《經濟學人》在回顧2022年時不由感嘆說：“有些年份帶來混亂，有些年份提出了方案，而今年則提出了問題。” 的確，在數據治理領域，從數據安全到個人信息保護，從人工智能到數據要素市場，從立法方向到執法動向，2022年均向世界發出了嚴峻的價值拷問。回顧過往，我們以四大問題為線索，梳理全球數據治理的重大事件，以此記錄這終將載入史冊的一年。

01、個人信息保護：GDPR之外的選擇？

作為數字經濟與社會的基礎性制度，個人信息立法已成為各國共識。截至2021年，共有145個國家出臺了相關法律，而到了2022年，這個數字進一步上升到157。

在美國州法層面，2022年3月24日，猶他州州長Spencer Cox簽署了名為《猶他州消費者隱私法》（"UCPA"），成為第四個制定全面數據隱私法的州。5月10日，康涅狄格州發布了《關于個人數據隱私和在線隱私的法案》。2022年12月，科羅拉多州總檢察長辦公室公布了《科羅拉多州隱私法（CPA）規則》的修訂草案。變化主要是對數據控制者有利的，例如對隱私通知、同意和數據保護評估條款的修改可能有助于其滿足合規要求。同時，規則草案保留了許多標志性條款，這些條款使CPA規則成為美國隱私法領域的重要補充，如建議控制者必須建立和執行文件保留時間表。

在聯邦層面，2022年7月20日，《美國數據隱私和保護法》（“ADPPA”）在美國眾議院能源和商業委員會以兩黨53比2的投票結果被通過。《美國數據隱私和保護法》將為美國所有個人的信息建立重要的保護措施。《美國數據隱私和保護法》將對收集和使用個人信息的公司規定數據最小化義務；嚴格監管敏感數據的所有用途；為未成年人提供特別保護；建立訪問、糾正和刪除數據的個人權利；在網上建立強大的公民權利保障；要求算法決策的透明度；并禁止跨背景的行為廣告。同時規定，聯邦貿易委員會、州檢察長和隱私管理機構以及個人通過私人訴訟，進行三級執法。根據《美國數據隱私和保護法》，任何州都不允許執行涉及與《美國數據隱私和保護法》相同問題的法律條款，而涉及這些問題的現有法律條款將被取代。但是，《美國數據隱私和保護法》中有許多例外條款，如在一般消費者保護法、有關面部識別的規定等領域依然允許各州自行立法。

▲?圖源Pixabay

立法先行，執法亦不甘落后。2022年，整個歐洲基于GDPR的罰金總額達到29.2億歐元（31.0億美元），是2021年數額的兩倍還多。迄今為止最高的一筆罰款源于Meta（Facebook）旗下的Instagram。愛爾蘭數據保護委員（Irish Data Protection Commissioner）以其在沒有法律依據的情況下處理兒童數據，被處以4.5億歐元的罰款。

無獨有偶，在美國，最高額的數據隱私執法也與兒童隱私有關。2022年，聯邦貿易委員會（FTC）要求游戲《堡壘之夜》的創造者Epic Games, Inc.支付總計5.2億美元的救濟金，因為該公司被指控違反了《兒童在線隱私保護法》（COPPA），并部署了被稱為“黑暗模式”的設計技巧，欺騙數百萬玩家進行非故意的購買。FTC對Epic的行動涉及兩個單獨的破紀錄的和解。其中，公司將為其違反COPPA規則支付2.75億美元的罰款——這是對違反FTC規則的最大懲罰。此外，公司還被要求對兒童和青少年采用更強大的隱私默認設置，確保默認關閉語音和文本通信。根據另一項擬議的行政命令，Epic將支付2.45億美元，為其黑暗模式和計費做法向消費者退款，這是FTC在游戲案件歷史中最大的退款金額。

正如數據法比較學者Graham Greenleaf所言，雖然各國個人信息保護的法律實踐不盡相同，但迄今為止其規則受到GDPR的深刻影響。正因如此，GDPR所固有的缺陷，特別是個人權利保護和數據利用之間的失衡同樣體現在后來者中。美國的立法嘗試能否在GDPR外，開辟新的典范，尚有待觀察。

▲?圖源Pexels

02、數據跨境流動：安全還是自由？

盡管我們都知道“信息想要自由”（ Information wants to be free）的口號，但自從GDPR生效以來，數據跨境自由流動就面臨著與日俱增的窒礙，基于基本人權、國家安全、公共利益、經濟發展等不同的理由，數據自由流動的理想漸行漸遠。

