数据要素制度的基本要旨与合规启示
2023-08-06王春晖
王春晖
(1.浙江大学 网络空间安全学院,浙江 杭州 3100582.南京邮电大学 信息产业发展战略研究院,江苏 南京 210023)
一、数据全流程合规与监管规则体系
数据是国家重要的战略性资源,任何组织和个人开展数据处理活动都必须遵守法律和法规。目前,数据监管领域涉及的法律法规主要包括《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络数据安全管理条例》,以及省、自治区、直辖市人大及其常委会制定和公布的地方性数据法规等。
2017年6月1日正式施行的《网络安全法》为我国有效应对网络与数据安全威胁和风险,全方位保障其安全提供了坚实的法律保障。《网络安全法》是我国第一部既涉及网络安全,又涉及数据安全和个人信息保护的综合性和基础性立法。在数据保护方面,《网络安全法》重点规定了数据分类、重要数据备份和加密,重要数据的境内存储和出境安全评估制度,维护网络数据的完整性、保密性和可用性,以及确立了网络数据的定义等。
2021年9月1日起实施的《数据安全法》第二十七条规定,数据处理者开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在遵循网络安全等级保护制度的基础上,履行上述数据安全保护义务。如果是重要数据的处理者,应当明确数据安全负责人和管理机构,并落实数据安全保护责任。
《数据安全法》确立了“建立健全全流程数据安全管理制度”的全流程安全法律制度。与《数据安全法》同日实施的《关键信息基础设施安全保护条例》第六条要求,运营者应当依照本条例和有关法律、行政法规的规定,以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。
《个人信息保护法》明确规定,处理个人信息应遵循合法、正当、必要和诚信原则,并在总则部分第六条提出了两个“最小原则”,即采取对个人权益影响最小的方式,限于实现处理目的的最小范围。《个人信息保护法》的两个“最小原则”是处理个人信息应遵循的核心原则,尤其是处理目的的“最小范围”,这是禁止“过度收集个人信息”的关键要点,因为个人信息处理者只有在严格遵守处理目的的“最小范围”的前提下,即“非必要不收集”的情况下,才能确保其采取对个人权益影响最小的方式[1]。
《网络数据安全管理条例》则要求,任何个人和组织开展数据处理活动都应当遵守法律、行政法规,尊重社会公德和伦理,不得从事以下六类活动:一是危害国家安全、荣誉和利益,泄露国家秘密和工作秘密;二是侵害他人名誉权、隐私权、著作权和其他合法权益等;三是窃取或者以其他非法方式获取数据;四是非法出售或者非法向他人提供数据;五是制作、发布、复制、传播违法信息;六是法律、行政法规禁止的其他行为。
数据要素流通和交易必须在安全合规和有效监管的基础上进行,这需要构架全国统一的数据要素流通和交易全流程合规与监管规则体系,重点强化市场主体对数据流通和交易全流程合规治理体系的构建。首先,要确保流通的数据来源合法,根据《数据安全法》的规定,开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。其次,要确保数据交易规范合规,数据交易标的规范合规主要指数据供方交易的数据获取渠道合法、权利清晰无争议,能向数据交易机构提供拥有交易数据完整相关权益的承诺及交易数据采集渠道、个人信息保护政策、用户授权等相关材料,以及确保交易数据的真实性,能够向数据交易机构提供交易数据真实性的承诺及相关材料。数据交易机构或其委托的合法数据处理机构应当对数据供方提供的交易数据的合法性、真实性以及来源进行合规审查[2]。再次,要确保敏感个人信息得到充分保护,根据《个人信息保护法》的规定,敏感个人信息主要包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等,以及不满十四周岁未成年人的个人信息。这些信息一旦泄露或者被非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害。
