6月24日上午，由中国人民大学未来法治研究院主办的“数据法治化治理”学术研讨会在中国人民大学明德法学楼725会议室举行，来自多所高校、企业智库、知名科研机构的近20名代表及资深专家学者与会。会议主要围绕《数据安全管理办法》、《儿童个人信息网络保护规定》、《个人信息出境安全评估办法》的征求意见稿，对信息标识、儿童个人信息保护、平台责任等问题进行探讨，主要包括主旨发言、数据治理的公法讨论、数据治理的私法讨论、圆桌讨论与自由发言以及会议总结等五个环节。中国人民大学法学院副教授、未来法治研究院执行院长张吉豫老师与中国人民大学法学院副教授、未来法治研究院副院长丁晓东老师主持会议。

北京大学法学院教授、法治与发展研究院执行院长、《中外法学》主编王锡锌老师首先围绕“数据治理法治化”进行主旨发言。王教授提出，数据治理的法治化问题，简而言之，也就是对数据治理主体的权利义务的设定及其关系模式之制度安排，应如何符合法治主义要求的问题。“数据治理法治化”要特别关注合法性：第一个是作为底线的形式合法性。下位规则不能跟上位法抵触。第二个是体系的一致性或者体系合法性。数据治理的整个法律体系应当保持必要的一致性。第三个是实质合法性。即安全与发展的平衡。安全并不等于一味地保护，真正的网络空间安全不是没有网络空间，而是建立起新兴企业和监管机构的结合，既保护数据主体的权益，也实现国家利益和社会福利的最大化。这种结合的内在逻辑前提是行业不断升级、发展。同时，王教授认为《数据安全管理办法（征求意见稿）》更多采用了对秩序的强烈偏好，这种偏好本身没有问题，但是如果极大损害了互联网网络经营者的利益，那么最终它会损害我们的利益，最终也涉及到国家利益。数据治理的法治化问题，不仅需要国内法治，也需要考虑国际法治，促成维护国家利益但又能进行对话、竞争和合作的国际数据治理体系，以提升我们在国际数据治理体系中的话语权和治理能力。

王锡锌 北京大学法学院教授、法治与发展研究院执行院长、《中外法学》主编

王锡锌教授精彩的主旨发言之后，会议进入到“第一单元：公法与平台数据治理责任”的环节。在本环节，三位专家学者从宪法、行政法等公法角度对《数据安全管理办法（征求意见稿）》等文件进行讨论。

中国人民大学法学院教授、副院长张翔老师主要就《数据安全管理办法（征求意见稿）》提出自己的看法。张教授认为，其中第25条可能危及宪法第40条规定的公民通信自由和通信秘密。宪法第40条规定，通信自由、通信秘密受法律保护，只有两个机关可以检查通信，即公安机关或者检察机关（包括国家安全机关）；检查的理由只有两个，即国家安全的需要或追究刑事犯罪的需要。那么本条的规定，等于在公法上授权所有的网络运营者可以全面监控私密聊天，这明显干预了公民的通信自由、通信秘密。宪法对于通信自由和通信秘密的保护，在《监察法》《电信条例》等法律法规和全国人大常委会的备案审查工作中是得到了严格贯彻的。《数据安全管理办法（征求意见稿）》不能背离整个法律体系。征求意见稿宣称以《网络安全法》等为制定依据，但25条的内容明显超越《网络安全法》，在没有上位法依据的情况下，克减了公民权利，增加了网络运营者义务，违反了立法法第80条的要求。互联网的数据流越大，互联网产业才会越繁荣越健康。此条规定若是出台，信息流可能会降下来，就会对产业的发展有巨大的影响。这一条基本没有修改完善的余地，建议删除。