2020年7月16日，歐盟法院發布了一項具有里程碑意義的數據保護裁決，即“數據保護專員訴Facebook愛爾蘭和Maximillian Schrems”（“Schrems II案"）。

在Schrems II案中，法院認為美情報機構執法不可控，歐洲公民缺乏救濟渠道，判決“歐盟-美國隱私保護協議”（隱私盾）無效，從而令美歐之間數據傳輸的合法性面臨挑戰。

2022年3月25日，美國與歐盟原則達成《跨大西洋數據隱私框架》（Trans-Atlantic Data Privacy Framework），經過數月努力，EU-U.S DPF不斷完善。2022年10月7日，美國白宮簽署了《關于加強美國信號情報活動保障措施的行政命令》，要求美國基于國家安全目標開展信號情報活動時候務求“必要和相稱”，情報辦公室（DNI）將負責監督情報行動并受理行政投訴，同時成立獨立的數據保護評估法庭以提供救濟機制。

2022年12月13日，歐盟委員會啟動了通過《歐盟-美國數據隱私框架充分性決定》的進程，解決歐盟法院在其2020年7月的Schrems II決定中提出的關切，尤其是數據數據獲取權的范圍以及特定廣告活動中處理合法性依據等問題，實現促進安全的跨大西洋數據流動。

▲?圖源Pixabay

回到中國，2021年《數據安全法》第11條確定了“數據跨境安全、自由流動”原則，但安全與自由如何平衡依然懸而未決。2022年7月，國家網信辦公布《數據出境安全評估辦法》，明確了數據出境安全評估的范圍、條件和程序，2022年8月，為指導和幫助數據處理者規范、有序申報數據出境安全評估，國家互信辦公室編制了《數據出境安全評估申報指南（第一版）》，對數據出境安全評估申報方式、流程、材料等要求作出具體指引。

除了安全評估，2022年6月，全國信息安全標準化技術委員會《網絡安全標準實踐指南—個人信息跨境處理活動安全認證規范》、國家網信辦《個人信息出境標準合同規定（征求意見稿）》相繼出臺，《個人信息保護法》下的其他兩種出境合規方式——個人信息保護認證制度與個人信息出境標準合同亦初步成型。縱觀安全評估、標準合同、認證的整體框架，其設計均以“數據安全流動”優先，“數據自由流動”的目標遠未達成。

▲?圖源Pexels

03、數據要素利用：多方如何共贏？

數據要素的有效利用是數字經濟發展的關鍵驅動力。2022年12月，黨中央、國務院發布《關于構建數據基礎制度更好發揮數據要素作用的意見》，以激勵數據生產、促進數據流通、優化數據分配為線索，從數據產權、流通交易、收益分配、安全治理四方面搭建我國數據基礎制度體系，為最大化釋放數據要素價值、推動數據要素市場化配置提出了最新指引。

與中央層面的審慎立法不同，地方有關數據要素的立法延續了2021年的熱度，《浙江省公共數據條例》《重慶市數據條例》《黑龍江省促進大數據發展應用條例》《陜西省大數據條例》《遼寧省大數據發展條例》《江蘇數字經濟促進條例》《北京市數字經濟促進條例》相繼出臺。

另一方面，作為多元主體、多元利益的復合體，數據在富含經濟價值的同時，也承載著個人權益、公共利益和國家安全。隨著信息技術的迭代，包括深度學習、神經網絡在內的人工智能算法業已成為主流的數據利用形式。對人工智能算法的規制由此成為數據治理的新領域。

▲?圖源Pexels

在歐洲，《人工智能責任指令》（AI Liability Directive）和《人工智能法（草案）》（draft AI Act）在2022年9月和12月先后出臺。其中，《人工智能責任指令》要求歐盟各成員國實施規則以減少因人工智能相關產品或服務而受傷的受害者提出民事責任索賠的舉證障礙。最重要的是，該指令在責任認定方面對人工智能系統的開發者、提供者或使用者采用“因果關系推定”模式；《人工智能法（草案）》旨在確保在歐盟境內運行的AI系統的安全性，并保證人工智能之運用符合現存法律和歐盟在人權方面的基本價值。

在中國，針對“利用深度學習、虛擬現實等生成合成類算法制作文本、圖像、視頻、音頻、虛擬場景等網絡信息的深度合成技術”，國家網信辦會同工信部、公安部在2022年11月發布《互聯網信息服務深度合成管理規定》，以技術和法律二元規制為方法，以技術開發、技術服務、技術使用為線索，彰顯出綜合治理格局，與《互聯網信息服務算法推薦管理規定》《關于加強互聯網信息服務算法綜合治理的指導意見》一道，共同構建了具有中國特色的算法規制體系。

