王春暉

(1.浙江大學 網(wǎng)絡空間安全學院,浙江 杭州 3100582.南京郵電大學 信息產(chǎn)業(yè)發(fā)展戰(zhàn)略研究院,江蘇 南京 210023)

一、數(shù)據(jù)全流程合規(guī)與監(jiān)管規(guī)則體系

數(shù)據(jù)是國家重要的戰(zhàn)略性資源,任何組織和個人開展數(shù)據(jù)處理活動都必須遵守法律和法規(guī)。目前,數(shù)據(jù)監(jiān)管領域涉及的法律法規(guī)主要包括《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》《網(wǎng)絡數(shù)據(jù)安全管理條例》,以及省、自治區(qū)、直轄市人大及其常委會制定和公布的地方性數(shù)據(jù)法規(guī)等。

2017年6月1日正式施行的《網(wǎng)絡安全法》為我國有效應對網(wǎng)絡與數(shù)據(jù)安全威脅和風險,全方位保障其安全提供了堅實的法律保障?！毒W(wǎng)絡安全法》是我國第一部既涉及網(wǎng)絡安全,又涉及數(shù)據(jù)安全和個人信息保護的綜合性和基礎性立法。在數(shù)據(jù)保護方面,《網(wǎng)絡安全法》重點規(guī)定了數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密,重要數(shù)據(jù)的境內(nèi)存儲和出境安全評估制度,維護網(wǎng)絡數(shù)據(jù)的完整性、保密性和可用性,以及確立了網(wǎng)絡數(shù)據(jù)的定義等。

2021年9月1日起實施的《數(shù)據(jù)安全法》第二十七條規(guī)定,數(shù)據(jù)處理者開展數(shù)據(jù)處理活動應當依照法律、法規(guī)的規(guī)定,建立健全全流程數(shù)據(jù)安全管理制度,組織開展數(shù)據(jù)安全教育培訓,采取相應的技術措施和其他必要措施,保障數(shù)據(jù)安全。利用互聯(lián)網(wǎng)等信息網(wǎng)絡開展數(shù)據(jù)處理活動,應當在遵循網(wǎng)絡安全等級保護制度的基礎上,履行上述數(shù)據(jù)安全保護義務。如果是重要數(shù)據(jù)的處理者,應當明確數(shù)據(jù)安全負責人和管理機構,并落實數(shù)據(jù)安全保護責任。

《數(shù)據(jù)安全法》確立了“建立健全全流程數(shù)據(jù)安全管理制度”的全流程安全法律制度。與《數(shù)據(jù)安全法》同日實施的《關鍵信息基礎設施安全保護條例》第六條要求,運營者應當依照本條例和有關法律、行政法規(guī)的規(guī)定,以及國家標準的強制性要求,在網(wǎng)絡安全等級保護的基礎上,采取技術保護措施和其他必要措施,應對網(wǎng)絡安全事件,防范網(wǎng)絡攻擊和違法犯罪活動,保障關鍵信息基礎設施安全穩(wěn)定運行,維護數(shù)據(jù)的完整性、保密性和可用性。

《個人信息保護法》明確規(guī)定,處理個人信息應遵循合法、正當、必要和誠信原則,并在總則部分第六條提出了兩個“最小原則”,即采取對個人權益影響最小的方式,限于實現(xiàn)處理目的的最小范圍。《個人信息保護法》的兩個“最小原則”是處理個人信息應遵循的核心原則,尤其是處理目的的“最小范圍”,這是禁止“過度收集個人信息”的關鍵要點,因為個人信息處理者只有在嚴格遵守處理目的的“最小范圍”的前提下,即“非必要不收集”的情況下,才能確保其采取對個人權益影響最小的方式[1]。

《網(wǎng)絡數(shù)據(jù)安全管理條例》則要求,任何個人和組織開展數(shù)據(jù)處理活動都應當遵守法律、行政法規(guī),尊重社會公德和倫理,不得從事以下六類活動:一是危害國家安全、榮譽和利益,泄露國家秘密和工作秘密;二是侵害他人名譽權、隱私權、著作權和其他合法權益等;三是竊取或者以其他非法方式獲取數(shù)據(jù);四是非法出售或者非法向他人提供數(shù)據(jù);五是制作、發(fā)布、復制、傳播違法信息;六是法律、行政法規(guī)禁止的其他行為。

數(shù)據(jù)要素流通和交易必須在安全合規(guī)和有效監(jiān)管的基礎上進行,這需要構架全國統(tǒng)一的數(shù)據(jù)要素流通和交易全流程合規(guī)與監(jiān)管規(guī)則體系,重點強化市場主體對數(shù)據(jù)流通和交易全流程合規(guī)治理體系的構建。首先,要確保流通的數(shù)據(jù)來源合法,根據(jù)《數(shù)據(jù)安全法》的規(guī)定,開展數(shù)據(jù)處理活動,應當遵守法律、法規(guī),尊重社會公德和倫理,遵守商業(yè)道德和職業(yè)道德,誠實守信,履行數(shù)據(jù)安全保護義務,承擔社會責任,不得危害國家安全、公共利益,不得損害個人、組織的合法權益。其次,要確保數(shù)據(jù)交易規(guī)范合規(guī),數(shù)據(jù)交易標的規(guī)范合規(guī)主要指數(shù)據(jù)供方交易的數(shù)據(jù)獲取渠道合法、權利清晰無爭議,能向數(shù)據(jù)交易機構提供擁有交易數(shù)據(jù)完整相關權益的承諾及交易數(shù)據(jù)采集渠道、個人信息保護政策、用戶授權等相關材料,以及確保交易數(shù)據(jù)的真實性,能夠向數(shù)據(jù)交易機構提供交易數(shù)據(jù)真實性的承諾及相關材料。數(shù)據(jù)交易機構或其委托的合法數(shù)據(jù)處理機構應當對數(shù)據(jù)供方提供的交易數(shù)據(jù)的合法性、真實性以及來源進行合規(guī)審查[2]。再次,要確保敏感個人信息得到充分保護,根據(jù)《個人信息保護法》的規(guī)定,敏感個人信息主要包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等,以及不滿十四周歲未成年人的個人信息。這些信息一旦泄露或者被非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害。

