文 | 清华大学电子工程系信息系统研究所副所长 王钺数据要素合规高效流通是激活数据潜能,推动数字经济发展的关键。通过数据要素的流通交易,数据得以在更大范围内进入经济循环,更好地发挥协同、复用与融合的作用,提高劳动生产率,推动经济增长方式的转变。然而,数据低成本复制的特点又决定了,在扩大数据流通范围的同时,随之而来的是安全威胁与风险的加剧。统筹好发展和安全,建立健全数据流通安全治理机制,提升数据安全治理能力,以安全促发展,才能为推进数字经济高质量发展提供坚实的基础。在当前的实践过程中,数据流通所涉及的各方主体安全责任仍不清晰,数据流通过程的安全规则仍不明晰,这些不确定性一方面给监管工作造成了困难,另一方面导致数据安全合规成本高企,这已成为阻碍数据要素高效流通的主要障碍。为突破这一障碍,不能仅仅依靠局部的修补,而需要运用系统思维,在数据基础制度层面进行统筹安排,推动数据高质量发展和高水平安全的良性互动,在守好数据安全底线的前提下切实降低数据流通中的安全合规成本。国家发展改革委、国家数据局等部门联合印发《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》(以下简称《方案》),是在这方面迈出的重要一步。《方案》的编制目标,不是单方面地加强数据安全,而是将安全问题放置在发展的大背景下重新审视,通过明确安全治理规则,疏通数据流通中因安全风险累积而造成的堵点,有效降低合规成本和监管成本,从而达到促进数据供给、促进数据合规高效流通的目的。
为实现“以安全促发展”的目标,需要的不是在安全制度上做加法,而是切实抓住数据流通安全的核心问题,针对性地开展安全治理工作。通过对大量案例的调研和分析,数据流通中的安全合规问题聚焦在两大方面:一是关于流通客体的,需澄清什么数据可以流通,在什么范围流通,怎样流通;二是关于流通所涉及的各方主体,需落实各类主体的安全责任,明确彼此之间的责任边界。同时,这两类问题又是高度场景化的,不同场景下所涉及的主体不同、数据不同,安全问题的具体表现不同,安全治理的规则也不尽相同。另一方面,这两类问题的解决,需要从制度、技术、市场三方面协同发力,将数据安全治理作为一个包含制度体系、技术体系、市场体系的系统工程来布局来建设。因此,《方案》的上半部分,可看作是场景化的数据流通安全合规指引。针对企业数据流通、公共数据流通、个人数据流通三种典型的数据流通与应用场景,梳理了安全问题,细化了安全规则。《方案》的下半部分则强调通过制度、技术、市场的协同,最大化安全治理的效能。在制度上,完善数据流通安全责任界定机制,明晰权责边界;在技术上,加强数据流通安全技术应用,对不同保护等级的数据采取不同的安全技术促进流通;在市场上,丰富数据流通安全服务供给,通过引入市场化、专业化的数据安全服务机构,培育数据安全治理的新模式和新业态。同时,依法依规打击惩处数据灰黑产业和数据垄断,维护数据市场秩序;并在国家层面增强安全风险分析、监测和处置能力,防范数据滥用风险。《方案》的编制,不仅指出了数据流通安全的核心问题,而且指出了提升安全治理能力的路径和方向。后续工作可在《方案》的方向引导下,细化落实具体场景下的安全合规指引,持续推进数据流通安全技术体系和标准体系建设,并通过市场机制逐步营建数据安全服务生态。
企业数据流通、公共数据流通、个人数据流通是三种典型的数据流通与应用场景,三种场景下关注的安全问题不同,数据流通安全治理的工作重点也有所区别。企业数据流通主要针对当前企业因业务合作而产生的数据交互活动,如产业链上下游的协同等。在这一场景中,主体间的责任边界在数据流通发生之前就通过商业合同或协议的方式进行了约定。安全问题的焦点往往在什么数据可以流通,以及如何流通上。当前,数据分类分级保护制度仍未完全落实,特别是对于重要数据的认定,以及配套的流通措施上,仍需在实践中不断补充完善。为此,《方案》以数据分类分级管理为切口,细化企业数据流通中的安全规则,促进数据供给,推动企业数据资源更充分地流通利用并释放价值。公共数据流通涉及当前公共数据共享与授权运营。在这一场景中,主体之间的关系往往由行政管理体系决定。而当前的行政管理体系与数据管理体系之间仍存在着衔接不顺的问题,导致在政务数据共享中,各方权责不清。在具体实践中,又因为权责不清,致使数据来源部门承担着超出合理范围的安全连带责任,造成数据有效供给不足。为此,《方案》对数据提供方、数据接收方的安全责任进行了澄清:数据提供方承担数据提供前的安全管理责任,包括明确数据的共享范围、用途、使用条件等;数据接收方承担数据接收后的安全管理责任,需加强风险识别、评估和管控,防范数据滥用。此外,公共数据授权运营机构作为该场景下引入的新主体,需配套建立健全安全管理制度,明确安全管理责任。个人数据流通涉及对个人数据的开发利用,例如平台企业依托所持有的个人数据开展跨平台合作以及业务创新等。该场景中,所有业务的开展都必须遵守《个人信息保护法》的相关规定。但实践过程中发现,在个人信息的用户授权与匿名化处理上往往存在操作上的困难,也存在着各种不规范的现象。为此,《方案》从安全合规的可操作性切入,以匿名化和个人数据权益保障为抓手,旨在逐步明确匿名化的操作规则以及相关流通环境的具体要求,为个人信息处理者提供可负担的合规指引。推动个人信息匿名化相关标准规范建设,个人数据权益保护机制建设,加强对个人信息处理活动的规范引导,在确保个人权益不受侵害的前提下,推动个人数据的价值释放。![]()
