前不久在2024中国国际大数据产业博览会(简称数博会)上,贵阳大数据交易所等参与编写的《“数据要素x”行业合规保障与应用白皮书》正式发布。《“数据要素x”行业合规保障与应用白皮书》旨在深入剖析当前数据要素市场发展过程中的数据合规挑战与机遇,围绕法律法规政策、全生命周期管理、技术工具创新、12个重点行业领域的合规管理与数据应用典型案例等方面展开分析,研究并提出数据要素发展及长期合规性规划的政策建议与行业倡议,以期为行业提供一套相对全面且具有实务指引意义的合规指南,助力企业把握数据合规脉络,深度挖掘数据价值潜力,发挥“数据要素×”的倍增效应。
什么是数据要素?数据要素指数据作为一种生产要素,与其他生产要素结合时能够增加产出,数据作为生产要素,反映了随着数字化转型加速发展,数据对提高生产效率起到乘数的凸显作用,是具有时代特征的新型生产要素。数据要素作为新型生产要素,是继土地、劳动力、资本和技术后的第五大生产要素。它可划分为供给、流通、应用三大环节,覆盖数据采集、数据存储、数据处理加工、数据流通、数据分析、生态保障等环节。数据要素是数字经济时代的 “黄金”和“石油”,数据流动能够活跃技术流、物质流、人才流、资金流,为数字经济创造价值。
数据要素x是指将数据作为一种新型生产要素,与其他要素相结合,发挥乘数效应,推动数字经济和实体经济的深度融合,实现高质量发展的战略思路。数据要素x市场是指数据要素x的供需主体通过各种方式进行数据要素x的流通、交易、分配和利用的市场体系。数据要素x市场的建设和发展,有助于提升数据要素x的价值创造能力,促进数据要素x的有效配置和优化利用,推动数字经济和实体经济的协同发展。
数据要素x市场应用场景是指数据要素x市场的供需主体在特定的行业和领域,利用数据要素x实现特定的目的和效果的应用情境。数据要素x市场应用场景的重要性在于:数据要素x市场应用场景是数据要素x市场的重要组成部分,是数据要素x市场的需求侧和供给侧的连接点,是数据要素x市场的价值体现和价值实现的载体;数据要素x市场应用场景是数据要素x市场的重要推动力,是数据要素x市场的创新源泉和创新动力,是数据要素x市场的价值增值和价值共享的途径;数据要素x市场应用场景是数据要素x市场的重要评价标准,是数据要素x市场的效果反馈和效果评估的依据,是数据要素x市场的价值评价和价值优化的指导。
今年初国家数据局等17部门联合印发了《“数据要素×”三年行动计划(2024—2026年)》,旨在充分发挥数据要素x乘数效应,赋能经济社会发展。该计划以推动数据要素x高水平应用为主线,以推进数据要素x协同优化、复用增效、融合创新作用发挥为重点,强化场景需求牵引,带动数据要素x高质量供给、合规高效流通,培育新产业、新模式、新动能,充分实现数据要素x价值。文件高度重视场景的应用,在指导思想、基本原则、总体目标中都提到应用场景。
《“数据要素x”行业合规保障与应用白皮书》在于构建数据要素全生命周期安全合规指南。白皮书基于数据要素全生命周期合规性原则,通过提出一系列数据管理和合规措施的制定、实施、监督和完善要点,将安全合规贯穿于数据要素的采集、传输、存储、处理、使用、加工、流通、收益等各个环节。从“防”“控”“溯”“变”四个维度提出开展数据要素合规管理制度体系建设的指引,明确各环节主体责任和义务,确保数据处理各环节的合法、安全和有效管理,并提出在数据要素合规建设基础上数据产权保护的路径实施要点。
深入分析了12个行业合规要点。白皮书深入分析金融、医疗健康、工业制造、现代农业、商贸流通、交通运输、绿色低碳、城市治理、应急管理、气象服务、文化旅游、科技创新共12个行业合规要点,包括各行业不同合规特殊要求、及深入案例研究。例如数据要素x工业制造业的数据合规要点,在工业制造业数据分类分级要求之上,提出可依据《工业数据分类分级指南(试行)》和《信息安全技术 数据分类分级规范》等国标要求分类分级。