二、統(tǒng)籌構建規(guī)范高效的數(shù)據(jù)交易場所

數(shù)據(jù)交易場所的構建應當體現(xiàn)交易制度的公平合規(guī)與運行機制的有序高效?！皵?shù)據(jù)二十條”提出:“完善和規(guī)范數(shù)據(jù)流通規(guī)則,構建促進使用和流通、場內(nèi)場外相結合的交易制度體系?！眻鰞?nèi)交易是指在數(shù)據(jù)交易所內(nèi),按一定規(guī)則進行的交易;場外交易,即在數(shù)據(jù)交易所之外,雙方依法自行進行的交易。我國具有代表性的兩部地方性數(shù)據(jù)綜合性立法——《深圳經(jīng)濟特區(qū)數(shù)據(jù)條例》和《上海市數(shù)據(jù)條例》均規(guī)定,市場主體可以通過依法設立的數(shù)據(jù)交易(所)平臺進行數(shù)據(jù)交易,也可以由交易雙方依法自行交易。

目前,數(shù)據(jù)的場外交易比較活躍,場內(nèi)交易相對冷淡,而違法的黑市交易已形成相當規(guī)模,主要涉及個人信息,特別是敏感個人信息。2019年至2022年10月,全國檢察機關共批準逮捕涉嫌侵犯公民個人信息犯罪嫌疑人1.3萬余人,提起公訴2.8萬余人。從最高人民檢察院2022年發(fā)布的5起侵犯公民個人信息犯罪的典型案例看,主要涉及對敏感個人信息的侵犯,包括公民征信信息、生物識別信息、行蹤軌跡信息、健康生理信息等[3]。

在個人數(shù)據(jù)的交易層面,有學者認為“個人數(shù)據(jù)交易一級市場應遵循告知同意原則,二級市場應遵循合法原則和兼容原則”,并提議對我國《個人信息保護法》第十四條第二款、第二十二條、二十三條作相應修訂[4]。黨的二十大報告強調(diào)要“加強個人信息保護”。筆者認為,無論數(shù)據(jù)的場內(nèi)交易,還是場外交易,都應當嚴格禁止涉及未經(jīng)個人授權同意的個人信息的交易,尤其是敏感個人信息的交易,但是個人信息經(jīng)過匿名化處理的除外。鑒于數(shù)據(jù)資產(chǎn)交易處在培育期,應嚴格依法規(guī)范數(shù)據(jù)的場外交易,逐步由場外交易向場內(nèi)交易過渡,在依法設立的數(shù)據(jù)交易機構進行交易,嚴厲打擊數(shù)據(jù)的黑市交易,營造安全可信有序的數(shù)據(jù)交易市場環(huán)境。

根據(jù)《數(shù)據(jù)安全法》第三十四條規(guī)定,法律、行政法規(guī)規(guī)定提供數(shù)據(jù)處理相關服務應當取得行政許可的,服務提供者應當依法取得許可。鑒于數(shù)據(jù)交易標的和行為的特殊性,從事數(shù)據(jù)交易機構的準入,應當依據(jù)《行政許可法》第十二條規(guī)定建立行政許可制度[5]。據(jù)了解,我國已建成近40家數(shù)據(jù)交易所,但存在同一地區(qū)內(nèi)重復建設、數(shù)據(jù)割據(jù)和無序競爭現(xiàn)象。為此,“數(shù)據(jù)二十條”強調(diào),要加強數(shù)據(jù)交易場所體系設計,統(tǒng)籌優(yōu)化數(shù)據(jù)交易場所的規(guī)劃布局,嚴控交易場所數(shù)量,建議由新組建的國家數(shù)據(jù)局出臺數(shù)據(jù)交易所整體規(guī)劃和布局方案。

三、培育數(shù)據(jù)要素流通和交易服務生態(tài)

實現(xiàn)數(shù)據(jù)要素的安全高效流通和交易,需要構建數(shù)據(jù)流通和交易供應鏈服務生態(tài)體系。數(shù)據(jù)供應鏈交易生態(tài)服務體系包括數(shù)據(jù)提供方、購買方、平臺方、監(jiān)管方及第三方中介服務機構。這里最重要的是構建數(shù)據(jù)要素流通和交易的第三方中介服務生態(tài)體系,國家要培育一大批專業(yè)化、合規(guī)化、規(guī)模化的第三方數(shù)據(jù)要素專業(yè)服務機構,包括數(shù)據(jù)集成、數(shù)據(jù)經(jīng)紀人、數(shù)據(jù)合規(guī)認證、數(shù)據(jù)安全審計、數(shù)據(jù)公證、數(shù)據(jù)保險、數(shù)據(jù)托管、數(shù)據(jù)資產(chǎn)評估、數(shù)據(jù)爭議仲裁、數(shù)據(jù)交易風險評估、數(shù)據(jù)要素人才培訓,以此極大地提升數(shù)據(jù)流通和交易全流程服務能力。

2022年5月,歐盟理事會批準通過《數(shù)據(jù)治理法案》(DataGovernanceAct,簡稱DGA)。DGA強調(diào)規(guī)則創(chuàng)新,鼓勵數(shù)據(jù)的共享和提高數(shù)據(jù)利用的效率,讓數(shù)據(jù)資源的流轉服務于更高的公共政策目標:首先,建立公共部門持有數(shù)據(jù)的再利用機制;其次,建立框架以促進數(shù)據(jù)中介機構的發(fā)展;再次,對于數(shù)據(jù)利他行為做出規(guī)范化的引導。在促進數(shù)據(jù)利用方面,DGA尤其強調(diào)了數(shù)據(jù)中介的作用,建立了如數(shù)據(jù)商店、數(shù)據(jù)經(jīng)紀人、數(shù)據(jù)信托等數(shù)據(jù)中介服務模式。事實上,實現(xiàn)安全、可信、高效的數(shù)據(jù)流通和交易,數(shù)據(jù)經(jīng)紀人和數(shù)據(jù)安全合規(guī)認證中介服務非常重要。