二、统筹构建规范高效的数据交易场所
数据交易场所的构建应当体现交易制度的公平合规与运行机制的有序高效。“数据二十条”提出:“完善和规范数据流通规则,构建促进使用和流通、场内场外相结合的交易制度体系。”场内交易是指在数据交易所内,按一定规则进行的交易;场外交易,即在数据交易所之外,双方依法自行进行的交易。我国具有代表性的两部地方性数据综合性立法——《深圳经济特区数据条例》和《上海市数据条例》均规定,市场主体可以通过依法设立的数据交易(所)平台进行数据交易,也可以由交易双方依法自行交易。
目前,数据的场外交易比较活跃,场内交易相对冷淡,而违法的黑市交易已形成相当规模,主要涉及个人信息,特别是敏感个人信息。2019年至2022年10月,全国检察机关共批准逮捕涉嫌侵犯公民个人信息犯罪嫌疑人1.3万余人,提起公诉2.8万余人。从最高人民检察院2022年发布的5起侵犯公民个人信息犯罪的典型案例看,主要涉及对敏感个人信息的侵犯,包括公民征信信息、生物识别信息、行踪轨迹信息、健康生理信息等[3]。
在个人数据的交易层面,有学者认为“个人数据交易一级市场应遵循告知同意原则,二级市场应遵循合法原则和兼容原则”,并提议对我国《个人信息保护法》第十四条第二款、第二十二条、二十三条作相应修订[4]。党的二十大报告强调要“加强个人信息保护”。笔者认为,无论数据的场内交易,还是场外交易,都应当严格禁止涉及未经个人授权同意的个人信息的交易,尤其是敏感个人信息的交易,但是个人信息经过匿名化处理的除外。鉴于数据资产交易处在培育期,应严格依法规范数据的场外交易,逐步由场外交易向场内交易过渡,在依法设立的数据交易机构进行交易,严厉打击数据的黑市交易,营造安全可信有序的数据交易市场环境。
根据《数据安全法》第三十四条规定,法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可。鉴于数据交易标的和行为的特殊性,从事数据交易机构的准入,应当依据《行政许可法》第十二条规定建立行政许可制度[5]。据了解,我国已建成近40家数据交易所,但存在同一地区内重复建设、数据割据和无序竞争现象。为此,“数据二十条”强调,要加强数据交易场所体系设计,统筹优化数据交易场所的规划布局,严控交易场所数量,建议由新组建的国家数据局出台数据交易所整体规划和布局方案。
三、培育数据要素流通和交易服务生态
实现数据要素的安全高效流通和交易,需要构建数据流通和交易供应链服务生态体系。数据供应链交易生态服务体系包括数据提供方、购买方、平台方、监管方及第三方中介服务机构。这里最重要的是构建数据要素流通和交易的第三方中介服务生态体系,国家要培育一大批专业化、合规化、规模化的第三方数据要素专业服务机构,包括数据集成、数据经纪人、数据合规认证、数据安全审计、数据公证、数据保险、数据托管、数据资产评估、数据争议仲裁、数据交易风险评估、数据要素人才培训,以此极大地提升数据流通和交易全流程服务能力。
2022年5月,欧盟理事会批准通过《数据治理法案》(DataGovernanceAct,简称DGA)。DGA强调规则创新,鼓励数据的共享和提高数据利用的效率,让数据资源的流转服务于更高的公共政策目标:首先,建立公共部门持有数据的再利用机制;其次,建立框架以促进数据中介机构的发展;再次,对于数据利他行为做出规范化的引导。在促进数据利用方面,DGA尤其强调了数据中介的作用,建立了如数据商店、数据经纪人、数据信托等数据中介服务模式。事实上,实现安全、可信、高效的数据流通和交易,数据经纪人和数据安全合规认证中介服务非常重要。
数据经纪商(Data Broker)与“数智”时代的数据经纪人的服务内容完全不同,根据美国联邦贸易委员会(Federal Trade Commission,FTC)的定义,数据经纪商是通过各种渠道采集消费者个人信息,并在对采集的原始信息及衍生信息进行整理、分析和分享后,向与消费者没有直接关系的企业出售、许可、交易或提供该信息,用于产品营销、验证个人身份或检测欺诈行为等[6]。“数智”时代,数据经纪人绝不仅仅是通过各种渠道采集消费者个人信息和数据进行交易撮合服务,还需提供大量的数据增值服务,即进行数据收集、汇聚、处理、加工,提供算法、数据存储、计算算力、流通保障技术环境,以及围绕数据交易和流通的相关咨询和代理服务等。
