数据苹果回应泄露隐私

数据治理研究报告(2020年)——培育数据要素市场路线图中国信息通信研究院政策与经济研究所美团数据安全与治理委员会君泽君律师事务所2020年11月版权声明本报告版权属于中国信息通信研究院、美团、北京市君泽君律师事务所,并受法律保护.
转载、摘编或利用其它方式使用本报告文字或者观点的,应注明"来源:中国信息通信研究院、美团、北京市君泽君律师事务所".
违反上述声明者,编者将追究其相关法律责任.
前言习近平总书记指出,推动实施国家大数据战略,加快完善数字基础设施,推进数据资源整合和开放共享,保障数据安全,加快建设数字中国,更好服务我国经济社会发展和人民生活改善.
为进一步释放数据价值,2019年11月,党的十九届四中全会在《中共中央关于坚持和完善中国特色社会主义制度推进国家治理体系和治理能力现代化若干重大问题的决定》中首次明确数据作为生产要素参与社会分配.
2020年3月发布的《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》中提出,加快培育数据要素市场,推进政府数据开放共享,提升社会数据资源价值,加强数据资源整合和安全保护.
2020年5月发布的《中共中央国务院关于新时代加快完善社会主义市场经济体制的意见》中提出,要加快培育发展数据要素市场,建立数据资源清单管理机制,完善数据权属界定、开放共享、交易流通等标准和措施,发挥社会数据资源价值.
推进数字政府建设,加强数据有序共享,依法保护个人信息.
当前阶段,发展以数据为关键生产要素的数字经济,全面培育数据要素市场,不仅依赖于数据技术进步、数据产业发展、数据应用创新,更需要发挥社会多元主体作用,通过多样化治理手段构建覆盖社会各层面的数据治理体系,充分释放数据价值发挥的驱动力、打破数据价值释放壁垒.
本报告从国家治理视角出发,以释放数据价值作为数据治理的核心目标,针对当前技术产业和法律政策背景下影响数据价值释放的各方因素,构建完善数据要素市场制度基础设施.
提出以数据开放共享、数据质量管理、数据交易流通和数据风险规制四个方面作为培育发展数据要素市场的路线,通过制度供给有效激活数据作为市场要素的价值,为构建完善我国数据治理体系提供有效参考.
目录一、培育数据要素市场的形势背景.
1(一)数据是数字经济时代关键生产要素1(二)数据风险多发引发治理困境1(三)世界各国抢占数据发展与治理先机2(四)数据治理是释放数据价值的有效路径3二、数据开放共享,充实市场源头供给.
4(一)我国加快推进数据开放共享5(二)国外创新发展数据开放共享7三、数据质量管理,提升市场资源价值.
10(一)我国着手开展数据质量管理11(二)国外立法明确数据质量要求12四、数据交易流通,连接市场供需两端.
13(一)我国探索促进数据交易流通14(二)国外多元手段促进数据交易流通18五、数据风险规制,夯实市场安全保障.
21(一)我国不断强化数据风险规制21(二)国外完善数据风险规制体系24六、我国培育数据要素市场未来展望.
25(一)以开放共享为抓手释放数据体量优势26(二)以质量管理为突破激活数据资源价值27(三)以交易流通为关键活跃数据要素市场27(四)以风险规制为重点强化数据安全保障281一、培育数据要素市场的形势背景(一)数据是数字经济时代关键生产要素数据为数字经济发展提供了不可或缺的动力支持.
一是数据量井喷式增长.
根据国际数据公司(IDC)预测,2025年全球数据量将达到163ZB.
随着数据量指数级增长,数据分析算法和技术迭代更新,数据创新应用和产业优化升级,数据对社会变革的影响更加深远.
二是数据产业规模持续扩张.
据IDC预测,2019-2023年全球大数据市场相关收益将实现13.
1%的复合年均增长率,2023年总收益将达到3126.
7亿美元1.
《2019中国大数据产业发展报告》预计到2020年底我国大数据产业规模将超过万亿.
三是数据技术产品不断创新发展.
当前数据底层技术框架日趋成熟,数据技术产品不断分层细化,覆盖数据存储、计算、分析、集成、管理、运维等各个方面的技术有了长足进步.
以大数据和数据技术为基础发展起来的物联网、人工智能、区块链等新技术对社会发展产生颠覆影响.
四是数据引发管理模式变革.
普华永道的调查显示,高度数据驱动型企业比一般企业在作出重大决策时效率可提高3倍2.
数据应用帮助政府实现科学高效决策,提升公共服务质量和水平,为解决交通安全、医疗卫生、社会治安等公共问题提供了更加精细和高效的方法.
(二)数据风险多发引发治理困境数据价值释放过程中亦存在诸多数据风险和问题,对于经济社1参见IDC发布《全球半年度大数据支出指南,2018H2》,2019年10月,文献来源:https://www.
idc.
com/getdoc.
jspcontainerId=prCHC45492119,最后访问时间2019年6月12日.
2详见https://www.
yicai.
com/news/4017557.
html,最后访问于2020年6月14日.
2会发展和培育发展数据要素市场造成阻碍.
一是数据泄露危害加剧.
有报告显示,全球2020年第一季度数据泄露的数据量已达84亿条3.
巨量的数据泄露带来严重损失,根据IBM《2019年数据泄露成本报告》,2019年全球数据泄露的平均业务成本高达392万美元.
二是违规收集、滥用个人信息情形严重.
根据艾媒咨询发布的《2020年中国手机App隐私权限测评报告》4,目前我国多数手机App存在强制超范围收集用户信息的情况.
97%的App默认调用相机权限,35%的App默认调用读取联系人权限.
三是数据市场不正当竞争频发.
近期围绕数据收集、开发等引发多起企业间纠纷,典型案例如领英(LinkedIn)与hiQLabs5关于用户数据使用争议、新浪微博与脉脉用户数据使用争议等.
(三)世界各国抢占数据发展与治理先机当前,世界主要国家和地区都认识到数据对于提升经济社会发展和国家实力的重要意义,通过出台国家数据战略、完善国内数据立法、加强国际数据合作等多种方式,促进本国数据资源开放和数据技术开发.
美国白宫2019年12月发布《联邦数据战略与2020年行动计划》,"将数据作为战略资源开发"成为美国新的数据战略的核心目标.
