【课题成果】周江洪、冯洋:论企业向政府报送数据的主要问题与改革路径
《网络数据共享机制》课题研究成果
论企业向政府报送数据的
主要问题与改革路径
周江洪 冯洋
(浙江大学)
数据资源已成为推动国家治理现代化和经济社会发展的关键生产性要素。我省是数字经济发展的高地,数字产业发展保持强劲势头。如何从制度上保障数据资源的充分、有序流动,是我省数字经济实现持续、快速发展的关键。数据的流动主要有两大方向,一是数据从政府流向社会,即政府数据开放;二是数据从社会流向政府,即公民和企业的数据报送。数据的双向流动不可偏废,应协同发展。企业数据报送的规模与质量,直接影响到电子商务的发展与政府公共数据开放的规模与质量,也决定了数字治理的发达程度。[1]近年来,我省公共数据开放与管理、数字经济促进等领域的地方立法正有条不紊地推进,相较而言,企业数据报送法律制度的构建相对缓慢。当前亟需结合我省数字经济发展与公共数据开放的大趋势,率先探索完善企业向政府报送数据的制度。
一、企业报送数据制度快速推进
近年来随着社会经济信息化的持续推进,我国政府积极探索能够适应信息社会发展的新型监管方式,利用大数据提升监管效果成为改革的重要切入点。2015年7月国务院办公厅发布的《关于运用大数据加强对市场主体服务和监管的若干意见》要求各级政府将大数据作为提高政府治理能力的重要手段,完善对市场主体的全方位服务和全生命周期监管。该《意见》指出要鼓励和引导企业自愿公示更多生产经营数据、销售物流等数据,及时掌握市场主体的经营行为、规律与特征,加强对市场主体的事中、事后监管,主动发现违法违规现象。[2]国务院于2017年1月发布的《“十三五”市场监管规划》提出“智慧监管”的理念。该《规划》要求:(政府有关部门)“适应新一轮科技革命和产业变革趋势,适应市场主体活跃发展的客观要求,充分发挥新科技在市场监管中的作用。运用大数据等推动监管创新,依托互联网、大数据技术,打造市场监管大数据平台,推动‘互联网+监管’,提高市场监管智能化水平”。
目前网约车行业是数据报送要求最高的行业。[3]交通运输部于2016年11月颁布的《网络预约出租车经营服务管理暂行办法》第29条允许交通行政、公安等部门根据管理需要依法调取、查阅网约车平台公司的登记、运营和交易等相关数据信息。随后交通运输部开发了覆盖全国的网约车监管信息交互平台,并要求从事网约车经营服务的企业将其数据库接入该平台。2018年交通运输部颁布《网络预约出租汽车监管信息交互平台运行管理办法》,对网约车企业通过接口向监管平台报送数据进行了细致的规定。根据该《办法》,网约车平台公司应向监管平台报送基础静态信息以及订单信息、经营信息、定位信息、服务质量信息等运营数据。网约车平台公司还应保持传输数据的完整性、规范性、及时性和真实性等。
2018年颁布的《电子商务法》首次在国家法律层面确认了平台经营者的数据提供义务。[4]该法对数据报送义务的规定从两个方面展开。首先,规定平台经营者应保存、核验、更新平台内电子商务经营者的身份信息。这些信息包括姓名、地址、联系方式和行政许可等。保存和核验这些信息构成了平台经营者提供数据的基础。其次,明确平台经营者报送数据的对象。平台经营者应向市场监管部门和税务部门提供电子商务经营者的身份信息和与纳税有关的信息。不按照上述规定提供的,将被处以责令限期改正、10万元以下罚款,乃至责令停业整顿并处最高50万元罚款的行政处罚。
国家网信办于2019年5月发布的《网络交易监督管理办法》(征求意见稿)对于网络交易领域的数据报送进行了较为具体的规定。具体而言,市场监管部门有权要求网络交易经营者直接向其提供交易数据信息,包括特定时代、特定品类、特定区域的商品或服务的销量、销售额等信息。此外,市场监管部门还有权要求平台企业提供商户的数据。相关规定主要明确了四个方面的内容:首先,规定了提供数据的最低频率。该《办法》要求平台经营者至少每半年报送一次商户的身份信息,同时鼓励平台经营者增加报送的频次。其次,明确了数据提供的对象。该《办法》规定县级市场监管部门是数据报送的对象,但上级市场监管部门可以直接向平台经营者提出数据报送的要求。再次,列举了商户身份信息的类型。这些信息主要包括营业执照、行政许可、联系方式、店铺名称、网络经营场所等五类。最后,规定了平台经营者的协助、配合义务。该《办法》要求平台经营者应协助、配合市场监管部门的调查取证工作。
