信用視角下的數據安全法律規制

劉 瑛

引 言

根據互聯網數據中心(簡稱IDC)監測結果，人類產生的數據量正在呈指數級增長，這些海量數據在為人們提供更多知識與信息的同時，也容易出現個人隱私數據、企業商業秘密及政府敏感數據的泄露，給個人、企業和公共安全甚至國家安全造成威脅。數據安全是數據應用并產生價值的基本保障，數據安全以數據技術為基礎，但是數據安全問題不僅僅是一個技術問題，更是法律問題?！吨腥A人民共和國數據安全法》(以下簡稱數據安全法)已經通過，并于2021年 9月1日起施行。數據安全法作為我國數據安全領域的基礎性法律，具有標志性意義和價值，但數據安全審查程序、重要數據的風險評估等重要方面仍需進一步完善配套規則等。因此，以信用為切入點，將數據安全納入法律規制體系之下，是數據治理的應有之義。

一、信用與數據安全

(一)信用的概念及本質

信用劃分為經濟信用和社會信用，經濟信用是指以信任為基礎，以按期償還為條件的交易關系和價值轉移方式，它形成交易主體間的債權債務關系。社會信用是指各主體在社會活動中遵守法規和道德規范、履行合約、兌現承諾的行為能力及信任度。所有主體的社會信用關系構成了整個社會的信用環境和社會秩序。(1)劉瑛：《企業信用法律規制研究》，北京：中國政法大學出版社2011年版，42頁。在政策支持下，我國的信用實踐進一步創新了社會信用的內涵，形成了公共信用的概念，是否遵守法定義務是公共信用的重要內涵，信用監管也是依托公共信用進行的。

數據中的信用，本質上是一種數據流轉過程中相關行為主體之間形成的相互信任關系，以及對這種信任關系的評價。一方面，數據安全中的信用，既包含個人信用，也包含企業信用；但不體現為直接的資金往來，這種信用同時更多是指向政府的，是一種公共信用。另一方面，數據安全中的信用，更多的是一種規制模式。信用視角下的數據安全法律規制，就是針對數據安全問題，以征信為起始點，以信用評級制度為基本工具，以信用監管制度和失信懲戒制度為運行保障，以信用擔保制度為支撐，針對數據安全設立相應的法律規制路徑，平衡各方主體的利益，從而維護公共利益。

概括來講，信用視角下的數據安全法律規制是一個法律系統，會涉及征信制度、信用評級制度、信用擔保制度、信用監管制度、失信懲戒機制等相關內容，涉及信用運行的事前、事中、事后三個階段，涉及個人、企業、銀行、政府等多個主體。

(二)數據安全的內涵與外延

1.數據、數據產品與數據產業

關于數據，主要有以下幾種定義：按照國際標準化組織(ISO)在信息技術術語標準中的定義，數據是“信息的一種形式化方式的體現，該種體現背后的含義可被再展示出來，且該種體現適于溝通、展示含義或處理”(2)紀海龍：《數據的私法定位與保護》，《法學研究》2018年第6期。?！皵祿哂泄ぞ咝?，它作為生成和傳輸信息的數字編碼技術，體現為以二進制為基礎的比特或比特流，進而可以通過應用代碼顯示為信息?！?3)梅夏英：《在分享和控制之間數據保護的私法局限和公共秩序構建》，《中外法學》2019年第4期?！稊祿踩ā芬幎ā皵祿?，是指任何以電子或者其他方式對信息的記錄”。由此可見，數據的基本定義要素有兩個，一個是要求記錄于一定數字載體之上，另一個是必須能夠攜帶信息。

在對數據進行加工整合后，就形成了數據產品。數據產品實際上是一個固化的軟件系統，其中包含數據分析算法和底層決策邏輯，數據產品使人們基于數據能夠更好地進行決策和分析。(4)艾達：《數據產品設計》，北京：電子工業出版社2017年版，第11頁。數據產品是數據可用性的直接體現，以數據產品的生成為時間節點，在此之前數據并沒有直接的價值，且收集數據顯然需要一定的成本，但是在數據產品生成之后，數據便具有了直接的價值，這一價值體現為通過數據產品的運行，能夠對未來趨勢產生合理預測，從而進一步對交易起到指導作用。

數據產業發展的最新形式就是大數據和人工智能的應用?！按髷祿侵改切┐笮∫呀洺隽藗鹘y意義上的尺度，一般的軟件工具難以捕捉、存儲、管理和分析的數據?！?5)涂子沛：《大數據：正在到來的數據革命，以及它如何改變政府、商業與我們的生活》，桂林：廣西師范大學出版社2013年版，第7頁。大數據是數據從量變到質變的結果之一?！皬V義上的大數據強調的是思維方式，即使用大量多樣且快速更新的數據來預測相應趨勢，而狹義的大數據被視為技術，是一種挖掘分析數據的計算機技術?！?6)陳兵：《大數據的競爭法屬性及規制意義》，《法學》2018年第8期。人工智能則是基于數據和算法而開發的新的應用。(7)瑪格麗特·A.博登著，王漢琦等：《人工智能哲學》，上海：上海譯文出版社2006年版。人工智能是基于數據而對人的智能進行模擬和延展的一門科學技術。

2.數據安全的內涵和外延

《數據安全法》規定“數據安全，是指通過采取必要措施，確保數據處于有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力”。數據安全有兩方面的內涵：一方面，數據安全是指“數據防護的安全”；另一方面，數據安全是指“數據利用的安全”。這兩個方面對立又統一，無論是數據本身的安全還是數據防護的安全，都帶有強烈的技術色彩。因此，當將“數據安全”作為一個法律概念進行審視的時候，應當回歸技術中立原則，著眼于最終的法律效果?！皵祿踩?，是指一種應然的狀態，即數據處于一種沒有危險和不受威脅的狀態，數據始終保有完整性、機密性和可用性。也就是說，數據安全指的是數據產生與數據流動過程的安全狀態。

從這一內涵出發，數據安全有三個層面的外延。第一，數據本身內容的安全，即數據的收集、存儲、使用都不受到威脅，也不存在數據泄露或者數據丟失的風險。第二，數據產品的安全，即處理數據的軟件系統的安全。數據產品的安全要求處理數據的軟件，不遭受惡意破壞、更改或泄露。第三，數據產業的安全，即保證以數據作為主要對象的產業整體的安全。數據產業安全是從宏觀角度來說的，所謂產業安全，是指在數據相對集中的產業，不受到數據泄露、數據軟件被非法破壞等問題的威脅。