數(shù)據(jù)經(jīng)紀商(Data Broker)與“數(shù)智”時代的數(shù)據(jù)經(jīng)紀人的服務內(nèi)容完全不同,根據(jù)美國聯(lián)邦貿(mào)易委員會(Federal Trade Commission,FTC)的定義,數(shù)據(jù)經(jīng)紀商是通過各種渠道采集消費者個人信息,并在對采集的原始信息及衍生信息進行整理、分析和分享后,向與消費者沒有直接關系的企業(yè)出售、許可、交易或提供該信息,用于產(chǎn)品營銷、驗證個人身份或檢測欺詐行為等[6]?！皵?shù)智”時代,數(shù)據(jù)經(jīng)紀人絕不僅僅是通過各種渠道采集消費者個人信息和數(shù)據(jù)進行交易撮合服務,還需提供大量的數(shù)據(jù)增值服務,即進行數(shù)據(jù)收集、匯聚、處理、加工,提供算法、數(shù)據(jù)存儲、計算算力、流通保障技術環(huán)境,以及圍繞數(shù)據(jù)交易和流通的相關咨詢和代理服務等。

數(shù)據(jù)合規(guī)認證是保證數(shù)據(jù)要素安全高效流通和交易。根據(jù)《數(shù)據(jù)安全管理認證實施規(guī)則》,數(shù)據(jù)安全管理認證的模式包括:技術驗證+現(xiàn)場審核+獲證后監(jiān)督,其中,技術驗證要求第三方技術驗證機構按照認證方案實施數(shù)據(jù)安全技術驗證,并向認證機構和認證委托人出具技術驗證報告。重點開展數(shù)據(jù)流通和交易活動的安全風險監(jiān)測,發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風險時,應責成采取加密、脫敏、備份、訪問控制、審計等技術手段或者其他必要措施。加強在數(shù)據(jù)流通和交易中的數(shù)據(jù)安全防護,保護數(shù)據(jù)免受泄露、竊取、篡改、損毀、不正當使用等;對重要數(shù)據(jù)和敏感個人信息進行重點保護,應按照規(guī)定對其數(shù)據(jù)處理活動定期開展風險評估,并向有關主管部門報送風險評估報告。風險評估報告應包括處理的重要數(shù)據(jù)的種類、數(shù)量,開展數(shù)據(jù)處理活動的情況,面臨的數(shù)據(jù)安全風險及其應對措施等。同時,應建立數(shù)據(jù)安全管理責任和評價考核制度,制定數(shù)據(jù)安全保護計劃,開展安全風險評估,組織開展數(shù)據(jù)安全合規(guī)教育培訓等。認證機構應當在認證有效期內(nèi),對獲得認證的網(wǎng)絡運營者進行持續(xù)監(jiān)督,并合理確定監(jiān)督頻次,確保數(shù)據(jù)流通和交易的安全與合規(guī)。

四、數(shù)據(jù)資產(chǎn)的認定與評估

數(shù)據(jù)要素的價格確定是數(shù)字經(jīng)濟發(fā)展過程中面臨的一個難題。如果允許自由定價,那么數(shù)據(jù)所有者或者控制者可以設置一個非常高的許可價格,使數(shù)據(jù)作為核心要素失去意義[7]。因此,數(shù)據(jù)要素的價格除了數(shù)據(jù)供需雙方之間進行議價交易外,一般需要通過建立數(shù)據(jù)資產(chǎn)評估機制和制定數(shù)據(jù)價值評估準則進行認定。

我國《資產(chǎn)評估法》對“資產(chǎn)評估”給出的定義是:“評估機構及其評估專業(yè)人員根據(jù)委托對不動產(chǎn)、動產(chǎn)、無形資產(chǎn)、企業(yè)價值、資產(chǎn)損失或者其他經(jīng)濟權益進行評定、估算,并出具評估報告的專業(yè)服務行為?！必斦筷P于修改《企業(yè)會計準則——基本準則》的決定中,對“資產(chǎn)”的定義是,企業(yè)過去的交易或者事項形成的、由企業(yè)擁有或者控制的、預期會給企業(yè)帶來經(jīng)濟利益的資源。首先,企業(yè)過去的交易或者事項包括購買、生產(chǎn)、建造行為以及其他交易或者事項,預期在未來發(fā)生的交易或者事項不形成資產(chǎn);其次,由企業(yè)擁有或者控制,是指企業(yè)享有某項資源的所有權,或者雖然不享有某項資源的所有權,但該資源能被企業(yè)所控制;再次,預期會給企業(yè)帶來經(jīng)濟利益,即直接或者間接導致現(xiàn)金和現(xiàn)金等價物流入企業(yè)的潛力?？梢?資產(chǎn)的形成具有三大特征,一是已經(jīng)發(fā)生或形成的交易或者事項;二是由企業(yè)擁有或者控制;三是預期會給企業(yè)帶來經(jīng)濟利益。