以上对政策和法律的梳理蕴含丰富的信息,展现了数据报送制度的若干特点,总结如下。
第一,从立法类型来看,数据报送相关立法呈现出国家法律牵头,部门规章积极推进的态势。中央立法在该领域成为主导,地方的立法极少。具体而言,《网络安全法》、《电子商务法》等国家法律的有关原则性规定起支架作用,而近期涌现的政府部门规章才是政府数据报送的主要法律依据。这些数量可观的部门规章则在各自领域对数据报送进行了细化规定。国家法律牵头、部门规章积极推进的立法进路是谨慎可行的,有助于保障法律规范的实施效果。需要引起高度重视的是在数据报送领域行政法规缺位的问题。国家法律过于原则,而规章的规制范围偏窄,法律位阶偏低,不利于指导数据报送实践的顺利发展。未来应积极总结规章的立法经验,及时制定综合性较强的行政法规,对上承接国家法律,对下指导部门规章和地方性法规(规章)的制定。
第二,与数据报送相关的立法主要针对网络安全、电子商务、网络信息服务、交通出行等领域,且在这些领域的规制强度存在较大差异。上述领域是我国信息化发展程度较高、对人民生活影响较大领域,也是大数据的价值体现较为显著的领域。相关立法的及时制定表明尽管目前数据立法尚处于起步阶段,但数据报送相关的规范已实现了及时跟进,覆盖面具有相当的代表性。不足之处在于,目前的立法仍然是部门法推进的进路,其他互联网新兴领域的数据提供问题就面临缺乏明确法律规范的指引。此外,国务院各部门制定规章的规制强度存在较大差异。[5]例如网约车和网络交易相关的规章对网络平台经营者施加的数据报送义务较强。根据《网络预约出租汽车监管信息交互平台运行管理办法》,县级市场监管部门及其上级部门不仅可以要求平台上的商户提供身份信息,也可以直接要求平台经营者提供其平台内所有商户的身份信息。同网约车和网络交易相比,网络信息服务领域的数据报送的规制强度就要小很多。根据《数据安全管理办法》(征求意见稿)的要求,网络经营者收集重要数据或个人敏感数据应向所在地网信部门备案,备案内容包括收集、使用的目的、规模、范围信息等,但不包括数据内容本身。
第三,大体而言,当前立法承认平台经营者占有、使用数据的权利,但不承认此项权利的绝对性。根本上看,数据报送问题涉及数据权属问题。如果能够从法律上厘清数据权属问题,那么数据提供问题将迎刃而解。但问题在于数据权属问题目前尚处于不清晰的状态,立法上也并未给出明确的答案。[6]尽管如此,我们可以从二级权利,即占用、使用权入手来认识关于数据提供立法的基本立场。《电子商务法》规定国家保护电子商务用户信息,鼓励电子商务数据开发应用,保障电子商务数据依法有序自由流动。而《数据安全管理办法》(征求意见稿)也要求网络经营者备案的内容是其收集重要数据或个人敏感数据的规则,不包括数据内容本身。还有部分规章规定平台经营者仅限于向执法部门提供必要的协助。从立法的趋势来看,基于执法目的所提供的数据类型趋向于明确化。这些立法动向都表明国家尊重平台经营者占有、使用数据的权利。此外,我国《网络安全法》等国家法律规定基于刑事侦查的需要,公安机关可以要求平台经营者提供任何相关的数据。这说明平台经营者的占有、使用数据的权利并不是绝对的。[7]
二、企业报送数据的运行现状
通过调研,笔者发现目前向政府部门报送数据较多的企业集中在运营大型线上商业平台的企业,主要涵盖购物、交通出行、支付等与公众日常生活密切相关的领域。这些企业的客户群规模巨大,往往覆盖全国。这些互联网企业向政府部门报送数据的方式主要有两类。第一类是应有关国家机关个案协查的要求,提供某个或某些主体的具体数据。提出协查要求的国家机关主要包括具有刑事侦查、反恐、反间谍等职能的政府部门,以及从事具体民事、刑事、行政案件审判的法院。从企业经营角度来看,基于个案协查的数据报送涉及信息的广度和深度有限,一般不涉及企业的商业秘密或对企业权益造成较大威胁或损害。同时所指向的数据结构化程度不高,类型不多,也不会耗费企业过多的人力和财力。正是因为如此,互联网企业对于这类数据报送要求通常予以积极配合。第二类提供数据的类型是应政府部门的要求,报送综合性数据。提出这类要求的政府部门主要是具有相关行政管理权限的政府部门。从整体趋势来看,政府监管部门要求获取平台经营者数据的需求越来越大,而相较于第一类数据提供要求,此种类型的数据报送义务对企业经营活动及权益的影响也更为凸显。因此,第二类数据提供是本报告考察的重点内容。企业向政府部门报送数据的基本情况总结如下。