数据要素流通应用合规技术工具与机制创新探索。由于数据流通过程涉及的链条长、主体多元、场景多样,数据合规风险更加错综复杂,因此需要数字化技术工具提升数据要素流通全过程的合规安全。白皮书提出数据要素流通全过程合规视角下的技术工具需求和构建数据要素流通应用合规技术工具图谱。主要包括面向用户、应用场景、合规工具、安全基础设施与技术支撑四个层级。数据要素的高效利用与流通也带来了新的监管挑战,如何构建适应数字经济时代发展的应用融合创新监管机制,成为当前亟待解决的问题。
数据要素成为数字经济发展的关键驱动力,合规建设是其应用的基础和保障。数据成为生产要素的关键因素包括经济价值、无形性和可扩展性、互补性和网络效应以及为决策提供支持等。数据合规为数据产权形成提供法律保护、伦理信任和质量防线,其重要性体现在明确权利义务、深化信任、提升质量等方面。数据合规是数据产权形成的关键因素,包括为产权明确提供法律保护、奠定伦理信任基础和把控质量防线。数据权属传统保护路径有《反不正当竞争法》《反垄断法》等,但存在不足,新型数据产权制度发展方向包括“数据二十条”下的三权分置、数据知识产权制度等。
报告探讨了12个行业的数据要素应用合规要点及案例,各行业需根据自身特点,关注数据分类分级、收集、存储、传输、应用等环节的合规要求,确保数据安全、准确、合规地流通和使用。数据要素流通合规需要先进技术和工具的支持,包括发现类、溯源类、隐私保护类、治理类和处理分析类等工具。同时,需要创新监管机制,如包容审慎监管、数据信托监管、信用体系监管、监管沙盒监管和负面清单监管等。未来数据要素合规发展趋势包括企业数据资产入表的合规趋势、公共数据经营的合规探索、个人数据利用和交易的合规模式以及人工智能技术应用下的数据合规。为促进数据要素合规发展,应提出合规政策建议和企业合规建议,形成“数据要素x”行业共识,共同营造安全、合规、开放的数据环境。
党中央、国务院高度重视培育数据要素市场,从2020年起连续发布七个重磅文件,为数据要素市场建设铺路搭桥。2020年4月中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》;《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》;《“十四五”数字经济发展规划》;《关于构建数据基础制度更好发挥数据要素作用的意见》;《数字中国建设整体布局规划意见》;《企业数据资源相关会计处理暂行规定》;《“数据要素X”三年行动计划(2024—2026年)》。从这七个文件来看,中央从理念到规划,从体系建设到行业应用,逐步将数据要素从一个概念推向实际应用,一张蓝图绘到底,体现了我们党和国家求真务实的执政理念。企业和个人要勇立潮头,高度重视数据要素,积极投身于数据要素的基础建设和行业应用,助力国家数字经济发展。
其中国家《“十四五”规划和2035年远景目标纲要》明确提出,要培育规范的数据交易平台和市场主体,发展数据资产评估、登记结算、交易撮合、争议仲裁等市场运营体系。国务院《“十四五”数字经济发展规划》要求,规范数据交易管理,培育规范的数据交易平台和市场主体,建立健全数据资产评估、登记结算、交易撮合、争议仲裁等市场运营体系,提升数据交易效率。数据要素商品化形成的数据生产要素市场,需要构建完善的数据要素交易合规体系,应重点考虑构建以下数据交易合规制度规范:一是数据交易标的合规;二是数据交易场所合规;三是数据交易平台合规;四数据交易行为合规;五是数据交易安全合规。
合规建设是数据要素应用发挥乘数效应的必然要求。合规建设在数据要素市场建设中发挥着基础性、引导性和保障性的作用,是确保市场健康、有序、高效运行的关键因素。首先,法律法规及政策为数据要素市场的建设提供了基本的框架和规则。明确了市场参与者的权利和义务,规范市场交易行为,防止不正当竞争和市场垄断,维护市场交易秩序。其次,监管要求在引导市场有序发展上发挥着重要作用。政府可以引导市场主体向更加合规、健康、可持续的方向发展,促进数据资源的合理配置和有效利用。此外合规建设还为数据要素市场的运行提供了保障。企业通过建立健全的合规机制,有效防范和化解市场风险,保护自身的合法权益。