欧盟针对政府数据开放、数据流通、发展数据经济发3详见RiskBasedSecurity:2020Q1ReprotDataBreachQuickView,https://pages.
riskbasedsecurity.
com/hubfs/Reports/2020/2020%20Q1%20Data%20Breach%20QuickView%20Report.
pdfhsCtaTracking=5d936f78-de69-45a4-9ba5-03c2e9f20952%7C617588df-ee05-4a00-bbb1-191d6888f519最后访问于2020年7月7日.
4详见艾媒报告:《2020年中国手机APP隐私权限测评报告》,https://www.
iimedia.
cn/c400/69301.
html,最后访问于2020年7月7日.
5hiQLabs是一家成立于2012年的初创公司,其利用爬虫自动从领英(LinkedIn)网站上收集个人信息,主要为客户提供两大产品,Keeper(分析公司最有可能跳槽的员工)和SkillMapper(员工技能分析,包括员工知识的深度和广度).
3布了《迈向繁荣的数据驱动型经济》《建立欧洲数据经济》《迈向共同的欧洲数据空间》等多部战略文件.
2020年2月,欧盟委员会发布《欧洲数据战略》,强调提升对非个人数据的分析利用能力.
2020年9月,英国发布《国家数据战略》,提出释放数据的价值是推动数字部门和国家经济增长的关键.
(四)数据治理是释放数据价值的有效路径培育发展数据要素市场需要充分释放数据价值.
数字经济全面推进的时代背景之下,培育发展数据要素市场,需要充分发挥数据作为关键生产要素的价值.
在大数据时代,单一数据价值十分有限6,真正促使数据成为社会生产要素的是"数量大、类型多、价值密度低、时效要求高"7的巨量数据集合.
以此为基础,通过数据分析发现数据中蕴藏的规律趋势.
数据分析不仅能在特定数据集中发现规律趋势,如新冠疫情防控期间,利用交通数据绘制春运人员迁徙热力图,为疫情防控工作部署提供参考8.
而且能在看似不相关的数据集之间发现相关关系9,如通过榨菜销量预测人口流动趋势等10.
将大数据分析出的规律趋势与实践结合进行应用落地,则能够创造经6单一数据的价值主要体现为数据上所承载的信息内容的价值.
7参见McKinseyGlobalInstitute,Bigdata:Thenextfrontierforinnovation,competition,andproductivity.
,来源https://www.
mckinsey.
com/~/media/McKinsey/Business%20Functions/McKinsey%20Digital/Our%20Insights/Big%20data%20The%20next%20frontier%20for%20innovation/MGI_big_data_full_report.
pdf,最后访问于2020年8月28日.
8参见《预判风险、追踪疫情、破除谣言……大数据为战"疫"筑牢"隔离墙》,来源http://www.
cac.
gov.
cn/2020-02/18/c_1583566412026242.
htm,最后访问于2020年8月25日.
9相关关系的核心是量化两个数据值之间的数理关系.
参见维克托·迈尔-舍恩伯格、肯尼思·库克耶著,盛杨燕译:《大数据时代》,浙江人民出版社,第71页.
10"榨菜指数"是根据榨菜在不同区域销售额的变化分析人口流动趋势.
参见https://baike.
baidu.
com/item/%E6%A6%A8%E8%8F%9C%E6%8C%87%E6%95%B0/9227101fr=aladdin,最后访问于2020年8月25日.
4济价值,达到提高生产效率、降低生产成本的效果,真正释放数据作为生产要素的价值.
数据治理是促进数据价值实现的重要保障.
释放数据价值应发挥多方主体作用,通过构建完善覆盖全社会的数据治理体系以促进数据价值最大程度的释放.
从数据价值实现的路径出发,宜重点从四个方面入手:一是要增大数据体量,将封闭的数据释放出来,为数据分析提供充足的"原材料";二是要提升数据质量,实现数据标准化,为数据互通和数据分析提供"可用"数据;三是要促进数据的交易流通,让已有的数据流动起来,为不同数据集合之间建立更多的相关关系创造条件;四是要规制数据风险,维护各方主体数据权益,规范数据开发利用行为,营造合法有序的数据要素市场秩序.
图:培育数据要素市场路线图二、数据开放共享,充实市场源头供给数据开放共享是释放数据价值的基础条件,是将已有的数据释5放出来,增大可获取的数据体量,为大数据开发应用提供数据资源基础.
当前阶段,数据开放共享突出表现为政府等公共部门的公共数据资源开放共享的问题.
公共部门在履行职能过程中掌握了巨量、多样化的数据资源,对其进行科学有效的开发将带来巨大的经济社会价值.
麦肯锡11研究显示,开放政府数据每年能够产生3万亿到5万亿美元的经济价值.
公共部门将其数据资源进行开放共享,能够有效激发数据资源的活力,打破"数据孤岛",带动社会整体数据流通共享氛围.
在抗击新型冠状病毒期间,获益于公共数据开放而实现的疫情信息的及时发布以及各地"健康码"的互联互通,为疫情预警、医疗物资供应等提供了巨大帮助.
(一)我国加快推进数据开放共享近年来,我国政府、企业等不同层面加大数据开放共享的力度,通过出台相关立法、政策文件,搭建数据开放共享平台等方式,将不同来源的数据开放出来,以增大全社会数据体量.
一是国家层面出台了多部政策文件推进公共数据资源开放.
2015年8月,国务院出台了《促进大数据发展行动纲要》,明确指出"要加快政府数据开放共享、推动资源整合、提升治理能力".
2016年9月,国务院发布《政务信息资源共享管理暂行办法》,明确提出"以共享为原则、不共享为例外"的政务信息资源共享原则.
201811参见McKinsey,Opendata:Unlockinginnovationandperformancewithliquidinformation,来源https://www.
mckinsey.
com/~/media/McKinsey/Business%20Functions/McKinsey%20Digital/Our%20Insights/Open%20data%20Unlocking%20innovation%20and%20performance%20with%20liquid%20information/MGI_Open_data_FullReport_Oct2013.
pdf,最后访问于2020年8月28日.
6年3月,国务院印发《科学数据管理办法》,提出科学数据应以"开放为常态、不开放为例外",面向社会和相关部门开放共享.
2020年3月《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》也提出要推进政府数据开放共享.
2020年7月公布的《数据安全法(草案)》也将"政务数据的安全与开放"作为单独一章进行规定.