数据合规认证是保证数据要素安全高效流通和交易。根据《数据安全管理认证实施规则》,数据安全管理认证的模式包括:技术验证+现场审核+获证后监督,其中,技术验证要求第三方技术验证机构按照认证方案实施数据安全技术验证,并向认证机构和认证委托人出具技术验证报告。重点开展数据流通和交易活动的安全风险监测,发现数据安全缺陷、漏洞等风险时,应责成采取加密、脱敏、备份、访问控制、审计等技术手段或者其他必要措施。加强在数据流通和交易中的数据安全防护,保护数据免受泄露、窃取、篡改、损毁、不正当使用等;对重要数据和敏感个人信息进行重点保护,应按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。同时,应建立数据安全管理责任和评价考核制度,制定数据安全保护计划,开展安全风险评估,组织开展数据安全合规教育培训等。认证机构应当在认证有效期内,对获得认证的网络运营者进行持续监督,并合理确定监督频次,确保数据流通和交易的安全与合规。
四、数据资产的认定与评估
数据要素的价格确定是数字经济发展过程中面临的一个难题。如果允许自由定价,那么数据所有者或者控制者可以设置一个非常高的许可价格,使数据作为核心要素失去意义[7]。因此,数据要素的价格除了数据供需双方之间进行议价交易外,一般需要通过建立数据资产评估机制和制定数据价值评估准则进行认定。
我国《资产评估法》对“资产评估”给出的定义是:“评估机构及其评估专业人员根据委托对不动产、动产、无形资产、企业价值、资产损失或者其他经济权益进行评定、估算,并出具评估报告的专业服务行为。”财政部关于修改《企业会计准则——基本准则》的决定中,对“资产”的定义是,企业过去的交易或者事项形成的、由企业拥有或者控制的、预期会给企业带来经济利益的资源。首先,企业过去的交易或者事项包括购买、生产、建造行为以及其他交易或者事项,预期在未来发生的交易或者事项不形成资产;其次,由企业拥有或者控制,是指企业享有某项资源的所有权,或者虽然不享有某项资源的所有权,但该资源能被企业所控制;再次,预期会给企业带来经济利益,即直接或者间接导致现金和现金等价物流入企业的潜力。可见,资产的形成具有三大特征,一是已经发生或形成的交易或者事项;二是由企业拥有或者控制;三是预期会给企业带来经济利益。
2022年,国家知识产权局决定在浙江、上海、深圳等地开展数据知识产权保护试点,力争在立法、存证登记等方面取得可复制推广的经验做法,并为后续制度设计提供实践基础。2023年“两会”期间,国家知识产权局副局长何志敏建议,借鉴以无形财产为客体的知识产权法律制度,尽快建立数据知识产权制度[8]。《资产评估准则——无形资产》对“无形资产”的认定,即特定主体所拥有或者控制的,不具有实物形态,能持续发挥作用且能带来经济利益的资源。《国际会计准则第38号无形资产》(IA S38)将“无形资产”定义为:用于商品或劳务的生产或供应、出租给其他单位、或出于管理目的而持有的、没有实物形态的、可辨认的非货币资产。我国《企业会计准则第6号——无形资产》对无形资产的定义是:企业拥有或者控制的没有实物形态的可辨认非货币性资产。从国际会计准则和我国企业会计准则关于“无形资产”的定义可以看出,无形资产的基本特征是“可辨认性”。但是,数据资产不完全符合会计准则中 “无形资产”的定义,既不同于传统的不动产、动产,也不同于类似知识产权的没有实物形态的可辨认非货币性资产。数据资产主要是以数据为载体和表现形式,而且能够进行计量,并能带来直接或者间接经济利益的数据资源。数据资产通常包括三大基本属性,即通用属性、业务属性和管理属性。一是通用属性,主要包括数据来源、数据类型、数据结构、时段、更新周期、元数据和存储形式等;二是业务属性,包括业务描述、业务模型、业务规则和关联关系等;三是管理属性,包括数据分类分级、安全信息、数据溯源、职责权限和应用场景等。(1)参见《信息技术 大数据 数据资产价值评估》(征求意见稿)。因此,数字资产的评估应当基于数字资产的基本属性,重点聚焦对数据价值的评价,包括数据资产的质量要素、成本要素、应用价值等。从数字资产的整体性考虑,主要的权重则是数据资产的质量要素和应用价值。
