高富平：構建數據分類分級確權授權機制

　　近日，中共中央、國務院印發《關于構建數據基礎制度 更好發揮數據要素作用的意見》（以下簡稱《數據二十條》），為我國今后一段時期內數據要素發展指明方向。數據是社會現實的映射，客觀世界的數字化表達，因而紛繁復雜，多種多樣。為了構建有序的數據利用秩序，《數據二十條》將數據分為公共數據、企業數據和個人信息數據，并以此為基礎建構數據利用的權利義務體系。

　　一、數據分類的依據和意義

　　公共數據、企業數據、個人信息數據是按照數據生成來源為標準所進行的分類。

　　公共數據是各級政府部門、企事業單位在依法行政履職或提供公共服務過程中產生的數據?！耙婪ㄐ姓穆殹被颉疤峁┕卜铡钡恼块T與企事業單位都是生產和持有公共數據的主體（下稱“公共服務主體”）。公共數據既可以支撐公共服務主體的公共管理活動和公共服務決策行為，同時也可以為整個社會提供公共可重用的數據資源，成為重要的數據要素供給來源。

　　企業數據是企業在生產、經營、管理過程中生成并控制的、不涉及個人信息和公共利益的業務數據。企業數據一般被企業所實際管理、控制，但是在使用中往往被公開，因此不完全屬于商業秘密范疇。企業可利用內部數據同時融合外部數據進行計算分析，支撐企業智能決策，促進創新，具有明顯的經濟價值。

　　個人信息數據是依據數據集中是否包含個人信息所進行的分類。個人信息是與已識別或者可識別的自然人有關的各種信息，其中有些信息本身指向個人或者直接關聯到個人，如姓名、身份證、指紋、面部信息、數字ID等（稱為識別符），其余的信息本身不具有識別個人身份的屬性，但通過結合分析或關聯分析也可以使信息或數據集指向某特定自然人。個人信息上承載著人格權益和個人信息權益，保障這些權益不受侵害是一切數據利用行為的前提。

　　二、公共數據開放利用創新政策

　　公共數據是重要的生產要素，可以通過公共服務主體之間的共享和面向社會進行開放實現其價值。公共數據共享可以減少公共數據的重復采集，改進公共數據的一致性、真實性和完整性，以提升公共行政管理能力、精準決策能力和公共服務效率。公共數據開放的目的是為社會主體提供可機讀、可重用的數據，為智能決策提供基礎性公共數據資源。數據共享和開放的目的、范圍和要求不完全一致，但也有共同的治理原則與要求，需要統籌公共數據治理活動，有組織地實施共享和開放，確保數據共享和開放利用的安全有序。

　　為加強公共數據開放利用的力度，《數據二十條》提出了三個新舉措：

　　其一，統籌授權，推進數據開放。數據開放是在承認公共數據生產者的管理權基礎上施加的一項義務，統籌授權意味著在統一開放政策、規則和規劃下，允許公共服務機構根據數據行業特征、用途等因素實施開放?？梢越⒐矓祿_放平臺，但是公共數據開放義務主體仍然是各公共服務機構。在統一規劃下，由公共服務機構自主管理的公共開放，可以激發數據開放活力，增加公共數據的有效供給。

　　其二，“原始數據不出域、數據可用不可見”。數據存在隱私和安全風險，數據使用不易監督和控制，因此數據開放在實踐中存在保守現象，“能不開放則不開放”。為了減少對數據安全和合規風險的擔憂，《數據二十條》提出“原始數據不出域、數據可用不可見”新方式。當前，數據流通交易中也正在探索相關措施：比如，公共服務機構單獨或聯合進行數據治理和匯集，開發數據模型，形成計算分析結果等數據衍生產品向社會提供或許可使用；再比如，建立安全計算環境，允許適格的研究機構甚或企業組織在該計算環境中運算數據，獲得計算結果。前者屬于原始數據形成產品的交易；后者是在特定環境下原始數據的計算使用，均實現了原始數據的計算價值，但又沒有脫離原公共機構控制的數據系統（域）。推行這樣的開放措施，可以大大推動數據開放利用的范圍。

　　其三，公共數據可以有條件開放使用。在公共管理和服務過程中形成的數據并不當然地能夠開放，要開放數據必須進行清洗、分類、歸集和注釋等治理工作，這需要巨量的成本投入。因此，公共數據開放是數字經濟時代的公共基礎設施，目的是滿足社會對基礎數據資源的需求。因此，《數據二十條》依據公共數據使用目的，采取不同開放模式：用于公共管理、公益事業的公共數據，采取有條件無償開放；而用于產業發展、行業發展的公共數據則采取有條件有償開放。兩種開放方式實質上是采取受益者負擔公共數據治理成本的原則，在滿足公共利益本身需要的同時，促進公共數據轉化為生產要素，讓需求者可以獲得可用且好用的公共數據資源。