张翔 中国人民大学法学院教授、副院长

北京师范大学法学院教授、数字经济与法律研究中心主任汪庆华老师认为，平台治理有三个要素：数据、算法、平台。在数据的问题上，我国采取的是国际上通行的知情同意机制。《数据安全管理办法（征求意见稿）》采用了源头治理的进路，将同意机制规定得更为具体、详细。不过，是否可以更明确设定一些例外情形。《数据安全管理办法（征求意见稿）》在个人信息权的权利内涵上，基本是对《电子商务法》第24条、《网络安全法》第43条的进一步明确，没有新设用户权利。在算法的问题上，《数据安全管理办法（征求意见稿）》第23条规定了“定推”标识义务、用户的退出权和删除义务。如果行使删除权就意味着同时行使了退出权，但行使退出权可能并不意味着同时行使了删除权。这是需要进一步讨论的问题。第24条规定了算法“合成”信息的标识义务，该条后半段不得谋利的规定有侵犯企业经营自主权之虞，需要进一步明确该条的立法目的。第三方应用平台责任的问题上，《数据安全管理办法（征求意见稿）》进一步体现了《电子商务法》中已经反映出来的监管平台并通过平台进行监管的思路。另外，由于规制对象过于宽泛，尤其需要考虑对中小微企业发展的不利影响。

汪庆华 北京师范大学法学院教授、数字经济与法律研究中心主任

中国社科院法学研究所研究员、《环球法律评论》编辑部主任姚佳老师的观点主要包括两部分，一是要跳出办法看办法，二是要看办法本身。第一点，跳出办法看办法。最核心的是立法的主要目的或者合规律性，立法要合乎技术发展、人的行为发展的客观规律。第二点，回到办法看办法。以《数据安全管理办法（征求意见稿）》第23条为例，管理部门预设的价值判断是，只要定向推送，就会侵犯消费者的自主选择权，而恰恰定向推送是增加了消费者的选择空间，其选择权不受影响。

姚佳 中国社科院法学研究所研究员、《环球法律评论》编辑部主任

在“第二单元：私法与平台数据治理责任”的环节，三位专家学者从私法的角度出发，为数据的法治化治理建言献策。

中国法学会法学研究所副研究员刘金瑞老师表示，目前《个人信息出境安全评估办法（征求意见稿）》，并没有区分是为了安全目的进行安全评估，还是为了保护个人权利进行安全评估，这两种评估定位明显不同，不应该混同规定。就《数据安全管理办法（征求意见稿）》而言，其中第30条，现在这个方案采用过错推定规则，侧重于事后救济，而大部分数据安全事件的追查归因都比较困难，是不是因为第三方应用造成的数据安全事件有时都很难查明，这实际上会造成只要第三方应用发生数据泄露等安全事件，网络平台基本就需要承担法律责任，这便对网络平台苛以了过重的法律责任。建议规定网络平台对第三方应用的事前和事中管理义务以预防和避免数据安全事件发生，包括接入第三方应用时要做登记和审查、出现违法行为要报告和处置、出现数据泄露要通知等。

刘金瑞 中国法学会法学研究所副研究员

北京外国语大学法学院副教授万方老师认为，数据治理需要从立法是否足够以及立法是否能产生实效两个方面进行考察。从立法是否足够的角度审查，目前数据确权的问题引起各方争议。其涉及网络空间的基本治理规范设计，属于基础架构，对此应谨慎界定，充分论证。另一个是关于网络平台的司法实践。平台是否承担安全保障义务？平台虽然处于网络空间，但是也是对现实生活的投射，是否应当要求其承担侵权责任法上的安全保障义务？网络空间确有其特殊性，但对此不可过度解读，在既有民法框架内可解决的问题，不宜盲目扩张或突破否则会干扰到一些基本权利的行使。另外，还应当观察现有的立法是否发挥了其应当发挥的作用。例如，目的限制原则在现实中难以完全落地。删除权的行使存在现实的技术性障碍，《儿童个人信息网络保护规定（征求意见稿）》对于监护人的有效告知也很难确保。因此，不应当仅仅盲目追求立法的数量也要确保规则体系内的逻辑性、稳定性及可执行性。

