文 | 中国电子技术标准化研究院副院长 范科峰
统筹发展和安全是新时代推动各项工作的重要原则,数据要素市场化发展同样需要以高水平安全保障高质量发展。数据作为数字经济时代的关键生产要素,其价值在安全流通中得以充分释放,而部分数据因承载着个人信息、商业秘密、公共利益乃至国家秘密,具有高敏感属性,加之数据本身可复制、非排他、高流动性的特征,使得数据产权从取得、流转到行使的全过程中,如果缺乏有效管控,容易引发数据泄露、违规转卖、越权滥用等风险。如何在激活数据要素价值的同时,构建权责清晰、管控有力、安全可控的数据产权保障与安全治理体系,是我国数据基础制度建设的重要内容,更是推动数据产业健康发展的关键。
一、坚守安全底线,筑牢数据产权制度建设根基
数据产权的取得、流转、行使,需要建立在遵守国家法律法规的基础之上。数据产权制度建设,必须始终将维护国家安全、保护商业秘密和个人信息权益作为前提,将安全要求贯穿产权制度运行的全生命周期。与传统物权、知识产权等不同,数据具有可复制、非排他、高流动性的属性,无法照搬传统物权“一物一权” 的流转与行使规则,依托持有权、使用权、经营权三权分置的制度设计,数据得以实现多主体、多场景复用,这也是数据作为新型生产要素区别于传统生产要素的重要特征。但也正因这一特征,一旦脱离安全管控,数据流转容易陷入失控失序的境地,不仅会让经营主体不敢将数据投入市场,还可能导致数据泄露、违规滥用、非法转卖等各类风险,最终损害国家利益、社会公共利益,以及企业、个人的合法权益。因此,数据产权保护要以遵守法律法规赋予的在先权利为准则,国家安全相关的法定保护义务、个人信息主体的合法权益、企业的商业秘密权属等在先权利,是数据产权合法存续的根基。唯有牢牢守住安全底线,才能从根本上消除市场主体参与数据要素流通交易的顾虑,构建起权责清晰、预期稳定的产权制度环境,确保数据制度建设不偏航、数据要素市场化发展不走样,实现制度体系行稳致远,真正释放数据要素潜能。
二、全链条闭环管控,将安全治理贯穿数据产权运行全过程
(一)合法合规是数据产权取得的前置条件,各类主体对违法违规获取的数据不享有数据产权
数据产权的合法性建立在数据来源合规、获取方式正当的基础之上。各类主体应通过法定履职、正当生产经营活动或合法合规授权获取数据,无论是企业生产经营积累的商业数据,还是个人用户数据,其数据产权的确认,应当以符合数据安全法、个人信息保护法等法律法规为前提。实践中,诸如以欺诈胁迫手段收集个人信息、破解技术措施窃取企业商业数据等行为,均属于违法违规获取数据的情形,通过此类方式取得的数据,不具备合法的产权基础,相关主体不仅无权以该数据为标的开展流转交易、加工使用、商业经营等活动,其违法违规获取数据的行为本身还将承担相应的民事、行政甚至刑事责任。
正因如此,各类主体应当规范自身的数据收集行为,从源头就建立在坚实的合规基础之上,这既是保障自身数据产权合法有效的关键,也是防范数据产权纠纷、规避法律风险的重要举措。在数据收集的过程中,宜留存收集过程合规材料、开展数据产权登记,以数据产权登记凭证作为数据来源合规性的有力证明。
(二)安全是数据产权流转的基本关口,敏感数据须经合规审批授权并落实安全管理要求方可流通
数据流通交易是数据要素价值释放的重要通道,同时也是安全风险传导与放大的重要节点,是全链条安全治理的重中之重。针对不同类型、不同敏感等级的数据,应当按照分类分级的流转管控规则,遵守有关要求。涉及重要数据的,应按照相关法律法规、行业主管部门要求采取必要的安全保护措施,鼓励采用隐私保护计算、可信数据空间等技术手段实现“原始数据不出域、数据可用不可见”的安全流转;涉及企业商业秘密的数据,应当获得权属主体明确授权,清晰界定流转范围、使用场景与权利边界;对于个人数据,其流转直接关系到公民的人格权益与隐私保护,应当依法依规取得个人同意或经过匿名化处理,不得通过强迫、欺诈、误导等方式取得个人同意。