綜合這三個層面來看，數據是數據安全的概念基礎，其安全性也關乎整體的數據安全；數據產品是數據價值發掘的必經手段，其所依托的軟件系統是數據運用的基本手段，因此數據產品是數據安全的主要對象。而數據產業是數據和數據產品的宏觀體現。以人工智能和大數據為代表的數據產業，需要數據安全的支撐。申言之，數據產業的安全以數據本身的安全和數據產品安全為基石。

(三)信用與數據安全的相互關系

當包含著契約踐行意愿與能力的信息以二進制方式表達時，信用就可以理解為一種特殊的數據。當這種包含信用信息的數據經由一定的底層邏輯設計為軟件，并以軟件運行結果對信用狀況進行描述時，信用就成了一種特殊的數據產品。

這種特殊性在內容上表現為：信用數據涵蓋個人和企業以及其他主體的信用信息，包含了所涉主體自身履行契約或諾言的能力及意愿信息，具有顯著的直接價值。在用途上表現為：信用數據的收集以建立完善的信用運行系統為首要目的，在信用數據的收集和使用中，社會價值大于經濟價值。

在明確了信用可以在形式上表現為特殊數據之后，信用系統的運行也就可以從數據流動的角度進行理解。征信本質上就是一個收集原始數據的過程，對收集到的信用數據進行邏輯分析、加工且進行系統化固定之后，信用數據就成了信用數據產品，就具有了可使用性和直接價值。這一價值直接體現為，信用能夠成為規制數據安全的工具，信用系統運行所產生的信用評價，自然能對數據安全治理產生指導意義。信用的特殊性，也延伸了數據安全規制的范圍和途徑，使得數據安全問題的規制有了新的依托。

二、信用在治理數據安全問題中的作用

(一)目前數據安全法律規制面臨的困境

現實生活中數據濫用、數據泄露問題屢屢發生。產業利益的存在，讓數據隱私形同虛設。而數據安全并不僅僅等同于個人信息安全，更是網絡空間安全的基石。數據安全一旦出現問題，整個網絡空間也會相應失序。在經濟虛擬化的今天，這種失序無疑會引發社會秩序的動蕩。習近平總書記在國家網絡安全宣傳周作出重要指示強調，要堅持促進發展和依法管理相統一，提升全民網絡安全意識和技能，這是國家網絡安全工作的重要內容。國家網絡安全工作要堅持網絡安全為人民、網絡安全靠人民，保障個人信息安全，維護公民在網絡空間的合法權益。(8)參見習近平：《堅持安全可控和開放創新并重，提升廣大人民群眾在網絡空間的獲得感幸福感安全感》，https:∥mp.weixin.qq.com/s/H2dfo-mV55I3jS0rhL8uNA，新華社，最后訪問日期：2021年3月16日。

盡管數據安全的重要性不言而喻，但是數據安全規制依舊面臨制度的困境。從以往的研究來看，學者普遍希望通過擴大傳統民商法的適用范圍來解決這一問題，但是從產權確認、權利賦予等角度解決數據安全問題，無法逾越數據安全問題的廣泛性和特殊性，解決思路與問題性質的契合度顯然不夠。數據安全問題作為一種全新的、復雜的且權利性質更為模糊的法律問題，應該探尋新的有效解決思路。

(二)從信用視角治理數據安全問題的必要性

黨的十八大以來，黨中央、國務院高度重視社會信用體系建設，并在2014年出臺全國性的頂層設計文件——《社會信用體系建設規劃綱要(2014—2020年)》(以下簡稱《信用建設綱要》)，將信用體系提升到關乎國家治理體系和治理能力現代化的高度?！案鶕缎庞媒ㄔO綱要》的內容和社會信用體系建設實例，在看似道德工程的表面背后，實際上是執政者在宣告道德規范重要性的同時，更希望借此加強法律的實施?！?9)沈巋：《社會信用體系建設的法治之道》，《中國法學》2019年第5期。數據安全的保障與信用體系的建立相輔相成，只有保證數據安全，才能確認信用運行過程的安全性；同時，完善的信用體系的建立，也必然能夠助力數據安全相關法律制度的建立。

與舊有的研究路徑相比較，從數據與信用性質上的相似性出發，明確信用在數據安全問題上的獨特作用，并以此為切入點，以初步建成的信用法律體系引導數據安全立法體系進程，明顯更具有現實必要性。

首先，信用是一種以激勵為主的制度，而非懲戒制度。如果通過賦予數據主體權利或者認定數據的財產屬性來規制數據安全問題，那么實際上就是用對待侵權行為的態度處理數據安全問題，本質上是一種懲戒機制，具有個案性和事后性。而信用機制雖然有相應的懲戒措施，但是信用評價是一個動態的過程，并非固化的評價，被評價的主體可以通過自己的行為影響評價的結果，形成正反饋機制，對數據安全秩序的構建有一種內發性的作用。

其次，信用作用于數據安全的全過程。在數據安全領域，與數據相關的信用體系一旦形成，其作用范圍是廣泛的。從數據的收集，到數據的利用，再到數據產業的運轉，都會受到信用的約束。而并不是說只有當數據安全受到威脅，或者數據安全已經喪失的情況下，信用才能產生作用力。

最后，信用機制能更好地實現利益平衡。無論是人工智能的風險管控，還是大數據與云計算的應用，我們實際關注的都是數據安全問題，數據安全不僅僅是一個技術問題，更是一個社會問題，一個法律問題。(10)華科智谷：《誰在提“可信人工智能”？》，https:∥mp.weixin.qq.com/s/L-WR5txjEifOuJ73VVN3Dg，最后訪問日期：2021年3月16日。數據安全問題具有特殊性，以信用視角進行法律規制數據安全問題的過程實質上是一個利益衡量的過程，過于嚴苛的數據安全管控政策無疑會影響產業發展，而數據安全得不到保障的后果必然是私權利受侵犯以及公共秩序遭破壞。因此，若要妥善處理數據安全問題，必須改變傳統的以解決問題為中心的立法思維，探尋以信用體系為切入點進行具有前瞻性和預測性的數據安全法律規制，探索一種新的法律規制途徑。

綜合以上三個方面，雖然在數據安全領域引入信用制度，需要理念的轉變，也需要進行大量的制度設計、指標設計，同時也增加了相關企業的經營門檻，但是同時更要看到，信用作為一種長效機制，能夠以一種良性的方式實現利益的平衡，能夠以激勵而非單純懲戒的方式引導數據安全秩序的構建。

