编者按
2025年7月3日,2025中国数字经济发展和治理学术年会在清华大学成功举办。本届学术年会以“开放、共享、友好:数智时代的社会发展与理论创新”为主题,依托全球数字经济大会,汇聚国内外数十位顶尖专家学者、智库机构及产业代表发表演讲与交流,探索数智时代如何通过开放与共享,推动数字友好合作,并在实践中实现数字经济理论创新。三十多位专家学者和业界代表出席并发言,四百余人参加线下会议,超十万人次观看了大会实况。
清华大学计算社会科学与国家治理实验室执行主任、北京国际数字经济治理研究院院长孟庆国教授发表题为《数据流通安全治理中的制度与技术问题》的主旨演讲。本文根据孟庆国教授现场发言内容整理。
孟庆国教授发表主旨演讲
我今天分享的内容主要想围绕数据流通安全治理中的制度和技术问题展开。为什么谈这个话题呢?因为在国家层面上推进数据要素化的政策取向是通过市场机制来促进数据的价值化,要从根本上考虑数据流通中的安全治理问题。在此过程中,数据流通安全因动态性特征显著,区别于传统静态数据治理,已成为当前治理的难点。为此,国家发改委等六部委于今年1月联合印发《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》,该文件在国家层面 “三法两条例” 基础上,针对数据要素流通安全提出操作性要求,包含 1 项总体要求和7项主要任务,旨在统筹发展与安全,保障数据流通安全的同时推进要素价值化。所以,我今天的观点更多地也是呼应这个文件:一方面对文件做解读;另一方面深入探讨数据要素流动安全治理涉及到的制度和技术方面的问题和逻辑。
一、数据流通安全治理:一个描述性过程框架
为把数据流通治理中涉及到的主体、客体以及过程表述清楚,我们给出了一个描述性分析框架,如图1所示。从中可以看出,数据流通主要主体有数据提供主体、数据需求主体、数据流通服务主体和监管主体等几方。不管是基于公共数据授权运营流通,还是基于企业数据的市场化交易流通,无非都是数据从提供方流向需求方流通的过程。数据从提供方流动到需求方,这个过程既涉及到数据价值化问题,也涉及到安全治理问题。所以,在这个框架中数据流通的过程,要有一个数据流通的基础设施和技术环境,来保证数据从提供方到需求方的安全性问题。国家为此也发布专门性文件,探讨支撑数据安全流通的可信数据空间建设问题,以此推动数据要素市场化配置改革。数据提供方的类型包括政府、企业、组织、个人,数据需求方同样也会涉及这些主体类型。在数据流通过程中,还会涉及数据流通服务方、数据监管方等各类主体,这些利益相关主体共同协作,保证了数据流通高效、安全。为了保证数据流通过程的合规和安全,国家与地方政府都成立了数据局,承担数据流通监管职能,履行监管责任。上面讲了数据流通的各类主体,那数据流通的客体是什么?客体就是数据。数据具有不同于其他传统要素的独特性,其类型可分为个人数据、企业数据、公共数据。所以,我们总结给出了这个一般性的数据流通过程示意框架。有了这个框架,就可以把数据流通过程的相关方逻辑关系及其权利、责任和义务说清楚。我下面的交流主要是基于这个框架,来展开谈一谈数据流通过程的安全治理问题。
图1 数据流通过程描述性框架
二、主体视角:主体权责匹配
文件里面写得很明确,作为数据提供方,一是数据来源必须合法、规范,且注重保护隐私;二是按照“谁采集、谁共享、谁持有”确定数据提供方的责任边界。正因如此,数据提供方常因“管理不到位”被问责。在现实情况下,通常就是提供方常常因管理不到位被问责,这方面被问责的案例非常多,所以也是数据提供主体不愿提供数据的主要原因。
从数据需求方来讲,拿到了提供方的数据,文件规定要按要求使用数据,不能超范围使用数据,即“谁经手、谁使用、谁管理、谁负责”,来确定数据需求主体的责任要求。在数据的超范围使用方面,因超范围使用数据行为难以识别,因此监管非常难以操作。
对数据流通服务主体来讲,这其中既包括了数据流通各参与平台运维、流通服务、过程治理等主体的安全责任界定,也需要构建可信数据空间或数据流通基础设施,让各方的权益、责任、授权关系、收益分配等,在这个制度和技术共同支撑的安全环境里得到确认和明晰。