同时,行业主管部门也探索在本行业领域推动公共数据资源开放共享.
如2015年国家海洋局发布的《关于规范海洋生态环境监测数据管理工作的意见》,2016年交通运输部发布的《关于推进交通运输行业数据资源开放共享的实施意见》等.
二是各地结合实际将公共数据开放实践推向纵深.
一方面,多地发布规范性文件促进和规范公共数据开放共享.
如《上海市公共数据开放暂行办法》《浙江省公共数据开放与安全管理暂行办法》《北京市交通出行数据开放管理办法(试行)》《贵州省政府数据共享开放条例》等.
另一方面,地方公共数据开放共享平台建设快速推进.
截至2020年4月底,我国已有130个省级、副省级和地级政府上线了数据开放平台,其中省级平台17个,副省级和地级平台113个12.
三是大型企业搭建开放平台向社会共享数据资源.
目前一些互联网企业依托自身业务资源及平台优势搭建数据资源开放平台(如阿里巴巴开放平台、腾讯开放平台等),向合作伙伴和第三方开发者逐步开放会员、公司库、类目、产品、交易、营销等接口,同时将12参见复旦大学数字与移动治理实验室:《中国地方政府数据开放报告(2020年上半年)》,来源http://www.
dmg.
fudan.
edu.
cn/wp-content/uploads/2020%E6%8A%A5%E5%91%8A%E6%89%8B%E6%9C%BA%E7%89%88%E6%B0%B4%E5%8D%B0%E7%89%880722%E7%BC%A9%E5%B0%8F%E7%89%88%E6%9C%AC.
pdf,最后访问于2020年8月28日.
7一些公开数据集在开放平台进行分享,成为企业对外开放共享数据的重要途径,为充实全社会数据资源池提供了创新渠道.
四是企业与政府共享数据以提升监管效率.
企业向政府部门共享数据也会成为政企合作、政企共治的常见路径.
比如,2018年2月交通运输部要求网约车平台公司向监管信息交互平台传输相关基础静态信息以及订单信息、经营信息、定位信息、服务质量信息等运营数据.
2019年10月,辽宁省市场监督管理局与美团进行数据信息对接共享,实现区域入网食品企业入驻信息共享、许可信息共享、食品安全社会评价和投诉信息共享,既让平台可及时查验证照的真实性,也为市场监管部门实施线下精准监管、了解市场动态形势、策略研判、风险分级管理等工作提供数据参考.
在各方推进数据开放共享实践同时,也应注意到我国在公共数据资源开放方面仍存在供需不平衡的问题.
由于各地经济技术水平悬殊,公共数据开放水平不一,目前开放程度较高的地方主要集中在我国东南沿海13.
同时,我国公共数据开放缺乏具体的实施规则、评估细则等制度设计,导致实践中公共部门数据开放共享范围不明确,缺乏有效的激励机制.
(二)国外创新发展数据开放共享早在上世纪六七十年代,美欧国家就开始了政府数据开放的相关实践,并积累了丰富的经验.
近期,美欧等政府数据开放程度较13参见复旦大学数字与移动治理实验室:《中国地方政府数据开放报告(2020年上半年)》,来源http://www.
dmg.
fudan.
edu.
cn/wp-content/uploads/2020%E6%8A%A5%E5%91%8A%E6%89%8B%E6%9C%BA%E7%89%88%E6%B0%B4%E5%8D%B0%E7%89%880722%E7%BC%A9%E5%B0%8F%E7%89%88%E6%9C%AC.
pdf,最后访问于2020年8月28日.
8高的国家通过完善立法、加强技术支撑等方式,进一步推进政府数据在更大程度上的开放共享,为本国经济技术产业发展提供充足的数据资源.
一是立法明确数据开放共享义务.
美欧等公共数据开放程度较高的国家和地区大都出台了专门的公共数据开放立法,对于相关主体的数据开放共享义务进行规定.
美国立法明确数据开放主体和开放范围.
美国2019年1月通过的《开放政府数据法》,对于政府数据开放的范围、日常审查、管理机制、报告评估等都进行了明确规定.
其中指出,除出于隐私泄露、安全风险、法律责任、知识产权等因素考虑不宜公开的情形外,一般的政府数据都应开放.
2013年2月美国在《关于提高联邦政府资助的科学研究结果的访问备忘录》中明确,由联邦资金全部资助或部分资助所产生的非保密的科学研究数据应为公众提供免费的最大化的访问,支持数据的检索、查询和分析.
欧盟立法扩大数据开放范围,强调数据重用.
2019年6月欧盟出台《开放数据和公共信息再利用指令》(EU2019/1024,简称《开放数据指令》),重点强调公共数据资源的重用(Reuse),其适用的主体范围包括成员国国家、地方公共部门(如部委、市政当局等)和主要由公共机构资助或控制的组织(如气象机构、博物馆、档案馆等)等.
英国立法不断扩大数据开放的主体范围.
英国2000年《信息自由法》明确公共机构有公开特定信息的义务,2012年《自由保护法》明确政府部门和其他公共机构均负有主动发布可重复使用数据集的义务.
9二是不断丰富开放共享的数据类型.
美欧等国家通过清单管理、肯定列举等方式不断扩大政府开放的数据范围.
美国构建动态化清单管理制度.
美国《开放政府数据法》中要求联邦机构与白宫管理和预算办公室(OMB)共同开发和维护数据清单,并在创建或识别每个数据资产的90天内进行更新.
欧盟明确高价值数据集范围.
欧盟《开放数据指令》规定,原则上可访问的所有公共部门的数据都可以免费重用.
同时,该指令将与重大社会经济利益相关,可以加速增值信息产品和服务出现的数据定义为"高价值数据集",并促进高价值数据集在整个欧盟免费、便捷地重用.
三是升级数据开放共享技术平台.
数据开放共享水平较高的国家大多搭建了统一的政府数据开放共享平台,近期更是开始推进数据开放云平台建设.
多国搭建统一的政府数据开放平台.
美国2009年5月上线全球首个可自由获取数据的、用户与政府互动的,应用程序接口的开放网络数据共享平台——Data.
gov.
英国政府2010年1月正式启动data.
gov.
uk,其中包含了来自英国政府各个部门的30000多个数据集.
日本搭建了国家数据开放网站Data.
go.
jp.
欧盟推动数据开放共享云平台.