2022年,國家知識產(chǎn)權局決定在浙江、上海、深圳等地開展數(shù)據(jù)知識產(chǎn)權保護試點,力爭在立法、存證登記等方面取得可復制推廣的經(jīng)驗做法,并為后續(xù)制度設計提供實踐基礎。2023年“兩會”期間,國家知識產(chǎn)權局副局長何志敏建議,借鑒以無形財產(chǎn)為客體的知識產(chǎn)權法律制度,盡快建立數(shù)據(jù)知識產(chǎn)權制度[8]?！顿Y產(chǎn)評估準則——無形資產(chǎn)》對“無形資產(chǎn)”的認定,即特定主體所擁有或者控制的,不具有實物形態(tài),能持續(xù)發(fā)揮作用且能帶來經(jīng)濟利益的資源?！秶H會計準則第38號無形資產(chǎn)》(IA S38)將“無形資產(chǎn)”定義為:用于商品或勞務的生產(chǎn)或供應、出租給其他單位、或出于管理目的而持有的、沒有實物形態(tài)的、可辨認的非貨幣資產(chǎn)。我國《企業(yè)會計準則第6號——無形資產(chǎn)》對無形資產(chǎn)的定義是:企業(yè)擁有或者控制的沒有實物形態(tài)的可辨認非貨幣性資產(chǎn)。從國際會計準則和我國企業(yè)會計準則關于“無形資產(chǎn)”的定義可以看出,無形資產(chǎn)的基本特征是“可辨認性”。但是,數(shù)據(jù)資產(chǎn)不完全符合會計準則中 “無形資產(chǎn)”的定義,既不同于傳統(tǒng)的不動產(chǎn)、動產(chǎn),也不同于類似知識產(chǎn)權的沒有實物形態(tài)的可辨認非貨幣性資產(chǎn)。數(shù)據(jù)資產(chǎn)主要是以數(shù)據(jù)為載體和表現(xiàn)形式,而且能夠進行計量,并能帶來直接或者間接經(jīng)濟利益的數(shù)據(jù)資源。數(shù)據(jù)資產(chǎn)通常包括三大基本屬性,即通用屬性、業(yè)務屬性和管理屬性。一是通用屬性,主要包括數(shù)據(jù)來源、數(shù)據(jù)類型、數(shù)據(jù)結構、時段、更新周期、元數(shù)據(jù)和存儲形式等;二是業(yè)務屬性,包括業(yè)務描述、業(yè)務模型、業(yè)務規(guī)則和關聯(lián)關系等;三是管理屬性,包括數(shù)據(jù)分類分級、安全信息、數(shù)據(jù)溯源、職責權限和應用場景等。(1)參見《信息技術 大數(shù)據(jù) 數(shù)據(jù)資產(chǎn)價值評估》(征求意見稿)。因此,數(shù)字資產(chǎn)的評估應當基于數(shù)字資產(chǎn)的基本屬性,重點聚焦對數(shù)據(jù)價值的評價,包括數(shù)據(jù)資產(chǎn)的質(zhì)量要素、成本要素、應用價值等。從數(shù)字資產(chǎn)的整體性考慮,主要的權重則是數(shù)據(jù)資產(chǎn)的質(zhì)量要素和應用價值。

數(shù)據(jù)資產(chǎn)的質(zhì)量要素主要包括:安全性、真實性、準確性、一致性、完整性、規(guī)范性、時效性和合規(guī)性等。其中最重要的四個要素:一是安全性,即數(shù)據(jù)不涉及國家安全、企業(yè)商業(yè)秘密以及個人隱私信息等;二是真實性,即數(shù)據(jù)在信息系統(tǒng)中能準確表示其所描述的事物,確保數(shù)據(jù)真實是數(shù)據(jù)資產(chǎn)評價的第一要務;三是規(guī)范性,即數(shù)據(jù)資產(chǎn)符合數(shù)據(jù)標準,這里的標準不能簡單地理解為數(shù)據(jù)要素領域所需要統(tǒng)一的技術要求,而是評價數(shù)據(jù)價值在內(nèi)外部使用和交換過程中保持一致性和準確性的一系列規(guī)范性約束;四是合規(guī)性,包括數(shù)據(jù)權屬、數(shù)據(jù)權限、數(shù)據(jù)分類、數(shù)據(jù)安全、侵權救濟,以及數(shù)據(jù)的許可使用、質(zhì)押、轉讓、仲裁等。

數(shù)據(jù)資產(chǎn)的應用價值主要包括使用范圍、應用場景、商業(yè)模式、供求關系、數(shù)據(jù)關聯(lián)性和應用風險等。使用范圍應關注數(shù)據(jù)資產(chǎn)涉及的行業(yè)、領域和區(qū)域等;應用場景應關注數(shù)據(jù)資產(chǎn)的使用方式、開放程度和使用頻率等;商業(yè)模式應關注數(shù)據(jù)產(chǎn)品及服務模式、賦能模式和金融模式等;供求關系應關注數(shù)據(jù)資產(chǎn)的稀缺性、市場規(guī)模和價值密度等;數(shù)據(jù)關聯(lián)性應關注數(shù)據(jù)資產(chǎn)的用戶關聯(lián)性、數(shù)間關聯(lián)性和業(yè)務關聯(lián)性等;應用風險應關注數(shù)據(jù)資產(chǎn)的管理風險、流通風險、數(shù)據(jù)安全風險、敏感性風險和監(jiān)管風險等。在進行數(shù)據(jù)資產(chǎn)價值評估時,應分析數(shù)據(jù)資產(chǎn)的應用要素。(2)參見《信息技術 大數(shù)據(jù) 數(shù)據(jù)資產(chǎn)價值評估》(征求意見稿)。

五、構建安全合規(guī)的數(shù)據(jù)跨境流通機制

數(shù)據(jù)的流通并未限定在國內(nèi),其具有全球性。無論是進口貿(mào)易還是出口貿(mào)易,均需要附帶數(shù)據(jù)的跨境傳輸。目前,數(shù)據(jù)跨境流動主要因商業(yè)和生產(chǎn)確需向境外提供,大多數(shù)情況下,數(shù)據(jù)很少作為商品跨境交易。然而,數(shù)據(jù)的跨境傳輸已經(jīng)從原來的“如何傳輸”,進入了“如何可信安全傳輸”的時代,安全合規(guī)有序的數(shù)據(jù)跨境雙向流動機制的構建,對于跨境貿(mào)易具有極其重要的作用。

