数据在数字经济时代的地位,甚至要超过传统经济时代的核心能源石油。
11月20日,国务院副总理刘鹤在“5G+工业互联网”大会上强调:数据正在成为关键生产要素,各地方、各行业要探索建立符合数据要素特点的制度体系和流通平台,同时加快构建政府监管和行业自律相结合的治理新模式。
11月25日,上海数据交易所揭牌成立,被称为实现“汇天下数据而通之、聚天下数据而用之”的关键平台型基础设施,是推动数据从资源向要素转化的枢纽。
与此同时,2021年我国先后出台《数据安全法》和《个人信息保护法》,加上此前的《网络安全法》,三大上位法联合构成数据合规三驾马车,对所有数据的采集和使用进行了严格的限制。
数据交易、数据合规、数据治理,成为企业经营必须高度重视的新课题。
数据交易:逐步探索,前景广阔
11月25日,上海数据交易所揭牌并启动全数字化交易系统,明确提出要解决数据交易的“五难”问题,即确权难、定价难、互信难、入场难、监管难。
在这“五难”中,最重要的是数据确权,即数据作为一项财产到底归谁所有,是归用户所有,还是归产生数据的平台所有,抑或是两者共有。这属于国家立法事项,各地可以在数据交易上先行先试,但数据确权问题最终要在国家层面给出结论。
目前一种较普遍的看法是,中国可参照士地所有权和承包经营权分离的设计,将数据的所有权和用益物权两权分立。
清华大学法学院院长申卫星认为,这意味着用户作为数据的原发者,拥有数据的所有权:而平台付出了资本、劳动、技术,以劳动赋权的理论来看,平台应当获得用益物权,可以从中获利。
其次是数据如何定价,到底是根据这部分数据所能带来的潜在收益定价,还是根据收据获得的成本定价。国内数据交易现在普遍采用“一事一议”的定价方式,缺少统一标准。国内已经建立的数据交易所则主要承担交易撮合功能,功能单一,经营状况并不理想。
因此,各界对上海数据交易所寄予厚望。去年年底,《关于全面推进上海城市数字化转型的意见》公布,上海这个全国最大经济中心城市在“经济、生活、治理”上的全面数字化转型,对数据要素的优化配置提出了新要求。
上海作为对外开放的窗口,数据的跨境流动必不可少,国际贸易中心、国际金融中心背后都意味着大量数据要流动。
在未来数字经济发展中,如何释放数据生产要素价值,赋能经济增长和高质量转型发展,不只是上海的问题,也是全国乃至全球都面临的问题。
数据合规:强化监管,保护隐私
在全球数字经济发展的大背景下,数据已成为企业和个人的重要资产,当前数据贸易活动日益繁荣,数据为企业发展带来新的机遇,但是企业利用数据的逐利行为引发了一些数据保护与安全问题。
一方面,个人数据的商业价值不断激增,企业追求最大化的利润,却忽视个人数据的保护与安全存储问题,诱发了不少以不法手段收集个人数据的事件,个人数据被泄露与滥用的现象日益严峻。
另一方面,在数字驱动型经济时代,全球化的经济贸易活动促使数据全球化流动更加趋向常态化。企业利用便捷的信息技术跨境传输数据创造利润,但也为数据保护和国家安全问题带来新的难题与挑战。
针对这些问题,国家也通过立法不断加强对数据合规的管理。今年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议审议通过《中华人民共和国数据安全法》,并于9月1日起施行。8月20日,经第十三届全国人大常委会第三十次会议审议后,《中华人民共和国个人信息保护法》获得通过并公布,于11月1日起生效实施。
《个人信息保护法》与《网络安全法》《数据安全法》共同构建起我国网络空间治理和数据保护的法律体系。
相关法律的密集出台,对各行各业都会产生深远影响,尤其是对深度利用数据的Al、内容分发、社交、电商领域,监管落地势必带来新一轮的调整:数据采集需有分寸,数据使用需合法,数据的存储、流动将推行更高安全标准,特别是跨境数据流动将被严格审查,原则上数据存储本地化。
虽然数据监管给众多新经济企业带来阵痛,但政策目标并非打压市场发展,更多是建立利益平衡关系,夯实网络数据基础设施,使市场在一个安全可靠的环境中持续健康发展。
数据治理:全面梳理,全程管控
在数据必须套上合规“镣铐”后,原有企业的经营管理理念、生产流程甚至商业模式都面临改变,这就对企业的数据治理工作提出了新的要求。
例如,在全新的数据合规监管下,跨境零售电商平台原来的商家自行报关被叫停。由于消费者报关数据涉及实名和证件信息,各大跨境零售平台不得不停止商家自行申报。
9月末,天猫国际平台公告称,经合规排查,部分商家采用第三方服务商进行跨境报关操作,需要由平台提供报关需要的订单、支付单等信息,天猫认为此模式存在较大的数据安全风险,因此所有商家都必须使用平台官方授权的报关通道,由平台统一加密订单信息,再由授权的报关服务商进行信息解密和封装,进而对接海关申报。
对所有企业来说,数据合规和数据治理是密不可分的,数据合规须贯穿整个数据治理的过程,须基于数据治理而开展,而数据治理的有效推进又离不开数据合规。
对现有数据资产的梳理,是数据治理的起点,更是数据合规工作的起点。各个机构单元掌握哪些数据资产,哪些是敏感数据,哪些是需要公开的数据,这些数据的外部访问、权限、管理责任、变更情况、使用情况、存储状况等,以及是否标准化、来源和用途是否清晰、是否真实、数据之间的关系等等, 都需一一梳理和评估,并最终形成数据资产清单,由各级数据管理员统一汇报给公司数据治理小组,为公司的数据战略或数据治理提供决策依据。
同时,在数据的全生命周期管理中,从数据的生产到使用,直至销毁,数据合规工作都需要贯穿始终,每一个环节都应当有效留痕和切实管控,从技术上和管理上进行审慎评估,并以制度的形式明确下来,使数据合规真正成为促进数据治理有效开展的强有力抓手。