欧盟2015年启动"欧洲开放科学云"(EuropeanOpenScienceCloud,EOSC)项目14,计划联合欧洲现有的分布式科学数据基础设施,打造一个开放、无缝访问的虚拟环境,使欧盟研究人员、创新主体、公司和公民可以无缝访问和安全重用14参见https://ec.
europa.
eu/research/openscience/index.
cfmpg=open-science-cloud,最后访问于2020年8月16日.
10研究数据.
2020年发布的《欧洲数据战略》中提出在九个战略性部门和公共利益领域构建欧盟共同数据空间,以促进重要公共领域的数据共享和数据资源积累,包括:欧盟工业(制造业)共同数据空间、《欧盟绿色协议》共同数据空间、欧盟出行共同数据空间、欧盟医疗卫生共同数据空间、欧盟金融共同数据空间、欧盟能源共同数据空间、欧盟农业共同数据空间、欧盟公共行政共同数据空间、欧盟技能共同数据空间.
四是构建公私(B2G)数据共享机制.
企业向政府共享数据,对于政府增进对社会形势了解,提升社会管理水平和效率都具有重要意义.
例如新冠疫情防控期间企业汇总的匿名社交媒体数据就成为全科医生报告的重要补充.
目前多国对B2G数据共享进行规定.
在立法中明确政府访问企业数据的情形.
如法国《数字共和国法》允许公共部门访问某些私营部门具有公益属性的数据,芬兰《森林法》要求森林所有者与公共部门共享森林管理方面的信息等.
欧盟在《欧洲数据战略》中明确了B2G数据共享原则,即在遵守《通用数据保护条例》(简称GDPR)的前提下坚持自愿原则,促进私营部门更方便地共享其生成的数据.
仅在必要情况时,才应当在公平、透明、合理、适当和非歧视的条件下,酌情强制访问数据.
三、数据质量管理,提升市场资源价值数据质量管理是释放数据价值的关键环节.
"数据的互操作性和质量,以及数据的结构、可靠性和完整性对于开发数据价值至关重11要"15.
确保数据的完整性、一致性、精确性和及时性是保证数据应用的基础,数据规范统一是数据流通共享发挥作用的重要前提.
数据质量提升和标准化实现,解决的是数据开发流通中数据能否"互联互通"的问题.
当前,在发展人工智能、部署工业互联网的技术背景下,数据质量问题显得尤为重要,影响到巨量数据的整合的效率和效果.
实践中除了对公共数据质量的强制性要求外,一般主要通过标准、指南等形式为相关主体数据质量管理提供柔性指引.
(一)我国着手开展数据质量管理目前我国国家及多个地方政府着手加强政府数据质量管理,行业组织、标准组织、企业等也通过自律方式促进数据质量提升.
国家行业主管部门已经开始探索制定数据质量管理相关要求.
如2018年5月,民政部发布的《关于加强和完善民政统计工作全面提高统计数据真实性的实施意见》.
2018年5月,中国银行保险监督管理委员会发布的《银行业金融机构数据治理指引》.
2019年9月,银行业监督管理委员会发布的《银行业金融机构监管数据标准化规范》等.
地方公共数据规范性文件中对公共数据质量进行了明确要求.
如《浙江省公共数据开放与安全管理暂行办法》中规定,公共数据应当以易于获取和加工的方式开放.
公共数据开放主体应当按照有关标准和要求,对开放的公共数据进行清洗、脱敏、脱密、格式转换等处理,并根据开放目录明确的更新频率,及时更新和维护.
《深15参见AEuropeanstrategyfordata,来源https://ec.
europa.
eu/info/sites/info/files/communication-european-strategy-data-19feb2020_en.
pdf,最后访问于2020年8月28日.
12圳经济特区数据条例(征求意见稿)》中要求保证公共数据的真实性、准确性、完整性、时效性和可用性.
行业组织、标准化机构通过出台标准的形式为数据质量管理提供指引.
如已经出台的《信息技术数据质量评价指标》(GB/T36344-2018)、《数据管理能力成熟度评估模型》(GB/T36073-2018)等.
我国数据质量管理工作仍面临多方面问题,需要体系化推进.
一是对公共数据质量缺乏明确的要求.
国家相关立法、管理规范中对于数据质量要求规定缺乏,导致不同部门、不同地方政府数据质量不一、标准不一致.
二是行业领域数据质量管理规范指引有待完善.
行业主管部门、行业组织、标准化机构关于数据质量管理的指引、规范、标准仍然欠缺,数据质量管理机制、数据质量评估机制尚未建立成熟,对企业间数据共享、开发造成阻碍.
如在工业互联网发展中,由于不同设备的数据格式不一致,导致设备联网后数据无法进行汇集和分析,使工业互联网应用效果大打折扣.
(二)国外立法明确数据质量要求国外主要通过立法、政府内部规范等形式对政府数据质量提出严格要求.
美国2011年《信息质量法》要求OMB向联邦各机构发布数据质量指南并要求联邦各机构建立和遵守其内部的数据质量指南.
要确保对公众发布信息的质量(客观性、有用性和完整性),并赋予个人对政府数据质量进行申诉的权利.
2019年《开放政府数据法》中规定,联邦政府应在机构内指定联络部门回应公众关于数据质量、数据可用性的相关问题,受理公众的建议和开放数据要求,13创建并实施关于评估和改善开放政府数据及时性、完整性、准确性、实用性的流程等.
欧盟2003年发布的《关于政府部门信息再利用的指令》(Directive2003/98/EC)中确立了关于在整个欧盟范围内开放数据的可得性、可获取性和透明度的框架规则.
2013年对该指令进行修改时,欧盟特别强调了政府数据应以可机读形式呈现,以提高数据利用的效率.
四、数据交易流通,连接市场供需两端数据交易流通是释放数据价值的动力源泉.
"财币欲其行如流水"16,商品、货币流通周转才能发挥价值,数据亦是如此.
麦肯锡全球研究院《数据全球化:新时代的全球性流动》报告指出,自2008年以来,数据流动对全球经济增长的贡献已经超过传统的跨国贸易和投资.
"数据的价值在于能够使用和重用"17.
数据交易流通是在已有数据量基础上促进数据重用、发挥数据价值的有效手段,有机聚集、整合不同的数据集,在数据集之间寻求更多相关关系的建立,从而促进数据融合应用.