數(shù)據(jù)出境的安全問題不僅關乎數(shù)據(jù)本身作為重要生產(chǎn)要素的開發(fā)利用與安全問題,還與國家主權、國家安全、個人信息權益、社會公共利益等休戚相關。為此,“數(shù)據(jù)二十條”要求,對影響或者可能影響國家安全的數(shù)據(jù)處理、數(shù)據(jù)跨境傳輸、外資并購等活動依法依規(guī)進行國家安全審查。數(shù)據(jù)安全審查制度是《數(shù)據(jù)安全法》確立的一項重要審查制度,2022年2月新修訂的《網(wǎng)絡安全審查辦法》第十條規(guī)定,網(wǎng)絡安全審查重點評估相關對象或者情形的以下國家安全風險因素:(一)產(chǎn)品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或者破壞的風險;(二)產(chǎn)品和服務供應中斷對關鍵信息基礎設施業(yè)務連續(xù)性的危害;(三)產(chǎn)品和服務的安全性、開放性、透明性、來源的多樣性,供應渠道的可靠性,以及因為政治、外交、貿(mào)易等因素導致供應中斷的風險;(四)產(chǎn)品和服務提供者遵守中國法律、行政法規(guī)、部門規(guī)章情況;(五)核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個人信息被竊取、泄露、毀損以及非法利用、非法出境的風險;(六)上市存在關鍵信息基礎設施、核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個人信息被外國政府影響、控制、惡意利用的風險,以及網(wǎng)絡信息安全風險;(七)其他可能危害關鍵信息基礎設施安全、網(wǎng)絡安全和數(shù)據(jù)安全的因素。

《網(wǎng)絡安全審查辦法》第十條(五)和(六)主要是針對核心數(shù)據(jù)、重要數(shù)據(jù)或大量個人信息被竊取、泄露、毀損以及非法利用、非法出境的風險,以及上市存在關鍵信息基礎設施、核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個人信息被外國政府影響、控制、惡意利用的風險等。目前,我國數(shù)據(jù)立法將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)。該分類方法主要是基于數(shù)據(jù)對國家安全、公共利益或者個人、組織合法權益的影響和重要程度[9]。

“數(shù)據(jù)二十條”要求,積極參與數(shù)據(jù)跨境流動國際規(guī)則制定,探索加入?yún)^(qū)域性國際數(shù)據(jù)跨境流動制度安排。2022年1月1日,《區(qū)域全面經(jīng)濟伙伴關系協(xié)定》(RegionalComprehensiveEconomicPartnership,RCEP)正式在我國生效,這個歷經(jīng)8年談判達成的協(xié)定在數(shù)據(jù)跨境流動方面做出了具體的規(guī)定。RCEP在第十二章第十五條要求:“一締約方不得阻止涵蓋的人為進行商業(yè)行為而通過電子方式跨境傳輸數(shù)據(jù)?！蓖瑫r,RCEP又強調(diào):“締約方為保護其基本安全利益所必需的任何措施,其他締約方不得提出異議。”(3)參見RCEP.CHAPTER 12 ELECTRONIC COMMERCE.可見,RCEP將數(shù)據(jù)跨境自由流動作為一項基礎性原則,但同時RCEP尊重一個主權國家為國家的安全和利益而實施的對數(shù)據(jù)跨境流動的任何安全保護措施,這其中就包括了國家數(shù)據(jù)安全審查。

事實上,“數(shù)據(jù)二十條”將“數(shù)據(jù)跨境流動”作為一項基本原則,只是對影響或者可能影響國家安全的數(shù)據(jù)處理、數(shù)據(jù)跨境傳輸和外資并購等活動實施國家安全審查?！皵?shù)據(jù)二十條”強調(diào),要堅持開放發(fā)展,推動數(shù)據(jù)跨境雙向有序流動,鼓勵國內(nèi)外企業(yè)及組織依法依規(guī)開展數(shù)據(jù)跨境流動業(yè)務合作,支持外資依法依規(guī)進入開放領域,推動形成公平競爭的國際化市場。

目前,在北京數(shù)字貿(mào)易試驗區(qū)、上海自由貿(mào)易試驗區(qū)、浙江自由貿(mào)易試驗區(qū)、海南自由貿(mào)易港均制定了數(shù)據(jù)跨境方案。建議在上述“自貿(mào)區(qū)”試點建設離岸數(shù)據(jù)中心,探索安全規(guī)范的跨境數(shù)據(jù)流動方式,重點針對跨境電商、跨境支付、供應鏈管理、服務外包等應用場景。自由貿(mào)易試驗區(qū)的離岸數(shù)據(jù)中心應當按照國際規(guī)則或慣例,實施一種特殊的互惠政策和制度安排,比如可以使用國際互聯(lián)網(wǎng)專用通道,使自貿(mào)區(qū)內(nèi)的國際數(shù)據(jù)傳輸與自貿(mào)區(qū)外相比,更加自由和便利,甚至可以不執(zhí)行或不完全執(zhí)行中國境內(nèi)有關數(shù)據(jù)跨境的法律法規(guī)等。

六、數(shù)據(jù)要素的初次分配與政府調(diào)節(jié)功能

黨的十九屆四中全會通過的《中共中央關于堅持和完善中國特色社會主義制度推進國家治理體系和治理能力現(xiàn)代化若干重大問題的決定》(以下簡稱《決定》)提出,“健全勞動、資本、土地、知識、技術、管理、數(shù)據(jù)等生產(chǎn)要素由市場評價貢獻、按貢獻決定報酬的機制”?！稕Q定》確立的數(shù)據(jù)要素采用“市場評價貢獻、按貢獻決定報酬的機制”,為構建體現(xiàn)效率與促進公平的數(shù)據(jù)要素收益分配制度指明了方向。 對此,“數(shù)據(jù)二十條”再次加以強調(diào),同時還提出要更好地發(fā)揮政府在數(shù)據(jù)要素收益分配中的引導調(diào)節(jié)作用。2023年3月,中共中央、國務院發(fā)布的《數(shù)字中國建設整體布局規(guī)劃》進一步指出,要釋放商業(yè)數(shù)據(jù)價值潛能,加快建立數(shù)據(jù)產(chǎn)權制度,開展數(shù)據(jù)資產(chǎn)計價研究,建立數(shù)據(jù)要素按價值貢獻參與分配的機制。