(三)以信用為切入點治理數據安全問題的優勢

數據安全問題之特殊性，在于數據安全問題既涉及私主體的權利，又與公共利益和公共秩序息息相關。分析這一問題需要從不同角度進行觀察。

第一，從私權利保護的視角觀察。大數據時代，私權性或者說個人性是當下數據的顯著特征之一。大量的數據涉及個人的信息和隱私，甚至涉及個人的敏感信息和核心隱私。(11)See：Anita L．Allen，“Protecting One’s Own Privacy in a Big Data Economy”，Harvard Law Review Forum，Vol.130，No.2，2016，pp.71-78；Jarass，in：ders，EU-Grundrechte-Charta Art 8. Rn.5.與數據安全息息相關的概念是“個人信息權”，這一權利要求是基于個人信息的價值所提出的，其本質是一種私權利。數據安全當然要保證個人的數據不受侵犯、不被濫用，個人不會因數據問題而遭受財產或精神損失。但基于當下的社會現狀，對個人數據保護如果從物權或者隱私權的角度出發，既存在法理論證上的爭議，也存在實務操作的困難。

而信用法律體系中的信用評級制度和失信懲戒制度可以較好地解決如何保護這一私權利的問題。在事先，通過信用評級明確數據使用者的信用資質以保證數據的安全使用；在事中，使失信的數據使用者喪失數據的使用權，以避免不當的數據使用行為進一步延續；在事后，信用體系使被侵權者易于發現具體的侵權者，以便在個案救濟時提出具體賠償，避免損失擴大。

第二，從公共秩序構建的角度觀察。雖然數據具有一定的私權性，但是其公共性更為顯著?！八辖洕鷮W上“公共品”(Public Goods)的核心特征，即非競爭性和非排他性。前者指一人對公共品的使用不影響他人對其使用，后者指多人可以同時使用公共品而互不排斥?！?12)楊青：《淺談數據治理、數據管理、數據資源與數據資產管理內涵及差異點》，https:∥mp.weixin.qq.com/s/wyN_LmY4aebzbh9K0903Og，數據工匠俱樂部，最后訪問日期：2020年9月13日。因此要想真正妥善地解決數據安全問題，就必須構建數據使用的公共安全秩序。

這一秩序的構建，離不開信用法律體系。首先，信用法律制度能規制數據的收集階段、使用階段以及數據的“被遺忘”(13)參見數據的被遺忘，是指數據主體有權要求數據控制者永久刪除有關數據主體的個人數據，有權被互聯網遺忘，除非數據的保留有合法的理由。階段。數據安全問題的時間跨度較長，但信用法律體系在其各個階段都有相應的規則加以規制。其次，信用與數據二者的目標一致，數據安全的建設其意義不在于嚴格限制數據的使用和分享，而在于建立適當的秩序，以更好地實現數據的價值，這一目標與信用法律體系相契合。二者的價值取向一致，對數據公共秩序的構建具有重要意義。最后，從社會效益的角度來看，信用法律體系的建設已經逐步完善，用信用法律規制數據安全問題，實際上就是把數據安全問題納入信用法律體系，這樣的制度構建效率更快，社會成本更低。

私法自治在資本的影響下，對公共性問題的處理必然體現一定的局限性；而純粹的以公共秩序為唯一考量因素又必然會導致對個人權利的侵犯，因此二者的權衡是立法首先要解決的問題。數據安全問題的起始點是私人權利受到侵犯，但隨著其發展數據問題必然更廣泛地演變成一個社會問題，演變成一個經濟問題，規制這一問題要兼用私法和公法的立法技術。而考慮到信用相關法律鏈接了社會和經濟兩個方面，由此在制度構建上，以信用為切入點，借助已經初步形成體系化的信用制度，在遵循相同的法價值的基礎上，對數據安全問題進行法律規制確有其優越性。

(四)信用制度在數據安全問題規制中的具體作用

信用能夠影響數據的收集和使用，進而影響數據安全。這一作用是通過信用評價系統實現的。信用評價是將收集到的信用數據按照一定邏輯進行分析，從而得出能夠指導決策的有用信息，這一信息往往包含被評價人的履約能力的等級。社會大眾更傾向于允許信用良好的企業收集其數據，且信用良好的企業收集數據后所加工的數據產品更容易得到數據使用者認可。通過契約關系這一紐帶，信用對數據產生反作用。

依托信用體系，數據安全的規制模式從僅僅是事后規制變為了全流程規制，并且事前規制的作用愈發重要和突出。在事前規制之外，從數據的收集，到數據的使用，再到數據產業的整體發展，信用都起到了重要作用。

首先，信用評級可以限制數據收集主體的資格。信用評級系統在對主體的信用信息進行收集整理之后，根據一定邏輯或算法，能夠對主體的信用等級進行評價，該評價可能會影響到一些數據收集者的資質。對有信用風險的數據收集者，當然要對其數據收集行為進行限制。其次，信用可以用來規范數據的使用。數據的使用必須滿足誠實信用原則的要求，具體來說使用數據必須依照明確具體的目的，這一目的必須是數據的被收集者(即數據的所有者)所明知的，該目的當然也不能違背公序良俗或者對第三人利益造成不利影響。最后，信用可以用來評價履約情況和繼續履約的能力?；谶@一評價，數據擁有者可以決定是否繼續提供數據，數據使用者也可以提出變更數據使用目的等要求。

信用這三個環節的作用力，決定了信用對于數據安全的作用力是全流程的。也就是說，信用參與數據安全規制，雖然是依據具體的數據行為而進行的評價，但這一評價有兩個層面的獨特意義：第一，這一評價依托具體的行為做出，但其規制意義不局限于具體行為，也不是一種事后的懲戒機制，而是一種事前、事中、事后的激勵機制；第二，這一激勵機制促進數據安全領域相關主體積極反思自己的行為，對自己行為做出相應約束，從而從根源上解決數據安全問題。

三、信用視角下數據安全規制理念的革新

(一)國外數據安全規制的實踐及啟示

數據安全是數據治理的重要組成部分，具體來說，數據安全要求數據的收集和使用處于安全可控的范圍之內，以保證數據安全治理數據決策的科學性和有效性，同時提高數據流通的效率，優化授信流程，提升數據產品可信度。相較于舊有的數據安全政策和數據安全治理手段而言，大數據時代下的數據安全呈現出更加復雜和多元的態勢，能夠對國家很多領域產生影響，因此大數據時代下的數據安全治理已經成為各個國家的社會熱點話題和立法重點領域。