我们通常讲的原始数据不出域、数据可用不可见等数据使用方式,也要通过制度和技术工作的机制来实现。包括利用区块链、智能合约、隐私计算等技术,对于数据流通过程中进行确权、认证、流通交易、溯源等,让数据既能够流动又能保障相关利益方的权益。
三、客体视角:数据标的物创新
“数据二十条”将分三类:个人数据、公共数据、企业数据。但这三类数据的具体属性、内在特征都非常不一样。
对于个人数据的流通利用而言,目前有两条途径:一个是个人知情同意;二是个人数据的匿名化处理。对于个人数据使用的知情同意,如互联网平台数据,因涉及用户众多,如何操作缺乏可行的具体实施机制,现实中难于操作。对于第二种途径的匿名化处理,究竟匿名化处理到什么程度,这个数据才是安全的,这在实际操作中也面临着很多困难,尤其是在大数据环境下。如果过度地去标识化,解决了安全问题,但是业务精度又很难得到保证。所以在现有的框架下,个人数据的流通使用无论在制度上还是在技术上还要进一步的探索,以构建起更加高效、灵活和安全的机制。
在公共数据开发利用方面,中办国办也发了一个文件,对公共数据的共享、开放和授权运营做出规定。共享的问题,我们理解更多的是在行政主体间的一种权利、责任和义务的制定问题。开放和授权运营,是公共数据的社会化利用问题。对于公共数据的开放利用,由于涉及诸多安全问题,所以通过开放推进公共数据流通利用的路子越走越窄。另外,公共数据授权运营,无论从国家层面,还是从地方层面,都在重点推进,都希望让公共数据的价值也能够借助市场机制赋能经济的高质量发展。在这方面,现在遇到最大问题就是供数的问题,公共数据的提供部门把数据拿出来的意愿还不强。很多地方在探索“一局一中心一公司”机制模式,但不管制度还是技术上都还没有很好地激励数据数源方把数据拿出来。
对企业数据,政策上主要是通过市场化机制,即通过市场交易的方式来实现数据的价值流通释放。只要企业数据来源合规,责任边界清晰,隐私保护到位,是可以通过市场机制来实现数据流通。另外,如何建立起一个规范的数据交易机制,其核心是交易双方信任机制的建立问题。数据交易涉及跨主体的权益转移、信任风险以及风险治理,这其中的制度和技术设计一定要能保证各方的权益和信任机制的达成。
四、过程视角:流通载体重构
首先,当前数据流通上的一个问题就是风险责任和收益错配。不管是在公共数据授权运营,还是企业之间基于市场化的数据交易,都普遍存在这一特征,即“前端问责、终端受益”现象。数据提供主体(前端)把数据拿了出来,提供给数据需求主体(后端)做创新应用,数据需求主体用了这个数据去挣钱,但在这个过程中如果数据产生了风险,作为数据提供方的单位也要被问责。特别是公共部门与党政机关,他们提供的公共数据经社会化利用后,产生的收益与他们没有关系,但责任又无比大。显然目前的机制还是有很大的问题的。
其次,供需双方之间存在“不确定性预期”,也加剧了供数意愿。不管我们前述提到的互联网平台数据流通还是公共数据的授权运营,我们寄希望建立起数据监管制度来解决数据流通中的安全治理问题。但实际上,目前的数据流通监管无论是在制度上,还是在技术上都还存在许多不足。如何监管数据流动过程是否合规,是否侵犯其中参与方利益,我们认为涉及三个方面的核心问题:一是数据流通主体之间的信任与责任问题;二是作为流通客体的数据分类与标准问题;三是数据流通过程的协同与监管问题。如果这三类问题,不能从制度和技术层面予以很好地解决,供需之间因“不确定性预期”而导致信任问题。
要处理好上述问题,就要通过制度和技术手段,促进主体权责匹配、权益与信任的确立,通过清晰而有限度的安全责任边界稳定预期。同时,通过重构数据流通形态(如数据元件),创新流通标的物,降低信任确立的成本。再者,通过数据流通载体与设施平台的重构,处理好数据流通安全治理中的多重关系。
以上是我的观点,请大家批评指正。谢谢大家!
供稿 | 清华服务经济与数字治理研究院