(一)引導數(shù)據(jù)要素的初次分配

數(shù)據(jù)本身并不能直接參與生產(chǎn)和分配,必須通過數(shù)據(jù)要素各參與方的投入將數(shù)據(jù)轉化為有生產(chǎn)價值的數(shù)據(jù)要素。數(shù)據(jù)作為生產(chǎn)要素應當具備三大功能,一是數(shù)據(jù)生產(chǎn)要素能為經(jīng)濟的高速增長創(chuàng)造價值;二是數(shù)據(jù)生產(chǎn)要素與其他生產(chǎn)要素融合,具有放大和倍增作用;三是數(shù)據(jù)生產(chǎn)要素能參與收益分配?！皵?shù)據(jù)二十條”提出,推動數(shù)據(jù)要素收益向數(shù)據(jù)價值和使用價值的創(chuàng)造者合理傾斜,確保在開發(fā)挖掘數(shù)據(jù)價值各環(huán)節(jié)的投入有相應回報,強化基于數(shù)據(jù)價值創(chuàng)造和價值實現(xiàn)的激勵導向。

目前,應當重點關注和引導數(shù)據(jù)要素的初次分配,要結合數(shù)據(jù)要素的特征,優(yōu)化初次分配的結構和權重。應當按照“誰投入、誰貢獻、誰受益”的原則,著重保障數(shù)據(jù)要素各參與方的收益,在提高數(shù)據(jù)利用效率的基礎上,讓數(shù)據(jù)處理者的勞動價值創(chuàng)造得到合理和公平的回報。這里要特別強調(diào),要重視和提高數(shù)據(jù)處理者勞動報酬在初次分配中的比重,尤其是優(yōu)化以知識價值為導向的數(shù)據(jù)要素收益分配政策,尊重數(shù)據(jù)要素各參與方的科研、技術、管理人才的作用,充分體現(xiàn)知識、管理、技術對數(shù)據(jù)要素市場的貢獻。

構建高效和公平的數(shù)據(jù)要素收益分配體制機制,必須更好地發(fā)揮政府在數(shù)據(jù)要素收益分配中的引導調(diào)節(jié)作用。我國的數(shù)據(jù)要素市場處在培育期,數(shù)據(jù)要素收益分配制度尚未建立,僅憑市場機制無法保證數(shù)據(jù)要素收益初次分配的公平性。因此,只有充分發(fā)揮政府在數(shù)據(jù)要素收益分配中的引導調(diào)節(jié)作用,才有可能實現(xiàn)數(shù)據(jù)要素收益初次分配的公平。

(二)發(fā)揮政府在數(shù)據(jù)要素收益分配中的調(diào)節(jié)功能

在數(shù)字產(chǎn)業(yè)化和產(chǎn)業(yè)數(shù)字化發(fā)展進程中,為了避免大型數(shù)據(jù)企業(yè)對數(shù)據(jù)加以壟斷,進而形成數(shù)據(jù)富有者和數(shù)據(jù)貧困者之間的“數(shù)據(jù)鴻溝”,規(guī)避數(shù)據(jù)貧富兩極分化帶來的不公平和風險,政府應當發(fā)揮在數(shù)據(jù)要素收益分配中的引導和調(diào)節(jié)作用。數(shù)據(jù)要素收益分配體制在強調(diào)效率優(yōu)先的基礎上,應當保證其分配的公平性,而僅僅通過數(shù)據(jù)要素市場的初次分配很難實現(xiàn),因此,必須發(fā)揮政府在數(shù)據(jù)要素收益再分配市場中的引導調(diào)節(jié)作用,推動大型數(shù)據(jù)企業(yè)積極承擔社會責任,盡可能地縮小數(shù)據(jù)富有者和數(shù)據(jù)貧困者之間的“數(shù)據(jù)鴻溝”,將數(shù)據(jù)稅收入投入實體經(jīng)濟,尤其是向傳統(tǒng)制造業(yè)數(shù)字化轉型的行業(yè)傾斜,著重建立公平的數(shù)據(jù)要素收益分配體制。

政府還應當倡導數(shù)據(jù)公益,更好地使用數(shù)據(jù)、挖掘數(shù)據(jù)、共享數(shù)據(jù),為社會公益創(chuàng)造更大的經(jīng)濟溢出效應,促進基本數(shù)據(jù)公共服務均等化。數(shù)據(jù)公益不是數(shù)據(jù)分配的均等主義,更不是削弱市場和政府對于數(shù)據(jù)要素的調(diào)配和監(jiān)督作用,而是讓數(shù)據(jù)要素價值惠及更多中小微企業(yè)和更廣大的人民群眾。因此,必須充分發(fā)揮數(shù)據(jù)要素的公益目的和作用,促進全體人民共享數(shù)據(jù)發(fā)展紅利。

七、數(shù)據(jù)要素協(xié)同治理應體現(xiàn)全過程安全

數(shù)據(jù)要素的治理必須要堅持安全與發(fā)展并重、鼓勵與規(guī)范并舉的原則,健全安全可控、彈性包容的數(shù)據(jù)要素治理規(guī)則體系。首先,要把安全貫穿數(shù)據(jù)治理全過程。數(shù)據(jù)安全是國家安全的重要組成部分,數(shù)據(jù)安全與國家政治安全、經(jīng)濟運行、社會治理、公共服務、國防安全、文化安全等密切相關。其次,要構建多方協(xié)同參與的治理模式,創(chuàng)新政府治理方式,明確各方主體責任和義務,完善行業(yè)自律機制,規(guī)范市場發(fā)展秩序,形成有效市場和有為政府相結合的彈性包容的數(shù)據(jù)要素治理格局。