第一,从形式上看,企业同政府部门事前签订的“数据报送协议”是报送数据的基本依据。该类协议内容较为简短,通常规定了数据报送的主体与接收主体、类型、目的等。从性质上看,数据报送协议并非是政府部门同平台经营者就具体事项的数据提供达成的合意,而是针对不特定事项达成的“协助”合意。数据报送协议并非是传统意义上的双方权利义务关系对等的协议,而更多地具有备忘录的性质。签订数据报送协议说明双方有实现规范化数据报送的意愿,也体现了双方提高数据报送可预期性和稳定性的共识。
第二,企业报送数据通常一事一议且在收到具体要求后才予以提供。企业报送数据活动的启动具有被动性。尽管事前签署了数据报送协议,但是企业一般是在收到政府部门的具体要求时,才会启动数据报送。除网约车行业的通过接口进行数据报送外,目前尚不存在主动的、常态化的数据报送实践。此类经政府部门要求从而启动数据报送的实践符合《网络安全法》、《网络交易管理办法》等法律规范的要求,但是尚未达到以《电子商务法》为代表的新近国家立法所提出的主动、常态化报送数据的标准。近年来,国家网信办、国家市场监管总局等部门陆续公布了《数据安全管理办法》(征求意见稿)、《网络加以监督管理办法》(征求意见稿)等规章草案。这些草案的相关规范普遍地细化了《电子商务法》中关于数据报送的原则性规定。可以预见的是未来关于企业常态化数据报送的法律规定将更为的明确、具体,相应的执法力度也会加大。目前常态化报送实践的缺失表明:现实情况同法律的要求及立法的趋势还存有明显的距离。
第三,数据报送主要以事件为导向,提出此类数据报送要求的政府部门呈现多元化的趋势。与个案协查主要围绕数据主体不同,综合性数据报送围绕的是某项事件,如税收稽查,打击假货等。如果说个案协查针对的是数据的“点”的话,那么综合性的数据报送针对的是数据的“面”。[8]政府部门多元化体现在两个方面:一是提出此类要求的政府部门类别多元,包括市场监管、税务、网监、金融监管、商务管理等部门;二是政府部门层级多元,从县级部门到国务院组成部门等多个级别的政府部门都有权向企业提出数据报送的要求。大型互联网企业往往需要对接本地和外地的多个政府部门,且各部门要求提供数据的内容存在重叠的部分,这给企业的日常经营管理带来一定的烦扰。有受访企业表示,希望政府能够搭建一个数据报送平台,企业将数据提交到该平台,供有需求的政府部门自行下载。
第四,互联网企业报送数据属于无偿服务,在这一过程中企业承担了一定的经济成本。从性质上看,企业数据报送更多地属于履行法定的协助义务,目的是配合政府部门履行其法定的监管职权。企业并未在履行义务时获得相应的经济补偿。此外,互联网企业需要投入一定的人力和财力来进行有针对性的数据处理,这体现在以下两个方面:首先,政府部门所需要的是结构化程度较高的数据,要求具备可视化的效果。面对政府部门的数据提供要求,企业往往需要对原始数据进行加工、提炼和清洗,从而提供满足政府部门的要求。其次,不同政府部门提出的数据报送要求存在较大差异。各政府部门根据其承担的行政职责的不同,要求企业提供数据的目标、要求、内容以及频次也并不相同,因此面对不同政府部门的要求,企业往往需要逐一进行有针对性的处理,这同样会带来成本的增加。
三、当前存在的主要问题
笔者调研发现目前企业向政府部门报送数据的实践已有相当的进展,但相关制度远未完善,存在若干问题。
