中国数据治理规则体系构建:现状、挑战与展望
发布时间:2023-10-11 20:25 浏览次数:次 作者:admin
推进数据治理规则体系建设,是适配生产力发展的必然选择,是护航数据资源高效有序利用的必然要求,更是回应数字时代法律关系的必由之路。近年来,我国逐步推动构建数据治理规则体系框架,涵盖数据安全保障、用户权益保护以及数据价值释放三部分,但在数据价值释放和数据流转利用规则体系方面仍有较大完善空间。我国正处于从数据保护迈向数据赋能的关键过渡期,面临数据产权界定不清、流通交易规则缺失、无法采用统一化规则等挑战。建议将释放数据价值作为数据立法的重点方向,形成动态化的数据权益配置规则,完善数据流通利用具体规则,并在短期内以工业数据为突破口,逐步搭建数据空间体系框架。
构建数据治理规则体系的意义重大
当前,数据作为新型生产要素,已成为数字化、网络化、智能化的基础,并快速融入生产、分配、流通、消费和社会服务管理等各个环节。推进数据治理规则体系建设,是适配生产力发展的必然选择,是护航数据资源高效有序利用的必然要求,更是回应数字时代法律关系的必由之路。
适配生产力发展的现实需要。生产力作为人类解决社会同自然矛盾的实际能力以及改造自然使其适应社会需要的物质力量,在不同经济形态和时代背景下具有不同的表现形式。信息时代,以人工智能、区块链、云计算、大数据为代表的新一代信息通信技术已成为新型生产力,但其快速发展离不开作为生产资料的底层数据驱动。数据的积累、流转和应用打破了原有的生产方式和生产活动,催生出崭新的生产关系。为了使生产关系与信息时代的生产力发展特征相适配,需要建立数据治理机制,通过合理的数据分配和利用方式进一步激发社会生产力。
数据是新要素,对其的治理水平体现了一国的综合实力,需要新的治理模式、治理机制和治理手段。党的十八届三中全会首次提出“推进国家治理体系和治理能力现代化”重大命题,将“完善和发展中国特色社会主义制度、推进国家治理体系和治理能力现代化”确定为全面深化改革的总目标。党的十九届四中全会立足国家层面,对坚持和完善中国特色社会主义制度、推进国家治理体系和治理能力现代化作出全面部署,其中多处涉及“数据”相关工作,并首次提出以“数据”作为生产要素参与市场分配,要求“健全劳动、资本、土地、知识、技术、管理、数据等生产要素由市场评价贡献、按贡献决定报酬的机制”。《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》中50余次提及“数据”,涉及数字基础设施、数字政府、数字生态等多个方面,并设专篇论述“加快数字化发展 建设数字中国”,提出要“迎接数字时代,激活数据要素潜能,推进网络强国建设,加快建设数字经济、数字社会、数字政府,以数字化转型整体驱动生产方式、生活方式和治理方式变革”。
实现数据高效利用的有效手段。数据治理的最终价值在于实现数据高效利用,但数据具有和其他生产要素截然不同的属性,体现出明显的非竞争性、复用性和流动性特征。数据的非竞争性使数据具备了被无限增值利用的能力,一方主体对数据的使用不影响其他主体同一时间使用同一数据。数据的复用性是指数据的复制成本极低,原数据控制主体可以在不丧失占有的情况下共享数据。数据的流动性使得以推动数据价值最大化为目标的数据共享行为成为可能,为充分释放数据要素潜力奠定基础。
同时,不同主体的数据要素利用能力存在显著差异,需要围绕不同类型的数据建立治理路径。缺乏明确的数据治理机制,会导致不同市场主体拘泥于“不敢流通”“不想流通”“不能流通”等观念,阻塞数据要素流通渠道。一方面,个人、企业、政府等不同主体在数据的权益主张、保护需求、使用方式、利用能力等方面存在明显的多元化和差异性。另一方面,个人信息、企业数据、公共数据等类型化数据在利用方式上大相径庭,只有形成明确的利用规则才能厘清数据治理的底层逻辑。