1.美國的數據安全立法模式

以美國為首的西方國家數據治理開始時間較早，美國更是從20世紀70年代就開始了數據治理，進入大數據時代后，美國的數據公共政策的重點也從國家安全向個人隱私與國家安全并重轉變。2000年，美國頒布了《國家安全戰略報告》，使信息安全正式成為國家安全戰略框架的一部分，2003年美國又出臺了《網絡空間安全國家戰略》，這標志著國家信息安全獨立地位的最終確認。(14)馬海群、王茜茹：《美國數據安全政策的演化路徑、特征及啟示》，《現代情報》2016年第1期。此外，美國還啟動了“國際網絡戰略”和“網絡安全信息共享法”等重要戰略計劃，以確保其在數據主權方面的領先地位。(15)劉藝、鄧青、彭雨蘇：《大數據時代數據主權與隱私保護面臨的安全挑戰》，《管理現代化》2019年第1期。但是自“棱鏡門”事件后，美國的數據安全觀發生了一定程度的改變，立法在繼續維持其國家數據安全和數據主權的基礎上，也逐漸側重于個人隱私保護。2018年6月28日，美國加利福尼亞州頒布了《2018年加州消費者隱私法案》(簡稱“CCPA”)，這一法案以消費者隱私為保護重點，被認為是美國國內最嚴格的隱私立法。該法案以規制企業對個人數據使用為目的，規制模式是西方立法中傳統的權利義務模式，并在此基礎上著重強調消費者的隱私性權利。

總而言之，以加州CCPA法案為代表，美國著力于維護其數據領域的領先地位，并在強調數據在國家層面的戰略意義的基礎上，逐步加強對個人隱私數據的保護。在數據安全觀上，形成了國家數據安全與個人數據安全并重的政策模式。

2.日本的數據安全立法模式

日本的數據安全治理以對數據權的法律確認為邏輯起點，“日本對數據權屬以自由流通為原則，以特殊保護為例外”。其實質上還是將數據問題主要交由契約自由原則來控制，以促進數據的自由流通為立法目標。(16)李慧敏、王忠：《日本對個人數據權屬的處理方式及其啟示》，《科技與法律》2019年第4期。日本在2005年就進行了《個人信息保護法》，并在2015年進行了大幅度修改。在修法過程中，日本規定了“個人信息”與“個人數據”的概念，并將數據安全的商業利益轉嫁到合同法領域，即充分認可民事主體之間關于數據使用的契約，通過契約的約束力規范數據的授權和使用，同時考慮到數據的公共利益性，日本在法律運行過程中強調誠信原則和信用原則。為了避免數據壟斷，“ 2017年5月，日本經濟產業省又發布《數據使用權限簽約指南》，并在此基礎上進行補充、修訂，于2018年6月發布《人工智能、數據利用相關簽約指南》，并提供了《數據交易合同范本》供交易當事人參考”(17)王淳、馬海群：《我國數據安全治理體系及路徑研究》，《圖書館理論與實踐》2018年第1期。。從命名規則上來看，日本的這幾個文件采用了“指南”、“合同范本”等命名方式，體現了公權力對數據安全領域的審慎態度，但這些文本的公布，也證明日本正逐漸意識到數據安全問題不是一個私權領域的問題，而是與公共利益密切相關的。

3.歐盟的數據安全立法模式

在制定完整的數據安全法方面，歐盟走在了世界的前列，通過制定《一般數據保護條例》，歐盟對個人數據及其跨境流動進行了統一規制，這部法律有效回應了大數據時代對數據保護提出的挑戰。(18)王淳、馬海群：《我國數據安全治理體系及路徑研究》，《圖書館理論與實踐》2018年第1期。歐盟議會在1995年制定的《計算機數據保護法》的基礎上，于2016年4月14日通過了《通用數據保護條例(General Data Protection Regulations)》(簡稱“GDPR”)，這一條例已經于2018年5月25日在歐盟成員國內正式生效實施。從《通用數據保護條例》的文本內容來看，這一條例明顯采取了以權利為主導的立法模式，這也是西方國家一貫的立法模式。GDPR限定其保護的僅是“個人數據”(personal data)，在數據安全方面，GDPR構建了完整的個人數據收集、整理規則。GDPR明確了收集數據的行為和用戶同意的構成要件，并在此基礎上構建了數據主體的權利體系，數據主體具有獲取權、修改權、被遺忘權、限制處理權、數據可攜帶權、異議提出權。與這些權利相對應，GDPR也為數據控制者、處理者設定了相應的義務，具體包括：記錄對數據的處理活動的義務、確保處理安全的義務、與監管部門合作的義務、個人數據泄露時的通知義務等。

縱觀以GDPR為核心的歐盟數據立法，可以清楚地發現其權利基礎是信息自決權，其實質上將個人數據權定性為一種參與原則下的知情權，這種權利的設計旨在構建公平的競爭秩序，避免不當的數據使用，也防止本區域的數據跨境流動造成數據安全隱患。(19)張金平：《歐盟個人數據權的演進及其啟示》，《法商研究》2019年第5期。GDPR將個人數據權定性為一種參與原則下的知情權，實際上內含與數據收集者之間的契約關系以及相互秉承的誠實信用原則。歐盟通過GDPR這一號稱“史上最嚴”的個人數據法案，保衛了自己國家的數據主權。

4.國外立法模式對我國數據安全規制的啟示

國外立法存在較為明確的一致性，基本思路就是創設新權利以控制數據流動，同時要求政府介入數據安全的規制。國外的立法價值取向都傾向于保護數據的自由流通，立法邏輯也都遵從國內現有法律制度構建的法律邏輯。立法傾向也側重于個人信息安全的保護，雖然各國都意識到數據主權的重要性，但是總體的國家數據安全觀尚未形成。

回歸我國的社會生活實際和現有法律制度體系，國外數據安全立法模式對我國的啟示如下：

第一，要謹慎適用“設權型”立法。

從新型權利產生的前提來看，需根據既有規范對數據確權進行仔細考察，從而與某些“僅具有描述性意義、個案價值，而不具有普遍意義”的權利訴求相區別。(20)彭誠信：《現代權利理論研究：基于“意志理論”與“利益理論”的評析》，北京：法律出版社2017年版，第310頁。我國立法遵從的是社會本位，設定數據的私權雖然有助于厘清產權上的關系，但是私權的排他性與數據本身的發展趨勢是相悖的。數據安全對國家整體安全的作用力是直接的，而并非以私權利為媒介?！皟H僅基于數據本身蘊含經濟價值、存在數據安全風險兩方面原因，就采取直接新設排他性財產權(或擴大相關法律解釋)的邏輯，反而容易導致數據資源浪費或其他制度性成本的增加?！?21)王淳、馬海群：《我國數據安全治理體系及路徑研究》，《圖書館理論與實踐》2018年第1期?！巴瑫r，在數據交易中，強調的也是其掌握的可交易數據，而非交易本身?！?22)韓旭至：《數據確權的困境及破解之道》，《東方法學》2020年第1期。從數據的存在形式、傳播方式上看，數據作為私權利的客體就有不妥之處，加之數據立法目的在于鼓勵數據以安全方式進行流轉。因此，我國數據安全立法應該從我國法律框架內尋找答案，而不能單純采用法律移植的方式，通過新設權利解決這一問題。