第一,企业数据报送的国家立法相对缺位,地方立法的机遇与挑战共存。目前,关于企业数据报送在国家层面的上位法主要是2018年颁布的《电子商务法》,该法第25条和第28条要求平台经营者应向市场监管部门和税务部门提供电子商务经营者的身份信息和与纳税有关的信息,以及2017年国务院各部门制定的规章,对数据报送进行了细化规定,涉及网络安全、电子商务、网络信息服务、交通出行、税务、市场监管等领域。但是,这些法规仍过于原则,管理色彩较浓、规制范围偏窄,缺少对数据报送应遵循的基本原则、报送的范围等的规定,也难以照顾到地区差异。目前各省市尚未就企业数据报送进行专门立法。我省经信厅牵头起草的《浙江省数字经济促进条例(草案)》提到应实现政企数据的双向流通,但该草案缺乏关于企业报送数据的全面、细致规定。因此,建立健全企业数据报送制度对于我省发挥地方立法能力、突出数据产业优势具有重要意义。
第二,数据报送机制尚未有效落实,存在选择性实施的问题。企业履行数据报送义务时,存在差别对待的现象。从笔者在浙江省调研反馈的信息来看,受访互联网企业尽管存在担忧,但是对于本地政府部门的数据报送要求仍较为配合。但是对于业务较少地区的政府部门所提出的数据报送要求,企业拒绝后者要求的情况较多。此外,笔者调研的对象是具有全国影响的大型互联网企业,这些企业的实践并不能反映数据报送机制在互联网经济中运行的整体状况。实际上数据报送在总体上并未普遍开展。以税收数据报送为例,课题组对杭州地区相关政府部门的访谈显示,企业履行数据报送义务的程度不高。税务部门的负责同志表示,只有税务部门主动发起税务检查行动时,才会要求平台经营者报送数据。平台经营者也并未向税务部门主动提供商户的相关信息。笔者发现数据报送落实不力的现象同样存在于市场监管、网监、金融监管等领域。
第三,企业数据报送过程中的安全风险未能得到有效控制,企业数据报送的积极性和主动性亟待提高。随着大数据价值的日益提升,互联网企业将数据利用与安全保障视为其核心竞争力。企业普遍认为向政府部门报送相关数据将增加数据的安全风险,从而对企业的发展带来不利的影响。尽管《电子商务法》第25条提出了明确要求,但是实践中安全保障问题仍然是短板。除网约车、快递等行业外,一般不存在企业向政府报送数据的固定安全渠道,通常也未设置常态的接口,报送方式往往是企业同执法单位的具体职能部门和具体负责的工作人员对接。结合数据“储存即所有”的特性,数据在政府部门服务器中,以及在不同政府机构中多次流转,这无疑大大增加了数据泄露与滥用的风险。企业报送的数据在政府部门的存储与处理也存在很大的安全隐患。政府部门的数据库通常由互联网企业来搭建和维护,甚至存在一些政府部门同企业共用数据库的现象。企业报送数据给政府部门后,通常会导致第三方介入到数据的存储与处理中来,这增加了数据泄露与滥用的风险,也加深了企业对数据报送问题的担忧。
四、改革建议
按照“增量改革”的思路,未来企业报送数据的制度建设在按照既定目标加快推进的同时,还应重点考虑克服当前存在的问题。为此,相关对策建议如下。
第一,发挥地方立法的先行示范作用,打造企业数据报送的浙江经验。在当前数字经济发展与公共数据开放的关键期,我省应通过地方立法,结合本地实际,积极探索企业数据报送的相关规定。[9]
数据报送以优化营商环境为宗旨。应通过地方性法规或地方政府规章的形式,进一步完善和细化《电子商务法》关于数据报送的原则性规定。为了提高企业对于数据报送的可预期性,降低监管部门提出数据报送要求的恣意性,未来立法应重点明确企业报送数据的原则与范围。
数据报送应追求企业经营活力和政府数据需求的平衡。考虑到该项实践尚处于初步阶段,目前选择必要性原则较为适宜,一是政府主管部门要求企业报送数据的类型、数量与频次应以实现监管目标所必需为限;二是政府主管部门如果已掌握同类数据,或者能够通过其他方式获取所需数据的,不得要求企业再次提供此类数据。
第二,加强数据报送机制的落实力度,提高执法的效力与守法的效果。在强调公共数据开放与大数据监管的大背景下,主动、常规化数据报送已成为企业守法的新义务。应激活《电子商务法》和相关部门规章的规定,积极探索数据报送的实践,提高执法的效力与守法效果。为了适应大数据监管的趋势,具体而言,应当发挥地方立法的主动性,从供需匹配、外部执法、内部管理三个方面强化现行数据报送机制的落实。
