上QQ阅读APP看书，第一时间看更新

序

探索数据合规基础理论与场景指引，本书或为第一本。写作的困难有二：第一，数据合规法学研究没有积淀；第二，合规具有较强的实践特征，了解合规（含数据合规）的高手多分布在企业中。鉴于以上两点，2023年3月，在我的提议下，几位对数据合规感兴趣的朋友开始不断在同济大学法学院举行沙龙，时间多为周六下午，议题以数据合规为主，每当有重要的立法文件发布时，我们也会集体讨论一下。常来参加沙龙的包括华东政法大学的龚雪博士、时任上海数据交易所的高级研究员吴蔽余博士（现为上海智元新创技术有限公司公共事务副总经理）、上海市君悦律师事务所合伙人胡峰博士、协力律师事务所高级合伙人江翔宇博士、联仁健康医疗大数据科技股份有限公司法务部总监张竣、蚂蚁科技集团股份有限公司杨德森博士。他们多成了本书的作者，可以说，本书就是参加数据合规沙龙人士的集体成果。沙龙有时也邀请专家来交流，如复旦大学管理学院的窦一凡教授、知名的仲裁专家高菲博士、中国信息通信研究院的赵志海高级研究员等。这些专家的分享丰富了我们对于数据、管理与纠纷解决等多方面的知识。在交流中，我们的想法逐渐明晰，就是写一本探究数据和数据合规的法学理论体系的书，该书既要有学术品位，也要兼顾通俗性。

“现代社会是一个风险社会。”[1]在德国社会学家乌尔里希·贝克看来，20世纪末的“自然”与“社会”已经不再对立，而是融为一体。这意味着“风险”无法在科学家所称的“客观性”中得到解答，只能在政治、经济和文化的强力磁场中展开。换言之，现代社会的风险并不是在绝对意义上增加的，只是我们对风险的察觉和认知能力增强了，[2]而我们认知与防控风险的能力又在很大程度上以现代文明为土壤。数字社会滋生数据风险，但我们缺乏认知数据及其风险的土壤。不过，数据风险的一些特征已经给法律人留下了深刻的印象。比如，数据风险是无形的，很难发现也很难有效防控，数据风险是在数据生命周期传递的，风险发生时影响广泛、损害较大且多具有不可逆转性。数据风险在本质上改变了传统法律责任事后救济损害的价值观，催生了须提前介入数据风险的认知，数据合规就是提前介入的手段之一。为了实现这一目的，数据合规必须是实质的而非形式的，不过实践中数据合规的形式化趋势让人担忧。数据合规的复杂性还在于，除非有明确的法律规定，否则数据合规仅是企业的自我规制。既然数据合规是义务主体对于风险的规避，那么其就要受成本与效益法则的影响。换句话说，数据合规是有成本的，是无上限的。这引申出的深层次问题是数据合规的边界问题。这个问题的解决亟待我们在理论上认识数据合规，发展契合数据特性的数据合规理论。

数据合规理论要解决的基本问题是：什么是数据合规（内涵与外延）、为什么要数据合规（正当性基础）、怎么进行数据合规（方法论基础）。本书想分享给读者的几点认识是：数据合规是针对数据风险开展的；数据合规具有不同的义务主体；数据合规的“数据”包含了个人信息；数据合规的理论基础是规制理论，尤其是其中的自我规制；数据合规的正当性论证意味着规制空间重构；数据合规的方法论是数据生命周期。除对数据基础理论进行讨论外，鉴于“规”多，场景多元，本书花了大量的笔墨进行场景指引。因此，在写作体例上，本书分为总论与分论两个部分。总论主要讨论数据合规的基础理论；分论针对数据生命周期的几个主要场景，对如个人信息、数据交易、数据安全、公共数据、数据资产与人工智能生成等内容进行了专门讨论，指导实践场景。相信这种写作体例有助于读者形成数据合规的基本理念与操作方法。

我们必须认识到，数据合规的理论探讨还有一个更为宏大的背景，即数字时代法律理论的变革。因此，对数据合规理论的理解与建构需要受这一背景的影响，加上数据具有可计算性的特征、处于计算机系统中，其合规离不开技术支撑，甚至合规本身也有算法化的趋向。因此，本书仅算是对于数据合规的探索成果之一。在此意义上，数据合规的理论与实践需要更多专家的参与推动，建构数据合规的法学理论体系。本书最后定名为《数据合规3.0基础理论与场景指引》，之所以定名为数据合规3.0，并非为了牵强附会一个时髦的称谓，而是因为本书对于数据合规的思考确系在法律3.0的视野下展开的。法律3.0是个历史的概念，罗杰·布朗斯沃德（Roger Brownsword）创造这一概念意在重塑（reinvented）法律。传统法律1.0设计规则、标准和一般原则体系，用于调整特定的事实情况，并在此体系中保持相当的弹性，以便处理新的情况与变化。然而，社会工业化程度越高，技术越多越复杂，法律规则适应新型风险的压力越大。如果过度监管，可能扼杀有益的技术创新应用；如果监管不足，则有使人们面临不可接受的风险之虞。在法律2.0的语境中，法律的有效性不再仅仅依托一套单纯的循环利用的规则、标准和原则体系，而是产生了阐释新规则和规制框架的问题，而且这些规则和框架直接服务于府现在采用的规制目的。法律3.0则干脆承认新技术亦是规制工具，试图在更大范围内观察被规制对象，创造更有包容性的包含技术在内的规制框架。因此，法律3.0持续关注技术的发展。“技术措施”含义广泛，包括空间的架构、流程的自动化、产品的编码等。[3]法律3.0不仅为数据合规提供了更为宏大的解释架构；也提示了企业及其背后的技术，本身就是规制工具或者合规主体。

本书由陈吉栋、胡峰、施骞进行统稿，具体分工如下，陈吉栋、段俊熙负责第一章、第二章和第三章的写作；施骞参与了第三章的写作；胡峰负责第四章的写作，吴蔽余负责第五章的写作，张竣负责第六章的写作，江翔宇负责第七章、第八章的写作，龚雪参与了第七章的写作。在本书的写作过程中，众多朋友给予了关心和指导，他们是西南政法大学孙莹教授、通力律师事务所潘永建律师、汇业律师事务所史宇航律师与北京大成（上海）律师事务所周晨黠律师等。远在长沙的刘欣律师、公安部第三研究所的王明一先生和武汉大学刘羿鸣同学、同济大学刘其瑶同学等，参与了本书的校对工作，在此表示谢意。

最后，我们想说，数据合规应该且必须成为一个法律问题，这要求法律人必须构筑其正当性依据，阐释其基础理论，填充其制度内涵。唯有如此，数据合规的事业才能稳定且合目的。本书所做的一点探索，或有浅薄之处或谬误，希望读者不吝赐教。

陈吉栋

2024年8月

写于同济大学衷和楼

[1][德]乌尔里希·贝克：《风险社会：新的现代性之路》，张文杰、何博文译，译林出版社2018年版。

[2]刘岩：《“风险社会”三论及其应用价值》，载自《浙江社会科学》2009年第3期。

[3]See Roger Brownsword，Law 3.0: Rules, Regulation and Technology，Routledge, 2020.