第二，公權力介入要注重審慎與平衡。

政府作為管理者，主要作用是規范數據的傳播以起到保護各方利益不受侵犯。數據安全的管理實質上是一個利益衡量的過程，需要綜合考慮個人利益、產業利益、公共利益和國家利益之間的關系。從國外立法的實施過程來看，與促進數據流通的立法目的相匹配，在執法中公權力的介入也多與鼓勵數據流通有關。因此，在我國的數據安全規制中，要探索公權力運作的具體方式，考慮公權力是否能基于私主體之間的契約進行管理，或者公權力機關能否作為契約一方參與到權利義務分配中而進行管理。應當考慮以合法原則和比例原則為基礎，對公權力進行恰當限制，避免以信用數據為基礎的聯動獎懲機制的濫用。同時，也應當設置相關的救濟制度，以保護公民的私權益。(23)羅培新：《遏制公權與保護私益：社會信用立法論略》，《政法論壇》2018年第6期?？偟膩碚f，在信用視角下的數據安全問題中，公權力機關兼具數據收集者、數據使用者、數據行為規制者等多重身份，因此對公權力介入方式必須采取審慎態度，在制度設計上要充分考慮公益與私益的平衡，保障數據產業的流通性與穩定性。

第三，通過數據分類推動并規范數據的開發利用。

從國外立法經驗來看，數據分類是數據治理的重要一環。數據分類應該作為數據治理的先導性和基礎性工作來做，我國數據治理中未能形成完整的數據分類體系，這方面的缺失說明我國數據治理尚未做到細節控制。我國應以社會運行中的現實問題為導向，探索建立數據分類標準。通過數據分類以及相應的制度建設，推動數據的開發利用。

綜上三個方面，結合信用制度設計的初衷，不難發現信用制度與數據安全之間存在契合點。首先，信用法律體系的價值是社會本位，其不以確定個人權利為基礎和著眼點，而是以信用的長效運行為目的并對其運行的各個階段進行把控，這一制度設計實際上可以用作數據安全規制的手段。其次，以信用為手段進行數據管理的過程中公權力色彩并不強烈。信用評價機構作為第三方機構并不是政府直接的組成部門，且信用評價機構與被評價者之間存在契約關系，這就為管理者如何進行數據安全規制提供了借鑒空間。最后，在當前的技術條件下信用信息實質上是一種數據，而信用的類型化已經較為完善。根據信用的作用領域不同，信用分為政府信用、商事信用、社會信用及司法信用四大類(24)國務院2014年6月14日發布的《社會信用體系建設規劃綱要(2014—2020年)》。；根據信用主體的不同，可以分為個人信用、企業信用、政府信用等，這些分類與相關的制度設計相對應，構成較為完整的信用體系。因此，從信用數據擴展到整個數據領域，在分類上可以遵循相同的思路進行。在對國外立法經驗進行梳理之后，不難得出信用視角下探索我國數據安全法律規制的對策具有現實性和可行性。

(二)信用視角下數據安全立法價值的反思

立法固有的利益平衡功能，能夠在利益多元化及沖突化的背景下，實現對利益關系的調節，使得各個利益主體能夠各得其所、各安其位。這一利益衡量的過程與立法目標和立法價值緊密相關。商業行為以利益為第一目的，而法律規制則應以公平有效為首要目的，這一點在數據安全問題中體現得尤為充分。除了法律普遍適用的公平正義觀之外，社會發展所處歷史階段的制約因素實際上也構成了影響利益衡量的重要指標。(25)張新寶：《從隱私到個人信息：利益再衡量的理論與制度安排》，《中國法學》2015年第3期。

隨著云計算、大數據等技術的普及，使得數據關涉每個行業的基層運行，但若單純以技術來規范技術，那么數據安全問題始終具有滯后性。當下數據安全問題的起始點往往是過分追求商業利益而罔顧公共利益，因此立法必須對這種錯誤的價值取向進行遏止，樹立正確的數據安全法律觀。也就是說，法律規制劃定了數據收集和數據使用的底線。

從信用的視角審慎數據安全法律規制，應當回歸信用的社會性。信用視角下數據安全的立法價值，更側重于對社會秩序的影響，即對公共利益的保護。信用法律制度本身就固有通過法律強化道德實施之義，而數據安全與信用相結合，就意味著在數據安全領域要求各方主體恪守誠信，規范行為，形成良好的產業秩序，保護公共利益。

(三)國家數據安全觀的確立

數據安全問題與個人信息安全問題并不等價，個人信息安全其實是數據安全問題的一個具體樣態。信用視角下的數據安全規制，并不僅僅針對個人信息安全問題，而更側重于數據整體的安全，這是由信用制度的社會公共性決定的。也就是說，信用視角下的數據安全觀，是一種國家數據安全觀?！稊祿踩ā访鞔_強調在堅持總體國家安全觀的前提下維護數據安全，并設立國家數據安全工作的決策和議事協調機制。這一觀念可以從以下三個角度理解：

第一，數據國家安全觀與個人信息安全并非相互獨立的關系。個人信息安全統一于國家信息安全之下，個人信息安全是微觀層面以消費者為主體的信息安全，而國家安全則是國家整體的數據安全，前者包含于后者之中。

第二，數據國家安全觀的確立，是對數據主權的確認。數據主權意味著國家作為主體有權對一國范圍內的數據獨立進行管理與控制。數據主權是一國數據產業穩步健康發展的前提。

第三，數據國家安全觀是用信用法律規制數據安全問題的必然選擇。信用制度的運行具有宏觀性、公共性，信用制度下的數據安全規制，以公共利益、社會利益為本位，這就要求樹立整體的國家數據安全觀。

(四)信用視角下數據安全規制的原則

第一，誠實信用原則。以信用為切入點的數據安全法律規制當然以誠實信用原則為首要原則。誠實信用原則是民法中的帝王原則，要求人們在民事活動中應當誠實、守信用，正當行使權利和履行義務。誠實信用原則也是市場經濟活動中的一項基本道德準則，是現代法治社會的一項基本法律規則，誠實信用原則是一種具有道德內涵的法律規范。