数据资产的质量要素主要包括:安全性、真实性、准确性、一致性、完整性、规范性、时效性和合规性等。其中最重要的四个要素:一是安全性,即数据不涉及国家安全、企业商业秘密以及个人隐私信息等;二是真实性,即数据在信息系统中能准确表示其所描述的事物,确保数据真实是数据资产评价的第一要务;三是规范性,即数据资产符合数据标准,这里的标准不能简单地理解为数据要素领域所需要统一的技术要求,而是评价数据价值在内外部使用和交换过程中保持一致性和准确性的一系列规范性约束;四是合规性,包括数据权属、数据权限、数据分类、数据安全、侵权救济,以及数据的许可使用、质押、转让、仲裁等。
数据资产的应用价值主要包括使用范围、应用场景、商业模式、供求关系、数据关联性和应用风险等。使用范围应关注数据资产涉及的行业、领域和区域等;应用场景应关注数据资产的使用方式、开放程度和使用频率等;商业模式应关注数据产品及服务模式、赋能模式和金融模式等;供求关系应关注数据资产的稀缺性、市场规模和价值密度等;数据关联性应关注数据资产的用户关联性、数间关联性和业务关联性等;应用风险应关注数据资产的管理风险、流通风险、数据安全风险、敏感性风险和监管风险等。在进行数据资产价值评估时,应分析数据资产的应用要素。(2)参见《信息技术 大数据 数据资产价值评估》(征求意见稿)。
五、构建安全合规的数据跨境流通机制
数据的流通并未限定在国内,其具有全球性。无论是进口贸易还是出口贸易,均需要附带数据的跨境传输。目前,数据跨境流动主要因商业和生产确需向境外提供,大多数情况下,数据很少作为商品跨境交易。然而,数据的跨境传输已经从原来的“如何传输”,进入了“如何可信安全传输”的时代,安全合规有序的数据跨境双向流动机制的构建,对于跨境贸易具有极其重要的作用。
数据出境的安全问题不仅关乎数据本身作为重要生产要素的开发利用与安全问题,还与国家主权、国家安全、个人信息权益、社会公共利益等休戚相关。为此,“数据二十条”要求,对影响或者可能影响国家安全的数据处理、数据跨境传输、外资并购等活动依法依规进行国家安全审查。数据安全审查制度是《数据安全法》确立的一项重要审查制度,2022年2月新修订的《网络安全审查办法》第十条规定,网络安全审查重点评估相关对象或者情形的以下国家安全风险因素:(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险;(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性,以及因为政治、外交、贸易等因素导致供应中断的风险;(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;(五)核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;(六)上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险;(七)其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。
《网络安全审查办法》第十条(五)和(六)主要是针对核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险,以及上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险等。目前,我国数据立法将数据分为一般数据、重要数据、核心数据。该分类方法主要是基于数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度[9]。
