數安條例百問13、14:關于數據開發利用和交易管理
小貝案語
11月14日,國家互聯網信息辦公布了《網絡數據安全管理條例(征求意見稿)》。為此,小貝說安全設立《網絡數據安全管理條例(征求意見稿)》(后文簡稱《條例》)解讀專欄,以百問百答的形式對《條例》進行系列解讀。
需要指出,這些解讀只是專家個人觀點,不代表官方意見;且這些解讀針對的是征求意見稿,未來條文本身可能會發生變化,不排除會有新增和刪除。
對應條款
第七條國家推動公共數據開放、共享,促進數據開發利用,并依法對公共數據實施監督管理。
國家建立健全數據交易管理制度,明確數據交易機構設立、運行標準,規范數據流通交易行為,確保數據依法有序流通。
解讀
當前,信息資源日益成為重要生產要素和社會財富,信息掌握的多寡成為國家軟實力和競爭力的重要標志。習近平總書記指出,要構建以數據為關鍵要素的數字經濟。
2020年4月,中共中央、國務院印發《關于構建更加完善的要素市場化配置體制機制的意見》,將數據作為一種與土地、勞動力、資本、技術等傳統要素并列的新型生產要素。
此后,如何發揮數據的生產要素作用引起社會熱議,各地也積極開展與此相關的地方立法。但在這個過程中,人們往往對三個詞沒有加以區別:共享、開放、開發利用。甚至在很高層級的立法中,以上三個詞也有混用的情況。
事實上,共享、開放、開發利用分別代表了數據發揮生產要素作用的三個階段、三種形式。《條例》對此作了科學、精確區分。如下圖所示。
共享,是落實習近平總書記提出的“讓百姓少跑腿、信息多跑路”要求,在政府內部實現不同部門之間數據的共享。例如,公民到公安機關辦事,如需查驗學歷證明,不必要求當事人返回家取畢業證,公安機關直接按程序調用教育部門的相關數據即可。多年以來,政府部門內部形成了很多“數據孤島”,打通這些孤島面臨很多困難,尤其是很多部門不愿共享、不敢共享、不會共享。但無論如何,至少在體制機制上,國家已經作了部署。
開放,則在共享的基礎上更進一層。此時數據不僅僅是在政府內部流轉了,而要可供社會查閱、使用(這也是“開放”的本意)。這種場景下,面臨的問題與“共享”明顯不同。例如,哪些數據可以開放?開放給誰?數據離開組織、進入社會后如何保障數據的安全?這些問題的難度也很大,但國家也已部署了有關試點,進行了體制機制探索。
開發利用,則是數據發揮生產要素作用的最高階段。其與共享和開放最大的不同,是需要對原始數據進行加工,生產出不同的數據產品(無論采取何種隱私保護算法、模型,其結果本質上都是數據產品)。而在共享和開放形式下,并不強調數據本身的改變。
這意味著,對同一批健康醫療數據進行開發利用,可以分別產生供保險機構、藥廠、醫院、醫學院使用的不同數據產品。例如,對保險機構而言,其在核保時關心投保人是否真正發生了診療、住院事實,其需要的數據產品涉及到某個具體人;對藥廠而言,其關心某種病的患病人群在性別、年齡、居住環境、遺傳、生活習慣等方面有哪些共同特征,但其并不關系具體人的信息。
由于開發利用涉及經營問題,故此時面臨著一系列更為復雜的難題,截至目前基本都沒有答案。如圖所示。
顯然,共享、開放、開發利用涉及的法律關系也不同,這三個詞不能隨意混用。
對應條款
第七條 國家推動公共數據開放、共享,促進數據開發利用,并依法對公共數據實施監督管理。
國家建立健全數據交易管理制度,明確數據交易機構設立、運行標準,規范數據流通交易行為,確保數據依法有序流通。
解讀
我國共出現過兩次建設數據交易機構的熱潮。
第一次是2015年8月國務院印發《促進大數據發展行動綱要》之后,這是指導我國大數據發展的國家頂層設計和總體部署。
第二次是2020年4月中共中央、國務院印發《關于構建更加完善的要素市場化配置體制機制的意見》,由此明確了數據是一種新的生產要素。
兩個重要文件的發布極大激發了地方對數據交易機構的熱情。但事與愿違,幾年下來各地的數據交易量寥寥無幾,兩次熱潮中建立的數據交易機構絕大多數宣告失敗,留存下來的也多是苦苦支撐,少數盈利的則是靠信息化集成、軟件開發等其他業務收入填補。造成這一局面的根本原因,是數據交易涉及的數據保護還沒有上位法規定,一系列法律問題沒有解決,甚至“數據交易”本身還存在很多有爭議的理論問題。這也說明,盡快在法的層面明確數據交易規則,已成當務之急。
為此,《數據安全法》第十九條規定,國家建立健全數據交易管理制度,規范數據交易行為,培育數據交易市場。爾后,《數據安全法》在第三十三條對數據交易中介服務的機構提出了要求:應當要求數據提供方說明數據來源,審核交易雙方的身份,并留存審核、交易記錄。但上述條款并不能回應社會對數據交易管理制度基本內容的關切。與數據交易有關的基本規定只能留待《條例》解決。
《條例》指出,數據交易管理制度的關鍵是明確數據交易機構設立、運行標準,以規范數據流通交易行為,確保數據依法有序流通。這些機構設立、運行標準將在后續專門制定,《條例》通過授權制定文件并明確文件主要內容的形式建立了數據交易管理制度。
相關文章:
數安條例百問15、16、17、18、19:關于數據處理者安全保護義務
數安條例百問27、28、29、30:關于“一般要求”中的幾個特定考慮
數安條例百問46、47、48:關于生物特征應用和一百萬人以上個人信息處理者的適用
數安條例百問55、56、57、58、59:關于年度評估與對外提供數據的風險評估