(一)“數(shù)據(jù)要素治理”體系應平衡創(chuàng)新與監(jiān)管

“數(shù)據(jù)要素治理”體系是數(shù)據(jù)要素四大基礎制度體系的壓艙石,“數(shù)據(jù)產(chǎn)權、流通交易、收益分配”制度是建立在數(shù)據(jù)要素治理基礎上的三大支柱,沒有安全可信有序的“數(shù)據(jù)要素治理”體系,就沒有數(shù)據(jù)的有效流通和交易,就無法保障數(shù)據(jù)要素各參與方的數(shù)據(jù)權益。

“數(shù)據(jù)二十條”要求,要充分發(fā)揮政府有序引導和規(guī)范發(fā)展的作用,守住安全底線,明確監(jiān)管紅線,打造安全可信、包容創(chuàng)新、公平開放、監(jiān)管有效的數(shù)據(jù)要素市場環(huán)境。數(shù)據(jù)要素市場的發(fā)展是一個“創(chuàng)新-監(jiān)管-再創(chuàng)新”的過程,其底層邏輯是創(chuàng)新和安全兩種價值的平衡。一方面,追求包容創(chuàng)新,要以寬容的心態(tài)接納有瑕疵的創(chuàng)新,構建包容創(chuàng)新的容錯糾錯機制,這樣數(shù)據(jù)要素市場的發(fā)展才有強勁的動力;另一方面,保障安全可信,安全和可信是相輔相成的,可信并不等同于安全,但可信是安全的基礎,沒有可信作為保障,安全將無從談起,數(shù)據(jù)要素市場的發(fā)展應當是建立在可信基礎上的安全發(fā)展。

數(shù)據(jù)要素市場的良性發(fā)展,決不能脫離監(jiān)管談創(chuàng)新。鑒于數(shù)據(jù)非競爭性產(chǎn)生的潛在巨大價值,為防范大型平臺企業(yè)壟斷數(shù)據(jù),以及其通過技術和資本優(yōu)勢排除競爭等不當行為,應盡可能地鼓勵數(shù)據(jù)廣泛使用,保障公平競爭。近年來,一些大型互聯(lián)網(wǎng)平臺企業(yè)濫用市場支配地位、開展不正當競爭,導致“大數(shù)據(jù)殺熟”、限定交易等涉嫌壟斷的行為屢見不鮮。2021年11月實施的《個人信息保護法》專門規(guī)定平臺企業(yè)要履行“守門人”角色,并承擔更多的社會責任,主要包括:應按照國家規(guī)定建立健全個人信息保護合規(guī)制度體系;成立主要由外部成員組成的獨立機構進行監(jiān)督;遵循公開、公平、公正的原則制定平臺規(guī)則;對嚴重違法處理個人信息的平臺內(nèi)產(chǎn)品或服務提供者停止提供服務;定期發(fā)布個人信息保護社會責任報告并接受社會監(jiān)督等。新修訂的《中華人民共和國反壟斷法》在第一條立法目的中明確提出“鼓勵創(chuàng)新”,同時規(guī)定,具有市場支配地位的經(jīng)營者不得利用數(shù)據(jù)和算法、技術以及平臺規(guī)則等從事前款規(guī)定的濫用市場支配地位行為[10]。對此,“數(shù)據(jù)二十條”也明確要求,企業(yè)應嚴格遵守反壟斷法等相關法律規(guī)定,不得利用數(shù)據(jù)、算法等優(yōu)勢和技術手段排除、限制競爭,實施不正當競爭。

當然,數(shù)據(jù)要素市場的良性發(fā)展,也不能抑制創(chuàng)新談監(jiān)管,創(chuàng)新是數(shù)據(jù)要素市場發(fā)展的動力,監(jiān)管是數(shù)據(jù)要素市場發(fā)展的安全保障,兩者辯證統(tǒng)一、相互關聯(lián)。數(shù)據(jù)要素市場的建立健全和良性發(fā)展,應當堅持促進發(fā)展和監(jiān)管規(guī)范兩手抓、兩手都要硬,這就要求發(fā)揮政府有序引導和規(guī)范發(fā)展的作用,使數(shù)據(jù)要素市場在引導中規(guī)范、在規(guī)范中發(fā)展。要健全數(shù)據(jù)要素市場準入制度、公平競爭審查制度、公平競爭監(jiān)管制度,建立全方位、多層次、立體化的監(jiān)管體系,實現(xiàn)事前、事中、事后,全鏈條、全領域的數(shù)據(jù)要素市場監(jiān)管,形成公平、開放與有效監(jiān)管相融合的數(shù)據(jù)要素市場環(huán)境。

(二)強化數(shù)據(jù)要素市場的協(xié)同治理

數(shù)據(jù)要素治理目的是逐步實現(xiàn)數(shù)據(jù)要素價值創(chuàng)造和構建數(shù)據(jù)要素市場良好秩序,需要“系統(tǒng)探究多元主體參與數(shù)據(jù)要素價值化過程的生態(tài)系統(tǒng)聯(lián)動機制”,這是一個“多元主體協(xié)同共創(chuàng)”的過程[11]。 “數(shù)據(jù)二十條”提出,要充分發(fā)揮社會力量多方參與的協(xié)同治理作用。筆者認為,社會力量多方參與的協(xié)同治理,主要集中于三大協(xié)同治理主體:政府、企業(yè)和社會,其中,政府的作用是監(jiān)管,企業(yè)的義務是履責,社會的功能是監(jiān)督。一方面,要確立數(shù)據(jù)要素安全治理的關鍵制度,劃定數(shù)據(jù)要素流通和利用的安全基線;另一方面,要構建多元主體協(xié)同共治的格局,著力建立數(shù)據(jù)要素市場的信任體系。