在數據安全問題上，誠信安全涉及數據流動的每個階段，首先，數據收集者必須本著誠實信用原則告知數據擁有者數據收集的目的和范圍，并且在數據產品的使用階段保證不濫用數據；其次，這一原則也規范數據擁有者的行為，數據擁有者應當保證其所給出的數據真實。與之相對的是，不可以違背誠信去收集、使用他人的數據。這是最基本的尊重和信任所要求的?；谡\實信用原則，持有公民數據信息的社會主體應當負有相應的安全保障義務，未經公民同意，不是基于公共利益的需要，泄露、使用公民數據信息或者使公民數據信息處于不安全境地，均應承擔法律責任，這也是網絡信息安全立法的基本底線。

第二，公平正義原則。這一原則要求當事人在民事活動中應以社會正義、公平的觀念指導自己的行為、平衡各方的利益，要求以社會正義、公平的觀念來處理當事人之間的糾紛。具體在數據安全問題上，在立法層面，要求平衡各方面的利益，實現法價值上對公平正義的追求；在執法層面，避免掌握大量數據的商業巨頭對執法產生不當的影響，保證執法的公平，通過執法維護社會正義；在司法層面，在準確界定新的市場行為性質的前提下，要嚴格正確使用法律，更要正確適用法律，讓司法成為社會正義的一道堅固的防線。

第三，安全可控原則。數據安全本質上是一種合理控制下的安全，其價值取向不是拒絕數據分享，而是規范數據分享。(26)繆文升：《人工智能時代個人信息數據安全問題的法律規制》，《廣西社會科學》2018年第9期。安全可控原則的終極目標是維護國家經濟安全，其實質是由國家來承擔并采取的一種防范風險和危機的意識、能力與保證措施。在立法核心制度上，需要明確政府數據開放范圍與標準，建立數據開放保密審查和安全管理法律制度。(27)劉權：《政府數據開放的立法路徑》，《暨南學報》(哲學社會科學版)，2021年第1期。其基本內涵是體現出數據安全對國內經濟整體安全的影響，進而影響到國際交往中的國家經濟主權安全。(28)單飛躍：《經濟法理念與范疇的解析》，北京：中國檢察出版社2002年版，第100頁。而安全可控的實現，有賴于信用系統的運行。

第四，目的明確原則。針對國家機關而言，數據信息的收集、運用和處理要符合國家機關行使職權、履行職責的特定需要。針對商業機構而言，要求機構收集信息前確定特定目的并報有關部門同意。針對個人信息而言，相關主體在收集、使用個人信息時，必須明示收集、使用信息的目的，不得以合法形式掩蓋非法目的。同時，目的明確也要求對應的授權是明確的，也就是說數據控制者在處理數據時，應當考慮信息主體與數據控制者的關系，保護信息主體的合理期待，進而確保信息主體權利不受侵犯。(29)寧立志、傅顯揚：《論數據的法律規制模式選擇》，《知識產權》2019年第12期。目的明確原則與數據主體的“知情權”(30)田野：《大數據時代知情同意原則的困境與出路——以生物資料庫的個人信息保護為例》，《法制與社會發展》2018年第6期。緊密相連，是對數據收集行為的限制。收集數據必須有特定的目的，不能侵犯相關主體利益，也不能違背公共秩序?！稊祿踩ā返诙臈l所確立的“數據安全審查規則”，就準確體現了數據安全與公共秩序之間的關系，以安全審查為紐帶，數據安全維護成為了廣義上的公共秩序管理的一部分。但是，為了真正促進數據的有效流通和使用，在存在經過個案確定的正當合法利益時，無須經過數據主體同意即可使用相關信息。本質上還是在目的明確原則的限定之下，因為如果數據使用的目的與用戶的合理預期相符，就意味著個案中正當利益的存在。(31)謝琳：《大數據時代個人信息使用的合法利益豁免》，《政法論壇》2019年第1期。收集數據目的明確與否，涉及收集數據的行為性質的可信程度，因此可以將目的明確作為信用評價的一個因素，從而直觀展示相關主體收集數據的相關行為的可信程度。

第五，權責清晰原則。權責清晰原則應有兩方面的含義，一方面是在為數據使用者設立法律義務時，必須保證權利與義務的一致性；另一方面是在發生侵權需要救濟時，如何妥當地劃分相關主體的責任。在數據的使用與被使用中，數據使用者顯然處于強勢地位，他們是最大的受益者，所以他們理所當然地應該成為信息數據的保護者，也當然對數據擁有者因數據安全問題所遭受的損失負有主要責任?！爸灰怯捎跀祿占褪褂脤е铝藫p害，數據使用者就須承擔責任，除非其能證明在數據的收集和使用過程中不存在故意或者重大過失；如果銷售者與使用者存在過錯，則應在自身范圍內承擔相應的責任?！?32)繆文升：《人工智能時代個人信息數據安全問題的法律規制》，《廣西社會科學》2018年第9期。同時，為了構建公平競爭秩序、保護參與原則下的相關主體的數據權，信用機制可以通過相關主體的行為，明確權責一致的評價標準，從而引導相關主體規范自身行為。

四、信用視角下數據安全體系的建立

(一)信用視角下數據安全規制模式的確定

傳統的立法更多傾向于保護人們內心確認的社會秩序，即一種“確認模式”的立法。而在技術手段不斷革新的背景下，立法必須具有一定的前瞻性和預測性，需要進行“路徑選擇模式”的立法?！奥窂竭x擇模式”更加側重于立法的預測性，跳出了“以技術規制技術”的固有思路，立法難度較高，其不是單純地為解決現實問題而進行的應急性立法，因此必須在抽象層面上價值取向厘清的基礎上進行審慎的制度設計，通過法價值的確認防止立法被技術所規避。