依托地方立法的灵活性和自主性,根据各政府部门的监管需求,对企业数据报送义务作出定制化、个性化的制度设计,使监管需求和数据供给达到精确匹配,避免给企业徒增负担。
加强执法,确保企业切实履行数据报送义务,保障数据的完整性、规范性、及时性和真实性。对于未依法履行数据报送义务的企业,政府主管部门应及时责令其限期改正,情节严重的,应当依法予以相应处罚。
应建立健全内部工作机制,明确同企业对接的责任人、业务人员与技术人员,指定专人负责本部门数据库的运转、利用与维护。
第三,强化数据报送的安全保障,解除政府和企业数据流动的后顾之忧,彻底解决“给的不想要,要的不愿给”的数据流动僵局。随着《民法典》的出台以及《数据安全法》与《个人信息保护法》起草工作的启动,可以预见未来我国数据安全与个人信息保护的立法要求将大幅提升。[10]政府部门与企业作为数据共享机制的双方都应顺应立法的大趋势,强化数据的安全保障,确保对数据资源采集、传输、存储、利用和开放过程的规范管理。保障个人数据隐私是重中之重,政府和企业在数据共享过程中,应切实保障数据处理过程中的合法性,明确相关主体的责任和义务,加强对个人数据滥用、侵犯个人隐私行为的防范和惩戒。
编者按:本文由浙江大学社会科学研究院院长、光华法学院教授、博士生导师周江洪,浙江大学光华法学院讲师冯洋撰写,系互联网法治研究院(杭州)2019年度重点研究课题《网络数据共享机制》的研究成果,由互联网法治研究院(杭州)秘书处徐静赛编辑。
注 释
[1]我国法学界对于企业向政府报送数据的制度与实践尚缺乏关注,实际上该问题在世界范围内具有重大的现实与学术意义,关于美国学术界对于企业报送数据的讨论,参见Christopher Slobogin, Transaction Surveillance by the Government, Mississippi Law Journal 2005, pp. 149-158.
[2]关于我国监管创新的实践与反思,参见卢超:《事中事后监管改革:理论、实践及反思》,《中外法学》2020年第3期,第784-789页。
[3]网约车行业的快速发展及平台侵权事件的频发暴露出监管的不足,而网约车企业数据报送则是强化监管的重要举措。关于网约车平台的法律规制,参见张素华、孙畅:《民法典视野下网约车平台侵权的法律适用》,2020年第8期,第24-30页。
[4]总体而言,平台经营者的公法义务逐步增强,这与平台的实力增长密不可分,体现了立法上的权责一致的原则,参见胡凌:《从开放资源到基础服务:平台监管的新视角》,《学术月刊》,第98-102页。
[5]实际上无论是中国还是美国,数据报送问题都缺乏充分、有力的法律应对。关于美国法上关于数据报送的不足与缺陷,参见Fred H. Cate, Government Data Mining: The Need for a Legal Framework, Harvard Civil Rights-Civil Liberties Law Review 2008(43), pp. 491-467.
[6]尽管数据的财产利益引起了学者的讨论,但是该项权利并未在立法或者司法中得到确认,参见刘德良:《个人信息的财产权保护》,《法学研究》2007年第3期,第82-86页。
[7]关于企业数据利用范围的讨论,参见姚佳:《企业数据的利用准则》,《清华法学》2019年第3期,第116-120页。
[8]关于数据报送导向问题的讨论,参见Christopher Slobogin, Transaction Surveillance by the Government, Mississippi Law Journal 2005, pp. 142-149.
[9]实际上,创新性地方立法不仅能够满足地方的实际需要,还能为兄弟省市和中央提供制度经验,参见冯洋,《论地方立法权的范围—地方分权理论与比较分析的双重视角》,《行政法学研究》2017年第2期,第133-139页。
[10]关于民法典中关于个人信息利用与限制的讨论,参见程啸,《论我国民法典中的个人信息合理使用制度》,《中外法学》2020年第3期,第9-17页。
互联网法治研究院 原创发布
往期精选
专注“互联网法治”研究👉