厘清数据法律关系的前提。迄今为止,人类社会已然经历了以人力和畜力为代表的农业时代和以蒸汽电力为典型代表的工业时代,并在信息通信技术的飞速发展下跨越式进入信息时代。根据马克思主义政治经济学理论,经济基础决定上层建筑。信息通信技术在促进数字经济发展的同时,也在深刻地改变社会关系,催生出内容庞杂、尚待厘清的数据法律关系。
信息时代,以数据驱动的新型经济形态正在重塑与之伴生的社会结构和财富关系。数据价值进一步凸显,数据在一定程度上成为了可以与物质和能源相媲美的基础性社会资源,以数据为核心的法律关系愈发引起学界和社会关注。在不同的数据关系主体之间科学配置权利、义务和责任,构建数据治理规则体系,是厘清数据法律关系的基本方式。通过构建数据治理规则体系,明确公权力机关、企业和个人等各方的权利义务关系,才能使相关各方的利益在共存和相容的基础上达到合理的优化状态,才能解决侵犯用户个人信息权益、数据集中以及平台无序竞争等问题,进而推动数据要素市场规范化运行,护航数字经济健康有序发展。
我国已初步形成数据治理规则体系
近年来,我国逐步推动构建数据治理规则体系框架,涵盖数据安全保障、用户权益保护以及数据价值释放三部分,并形成包括数据安全保护、个人信息保护、公共数据管理和数据交易流通等一系列具体的规则内容。
我国数据治理规则的体系框架。在分析我国数据治理规则的体系框架之前,首先需要界定数据治理的法律概念。如前文所言,从法律角度看,数据治理是指在公权力机关、企业和个人等不同数据关系主体之间科学配置权利、义务和责任。因此,数据治理规则体系的重点在于通过一系列制度规则,厘清不同主体围绕数据产生的权利义务关系。按照法律调整的特定社会关系和调整方法,可将我国现行法律规范划分为宪法相关法、民法商法等法律部门。但是,近年来,网络法逐渐发展为一个新的领域法,数据法成为网络法的重要组成之一。数据治理规则作为数据法的基本内容,应当聚焦各部门在数据领域的共性问题,整合传统部门要素,突破部门法壁垒,形成具有协同性、整体性、实质性的规则制度。因此,数据治理规则的第一个要点是协同性。数据治理规则体系的各个组成部分应当相互协作、功能耦合,形成拉动效应。数据治理规则的第二个要点是整体性。整体观念强调任何系统都是一个有机的整体,数据治理规则体系应当是完备的。其主要体现在数据治理规则体系应当呈现出法律、法规、条例、规章等多个层级,每个层级的立法应当各司其职,不得缺位。数据治理规则的第三个要点是实质性。数据治理规则应当解决社会各界关注的核心问题,妥善处理安全与发展的平衡问题,即在保护个人、企业、公权力机关等各方主体权益的基础上,有效促进数据开发与利用。
近年来,我国数据治理法治体系不断向前推进,在落实体系的协同性、整体性、实质性要求的基础上,结合数据领域的立法规划,目前我国已围绕数据安全保障、用户权益保护以及数据价值释放三个方面,形成涵盖法律、行政法规、部门规章等不同层级的制度规则。在数据安全保障体系方面,我国已先后通过并施行《中华人民共和国国家安全法》(以下简称《国家安全法》)、《中华人民共和国网络安全法》(以下简称《网络安全法》)、《中华人民共和国数据安全法》(以下简称《数据安全法》)及相关配套规定,构建了数据分类分级与重要数据保护、数据安全风险评估与工作协调、数据安全应急处置、数据安全审查等制度。在用户权益保护体系方面,我国已通过并施行《中华人民共和国民法典》(以下简称《民法典》)、《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)及相关配套规定,明确了个人信息处理规则,完善了个人信息跨境提供规则,规定了个人信息处理活动中个人的权利和处理者义务。在数据价值释放体系方面,近年来,地方数据立法先行,贵州、天津、海南、山西、吉林、安徽、山东、上海等地先后出台地方数据条例,制定了公共数据共享和开放、数据交易流通等规则。但是,中央层面尚缺乏系统的、可复制推广的促进数据要素价值释放的立法体系。
我国数据治理规则的制度内容。我国数据治理规则体系以法的形式对基于数据处理行为形成的各种社会关系和事项进行调整。总体来说,数据治理规则制度主要包括数据安全保护、个人信息保护、公共数据管理和数据交易流通等具体内容。