此外，立法模式也應該從“控制模式”逐步向“控制謙抑模式”演進，這一模式的轉變基于數據的性質?！皵祿蚕硎且环N重要的數據利用方式，也是數據流通和數據產業發展的重要基礎?！?33)王利明：《數據共享與個人信息保護》，《現代法學》2019年第1期。數據本身的價值和目的在于復制和分享，若由個人封閉式獨占，則其價值無法實現。在以分享為前提的數據法律秩序中，想要對現實生活中的個人信息、知識產權和企業數據財產提供保護，就應當去建立更適當的使用秩序、分享秩序，而不是去嚴格控制數據的收集和使用。但是對控制模式的反思不意味著直接走向“自由模式”，完全將數據安全規制問題置于商業市場運作之下顯然失當，“制定法權威性、強制性與普遍適用性等優勢是自律規范等非正式制度無法企及的，它能夠為機構和個人建立穩定的預期從而更加有效地規制其行為”，(34)James G．Match & Johan Polsen，Rediscovering Institutions：The Organizational Basis of Politics，New York：The Free Press，1989，p.178．在我國尚未形成充分的市場自律氛圍的情況下，由國家統一立法加以規范尤為必要(35)繆文升：《人工智能時代個人信息數據安全問題的法律規制》，《廣西社會科學》2018年第9期。，立法者需要反思的是如何改變國家強力控制的思維慣性，通過具體的制度設計對政府機關的行為進行指引，使得政府機關在數據相關問題上保持一定程度的謙抑。

也就是說，反對嚴格的控制不代表就一定要走向另一個極端，也不代表“不擇手段地收集數據”(36)“不擇手段地收集數據”是指罔顧法律允許的范圍，在利益的驅動下，數據收集者通過各種技術手段盡可能地收集數據，當然包括觸犯隱私權的相關數據收集行為。立法模式的選擇事關我國數據安全法律體系的整體走向，影響著我國數字經濟的興盛繁榮。在模式選擇這一立法“頂層設計”問題上，既要以我國大數據產業與技術、立法和司法現狀為基礎，也必須去探尋立法背后的法價值。(37)寧立志、傅顯揚：《論數據的法律規制模式選擇》，《知識產權》2019年第12期。數據安全領域需要的是一部以保護公民利益、企業利益，維護社會秩序和市場秩序為主要目標的法律，立法應當為數據的收集和使用劃定不可逾越的法律底線。要探索政府監管下的數據管理和運用新模式，發揮市場主體作用，建立全生命周期管理體制，實現全社會數據的開放共享。通過立法保護企業的數據挖掘分析成果，引導企業開放對數據的搜索結果，實現信息共享的市場化。

同時，這一契合中國國家治理觀和命運共同體的“良法善治”的立法目標具有國際意義。數據問題具有全球性，國際社會中始終存在數據全球化和數據保護主義兩種截然不同的傾向。因此契合中國“國家治理觀”和“命運共同體”的“良法善治”的治理方略意義非凡，這一方略將為數據安全這一全球性問題提供中國范式。

(二)以信用為核心建立數據安全規制體系

“因數據安全問題所涉法律規范必然范圍廣泛、內容豐富，基于此，宜采用基本法與特殊法相互結合、相互補益的立法模式。具體而言，個人信息數據安全的保護以民法保護為基礎，明確其權能內容、保護方式；同時制定專門性法律，規定如人工智能運用領域的個人信息數據安全保護的原則和辦法?！?38)繆文升：《人工智能時代個人信息數據安全問題的法律規制》，《廣西社會科學》2018年第9期。而商業數據安全的保護則以行政法為基礎，通過行政機構的基本管理職能，對商業數據的收集和使用從主體資格、收集方式、數據用途等方面進行管理。關于理想的數據安全法律規范體系，可以簡單圖示如下：

在這一體系中，其中各個層級的法律在數據安全治理中發揮著不同的作用：

第一，憲法。憲法的理念貫穿于我國所有法律規范之中，合憲性是數據安全法律規范體系有效的基礎和首要前提。

第二，民法典和刑法典。民法典中確立了個人信息受法律保護的地位，體現了數據安全問題的私權利屬性；刑法典中的“侵犯公民個人信息罪”能夠有效防止惡性的數據安全事件出現，體現了數據安全問題的社會屬性。

第三，信用法律規范。我國正在加快《中華人民共和國社會信用法》的立法進程，這一以信用關系為主要規制關系的法律，在數據安全法律規范體系中有著承上啟下的意義，一方面，信用法突出承接民法之根本理念——誠實信用，并將誠實信用原則進行具體規則化；另一方面，信用中的信用評估制度也可服務于具體法律規范，體現其工具價值性，對《個人信息保護法》等法律的具體運行起到指導作用。

第四，專門法與相關法?！秱€人信息保護法》、《數據安全法》是用于保護個人信息、規范數據安全的專門法，后者的出臺更是明確了數據安全保護中各個主體的參與方式與責任劃分。但是，在此基礎上仍需配套全面的相關法律，諸如《網絡安全法》、《電子商務法》、《消費者權益保護法》等，這些法的效力層級較民法典等基本法來說較低，但其中的一些條款涉及數據安全問題。(39)尤一煒等：《〈個人信息保護法〉還未出臺，目前哪些法律在保護你的個人信息？》，https:∥m.sohu.com/a/299086801_161795/?_trans_=010005_pcwzywxewmsm，南方都市報，最后訪問日期：2020年9月17日。上面提到的專門法與相關法，既涉及私法領域也涉及公法領域，有著濃重的社會法色彩。

第五，行政法規和規章。在狹義的法律之外，相關行政法規、地方性法規和規章在數據安全問題上發揮著重要作用。如國家互聯網信息辦公室公布并自2020年3月1日起施行的《網絡信息內容生態治理規定》。

在這一宏觀體系中，信用法是數據安全法律規范體系的核心。我國數據安全的立法不夠成熟，規范性文件較少且效力層級較低。針對數據安全問題的相關法律條文散見于不同法律文件之中，且不同的條文規范的對象、范圍皆有差異，這帶來了立法邏輯上的混亂，也降低了執法的質量。因此必須完成相關規則的融合，理順不同執法部門之間的合作關系。而規則的融合需要指引和統一，信用法律制度的作用即在于此。

我國《網絡安全法》通過具體條文規定了網絡運營者的數據安全保障義務，并對數據盜竊等行為進行了初步的法律評價，且針對敏感數據的跨境轉移做出限制性規定。但是《網絡安全法》中的制度仍舊是一種事后性的懲戒制度，其法律評價皆是負面的，同時其可操作性有待商榷。網絡安全法體現的是一種規則融合的趨勢，這一規則融合如果能與信用體系相聯系，依托信用體系的運行對事前、事中、事后的行為都產生約束力，那么制度運行的效果可能更佳。

我國《數據安全法》中提到：“維護數據安全，應當堅持總體國家安全觀，建立健全數據安全治理體系，提高數據安全保障能力?！庇纱丝梢?，數據安全法更加強調總體國家安全觀，對國家利益、公共利益和個人、組織合法權益給予全面保護，從這一點上，信用法律制度與《數據安全法》有著相同的價值取向。因此《數據安全法》并不是一部“侵權責任法”，而是一部“安全促進法”，這一點與信用制度的激勵作用也是相契合的。