实践中数据交易流通主要包括了通过第三方交易平台进行数据交易、企业间的数据共享合作等形式.
数据交易流通主要为市场主体的自愿行为,目前各国主要通过鼓励、引导的方式促进数据流通,加快释放数据价值.
16出自《史记·货殖列传》.
17参见AEuropeanstrategyfordata,来源https://ec.
europa.
eu/info/sites/info/files/communication-european-strategy-data-19feb2020_en.
pdf,最后访问于2020年8月28日.
14(一)我国探索促进数据交易流通1.
我国探索数据交易流通多元模式我国鼓励促进合法的数据交易.
在数据交易方面,我国从国家政策层面鼓励合法的数据交易.
目前,我国贵阳、武汉、上海、江苏等地方大数据交易中心陆续成立,在实践中探索构建完善数据交易机制.
2020年发布的《数据安全法(草案)》《广东省数字经济促进条例(征求意见稿)》等立法中都对数据交易进行了规定.
行业主管部门引导规范企业间的数据共享.
如2020年4月,国家发展改革委、中央网信办联合发布《关于推进"上云用数赋智"行动培育新经济发展实施方案》,提出打通产业链上下游企业数据通道,促进全渠道、全链路供需调配和精准对接,以数据供应链引领物资链.
2019年,国家邮政局和商务部联合发布的《关于规范快递与电子商务数据互联共享的指导意见》,2020年工业和信息化部发布的《工业数据分类分级指南(试行)》《关于工业大数据发展的指导意见》等政策文件对电子商务、工业数据共享流通进行规范.
行业组织通过行业自律促进企业数据流通.
如互联网金融协会为加强互联网金融行业信息共享,防范和降低信用风险,组织建设"互联网金融信息共享平台".
中国广告协会组建互联网广告数据服务平台,组织行业各方统一制作和发布"一般无效流量数据"和适用于互联网广告领域的IP地址库,实施信息共享18.
企业自主开展数据流通合作.
目前,18参见中国广告协会互联网广告数据服务,http://www.
china-caa.
org/digital,最后访问于2020年8月4日.
15企业间自发建立战略联盟推动数据合作,如京东和腾讯推出"京腾计划",京东购物数据能力、腾讯社交数据能力及品牌商自有数据能力将融合汇入品牌私有数据魔方,帮助品牌商形成完整的数据沉淀、数据决策、数据应用及数据回流闭环生态.
2.
数据交易流通面临多方障碍目前我国推进数据交易流通尚处于探索阶段,在合法性、流通模式等方面仍存在多方障碍.
一是数据交易流通合法性不明.
我国现有立法尚未对数据交易、数据流通等的合法性进行明确.
而且,其他相关立法中对于禁止或限制交易流通的数据类型界定也不清晰,导致可进行交易流通的数据范围不明确,市场主体出于合法性顾虑不敢进行数据交易流通.
二是数据交易流通规则未建立.
目前数据资源定价,数据交易共享双方的权利义务,数据不正当竞争等相关规则未建立,导致市场主体进行数据交易流通的动力不足,市场供需双方信任关系难以建立.
三是数据交易流通模式不成熟.
目前第三方数据交易平台以及企业在实践中发展的数据流通模式等仍处于起步阶段,在数据技术、标准等方面尚不成熟,影响了数据交易流通的规模.
3.
数据权属争议主要由司法予以解决在诸多数据交易流通场景下,数据权属争议成为阻碍数据交易流通的核心障碍.
由于数据权属不明,导致个人、企业的数据权利内容不确定,个人与企业、企业与企业间数据权利分配规则不清.
16相关主体数据权利保障不足,发生数据权利冲突时缺乏解决机制,从而阻碍了数据交易流通.
目前全球尚未达成有关数据权属共识.
数据权属涉及人格权、物权、知识产权以及多种权利集合的"权利束"等观点.
但无论单独适用、集合适用已有的权利类型还是创设新型权利类型,都无法解决数据权属的问题.
针对人格权说,数据不仅包括个人数据,还包括非个人数据(如工业数据等).
而非个人数据明显不具有人格属性,因此人格权无法覆盖数据权范围.
针对物权说,物权具有明确的排他性,而数据之上可以同时承载着多方主体权利不具有排斥他人权利的属性.
比如个人在使用App时产生的数据,个人和App企业均可主张相应的数据权利.
针对知识产权说,知识产权中的著作权强调表现形式的独创性、专利权强调发明创造,而数据权属显然无法与知识产权相契合.
针对新型权利说,由于当前实践和学术研究中还未能将其与其他权利类型划定明确界限,因而也无法解决数据权属问题.
国内外立法对数据权属回应尚不清晰.
目前国外数据相关立法尚未给予数据权属问题一个明确的答案.
我国《民法典》也仅规定了对数据的民法保护,未对数据权属问题进行规定.
近期,我国地方立法开始探索制定数据权属规则.
如2020年7月发布的《深圳经济特区数据条例(征求意见稿)》,创设性的规定了"数据权"的概念,针对不同的数据类型明确数据权归属.
自然人对其个人数据依法享有数据权;公共数据属于新型国有资产,其数据权归国家所有;17数据要素市场主体对其合法收集的数据和自身生成的数据享有数据权.
但《深圳经济特区数据条例(征求意见稿)》并未对不同主体数据权发生冲突时采用何种解决原则或规则进行规定.
同月发布的《天津市数据交易管理暂行办法(征求意见稿)》对数据交易双方的数据权进行了规定,要求交易数据必须无权利争议,经处理无法识别特定数据提供者且不能复原,数据需方不得对数据进行重新识别,按约定完成使用后应及时销毁数据等.
深圳和天津的相关立法为解决数据权属问题提供了有益思路,但效果如何仍有待实践检验.
实践中数据权属争议主要依靠司法审判进行个案处理.
虽然立法还未明确数据权属相关规则,但实践中已经出现了多起数据权属争议.
如领英与hiQLabs数据使用争议,用户诉今日头条非法获取个人信息案,新浪微博诉脉脉非法使用用户数据案等.
我国司法机关对数据权属争议的判断体现了在产业发展不同阶段的数据治理诉求.
在大数据发展初期,对数据权属的判断向促进产业发展倾斜.
2015年我国"Cookies第一案"中,二审法院认定企业利用Cookies技术进行个性化推荐不构成对用户个人隐私的侵犯.