一是数据安全保护制度。我国构建了以《数据安全法》为核心,涵盖《网络数据安全管理条例(征求意见稿)》《汽车数据安全管理若干规定(试行)》等配套立法的数据安全保护制度体系。在具体制度上,建立了数据分类分级管理制度,确定了重要数据保护目录,对列入目录的数据进行重点保护;建立了集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制,加强数据安全风险信息的获取、分析、研判、预警工作;建立了数据安全应急处置机制,有效应对和处置数据安全事件;与相关法律衔接,确立了数据安全审查制度和出口管制制度;针对一些国家对相关投资和贸易采取歧视性等不合理措施的做法,明确了可以根据实际情况采取的相应措施。
二是个人信息保护制度。我国构建了以《个人信息保护法》为核心,涵盖《网络安全法》《民法典》等法律、法规、规章以及规范性文件的多层次、多领域、结构复杂的个人信息保护法律制度体系。在具体制度上,确立了个人信息处理应遵循的合法、正当、必要等原则;建立了以“告知-同意”为核心的个人信息处理的一系列规则,根据个人信息处理的不同环节、不同个人信息种类,对个人信息的共同处理及委托处理、向第三方提供或公开、用于自动化决策、处理已公开的个人信息等提出有针对性的要求;设立了个人信息跨境提供规则;明确了在个人信息处理活动中个人的各项权利,包括知情权、决定权、查询权、更正权、删除权等;明确了个人信息处理者的合规管理和有关部门保障个人信息安全等义务。
三是公共数据管理制度。《数据安全法》在第五章“政务数据安全与开放”中对政务数据的质量提出要求,规定了国家机关对政务数据的安全保障、及时公开、监督受托方处理的义务,明确提出要制定政务数据开放目录,构建统一的政务数据开放平台。在地方立法上,《上海市公共数据开放暂行办法》对公共数据开放主体、开放重点、分级分类、开放清单动态调整、开放平台管理、行为记录、开放主体责任豁免等事项作了规定。《浙江省公共数据开放与安全管理暂行办法》规定省公共数据主管部门组织编制全省公共数据开放目录,设区的市公共数据主管部门可以组织编制公共数据开放补充目录,并将公共数据分为禁止开放、受限开放、无条件开放等类别。《山东省公共数据开放办法》明确了个人和企业对利用合法获取的公共数据开发的数据产品和服务享有财产权益。
四是数据交易流通制度。《数据安全法》确定了“保障数据依法有序自由流动”的宗旨,要求“国家建立健全数据交易管理制度”,规定从事数据交易中介服务的机构应当履行“要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录”的义务和相应的法律责任。在地方立法上,《深圳经济特区数据条例》对可交易的数据产品和服务、数据质量评估认证活动、数据价值评估准则以及数据交易中的公平竞争等作了规定;《上海市数据条例》明确了建立数据交易所、国际数据港等实质性举措;《天津市数据交易管理暂行办法》则对交易主体、对象、行为、交易平台、交易安全、监督管理作了系统性规定。
数据治理规则体系面临的新形势、新挑战
通过观察全球数据立法脉络,可以发现其呈现“两步走”特点,并表现出新的治理态势,即从“关注个体数据处理的数据保护型模式”转变为“以构建数字生态为核心的数据赋能型模式”。当前,我国正处于从数据保护迈向数据赋能的关键过渡期阶段,面临数据产权界定不清、流通交易规则缺失、无法采用统一化规则等挑战。
数据治理规则体系构建的新形势。当前,全球围绕数据的合作与竞争持续深化,数据治理已成为各国立法的重要内容,并呈现“两步走”特点,整体发展表现为两个阶段。第一阶段数据治理模式为“关注个体数据处理的数据保护型模式”,通过出台数据保护法,强化数据主体权利,解决数据主体信任的问题。第二阶段数据治理模式为“以构建数字生态为核心的数据赋能型模式”,通过数据治理顶层立法,形成数据流转利用规则体系,解决数据价值释放的问题,例如,韩国《数据产业振兴和利用促进基本法》(简称《数据基本法》),欧盟《数据治理法案》《数据法案》,印度《国家数据治理框架政策(草案)》。全球数据治理的相关立法内容主要包含以下三个方面。