万方 北京外国语大学法学院副教授

中央民族大学法学院副教授朱芸阳老师的观察是，从整体上来说，三份征求意见稿都体现出监管机构对个人信息权利的高度重视，要特别关注两个问题，第一，与其他法律的衔接问题，即如何保持立法体系内的一致性。例如，关于“知情同意”原则，《民法总则》规定意思表示可以以明示或者默示作出，沉默在特定条件下也可视为意思表示。《网络安全法》也只是规定“明示并取得同意”，没有要求“明确同意“。而”《数据安全管理办法》征求意见稿第9、11条将“同意”限制在“明确同意”，也不允许采用“默示授权”。第二，《数据安全管理办法（征求意见稿）》等应当回归本源，网络运营者违反相关规定的法律后果应该重点在于承担行政责任，而不是侵权责任。《数据安全管理办法（征求意见稿）》第30条中网络运营者的责任，应理解为违反《网络安全法》第9、22条所规定的“网络安全保护义务”而产生的行政责任并非侵权责任，此处是否承担侵权责任应当回归《侵权责任法》关于共同侵权即第8至13条的相关规定。

朱芸阳 中央民族大学法学院副教授

第二单元的讨论结束后，进入到圆桌讨论与自由发言的环节，本环节由中国人民大学法学院副教授、未来法治研究院副院长丁晓东老师主持，与会嘉宾围绕“数据法治化治理”的会议主题从各自的研究领域出发进行深入的研讨和交流。

中国人民大学法学院副教授、未来法治研究院研究员郭锐老师主要就《数据安全管理办法（征求意见稿）》第36条和第37条发表了自己的看法。郭老师认为，根据这两条规定，任何一个行政机构都可以向网络经营者去要数据，在这种情况下，头部的企业还有足够的力量应对，小微企业将会是遍体鳞伤。比较好的管制，真正能够保护到投资者，同时能够保护到公司。好的管制需要对企业提供良好的保护，要把握管制的限度，有时甚至是管得越少、危害越小。我们目前的体制与灵活创新是有不适应的地方的，这个还需要去调整、去探索。

郭锐 中国人民大学法学院副教授、未来法治研究院研究员

美国科文顿柏灵律师事务所高级顾问罗嫣律师认为，目前存在很多问题需要解决，比如在行政法规是否能对用户、数据主体赋权？隐私政策是不是合同的一部分？在欧美，很多时候不会将隐私政策认定为合同，但如果我们中国认定，可能就会存在与其他国家法律的衔接问题。关于《数据安全管理办法（征求意见稿）》第32条，中国除了数据安全规章以外，还有很多的行业主管部门和行业主管规定，如果这些基本的关系没有理清，就直接讲做法，将会很难操作。

罗嫣 美国科文顿柏灵律师事务所高级顾问

北京安理律师事务所高级合伙人王新锐律师在发言中提出，在目前的大环境下，数据立法首先是一个行政法问题，公法色彩更重。从之前的比较法研究中，我们可以发现世界各国的个人信息保护和数据保护立法几乎都体现了比例原则、正当程序原则，我国在立法中也应有所借鉴，处理好不同法益的冲突，否则难免出现“事与愿违”的情况，既没有完全实现原来良好的目的，还有可能无意中影响了其他价值的实现。中国的数字经济能有今天的发展非常不容易，同时也暴露出了很多需要认真对待的问题，风险治理导向的立法和监督完全可以理解，但要考虑到数据立法既有全局性也有行业特殊性（比如金融、医疗、汽车、能源就各有不同），体系的协调性对于法规落地的效果会非常关键。

王新锐 北京安理律师事务所高级合伙人

中国农业大学法律系罗娇助理教授提出了三方面的看法。第一个是要把数据和个人数据或者叫个人信息要做一个区分。《数据安全管理办法（征求意见稿）》中只有5条、17条和28条涉及到重要数据，但是并没有涉及到实质问题，而是更多关注个人信息的保护问题。第二点，数据安全和数据治理是两个问题。数据治理涉及数据的收集、存储、修改、发布等细节，出台行业指南对小微企业更友好。第三点，数据的确权和赋权的问题。数据确权要谦抑，避免在数据上设置过于碎片化的财产权，加剧交易成本；数据赋权应该放到私法领域解决。另外，罗老师认为，《数据安全管理办法（征求意见稿）》第23条的规定有待商榷，推送仅仅在极端的情况下才涉及到安全问题，因此并不能否认推送本身。

罗娇 中国农业大学法律系助理教授

会议的最后，中国人民大学法学院教授、副院长张翔老师对参会嘉宾的发言进行总结，同时为我国数据法治化治理的未来发展提出宝贵的参考意见，为整场研讨会画上了圆满的句号。