2022全球数商会上发布了《数据要素流通标准化白皮书》,数据要素交易流通模式被写入数据要素流通标准体系框架;“数据要素X”行动首次明确,数据交易链正式启用。今年出了《数据要素流通标准化白皮书(2024版)》。数据要素是数字经济发展的核心引擎。从微观看,数据作用于劳动者,便于人们学习、使用先进的知识和技术,提升人力资源的素质,提高劳动生产率。数据作用于资本,可以辅助投融资决策,更好地推动金融服务实体经济。数据作用于技术,可以重塑创新范式,促进先进技术的传播、扩散,带动全社会生产力水平的提升。从宏观看,数据作用于经济,可以优化资源配置,促进生产方式变革,提升经济发展的效率与质量。数据作用于治理,可以推进政府管理和社会治理模式的创新,实现政府决策科学化、社会治理精准化、公共服务高效化。
数据合规审查确保企业遵守相关的法律法规和行业标准,识别并降低处理数据过程中的风险,同时保护个人隐私,避免无效的数据产品加工生产行为。数据合规审查不仅有助于降低可能的法律和财务风险,提高数据安全和运营效率,还能增强客户及利益相关方的信任,从而支撑业务增长和创新。具体而言,数据合规审查的价值包括:降低企业风险。增强社会信任。提高数据治理水平。促进跨境数据流通。在全球化背景下,数据合规审查有助于企业在国际市场中开展安全合规的数据跨境传输,以满足国家跨境数据安全保护要求。
数据资产合规登记是在数据资产权属信息确认的基础上,对数据资产的权利进行登记的行为。资产登记应遵循依法合规、规范统一、分级管理、公开透明、便捷高效、安全可信的原则。中共中央、国务院印发《关于构建数据基础制度更好发挥数据要素作用的意见》,提出建立数据资源持有权、数据加工使用权、数据产品经营权“三权分置”的数据产权制度框架,为有效推进数据合规登记提供了指导。数据安全管理是指企业分析信息系统环境中数据的保密性、完整性和可用性等方面所面临的安全问题,分析数据活动可能对国家安全、社会影响、公共利益、个人的生命财产安全等造成的影响,围绕这些问题所开展数据采集、存储、使用、加工、传输、提供、公开等数据处理时采取的一系列安全管理活动。
数据资源入表也是需要数据资源入表合规审查。确定数据合规审查的范围、相关的法律依据,以及所采用的工具,收集相关的资料,如全流程合规审查、数据合规审查、权属审查和安全监管;审查相关的资料文档是否合法合规,如网络系统的安全技术保障措施是否有效,必要时对相关人员进行访谈;审查完成后,形成相应的《数据资源入表合规审查报告》,对存在的问题给出相应的整改建议。数据资产合规登记。数据来源合规性审核,确认数据资产权益主体;数据来源者和数据处理者的身份认证;数据资产确权存证;根据组织的实际需要,可将数据资产在登记机构进行登记。
从合规层面来看,数据安全治理主要面临着覆盖全⽣命周期的数据安全治理难点、法律法规和监管要求不断细化、合规场景下的数据价值挖掘、数据跨境合规难题方面的痛点;从管理执行角度看,数据安全治理主要有数据安全责任落实难、数据安全管理模式落后、管理制度难以落地等方面的痛点;技术层面而言,数据安全治理的挑战主要体现在信息科技技术迭代的速度不断加快、企业在数据安全技术的选择相对有限、⼤数据时代带来的技术难题等方面。整体来看,数据安全治理需求日益凸显,但数据安全治理是一项长期而复杂的工作,企业需要进行综合全面的体系化建设来保障数据安全治理落地。中国信通院联合腾讯安全去年发布的《数据安全治理与实践白皮书》将数据安全治理体系框架分为五层:法律合规体系、组织保障体系、流程体系、技术体系和安全基础设施。
数据要素合规性实践。企业在应用数据要素时,必须遵循以下合规性实践:数据分类与分级。根据数据的敏感性和重要性进行分类和分级管理。数据安全。采取技术和管理措施,保护数据不被非法访问、篡改或泄露。个人信息保护。遵循《个人信息保护法》,确保个人信息的收集、使用合法合规。跨境数据流动。遵守数据出境相关规定,确保数据跨境传输的安全。商业秘密保护。对企业的核心技术和商业策略进行保密。总之数据要素是企业数字化转型的催化剂,但合规性是其应用的前提。企业需要建立完善的数据管理体系,确保数据的安全、合规和高效利用,从而在保障合规的同时,发挥数据的最大价值。