“數(shù)據(jù)二十條”提出,要建立數(shù)據(jù)要素市場信用體系,逐步完善數(shù)據(jù)交易失信行為認定、守信激勵、失信懲戒、信用修復、異議處理等機制。2022年1月,國務院辦公廳發(fā)布的《要素市場化配置綜合改革試點總體方案》強調(diào),要強化反壟斷和反不正當競爭執(zhí)法,規(guī)范交易行為,將交易主體違法違規(guī)行為納入信用記錄管理,對嚴重失信行為實行追責和懲戒。同時,要開展要素市場交易大數(shù)據(jù)分析,建立健全要素交易風險分析、預警防范和分類處置機制。鼓勵建設和發(fā)展數(shù)據(jù)登記、數(shù)據(jù)價值評估、數(shù)據(jù)合規(guī)認證、交易主體信用評價等第三方服務機構,構建和完善數(shù)據(jù)要素市場服務體系。

“數(shù)據(jù)二十條”專門提及,“加快推進數(shù)據(jù)管理能力成熟度國家標準及數(shù)據(jù)要素管理規(guī)范貫徹執(zhí)行工作,推動各部門各行業(yè)完善元數(shù)據(jù)管理、數(shù)據(jù)脫敏、數(shù)據(jù)質(zhì)量、價值評估等標準體系”。這里的“數(shù)據(jù)管理能力成熟度國家標準”指的是我國首個數(shù)據(jù)管理領域的國家標準,全稱為《數(shù)據(jù)管理能力成熟度評估模型》GB/T 36073-2018(DatamanagementCapabilityMaturityModel,簡稱:DCMM)?！皵?shù)據(jù)二十條”之所以要求加快推進DCMM的貫徹執(zhí)行,是基于DCMM詳細定義了數(shù)據(jù)戰(zhàn)略、數(shù)據(jù)治理、數(shù)據(jù)架構、數(shù)據(jù)應用、數(shù)據(jù)安全、數(shù)據(jù)質(zhì)量、數(shù)據(jù)標準和數(shù)據(jù)生存周期八個核心能力域,并將之細分為28個過程域和445條能力等級標準,確立了比較先進的數(shù)據(jù)管理理念和方法。

DCMM的評估模型將數(shù)據(jù)管理能力成熟度劃分為五個等級,一級為初始級、二級為受管理級、三級為穩(wěn)健級、四級為量化管理級、五級為優(yōu)化級。這五個等級是遞進關系,自低向高一級比一級深入,不同等級代表企業(yè)不同的數(shù)據(jù)管理和應用成熟度水平。(4)參見GB/T 36073-2018《數(shù)據(jù)管理能力成熟度評估模型》。DCMM的管理理念和評估模型不僅可以幫助企業(yè)建立和評價自身數(shù)據(jù)管理能力,持續(xù)完善數(shù)據(jù)管理組織、程序和制度,還可以加強數(shù)據(jù)要素在促進企業(yè)數(shù)字化和智能化轉型過程中的數(shù)據(jù)管理制度創(chuàng)新和價值創(chuàng)造。

結 語

2023年3月10日,十四屆全國人大一次會議表決通過了關于國務院機構改革方案的決定,新增的國家數(shù)據(jù)局獲得通過,正式開始組建。從國務院機構改革方案可以看出,新組建的國家數(shù)據(jù)局主要任務有三個方面:一是負責協(xié)調(diào)推進數(shù)據(jù)基礎制度建設;二是統(tǒng)籌數(shù)據(jù)資源整合共享和開發(fā)利用;三是統(tǒng)籌推進數(shù)字中國、數(shù)字經(jīng)濟、數(shù)字社會規(guī)劃和建設等。

構建以數(shù)據(jù)產(chǎn)權為基礎的數(shù)據(jù)要素基礎制度,其基本要旨是統(tǒng)籌推進流通交易、收益分配、安全治理協(xié)同發(fā)展的數(shù)據(jù)要素市場,更好地協(xié)調(diào)和處理與數(shù)據(jù)生產(chǎn)力發(fā)展相適應的數(shù)字化生產(chǎn)關系,以激發(fā)數(shù)據(jù)生產(chǎn)力的乘數(shù)效應。然而,構建系統(tǒng)完備的數(shù)據(jù)產(chǎn)權制度、數(shù)據(jù)要素流通和交易制度、數(shù)據(jù)要素收益分配制度和數(shù)據(jù)要素治理制度是一項長期和復雜的社會系統(tǒng)工程,應按照“試點先行、以點帶面”的原則,在我國數(shù)字經(jīng)濟較發(fā)達的地區(qū)先行先試?！皵?shù)據(jù)二十條”明確,“支持浙江等地區(qū)和有條件的行業(yè)、企業(yè)先行先試”,在積累和總結試點經(jīng)驗的基礎上,再逐步在全國有條件的地區(qū)推廣,逐步構建以“數(shù)據(jù)二十條”為綱領的“1+N”制度體系[12],這里的“1+N”制度體系中的“1”是指中共中央、國務院《關于構建更加完善的要素市場化配置體制機制的意見》(“數(shù)據(jù)二十條”), “N”是指圍繞“數(shù)據(jù)二十條”出臺多個完備的配套規(guī)定,這些配套規(guī)定主要集中在建立健全獨立完備的數(shù)據(jù)產(chǎn)權、數(shù)據(jù)流通與交易、數(shù)據(jù)收益與分配及數(shù)據(jù)治理等基礎制度,并出臺相應的技術標準。此舉目的是將系統(tǒng)完備的“1+N”數(shù)據(jù)要素基礎制度體系上升為國家法律,最終形成2.0的“1+N”數(shù)據(jù)要素法律制度,即數(shù)權法及與其相配套的數(shù)據(jù)法律制度體系。