綜合來說，數據安全問題是很多問題的抽象化，因此數據安全法律體系相應地具有層級化和綜合化。從層級化的角度來看，信用數據法律規制中，信用法起到了承上啟下的作用，在專門法律和民事基本法律之間搭建了橋梁。從綜合化的角度來說，信用法律制度和信用體系為規則的融合奠定了基礎，也為融合后規則的實施提供了基本工具。

(三)以數據主體的信用為重點進行制度建設

在數據安全問題的探討中，數據主體指的是與數據相關的權利和義務的承擔者，從廣義上說，數據主體包括數據所有者、數據使用者、數據傳輸者；從狹義上來說，數據主體即提供數據的主體。數據主體是數據安全的核心，數據權利的確認是直接指向數據主體的，數據的利益也歸結到數據主體之上。

1.完善對數據主體權益的保護

針對數據主體做出的行為，應當被認定為一種信用信息，繼而成為信用評價的基礎之一。相應的信用評價，反映了針對信用主體行為的可信賴程度，從而對信用主體的權益進行較好的保護。在構建隱私權保護制度方面，我國可以在考慮構建新型權利之外，建立監管機制，這一監管以信用為依托，通過信用監管，我國能夠對數據主體的權益進行充分保護，并通過明確主體就其信用信息享有的各項權利確定保護方向。在此基礎上暢通主體的救濟機制，合理規制征信機構的相關業務，以此來全面保護數據主體的信息隱私權。

2.增加數據主體失信的法律責任

為使數據主體在行使權利的同時更好地履行義務，應對數據主體的義務作出具體規定，即數據主體應當保證信用信息真實、準確，不得制造、提供虛假信用信息?！稊祿踩ā穼μ厥獾臄祿黧w也做出了相關的規定，明確公權力機關收集數據以及委托他人收集數據時，應當恪盡安全義務。同時，通過信用立法明確對數據主體失信行為的懲戒措施，落實2016年國務院《關于建立完善守信聯合激勵和失信聯合懲戒制度加快推進社會誠信建設的指導意見》 中“健全約束和懲戒失信行為機制”的要求。明確規定對失信數據主體的懲罰措施，強化失信信息的聯通共享機制，形成對失信數據主體的全面有效約束。

(四)以信用為基礎引入“契約式監管”

第一，數據安全問題不僅僅是一個行業自律問題，在這一問題的解決中公權力機關的地位和職能較為模糊。一方面，我國不存在專門的管理數據信息的行政部門，反而幾乎每個行政部門都有相關領域數據管理的權限；另一方面，數據安全問題在不同的領域具體化為不同的問題，幾乎涉及行政管理的每個方面，很難抽象化統一解決。

因此，針對數據安全問題的特殊樣態，可以引入一種新的管理理念，即“契約式管理”。契約式管理，是指管理者與被管理者平等地簽訂契約，約定管理事項的基本內容，按照契約規定的時間和范圍進行管理。契約式管理并不意味著被管理者地位的改變，也不意味著特定行政機關作為管理者的公權力不復存在。而是公權力機關作為管理者，對自己的權力進行自我限制，實質上是一種管理方式的優化，是公權力行使方式的創新，“這一創新實質上是一種非正式的約束機制，這一責任機制不具有強制力，既可以由政府主導，也可以由私人主體主導?！?40)王瑞雪：《論行政法上的治理責任》，《現代法學》2017年第4期。契約式管理有以下優點：一是通過肯定被管理者的地位，激發被管理者的積極性和自主權；二是通過契約的方式，實現管理內容的適當化，有利于更好地實現管理目標；三是在追責程序上更完善，包括行政制裁和違約懲罰，追責手段更加多元化。

契約式管理的運行是依托信用體系進行的，無論是監管者和被監管者，其行為都必須納入信用評價體系之中。契約式管理的本質，是行政主體選用的信用工具的一種演變?！罢幹浦械男庞霉ぞ?，是行政主體對行政相對人的公共信用信息進行記錄歸集、評價分類、共享公開，并據此實施分類監管和聯合獎懲的新型規制工具。信用工具能夠有效整合多元治理主體和多元監管工具，為公民創造更多可利用的信息選擇，是確保行政義務履行制度的新發展?！?41)王瑞雪：《政府規制中的信用工具研究》，《中國法學》2017年第4期。在信用體系下，管理契約的相對人的確定、監督管理過程的設計和評價管理結果的確認等問題都能得到較為妥當的解決。

結 論

信用是一種特殊的信息，在互聯網技術普及的背景下，信用信息必然轉化為二進制的數據，流通的信用信息與數據具有本質上的一致性。信用與數據遵循相同的邏輯，信用與數據安全二者相互聯系又相互作用。信用作為一種特殊的數據，通過信用法律體系獨立地運行，能夠為數據安全法律規制提供新的思維路徑。

信用數據的特殊性依托于信用法律體系，信用法律體系又有其獨立性，信用法律體系全方位覆蓋“政府—市場—社會—司法”領域，名義上是為了提高誠信，實際兼具加強法律實施之意。(42)沈巋：《社會信用體系建設的法治之道》，《中國法學》2019年第5期。我國目前已經初步建立起較為完整的信用法律體系，同時《數據安全法》和《網絡安全法》都體現出明顯的促進數據安全發展的傾向，這兩部法律也在價值取向、立法目的、實施方式和預期效果等方面與信用法律體系存在契合點。法治社會的內在推力，正在轉向“數據驅動”，“ 定性法治”也逐漸轉向為“定量法治”(43)蔡星月：《算法正義：一種經由算法的法治》，《北方法學》2021年第2期。。信用對于數據安全的作用力是全流程的，通過事前、事中、事后的信用信息收集，借由信用評價形成一種激勵機制，促使相關主體審慎行為。即信用視角下的數據安全規制，不是針對具體行為的事后規制，而是對整體安全的激勵與促進。

信用視角下數據安全的立法，以較為完整的信用運行體系為基礎，以形成明確的數據安全規制體系為目標。在這一過程中，一切法律對策的出發點都是以信用的視角對現實情況進行分析，制度設計的落腳點在于妥善平衡各方利益，注重數據開放效率與安全的平衡。(44)單飛躍：《經濟法理念與范疇的解析》，北京：中國檢察出版社2002年版，第100頁。在明確立法模式和目標價值的基礎上，確立應該遵從的基本原則，以此進行具體制度設計，探索設計以數據主體為重點的制度，同時引入“契約式管理”的新理念，從而構建我國數據安全的信用法律規制體系。