“数据二十条”要求,积极参与数据跨境流动国际规则制定,探索加入区域性国际数据跨境流动制度安排。2022年1月1日,《区域全面经济伙伴关系协定》(RegionalComprehensiveEconomicPartnership,RCEP)正式在我国生效,这个历经8年谈判达成的协定在数据跨境流动方面做出了具体的规定。RCEP在第十二章第十五条要求:“一缔约方不得阻止涵盖的人为进行商业行为而通过电子方式跨境传输数据。”同时,RCEP又强调:“缔约方为保护其基本安全利益所必需的任何措施,其他缔约方不得提出异议。”(3)参见RCEP.CHAPTER 12 ELECTRONIC COMMERCE.可见,RCEP将数据跨境自由流动作为一项基础性原则,但同时RCEP尊重一个主权国家为国家的安全和利益而实施的对数据跨境流动的任何安全保护措施,这其中就包括了国家数据安全审查。
事实上,“数据二十条”将“数据跨境流动”作为一项基本原则,只是对影响或者可能影响国家安全的数据处理、数据跨境传输和外资并购等活动实施国家安全审查。“数据二十条”强调,要坚持开放发展,推动数据跨境双向有序流动,鼓励国内外企业及组织依法依规开展数据跨境流动业务合作,支持外资依法依规进入开放领域,推动形成公平竞争的国际化市场。
目前,在北京数字贸易试验区、上海自由贸易试验区、浙江自由贸易试验区、海南自由贸易港均制定了数据跨境方案。建议在上述“自贸区”试点建设离岸数据中心,探索安全规范的跨境数据流动方式,重点针对跨境电商、跨境支付、供应链管理、服务外包等应用场景。自由贸易试验区的离岸数据中心应当按照国际规则或惯例,实施一种特殊的互惠政策和制度安排,比如可以使用国际互联网专用通道,使自贸区内的国际数据传输与自贸区外相比,更加自由和便利,甚至可以不执行或不完全执行中国境内有关数据跨境的法律法规等。
六、数据要素的初次分配与政府调节功能
党的十九届四中全会通过的《中共中央关于坚持和完善中国特色社会主义制度推进国家治理体系和治理能力现代化若干重大问题的决定》(以下简称《决定》)提出,“健全劳动、资本、土地、知识、技术、管理、数据等生产要素由市场评价贡献、按贡献决定报酬的机制”。《决定》确立的数据要素采用“市场评价贡献、按贡献决定报酬的机制”,为构建体现效率与促进公平的数据要素收益分配制度指明了方向。 对此,“数据二十条”再次加以强调,同时还提出要更好地发挥政府在数据要素收益分配中的引导调节作用。2023年3月,中共中央、国务院发布的《数字中国建设整体布局规划》进一步指出,要释放商业数据价值潜能,加快建立数据产权制度,开展数据资产计价研究,建立数据要素按价值贡献参与分配的机制。
(一)引导数据要素的初次分配
数据本身并不能直接参与生产和分配,必须通过数据要素各参与方的投入将数据转化为有生产价值的数据要素。数据作为生产要素应当具备三大功能,一是数据生产要素能为经济的高速增长创造价值;二是数据生产要素与其他生产要素融合,具有放大和倍增作用;三是数据生产要素能参与收益分配。“数据二十条”提出,推动数据要素收益向数据价值和使用价值的创造者合理倾斜,确保在开发挖掘数据价值各环节的投入有相应回报,强化基于数据价值创造和价值实现的激励导向。
目前,应当重点关注和引导数据要素的初次分配,要结合数据要素的特征,优化初次分配的结构和权重。应当按照“谁投入、谁贡献、谁受益”的原则,着重保障数据要素各参与方的收益,在提高数据利用效率的基础上,让数据处理者的劳动价值创造得到合理和公平的回报。这里要特别强调,要重视和提高数据处理者劳动报酬在初次分配中的比重,尤其是优化以知识价值为导向的数据要素收益分配政策,尊重数据要素各参与方的科研、技术、管理人才的作用,充分体现知识、管理、技术对数据要素市场的贡献。
构建高效和公平的数据要素收益分配体制机制,必须更好地发挥政府在数据要素收益分配中的引导调节作用。我国的数据要素市场处在培育期,数据要素收益分配制度尚未建立,仅凭市场机制无法保证数据要素收益初次分配的公平性。因此,只有充分发挥政府在数据要素收益分配中的引导调节作用,才有可能实现数据要素收益初次分配的公平。
(二)发挥政府在数据要素收益分配中的调节功能