当时,我国已经出台了《关于加强网络信息保护的决定》,明确了对个人信息保护收集使用的要求.
"Cookies第一案"的判决结果对于促进我国互联网企业迅速崛起,推进大数据开发纵深发展无疑具有积极的促进作用.
大数据快速发展期,随着产业发展壮大,强化对大企业数据权益保护成为裁判方向.
对于企业运营中产生的业务数据(非个人数据),法院明确了对企业数据权益的保护.
如"大18众点评诉百度""新浪微博诉饭友""阿里巴巴诉码注""淘宝诉美景"等多起案件,都明确了企业对其业务数据享有的权利.
而对于企业在运营中收集、产生的用户数据,法院也倾向于强调企业数据权益.
如2016年"新浪微博诉脉脉"、2019年"微信诉抖音"案件中,法院确立的"三重授权"原则,要求第三方必须经过企业和用户的授权才能使用用户数据,突出对于大企业所掌握的数据资源的保护.
培育发展数据要素市场对数据流通共享提出要求,法院判决思路由转向促进数据流通.
在2020年"微信数据权益案"的判决中,法院对于数据权益归属的判断有了新的变化.
法院将企业所掌握的数据区分为单一用户数据和数据资源整体.
单一用户数据权益并非谁控制谁享有,依法经用户同意即可使用.
而企业对于整体数据资源投入了人力、物力,应当享有竞争权益.
此案的判决为中小企业获取、开发单一用户渠道提供了依据,对于促进数据流通具有重要的指导意义.
司法能动性导致对数据权属的判断具有不确定性,仍然需要通过立法确定数据权属规则.
由于技术产业发展水平、一国的法律传统、司法审判人员主观意志等方面的差异,对于类似的案件可能呈现出不同的审判结果.
而且随着技术产业发展变化,法院对数据权属的判断也在动态变化.
因此,仍需要通过立法将实践中成熟的数据权属规则加以确定,为数据权属争议解决提供明确指引.
(二)国外多元手段促进数据交易流通一是明确数据交易合法性.
美国是推动数据交易合法化的典型19国家,不仅具有数据交易的传统,而且在立法中明确了数据交易的合法性.
数据经纪商(DataBroker)是美国数据交易服务的主要提供者,他们不是直接从用户处收集数据,而是通过政府来源、商业来源和其他公开可用来源等途径收集个人数据等并转让、共享给他人,目前数据经纪商收集和分析的数据几乎覆盖全美消费者.
美国联邦贸易委员会(FTC)曾发布官方报告提出对数据经纪商法律规制的建议,要点在于保护消费者的知情权、选择权等合法权益.
此外,美国相关立法中也对数据交易者的权利义务进行了规定,间接明确了数据交易的合法性.
被称为"美国最严的隐私法案"《加州消费者隐私法》(CCPA)中对于数据交易者的义务进行了明确.
CCPA中规定,数据经纪商是指明确知悉并从与其没有直接关系的消费者处收集个人信息并向第三方销售的经营者.
二是发布数据流通官方指引.
缺乏经济激励,企业数据安全和数据权益规定不明,企业之间缺乏信任等问题,阻碍了企业之间的数据共享19.
近年来,为促进企业间的数据流通,多国政府通过发布研究报告、官方指引、数据共享框架等方式帮助和引导企业间构建数据共享机制.
2018年4月,欧盟委员会发布《欧洲内公司间数据共享研究》报告.
提出数据货币化、数据市场、行业数据平台、技术支持者、开放数据策略五种欧盟企业数据共享方式.
2018年10月,欧盟发布《非个人数据自由流动条例框架》,禁止成员国对非个19参见AEuropeanstrategyfordata,来源https://ec.
europa.
eu/info/sites/info/files/communication-european-strategy-data-19feb2020_en.
pdf,最后访问于2020年8月28日.
20人数据在欧盟内部流动设置数据本地化等制度障碍.
欧盟在2020年发布的《欧洲数据战略》中提出,要促进企业间自愿性的数据共享,特别是解决与共同创建数据(例如,工业环境下的物联网数据)的使用权有关的问题.
2017年6月,日本制定了《数据使用权限合同指引》,针对数据提供类、数据产生类、数据共享类三类不同的数据合同,指出合同订立时需考虑的关键要素,并提供相应的合同模板.
2019年6月,新加坡发布了《可信数据共享框架》,对于企业间数据共享战略、数据共享合规性要求、数据共享的技术和组织能力以及运行性数据共享进行了明确,提出以"可信原则"建立可信赖的数据共享伙伴关系.
三是行业组织搭建数据流通空间.
除了政府部门相关举措外,产业联盟、标准化组织等也通过统一数据标准等方式促进企业间数据流通.
2016年德国在"工业4.
0"下启动工业数据空间子项目,由德国弗劳恩霍夫应用研究促进协会负责推进.
该项目为打造可信任的数据交易共享网络,建立了一整套工业数据空间参考架构模型,结合数据使用者、数据提供者、认证中心、中间代理商等十种主体在数据共享流通中的作用,设计了包括数据主权、数据交易、数据定价等在内的完整商业模型、交易流程和软件开发规范,并为各主体提供标准化软件接口"连接器",从技术解决方案上保证数据安全流通和主权完整.
截至日前该项目已在制造、交通、医药等多个行业开展实践探索,累计超过五十个场景案例.
2019年5月,日本工业价值链协会发布《互联产业开放框架》(CIOF),提供了一套"标21准+技术+机制"的流通解决方案.
采用分布式的方式支持数据提供者和数据使用方直接对接,形成双方认可的数据字典标准.
构建以连接终端(HCT)和连接服务器(HCS)为核心的数据流通解决方案,通过在企业连接终端部署,实现对内部数据的管理和收集并保证不被篡改,为企业间数据传输提供保障.
提供多样性的格式合同,明确数据供需双方的权利义务,并通过将合同存储在以区块链为核心的数据库中,为数据共享流通过程提供机制保障.
五、数据风险规制,夯实市场安全保障数据风险规制是释放数据价值的安全保障.
数据风险规制意在解决数据相关的风险和问题,从规制层面为数据价值释放提供保障.
数据风险规制需要国家公权力部门(立法机关、司法机关、行政机关)通过强制手段进行干预,以解决在数据领域侵害个人权利、扰乱社会秩序或危害国家安全的问题.
