理效率。
最后,在数据监管沙盒具体实施政策推行层面,考虑到不同行业数据开发利用的特殊性,可赋予各行业主管部门具体推行各自领域内数据监管沙盒的自主权限。尽管近期国家机构改革将统筹数据要素治理职能统一赋予国家数据局,但是针对各地区、各部门工作中收集和产生的数据以及工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门涉及的本行业、本领域数据,各部门仍保留了数据安全监管职责,属于特定领域内数据治理的权威机构。由于不同场景、领域的数据在数据基础知识以及相应具体数据治理路径探索上存在明显的差异,因此探索场景化、类型化的分析思路,针对不同数据场景数据采取不同治理路径是数据要素治理未来发展的趋势方向。赋予不同行业主管部门处理其涉及场景数据的自主权限,鼓励其根据自身数据的特殊性设计、实施数据监管沙盒方案顺应了这一趋势,有助于更大程度实现数据要素价值。
一项完整的数据监管沙盒项目包含申请准入、测试运作和退出评估等流程阶段。
在申请准入阶段,各级数据监管机构和各行业主管部门应当依据数据要素市场发展情况,特别是行业主管部门结合各行业数据发展特点公布开展数据监管沙盒测试的基础信息,如申请要求、具体流程、试验期限、评估要求以及退出条件等。数据企业在明晰监管沙盒测试基本信息的前提下,准备相关申请材料(如企业背景、测试方案、预期目标等)自愿向行业主管部门提出申请,行业主管部门先行评估申请材料信息,特别是结合自身对于部门涉及领域数据的了解认识评估数据企业提出的沙盒方案是否具有创新性和可行性。行业主管部门评估通过的项目信息再交由监管机构进行审核,审查其是否违反法律规定以及评估其可能存在的各类潜在风险及数据安全性问题。最终审核通过的项目,由数据企业、行业主管部门和监管机构三方共同协商,采取“一企一议”的方式针对数据企业提出试验项目的特殊性制定针对性测试方案,开展数据监管沙盒测试。
在正式测试阶段,根据三方达成的数据监管沙盒测试方案,数据企业在约定的日期正式开展监管沙盒测试项目。在沙盒测试过程中,数据企业和行业主管部门以及监管机构之间要保持就项目测试信息的信息披露和沟通交流,以便实现在控制风险基础上最大限度促进数据创新。也可考虑定期将数据监管沙盒测试项目信息向社会公众公布,通过引入外部监督的方式,保障测试项目涉及数据主体的数据权益。此外,考虑到数据监管沙盒项目运行过程中数据开发、利用的不确定性,应当允许数据企业在测试过程中针对遇到的新情况、新问题、新思路及时调整沙盒测试项目,如测试时间、测试范围或测试数据创新产品或服务的实质内容。该类中期项目变更需求应当提前向主管部门和监管机构提出申请,后者应尽快根据申请信息作出调整与否的决定。相关细化规定可包含:在何种情形下数据企业可提出变更需求,变更需求可涉及测试项目的哪些内容,监管部门审核变更需求的标准以及审核期限如何规定。
数据监管沙盒测试项目完成测试任务或到达测试期限时,就进入沙盒测试项目的最终退出评估阶段。测试完成后,数据企业应就该数据监管沙盒测试项目取得的成果,特别是同其预期取得成效相比对,总结提交完成报告。行业主管部门和监管机构就其提交报告进行评估,分析其试验取得有关数据产品、服务的成果是否可以推广,以及在其试验运行中是否还存在监管规则层面完善的空间,以便捷未来数据监管沙盒设置。
针对我国现有数据监管沙盒实践领域空白现状,可考虑在自贸试验区内围绕沙盒机制发展成熟的金融、汽车安全数据领域或者不涉及敏感数据的交通、住房、教育产业领域中率先开展数据监管沙盒构建实践。一方面,我国特色自贸试验区建设是在百年未有之大变局背景下推进改革开放的重大战略部署。以上海为代表的自贸试验区承担着新兴制度先行先试,示范带动服务全国的艰巨任务。而数据监管沙盒作为数据要素治理领域的新兴路径,其蕴含的“试验—推广”理念不仅同自贸试验区设置理念相契合,自贸试验区内产业发展成果和鼓励创新政策环境也给探索数据监管沙盒提供了现实土壤。此外,数据监管沙盒作为数字经济发展的趋势方向,也可成为各自贸试验区积极响应自贸试验区提升战略、促进自身建设提质升级的重要抓手。另一方面,我国在数据要素治理领域也鼓励开展试点工作,探索多样化、可持续的数据要素价值释放路径。2024年1月,国家数据局会同中央网信办、科技部等十七部门制定《“数据要素×”三年行动计划(2024—2026年)》,其中明确指出支持部门、地方协同开展政策性试点,聚焦重点行业和领域,结合场景需求,探索数据流通交易模式。数据监管沙盒作为数据要素治理领域的创新路径,也是国家政策鼓励支持开展试点创新的重点领域。
李慧敏|数字经济背景下网络平台的自我规制:基本构造、模式变迁与路径完善
韩龙河|唐律“亲属相奸”条款的立法逻辑
琼·威廉姆斯|城镇法人的发明:一个法律变革的案例分析
李炳辰|论我国立法准备阶段的立法决策优化
姚景俊|法益恢复的刑法评价
胡书豪 倪铁|公立医院医药购销领域腐败治理的路径优化
上海市法学会官网
http://www.sls.org.cn