一是建立一体化的数据治理机构,为数据价值释放提供机制保障。如,韩国成立国家数据政策委员会,作为跨部委间数据治理监督和决策机构;日本成立数字厅以实施国家数据综合战略。同时,增设专业机构解决专门问题。如,欧盟建立数据共享服务商和数据利他组织以降低数据共享成本;韩国设立数据价值评估委员会和资产保护委员会以推进数据资产化运行。
二是构建跨主体间数据流动机制,为数据价值释放提供公平环境。如,针对企业间数据流动,多数国家设计了数据交易合同条款的“公平”标准,增强中小企业在数据共享谈判中的议价能力,防止大企业滥用数据共享合同;对于企业和政府间的数据流动,相关国家赋予企业因匿名化等技术成本获得经济补偿的权利,寻找公私利益平衡点,形成互利共赢的数据流动模式。
三是开发多元化的模式和方案,为数据价值释放提供落地方案。如,“数据慈善”模式主要是企业出于履行社会责任的目的向主体免费提供数据;“数据奖励”模式主要是政府通过设立奖项、以给予参与者一定回报的形式,激励主体间数据共享;“数据中间商撮合”模式主要是作为可信的第三方、中间商协助主体间建立信任关系,以磋商形式促成数据共享;“数据合伙”模式主要是基于共同利益,主体间建立可持续的数据合作伙伴关系。
我国数据治理需要迈向“以数字生态为核心的数据赋能型模式”阶段,形成数据流转利用规则体系,以解决数据价值释放的问题。2022年,《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》(又称“数据二十条”)发布,提出激活数据要素潜能的20条建议,标志着我国着手构建促进数据要素高效利用的新治理模式。“数据二十条”从数据产权、流通交易、收益分配、安全治理等方面提出了相关建议,并指出要围绕构建数据基础制度,逐步完善数据产权界定、数据流通和交易、数据治理等主要领域关键环节的政策制定工作。
数据治理规则体系构建的新挑战。从立法现状来看,我国制定出台了《数据安全法》《个人信息保护法》等系列法律法规,建立了完善的信任机制框架,数据保护阶段的目标已基本实现,正处于迈向数据赋能的关键过渡阶段,面临三大挑战。
一是数据权属界定不清,无法有效回应多元数据主体利益诉求。数据权属本质上涉及个人、企业、国家三方主体之间的权利分配,目前,我国在立法层面一直未对数据权属中的权利内容及保护倾斜程度予以规定,这客观上阻碍了数据的顺畅流通,成为数据要素价值释放的掣肘因素。实践中出现了很多关于数据权属的争议,例如微博诉脉脉不正当竞争案、网络舆情监测分析公司蚁坊诉微博垄断案等。“数据二十条”虽创造性地提出了数据资源持有权、数据加工使用权、数据产品经营权的“三权分置”产权制度框架,但权利的内涵并不明确,还需建立具体法律制度保护各主体利益。
二是数据交易流通规则缺失,导致大规模数据要素市场运行不畅。目前立法中针对数据开发利用的规则不足,产业界过度关注数据保护,存在“不敢”“不能”“不想”流通数据的现象,导致数据要素市场培育不畅。在“政-企数据开放”场景下,政务数据开放数量有限,无法为市场形成高质量供给;在“政-政数据共享”场景下,存在供需对接不畅、地区标准和规划不统一等问题;在“企-政数据汇集”场景下,缺乏数据安全保障、数据泄露风险应对、成本补偿等机制;在“企-企数据互通”场景下,作为交易重要机制之一的数据交易所,其运营发展仍未能达到预期效果。
三是数据类型复杂多样,无法采用统一化的数据治理规则方案。数据类型多样、价值各异。由于不同类别数据治理存在不同解决思路,推进节奏也不尽相同,无法采用统一的解决方案,因此需要因类施策,实现数据治理规则构建的准确、周延与完整。只有对数据进行分类分级,才能划清并明晰在不同场景和安全级别下,不同类型数据所应采取的保护措施,才能在更好地保护数据安全的基础上,合理规定不同类型数据的流通方式和规则,为开展合规化的数据流通提供行动依据,最大限度释放数据价值。