当前阶段,数据风险体现为多个层面.
在国家层面,数据泄露等数据安全问题频繁发生,对个人、企业数据权益甚至国家安全造成威胁;在经济社会层面,数据不正当竞争对市场秩序产生不良影响;在个人权益层面,过度收集、滥用个人数据导致个人数据权益受损严重.
亟待加强对数据相关风险的防控和规制,为数据价值充分释放扫清障碍.
(一)我国不断强化数据风险规制1.
我国数据风险规制工作稳步推进一是数据安全工作不断强化.
数据安全立法不断丰富完善.
2017年《网络安全法》正式生效,对数据安全相关问题进行了明确.
202022年7月,《数据安全法(草案)》发布,对重要数据管理、数据分级分类、国家数据安全审查等进行了制度设计.
此外,相关部门针对数据安全出台相关规定,如《数据安全管理办法(征求意见稿)》等.
数据安全执法工作紧密开展.
我国相关主管部门通过集中开展数据安全合规性评估、专项治理和监督检查,督促企业强化数据安全全流程管理,及时整改消除重大数据泄露、滥用等安全隐患,全面提升数据安全管理及保障水平.
在督促企业合规的同时,主管部门加快完善数据安全制度标准,建立数据分类分级保护、数据安全风险评估、数据安全事件通报处置、数据对外提供使用报告等制度,指导企业健全完善企业内部数据全生命周期安全管理.
二是个人信息保护重点突出.
个人信息保护相关立法、政策文件、标准规范等加快出台实施.
《网络安全法》《刑法》《电信和互联网用户个人信息保护规定》等对于个人信息保护制度进行了明确.
2020年颁布的《民法典》明确个人信息受法律保护,为个人信息保护提供了基本法依据.
2020年10月21日,全国人大常委会公布《个人信息保护法(草案)》,明确自然人个人信息受法律保护.
此外,《个人信息安全规范》等国家标准的出台也对个人信息保护工作起到了指引作用.
在疫情期间,相关主管部门规范个人信息收集使用,防止滥用.
2020年2月,中央网络安全和信息化委员会办公室发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》,要求依法授权的机构外,任何单位和个人不得以疫情防控、疾病防治为由,未经被收集者同意收集使用个人信息.
个人信息保护执法活23动持续开展.
相关部门开展隐私条款评审、App违法收集使用个人信息专项治理行动等,聚焦超范围收集个人信息、强制定向推送等违法行为.
司法向加强个人权益保护倾斜.
在处理侵犯个人信息的案件中,司法机关的判决从严格执行"谁主张谁举证",要求个人证明侵犯个人信息事实,如2012年王某诉汉庭酒店案、2016年谢某诉苏宁易购案等.
到近期多起案件中,司法机关以企业侵犯用户个人信息的"高度盖然性"为标准,要求企业承担举证责任,如2017年庞某诉去哪儿和东航案、2018年申某诉携程和支付宝案等.
三是数据市场秩序监管逐步开展.
目前我国立法还未有关于"数据垄断"监管的规定.
2020年1月国家市场监督管理总局发布的《修订草案(公开征求意见稿)》在第二十一条中增加了将"处理相关数据的能力"作为认定互联网领域经营者具有市场支配地位的因素,表明数据作为影响市场秩序的一个重要因素已经受到了监管部门的关注.
2.
我国数据风险规制仍存多方不足一是数据相关立法相对滞后.
目前《数据安全法》《个人信息保护法》尚未正式出台,数据安全、个人信息保护等相关规定散见于不同领域立法之中,且现有立法中的制度设计过于原则,导致实践中数据安全、个人信息保护工作缺乏具体指导.
企业之间关于数据的纠纷多发,但立法尚未将数据作为市场秩序的考量因素,导致处理相关案件缺乏法律依据.
二是规制数据风险执法机制不明确.
目前虽然具体行业领域,24如电信、金融、交通等,出台了本行业数据安全、个人信息保护等相关规定.
但当前数字经济飞速发展,大数据与各行业深度融合,数据风险和问题层出不穷.
未确立明确的监管部门,导致执法活动分散,执法力度不集中,影响数据风险规制工作的高效化、统一化.
三是第三方协调作用未充分发挥.
在规制数据风险方面,除加强公权力部门的作用外,还需要多方治理主体共同参与.
目前行业组织、标准组织等社会第三方主体在通过非强制性、非行政化等柔性手段协助规制数据风险方面的作用还未充分发挥.
(二)国外完善数据风险规制体系一是构建数据泄露通知制度.
针对数据安全领域最为突出的数据泄露问题,目前世界主要国家和地区建立起了"数据泄露通知"制度.
美国50个州都出台了"数据泄露通知"专门立法,欧盟、澳大利亚、英国、韩国、新加坡等在数据相关立法中对"数据泄露通知"制度进行了规定.
明确数据泄露通知触发条件、企业的通知义务以及相关法律责任等具体规则.
二是不断强化个人信息保护力度.
一方面各国立法强化对个人信息相关权利的保护.
欧盟《通用数据保护条例》(GDPR)明确个人对其个人信息享有知情权、访问权、更正权、被遗忘权、限制处理权、数据可携权和拒绝权等.
另一方面强调企业保护个人信息的义务.
各国加大对企业违反个人信息保护义务的处罚力度,截至2019年,全球10大互联网公司几乎均牵涉用户数据泄露或滥用的争端.
个人信息执法案件通常涉及数据体量大、影响面广,"天价"25罚单屡见不鲜.
据统计,截至2020年8月,欧盟成员国数据保护机构共做出约4.
9亿欧元的行政处罚决定20.
三是着手治理数据垄断.
目前直接涉及数据垄断行为的实践案例较少,美国、欧洲国家市场执法机构已开始对数据驱动型的并购交易进行审查.
探索数据市场支配地位的认定,欧盟竞争委员会在对2016年微软(Microsoft)并购领英案中,并没有直接区分数据市场,而是根据双方业务领域界定了八个相关市场21,根据不同市场中双方业务份额、并购后可能产生的网络效应和替代效果,来确定并购后是否存在市场的支配地位.
考虑数据集中对竞争的影响,欧盟反垄断机构在微软收购领英、脸书(Facebook)收购瓦次普(WhatsApp)的审查中,都考虑数据集中后是否会对竞争对手获得数据造成阻碍,从而影响市场竞争.