数据流通并非获批授权后就 “一劳永逸”,采取必要的安全保护措施更是阻断风险传导、守住安全底线的重点。一方面,在数据流转前根据数据分类分级与授权使用场景,采取匿名化、去标识化、敏感字段加密等安全处理措施,剔除与流转用途无关的个人信息、商业秘密,确保数据按照最小必要原则流转;采用安全的传输通道、访问控制、传输加密等技术措施保障数据传输安全,避免数据明文传输、数据泄露等安全风险,最大限度限缩数据暴露面。另一方面,在数据流转后开展数据安全监测,针对流转的数据,建立数据流转过程安全监测与权限动态管控机制,对数据接收方的账号访问、数据调用、内容导出等操作开展监测,对超权限操作、批量异常导出、非授权场景调用等行为及时管控,防范数据交付后脱离管控,实现数据从交付到授权终止的全生命周期安全闭环。
近年来,数据流通环节发生的敏感数据泄露、违规倒卖、滥用事件等诸多“前车之鉴”早已敲响警钟,审批授权与安全保障二者相辅相成、缺一不可,没有安全保障的流通交易,必然会突破合规底线、放大安全风险,最终背离数据要素市场化发展的初衷。只有始终将安全贯穿数据流通交易的全流程,既严把审批授权的准入关口,又筑牢全链条的安全保障防线,才能畅通数据要素流通渠道,充分释放数据要素的流转价值。
(三)安全是数据产权行使的基本准则,数据需求方须严格遵守授权边界
权利主体获取数据使用权后开展加工使用活动,以及取得数据经营权后开展经营活动,是数据要素创造价值、赋能发展的关键环节。各类主体应当遵守数据产权的行权边界,落实数据安全保护主体责任,采取相应的管理和技术措施,防范越权使用、数据滥用、数据泄露等各类风险问题,确保在安全的前提下行使数据产权。
从使用范围来看,数据需求方要在法律法规允许、合同明确约定的应用场景内使用数据,不得开展授权范围外的数据处理活动。例如,若供需双方在协议中明确约定流转的数据仅用于企业内部风控模型训练、特定产品的技术优化等限定场景,在未取得权属主体新的书面授权的情况下,不得擅自扩大数据使用范围,将数据用于协议约定外的商业营销、转授权第三方使用等其他场景,更不得开展违法违规数据使用活动;
从使用期限来看,需求方需在授权有效期内行使权利,授权期限届满后,应依法对数据进行删除、返还或做匿名化处理,不得继续留存使用;
从使用行为来看,需求方不得对脱敏、去标识化后的敏感数据进行反向还原、重新识别,不得将授权获取的数据违规二次转卖、向第三方泄露。通过规范的合同约定,清晰界定数据供需双方的权利义务、安全责任与违约责任,以“谁提供、谁负责,谁接收、谁负责”为原则,压实全流程安全管控责任,使数据产权的行使始终在合规框架内开展,既充分释放数据要素的使用价值,又坚决守住安全底线。
三、强化技术支撑与监管效能,构建安全治理长效保障体系
数据产权保护与安全治理的落地见效,既需要全流程的制度约束与主体责任落实,也需要坚实的技术设施保障与有力的监管体系支撑,二者相辅相成,共同构建起安全治理的长效机制。
一方面,要夯实技术底座,加强数据安全流通的设施保障。加快建设和运营国家数据基础设施,采用隐私保护计算、区块链、可信数据空间等技术,打破数据流转需要转移原始数据控制权的传统逻辑,在不泄露原始数据内容、不转移原始数据持有权的前提下,实现数据价值的合规释放,从技术层面防范数据泄露、违规复制、权属侵害等风险。
另一方面,要强化监管效能,健全全链条监管体系,为数据产权流转营造良好环境,更好保护各主体合法数据产权。持续加强数据产权领域的监管执法,构建事前合规审查、事中动态监测、事后追责问责的全流程监管机制,聚焦数据非法获取、违规流转、越权滥用等突出违法违规行为,加大查处力度,切实维护数据产权流转的市场秩序。同时,推动政府监管、企业主责、行业自律、社会监督的协同治理,引导市场主体建立健全数据安全治理体系,落实全流程安全管控要求,推动形成共建共治共享的数据产权安全治理格局,让各市场主体在合规有序的环境中参与数据产权流转,充分保障其合法数据产权与流转收益。
数据产权制度的生命力在于流通,而流通的生命线在于安全。在数据要素市场化改革向纵深推进的关键阶段,应当始终坚持统筹发展和安全,将安全治理深度融入数据产权取得、流转、行使的全流程,构建起产权清晰、权责明确、技术可控、监管有效的全方位数据产权保护与安全治理体系,真正实现数据安全与价值释放的动态平衡,让数据在安全合规的前提下充分赋能经济发展。