在数字产业化和产业数字化发展进程中,为了避免大型数据企业对数据加以垄断,进而形成数据富有者和数据贫困者之间的“数据鸿沟”,规避数据贫富两极分化带来的不公平和风险,政府应当发挥在数据要素收益分配中的引导和调节作用。数据要素收益分配体制在强调效率优先的基础上,应当保证其分配的公平性,而仅仅通过数据要素市场的初次分配很难实现,因此,必须发挥政府在数据要素收益再分配市场中的引导调节作用,推动大型数据企业积极承担社会责任,尽可能地缩小数据富有者和数据贫困者之间的“数据鸿沟”,将数据税收入投入实体经济,尤其是向传统制造业数字化转型的行业倾斜,着重建立公平的数据要素收益分配体制。
政府还应当倡导数据公益,更好地使用数据、挖掘数据、共享数据,为社会公益创造更大的经济溢出效应,促进基本数据公共服务均等化。数据公益不是数据分配的均等主义,更不是削弱市场和政府对于数据要素的调配和监督作用,而是让数据要素价值惠及更多中小微企业和更广大的人民群众。因此,必须充分发挥数据要素的公益目的和作用,促进全体人民共享数据发展红利。
七、数据要素协同治理应体现全过程安全
数据要素的治理必须要坚持安全与发展并重、鼓励与规范并举的原则,健全安全可控、弹性包容的数据要素治理规则体系。首先,要把安全贯穿数据治理全过程。数据安全是国家安全的重要组成部分,数据安全与国家政治安全、经济运行、社会治理、公共服务、国防安全、文化安全等密切相关。其次,要构建多方协同参与的治理模式,创新政府治理方式,明确各方主体责任和义务,完善行业自律机制,规范市场发展秩序,形成有效市场和有为政府相结合的弹性包容的数据要素治理格局。
(一)“数据要素治理”体系应平衡创新与监管
“数据要素治理”体系是数据要素四大基础制度体系的压舱石,“数据产权、流通交易、收益分配”制度是建立在数据要素治理基础上的三大支柱,没有安全可信有序的“数据要素治理”体系,就没有数据的有效流通和交易,就无法保障数据要素各参与方的数据权益。
“数据二十条”要求,要充分发挥政府有序引导和规范发展的作用,守住安全底线,明确监管红线,打造安全可信、包容创新、公平开放、监管有效的数据要素市场环境。数据要素市场的发展是一个“创新-监管-再创新”的过程,其底层逻辑是创新和安全两种价值的平衡。一方面,追求包容创新,要以宽容的心态接纳有瑕疵的创新,构建包容创新的容错纠错机制,这样数据要素市场的发展才有强劲的动力;另一方面,保障安全可信,安全和可信是相辅相成的,可信并不等同于安全,但可信是安全的基础,没有可信作为保障,安全将无从谈起,数据要素市场的发展应当是建立在可信基础上的安全发展。
数据要素市场的良性发展,决不能脱离监管谈创新。鉴于数据非竞争性产生的潜在巨大价值,为防范大型平台企业垄断数据,以及其通过技术和资本优势排除竞争等不当行为,应尽可能地鼓励数据广泛使用,保障公平竞争。近年来,一些大型互联网平台企业滥用市场支配地位、开展不正当竞争,导致“大数据杀熟”、限定交易等涉嫌垄断的行为屡见不鲜。2021年11月实施的《个人信息保护法》专门规定平台企业要履行“守门人”角色,并承担更多的社会责任,主要包括:应按照国家规定建立健全个人信息保护合规制度体系;成立主要由外部成员组成的独立机构进行监督;遵循公开、公平、公正的原则制定平台规则;对严重违法处理个人信息的平台内产品或服务提供者停止提供服务;定期发布个人信息保护社会责任报告并接受社会监督等。新修订的《中华人民共和国反垄断法》在第一条立法目的中明确提出“鼓励创新”,同时规定,具有市场支配地位的经营者不得利用数据和算法、技术以及平台规则等从事前款规定的滥用市场支配地位行为[10]。对此,“数据二十条”也明确要求,企业应严格遵守反垄断法等相关法律规定,不得利用数据、算法等优势和技术手段排除、限制竞争,实施不正当竞争。
当然,数据要素市场的良性发展,也不能抑制创新谈监管,创新是数据要素市场发展的动力,监管是数据要素市场发展的安全保障,两者辩证统一、相互关联。数据要素市场的建立健全和良性发展,应当坚持促进发展和监管规范两手抓、两手都要硬,这就要求发挥政府有序引导和规范发展的作用,使数据要素市场在引导中规范、在规范中发展。要健全数据要素市场准入制度、公平竞争审查制度、公平竞争监管制度,建立全方位、多层次、立体化的监管体系,实现事前、事中、事后,全链条、全领域的数据要素市场监管,形成公平、开放与有效监管相融合的数据要素市场环境。
(二)强化数据要素市场的协同治理