分析数据集中对隐私保护的不利影响,美国FTC审查谷歌收购DoubleClick以及欧盟审查微软收购领英案中,都考虑了该交易对消费者隐私保护带来的不利影响.
六、我国培育数据要素市场未来展望当前,世界各国都把经济数字化作为实现创新发展的重要动能,在前沿技术研发、数据开放共享、隐私安全保护、人才培养等方面进行前瞻性布局.
为培育发展数据要素市场,促进数据作为生产要素价值的最大化释放,我国宜从数据开放共享、数据质量管理、数20参见https://www.
enforcementtracker.
com/insights,最后访问于2020年9月8日.
21八个市场分别是个人电脑操作系统、客户关系管理软件解决方案、智能销售解决方案、在线通信服务、在线录用服务、在线广告服务、职业社交网络服务.
详见CaseM.
8124Microsoft/LinkedIn,来源https://query.
prod.
cms.
rt.
microsoft.
com/cms/api/am/binary/RE1vh40,最后访问于2020年8月28日.
26据交易流通和数据风险规制四个方面开展工作部署,加快助力数字经济高质量发展.
(一)以开放共享为抓手释放数据体量优势目前我国从国家和地方层面加快推进数据资源开放共享,但与国际上数据开放共享程度较高的国家相比仍然存在诸多不足,未来宜重点从以下三个方面抓紧布局,加快推动我国数据开放共享进程.
一是通过统一立法的形式明确数据开放共享主体范围.
目前我国尚未出台政府数据开放共享专门立法,现行相关立法中也未明确数据开放共享主体范围.
借鉴国外实践做法,我国宜考虑出台专门的公共数据资源开放共享管理规定,或在现行立法中增加相关条款,明确具有开放共享公共数据资源义务的主体范围.
二是建立动态化清单管理制度明确数据开放共享范围.
我国宜建立数据资源清单管理机制,由负有数据开放共享义务的主体结合工作实际制定数据开放共享清单,并对清单进行定期调整和更新,在确保安全的前提下不断扩大数据开放共享范围.
三是搭建统一的数据开放云平台提升数据开放共享质量和水平.
我国可依托国家技术资源优势搭建统一的数据开放共享云平台,鼓励各级地方数据开放共享平台接入,促进全国数据资源实现标准化整合、汇聚,为提升公共数据资源开放质量提供有力的技术支撑.
四是鼓励企业探索数据开放共享新模式.
鼓励具有数据资源和技术优势的企业将数据向社会开放共享,积极推广效果良好的实践模式,并鼓励企业将能够助益社会管理的数据开放给政府部门,从27而提升全社会数据开放共享的良好氛围.
(二)以质量管理为突破激活数据资源价值数据质量管理不仅影响到数据可用性,而且已经成为数据交易流通的一大障碍.
数据质量管理不规范、数据质量无保证,是数据交易流通中供需双方信任关系难以建立的重要原因.
同时,对公共数据质量要求不明确,也会使公共数据开放共享的效果大打折扣.
为此,我国宜重点从三个方面强化全社会数据质量管理.
一是明确对公共数据质量要求.
我国宜在统一的公共数据开放立法中明确公共数据的质量要求,或由具体行业主管部门对本行业数据质量管理要求进行具体规定,同时为私营主体数据质量管理提供借鉴参考.
二是加快出台数据质量标准,结合数据开发利用、交易流通具体场景,细化数据质量要求,加快推进数据标准化进程,为数据在要素市场的高效流通创造条件.
三是构建数据质量第三方认证机制,由权威第三方对行业数据质量开展评估认证,激励企业做好数据质量管理,为构建数据要素市场供需双方信任关系提供有效保障.
(三)以交易流通为关键活跃数据要素市场促进数据交易流通是培育数据要素市场的关键环节,是数据作为社会生产要素在市场中流动并产生更大价值的重要前提.
结合我国目前推进数据交易流通相关实践情况,未来我国宜重点从三方面加快相关工作部署.
28一是加快完善相关立法为数据交易流通提供合法性依据.
在数据相关立法中对合法的数据交易流通模式予以明确,并明确划定禁止或限制交易流通的数据范围,从而为数据依法依规的交易流通扫清障碍.
二是行业主管部门宜出台企业间数据流通合作的指导性文件.
行业主管部门可考虑借鉴国外经验,结合本行业发展实践,针对企业间数据流通创新模式、合同范本、法律责任等发布相关研究报告、指南或指引,从而促进和规范企业间数据流通,带动全社会数据流通效率.
三是行业组织宜为本行业数据流通搭建整套的解决方案.
借鉴德国IDS和日本CIOF经验,我国相关行业组织可考虑从技术和产业实践入手,搭建行业数据流通空间,在不同的业务场景下构建企业间数据流通全流程的解决方案,促成企业间安全高效的数据流通.
(四)以风险规制为重点强化数据安全保障一是针对关键的数据风险加快立法.
借鉴各国立法经验,我国宜加快完善数据泄露通知相关规定,明确数据泄露通知触发条件、进行通知的具体要求及相关法律责任,构建科学有效的数据安全风险防范制度.
加快推进《个人信息保护法》出台,明确个人对其个人信息所享有的权利以及企业对个人信息的保护义务.
二是构建完善数据执法机制.
明确不同职责部门在数据风险规制工作中的职责分工,建立部门间高效协作的执法机制.
充分利用云计算、人工智能、区块链等新技术提升数据执法水平和效率.
重29点针对数据安全管理、个人信息保护等问题加大执法力度,为数据要素市场有序运行提供保障.
三是深入开展数据垄断等新问题研究.
借鉴国外关于数据垄断、数据不正当竞争等新型问题的处理经验,结合我国产业发展实践,加强对数据垄断等新问题的研究,并适时制定相关规则、修订现有立法,强化对数据垄断风险的规制.
四是鼓励第三方机构在数据风险规制中发挥作用.
鼓励行业组织、标准化机构等通过出台标准、指引的方式,引导个人、企业进一步落实数据相关立法要求.
通过开展第三方评估认证等方式,防范数据风险,维护数据市场秩序.
30中国信息通信研究院政策与经济研究所地址:北京市海淀区花园北路52号邮政编码:100191联系电话:010-62301327传真:010-62302476网址:www.
caict.
ac.
cn