▲?圖源Pixabay

2022年，最能體現數據上利益沖突的事件，莫過于滴滴公司網絡安全審查終于塵埃落地。

2021年7月16日，國家網信辦會同公安部、國家安全部、自然資源部、交通運輸部、稅務總局、市場監管總局等部門聯合進駐滴滴出行科技有限公司，開展網絡安全審查。2022年2月15日施行《網絡安全審查辦法》新增網絡平臺運營者赴國外上市申報網絡安全審查的情形，將網絡平臺運營者開展數據處理活動影響或者可能影響國家安全等情形納入網絡安全審查范圍，并明確要求掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市，向國外證券監管機構提出上市申請之前必須申報網絡安全審查。

2022年7月21日，國家網信辦做出最終決定，對滴滴全球股份有限公司處人民幣80.26億元罰款，對滴滴全球股份有限公司董事長兼CEO程維、總裁柳青各處人民幣100萬元罰款。這一處罰為中國企業數據利用的邊界劃定了一條鮮明的紅線。

▲?圖源Pixabay

04、超級平臺：興利還是除弊？

《經濟學人》在《2018年的世界》中首次用“科技抵制”（Techlash）一詞來描述了針對Facebook、Google和Amazon等硅谷科技巨頭嚴厲監管的政策。四年后，《經濟學人》在《2022年的世界》中再次用“新一波科技抵制”來描述世界各國試圖馴服科技超級平臺的努力。

歐盟在這一領域依然是制度創設的領先者，于2020年12月提出的《數字市場法案》（Digital?Market?Act）和《數字服務法案》（Digital?Service?Act），以創紀錄的速度在2022年得到歐洲議會和歐洲理事會的批準，旨在為超級平臺制定明確規則，防范其濫用其市場力量，保護所有數字服務用戶的基本權利，在歐洲單一市場和全球范圍內建立一個公平的競爭環境，以促進創新、增長和競爭力。

與之相比，2022年的《數字治理法案》（Data?Governance Act）和《數據法案》（Data?Act）是更為柔性的治理工具。其中，《數字治理法案》希冀增加對數據共享的信任，加強提高數據可用性的機制，克服數據再利用的技術障礙，并在戰略領域支持建立和發展共同的歐洲數據空間，涉及私人和公共參與者，如健康、環境、能源、農業、金融、制造業、公共管理等部門。

《數據法案》也稱“關于公平獲取和使用數據的統一規則的擬議條例”，其統一規定了誰可以獲取和使用產生于歐盟各經濟部門的數據，其旨在確保數字環境的公平性，刺激競爭性的數據市場，為數據驅動的創新提供機會，并使所有人更容易獲得數據。根據2030年的數字發展目標，該法案將在歐盟數字轉型中發揮關鍵作用。

▲?圖源Pexels

與歐盟專門性立法不同，中國選擇了修法方式回應超級平臺的挑戰。2022年6月，《反壟斷法》修改，在總則中增加“經營者不得利用數據和算法、技術、資本優勢以及平臺規則等從事本法禁止的壟斷行為”，在“濫用市場支配地位”一章中增加“具有市場支配地位的經營者不得利用數據和算法、技術以及平臺規則等從事本法規定的濫用市場支配地位的行為”。在之后的市場監管總局《禁止濫用市場支配地位行為規定（征求意見稿）》中，針對超級平臺在增設自我優待這一特殊類型，禁止具有市場支配地位的平臺經營者利用數據和算法、技術以及平臺規則等，沒有正當理由，在與該平臺內經營者競爭時，對自身給予下列優惠待遇：（一）對自身商品給予優先展示或者排序；（二）利用平臺內經營者的非公開數據，開發自身商品或者輔助自身決策。

盡管超級平臺規制日漸嚴密，但在動態競爭的市場環境下，如何科學、全面地評估我國超級平臺的利弊，尚未形成統一觀點。2022年末舉行的中央政治局會議上，“支持平臺企業在引領發展、創造就業、國際競爭中大顯身手”就體現出頂層認識的發展變化。展望未來，從專項整改向常態化監管轉換，意味著超級平臺立法的體系性與協同性將進一步優化，而興利與除弊的均衡亦將成為法律規則的難點所在。