　　三、企業數據確權、授權新策略

　　企業是數據轉化為生產力的動力之源，同時也是推動數據要素化利用的根本?！稊祿畻l》按照價值創造受保護的原理，賦予企業數據持有者權，以構建安全有效的企業數據利用秩序。為此，《數據二十條》提出以下三種措施：

　　其一，建立數據持有權制度。企業數據源自于企業生產經營活動。為了從數據中提煉有價值的信息以支撐決策，企業還需要對數據進行治理，形成具有一定質量的、可計算使用的數據。企業創制的有價值的數據應給予保護，但若明確為所有權，不僅難以界定其邊界，而且有過度保護之嫌。數據持有權的基礎是勞動投入，持有者可以使用、許可他人使用數據并獲得收益，但對數據本身并不享有排他支配權，只有權禁止不當獲取或使用數據以侵害其合法權益的行為。數據持有權是平衡各方利益，合理可行的數據產權制度安排。

　　其二，賦能中小企業。平臺型企業、行業龍頭企業一直站在數字化的潮頭，聚集了大量數據，具有利用大數據，實現數據驅動發展的能力，而中小企業面臨數字技術應用能力弱、獲取數據難等發展困境。為改變中小企業在數字化轉型中的弱勢地位，賦能中小企業，《數據二十條》提出“引導行業龍頭企業、互聯網平臺企業發揮帶動作用，促進與中小微企業雙向公平授權，共同合理使用數據”。這實際上是鼓勵平臺型大企業依據公平互利原則與中小企業分享數據，在賦能中小企業的同時促進數據價值的更大實現。

　　其三，培育數據服務機構。數據要素化使用需要相應的數據科學知識和技術，但并非所有企業都具備這樣的能力。同時，數據匯集治理、流通交易、挖掘分析也均需要相關的專業服務，尤其是需要根據行業或領域特點制定相應的標準，搭建不同的平臺，以實現數據要素化、產品化和市場化的利用。因此，《數據二十條》提出支持第三方機構、中介服務組織加強數據采集和質量評估標準制定，推動數據產品標準化，發展數據分析、數據服務等產業。

　　四、探索個人信息數據利用新方式

　　對于承載個人信息的數據，必須在保護個人信息權益的前提下采取多種方式，促進個人信息數據的合理利用?！稊祿畻l》在堅持《個人信息保護法》保護個人信息權益的原則下，試圖推動個人信息數據多種方式的規范使用，即“按照個人授權范圍依法采集、持有、托管和使用數據”?！稊祿畻l》提出三條新措施：

　　其一，建立受托人制度。由于個人在提供數據給企業使用后，很難監督和控制使用者的后續使用行為，也很難維權。在域外，出現了淡化個人作用，直接給數據使用者施以信義義務，并由專門機構監督管理的“個人數據信托”實踐。因此，《數據二十條》提出探索由受托者代表個人利益，監督市場主體對個人信息數據進行采集、加工和使用的機制，即是中國版的個人數據“信托”制度。受托人制度有利于個人信息權益的保護，規范個人信息數據的使用行為。

　　其二，涉及國家安全的特殊個人信息數據由主管部門依法授權使用。當個人信息數據涉及國家安全時，個人權益應當讓位于國家利益，因而不能完全由個人意志決定其使用。主管部門依法授權管理特殊個人信息數據的使用行為旨在確保使用不危害國家安全。但是，哪些數據是涉及國家安全的特殊個人信息數據，尚待進一步政策明確。

　　其三，個人信息數據匿名化作為個人信息安全和隱私安全手段。匿名化是去除數據集中直接關聯個人的信息，促進個人信息數據利用的重要制度。但是，在存在重新識別風險的情形下，去除哪些信息能夠在預防隱私風險的同時保留數據集的一定效用，應當因行業、領域和應用場景不同而予以區別?！稊祿畻l》要求公共服務領域的個人信息數據匿名化處理在技術手段上進行創新，在保障信息安全和隱私安全前提下，促進個人信息數據在公共服務領域的應用。這也將帶動匿名化技術在其他相關領域的應用與實踐。

　?。ǜ吒黄?華東政法大學教授、法律研究中心主任）