构建“以数字生态为核心的数据赋能型”治理模式
数据治理规则体系应当从“关注数据处理活动的数据保护型模式”转变为“以构建数字生态为核心的数据赋能型模式”,将释放数据价值作为数据立法的重点方向,形成动态化的数据权益配置规则,完善数据流通利用具体规则,并在短期内以工业数据为突破,逐步搭建数据空间体系框架。
将释放数据价值作为数据立法的重点方向,促进数据开发利用。目前,数据领域的基础性立法已经构建完毕,但如何有效促进数据价值释放,各方仍在努力探索当中。下一步,数据立法应聚焦各部门在数据领域价值释放的衍生共性问题,形成具有协同性的数据价值释放制度。同时,为实现数据的合法合规利用,可以采取技术手段控制数据流通、使用环节。当前,区块链、联邦学习、隐私计算等技术,为数据匹配、价值分配、隐私安全等提供了重要的技术支撑,应作为数据价值释放的关键路径。
形成动态化的数据权益配置规则,平衡各方主体利益。数据治理涉及政府、企业、个人等多方主体,不同主体的利益诉求存在差异,甚至相互交织。建议数据立法可以从动态、场景化的角度,明确多元主体之间的权利义务关系,充分保护相关主体的合法权益。一方面,激励数据的生产和利用,肯定基于事实控制而取得的数据使用权和基于成本投入的数据收益权,探索数据价值化路径和利益再分配机制。另一方面,激励数据的流通,探索法定许可、合理使用、个人信息可携权等制度,明确合理付费、公平无歧视等要求。
完善数据流通利用的具体规则,畅通数据流通四维场景体系。确立数据流通利用的基本原则,细化数据分类分级规则,设置差异化的数据管理规则,在不同流动场景中规范数据流动活动。在“政-企数据开放”场景下,明确政务数据开放目录,同时探索政企间“数据换数据”的开放模式,除公共数据G2B单向流动外,以政企间数据交换为条件的开放模式也值得纳入探讨。在“政-政数据共享”场景下,打造公共数据资源池,推进公共数据跨部门、跨层级、跨地区汇聚融合和深度利用,形成互联互通、安全可控的一站式公共数据共享平台。在“企-政数据汇集”场景下,需完善数据安全保障、泄露风险应对、成本补偿等机制。在“企-企数据互通”场景下,有必要探索数据交易合同及数据交易所相关制度规范。
短期内以工业数据为突破口,逐步搭建数据空间体系框架。生产领域的数据化是信息时代发展的主战场,工业制造领域产生的数据类型较为单一,主要为工业数据,而且所涉及的主体主要是制造业企业及上下游企业,并不复杂。特别是工业数据正逐渐从制造过程的副产品转变为企业和供应链环节带来新价值的战略资源,成为提升制造业生产力、竞争力、创新力的关键要素。围绕工业场景重点解决数据安全与利用的平衡问题相对容易,也具备一定的实践基础。因此短期内可以工业数据作为搭建数据空间体系框架的突破口。下一步,可考虑以工业数据连接为基础,积极探索部署中国工业数据空间架构体系,从架构构建、生态形成、标准建立等多层次培育工业数据市场。第一,构建工业数据空间架构体系,充分调研国内外相关技术路径,明确工业数据可控流通、利用、监管的场景和需求,构建过程与目标要符合中国特点和需要。自下而上建立数据接入层(工业数据的来源)、传输处理层(对数据传输、处理以及计算)、中间服务层(由中间服务方提供的第三方服务)、数据控制层(数据全生命周期的接入控制与使用控制)以及数据应用层(企业业务运行)。第二,搭建工业数据空间生态系统,参照工业互联网产业联盟成功模式,积聚数据流通利用相关各方,构建工业数据空间联盟,培育生态系统。可基于各参与方之间的业务关系形成的数据流通模式,形成点对点模式、星状网络模式以及可信工业数据空间融合模式等不同种类的业务模式。第三,建立工业数据空间标准体系,在现有网络安全、等级保护等国家标准基础上,建立“基础类”、“技术类”以及“应用类”等不同类型的工业数据空间标准体系,指导各行业推进建立工业数据空间应用,并同步推动工业数据空间标准在IEEE、ISO等国际标准组织的立项和研制工作。