数据要素治理目的是逐步实现数据要素价值创造和构建数据要素市场良好秩序,需要“系统探究多元主体参与数据要素价值化过程的生态系统联动机制”,这是一个“多元主体协同共创”的过程[11]。 “数据二十条”提出,要充分发挥社会力量多方参与的协同治理作用。笔者认为,社会力量多方参与的协同治理,主要集中于三大协同治理主体:政府、企业和社会,其中,政府的作用是监管,企业的义务是履责,社会的功能是监督。一方面,要确立数据要素安全治理的关键制度,划定数据要素流通和利用的安全基线;另一方面,要构建多元主体协同共治的格局,着力建立数据要素市场的信任体系。
“数据二十条”提出,要建立数据要素市场信用体系,逐步完善数据交易失信行为认定、守信激励、失信惩戒、信用修复、异议处理等机制。2022年1月,国务院办公厅发布的《要素市场化配置综合改革试点总体方案》强调,要强化反垄断和反不正当竞争执法,规范交易行为,将交易主体违法违规行为纳入信用记录管理,对严重失信行为实行追责和惩戒。同时,要开展要素市场交易大数据分析,建立健全要素交易风险分析、预警防范和分类处置机制。鼓励建设和发展数据登记、数据价值评估、数据合规认证、交易主体信用评价等第三方服务机构,构建和完善数据要素市场服务体系。
“数据二十条”专门提及,“加快推进数据管理能力成熟度国家标准及数据要素管理规范贯彻执行工作,推动各部门各行业完善元数据管理、数据脱敏、数据质量、价值评估等标准体系”。这里的“数据管理能力成熟度国家标准”指的是我国首个数据管理领域的国家标准,全称为《数据管理能力成熟度评估模型》GB/T 36073-2018(DatamanagementCapabilityMaturityModel,简称:DCMM)。“数据二十条”之所以要求加快推进DCMM的贯彻执行,是基于DCMM详细定义了数据战略、数据治理、数据架构、数据应用、数据安全、数据质量、数据标准和数据生存周期八个核心能力域,并将之细分为28个过程域和445条能力等级标准,确立了比较先进的数据管理理念和方法。
DCMM的评估模型将数据管理能力成熟度划分为五个等级,一级为初始级、二级为受管理级、三级为稳健级、四级为量化管理级、五级为优化级。这五个等级是递进关系,自低向高一级比一级深入,不同等级代表企业不同的数据管理和应用成熟度水平。(4)参见GB/T 36073-2018《数据管理能力成熟度评估模型》。DCMM的管理理念和评估模型不仅可以帮助企业建立和评价自身数据管理能力,持续完善数据管理组织、程序和制度,还可以加强数据要素在促进企业数字化和智能化转型过程中的数据管理制度创新和价值创造。
结 语
2023年3月10日,十四届全国人大一次会议表决通过了关于国务院机构改革方案的决定,新增的国家数据局获得通过,正式开始组建。从国务院机构改革方案可以看出,新组建的国家数据局主要任务有三个方面:一是负责协调推进数据基础制度建设;二是统筹数据资源整合共享和开发利用;三是统筹推进数字中国、数字经济、数字社会规划和建设等。
构建以数据产权为基础的数据要素基础制度,其基本要旨是统筹推进流通交易、收益分配、安全治理协同发展的数据要素市场,更好地协调和处理与数据生产力发展相适应的数字化生产关系,以激发数据生产力的乘数效应。然而,构建系统完备的数据产权制度、数据要素流通和交易制度、数据要素收益分配制度和数据要素治理制度是一项长期和复杂的社会系统工程,应按照“试点先行、以点带面”的原则,在我国数字经济较发达的地区先行先试。“数据二十条”明确,“支持浙江等地区和有条件的行业、企业先行先试”,在积累和总结试点经验的基础上,再逐步在全国有条件的地区推广,逐步构建以“数据二十条”为纲领的“1+N”制度体系[12],这里的“1+N”制度体系中的“1”是指中共中央、国务院《关于构建更加完善的要素市场化配置体制机制的意见》(“数据二十条”), “N”是指围绕“数据二十条”出台多个完备的配套规定,这些配套规定主要集中在建立健全独立完备的数据产权、数据流通与交易、数据收益与分配及数据治理等基础制度,并出台相应的技术标准。此举目的是将系统完备的“1+N”数据要素基础制度体系上升为国家法律,最终形成2.0的“1+N”数据要素法律制度,即数权法及与其相配套的数据法律制度体系。