【智库观点·聚焦数据流通安全治理】构建流通与安全并重的多层次数据治理格局

编者按：近期，《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》由国家发展改革委、国家数据局、中央网信办、工业和信息化部、公安部、市场监管总局联合印发。中国经济信息社数字经济研究中心策划推出系列解读，从业界视角解读文件精神，搭建思想交流平台，助力促进数据要素合规高效流通利用，释放数据价值。

新华财经北京1月26日电 为深入贯彻党中央、国务院决策部署，加快构建数据基础制度体系，近期，国家发展改革委、国家数据局等部门联合印发了《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》（以下简称《方案》）。

一、《方案》出台的国内外意义

数据安全和数据发展是数字经济一体之两翼、驱动之双轮。没有完善、高效的数据安全治理机制，数据流通就始终面临着被泄露、篡改、破坏、滥用的威胁，难以持续、健康发展；数据安全治理制度如果无法适应数据流通发展特征，背离数据要素市场培育趋势，也会阻碍以数据要素为协同要素的新质生产力的发展。加强数据安全治理建设，不仅是维护数据安全和国家安全的强烈要求，是国家总体安全观的题中之义，更是推动数据流通和数字经济健康、可持续发展的必然选择。

一是数据流通安全治理制度承担着兜底线、树红线的保障功能。数据安全治理是数据治理系统思维的具体落点。不能以破坏促发展，就不能以牺牲在先权利、公共利益与国家利益为代价换取数据非法违规流通交易。特别是，数据因其无形性、难以追溯等特征，面临更严峻、更复杂的数据安全风险，更易纵容数据处理者的非法交易行为。近年来，普遍存在因数据非法流通导致个人隐私、商业秘密泄露等问题，亟需一个有效、完善的数据安全治理机制明确“自由”和“禁止”边界，规范各类数据流通行为，进而保障数据流通发展在法治轨道上有序进行。

二是数据流通安全治理制度是构建数据有效市场的重要基石，是解决当前数据市场失灵现象的关键抓手。高效的数据流通安全治理制度不会阻碍数据流通，相反能够帮助构建数据交易信任，让数据在透明、安全、有序的市场环境中实现市场化配置。当前，数据市场广泛存在“供不出”“用不好”问题，其中一个重要因素是用数方难以辨别交易数据是否安全合规，供数方也担心所交易数据日后被违法违规使用。通过明晰数据流通中的安全规则，能够为数据合规交易构建一套透明标准，进而界分供需双方义务范围和边界，让数据流通更好在“阳光下”进行。

三是建立健全数据流通安全治理制度是践行我国总体国家安全观的必然成果，是构建全球数据安全命运共同体的必然要求。随着信息技术的快速发展和数字化转型的深入推进，数据已成为国家基础性战略资源。党的二十届三中全会审议通过的《中共中央关于进一步全面深化改革、推进中国式现代化的决定》提出，提升数据安全治理监管能力，《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》（以下简称“数据二十条”）也将安全治理列为数据要素四大基础制度之一，并强调“构建适应数据特征、符合数字经济发展规律、保障国家数据安全、彰显创新引领的数据基础制度”。同时，数据流通安全治理已然成为各国关注的重要议题。数据流通安全制度不仅是完善国家安全治理体系的必然要求，也将为全球数据治理做出更大的贡献，为全球数据安全治理贡献中国智慧和中国方案。

二、《方案》的体系脉络与举措亮点

从《方案》提到的主要任务看，第1点至第3点区分了企业数据、公共数据及个人数据3类数据，明确各类数据流通中的安全治理规则；第4点聚焦安全责任分配，界分数据流通中各数据参与方的义务和责任边界；第5点强化对数据参与方的技术要求，明确数据流通中数据处理者应采取与其分类分级保护要求相适应的必要安全技术措施；第6点从安全产业发展层面，提出丰富数据安全供给生态链，培育数据安全服务市场；第7点从违规违法处置层面，严厉打击数据滥用风险，提高预防、治理、管控、惩戒数据违法违规行为的能力和成效。以上7点涵盖了责任分配、技术保障、产业发展以及违规违法处置等多个层面，将安全贯穿数据供给、流通、使用全过程，构建了一个多维度、立体化的数据安全治理体系，有助于实现数据安全与数据流通发展的动态平衡。

一是数据分级分类治理是数据安全治理的核心。根据数据分类要求，把该管的管住、该放的放开。对企业数据，以鼓励开发利用为导向，采取自主申报和标准识别方式，落实企业安全管理责任，强调数据流通中的监督管理。对公共数据，要从制度层面建立数据安全管理风险评估制度，落实数据提供方、数据接收方以及授权运营方各环节管理职责，以有效解决大量数据泄漏案件中数据提供方和数据接收方责任不清晰的问题，充分促进数据价值释放。对个人数据，既要防范隐私泄露和个人信息滥用，严格遵循《个人信息保护法》知情同意规则，采集、获取数据符合公平、诚信、自愿原则；又要遵循数据特征，细化个人信息匿名化标准和规范。当前虽然存在个人信息匿名化处理要求，但因内涵和具体标准等存在一定争议，在实践中尚未真正落地。《方案》出台后，应在各类数据使用的典型场景中明确匿名化规则和流通环境要求，指引数据处理者采取可负担、具有可操作性的个人信息匿名化处理技术方案。

二是完善具有操作性的数据流通安全责任界定机制。供需双方的数据安全责任边界模糊是制约数据流通的重要问题。目前发生数据泄露事件后，往往会通过层层传导追溯到数据提供方，即使数据提供方事前是合规的，也容易因“对业务或合作方监管不到位”被问责。笼统的“谁控制，谁负责”的责任认定思路难以准确应用于数据流通生命周期，对此，应该一方面坚持合同约定优先，支持供需方基于意思自治约定权责；另一方面在重点数据流通场景中探索有关安全治理标准和安全责任界定机制等新型治理模式，从试点中提炼出可复制推广的成熟经验，发挥其引领示范和辐射带动作用。同时运用区块链、数字水印等配套技术高效支撑数据流通过程中的取证和定责，实现权责分配透明化。

三是构建支撑数据全生命周期安全的技术体系，特别是通过搭建专门负责数据安全服务的生态系统和市场体系，营造创新环境，实现数据安全治理和数据市场发展的协同。“数据二十条”提出，围绕促进数据要素合规高效、安全有序流通和交易需要，应当培育一批负责合规认证、安全审计、风险评估的数据商和第三方专业服务机构，为数据流通提供合规化、标准化服务，提升数据流通和交易全流程服务能力。《方案》强调繁荣数据安全服务生态，通过培育数据安全服务企业、丰富数据安全产品，来优化数据安全治理的供给结构和覆盖范围，同时将数据安全治理与业务场景紧密融合，以数据流通安全技术创新带动数据安全服务市场有序发展。通过繁荣数据安全服务生态，积极防范和化解各种数据风险，形成政府监管与市场自律、法治与行业自治协同的数据安全治理结构，实现安全与发展的“双向奔赴”。

四是加强数据流通安全的执法保障。既要强化个人信息保护和反垄断反不正当竞争执法，依法严厉打击非法数据流通交易，加强执法协同，形成监管合力，维护个人、组织合法权益和市场公平竞争秩序；又要贯彻总体国家安全观，加强数据安全与政治安全、军事安全、科技安全、经济安全等协同治理的系统思维，根据国家数据安全工作协调机制的统筹协调，防范可能危害国家安全和经济社会稳定的数据安全风险。

本文作者系清华大学教授、智能法治研究院院长申卫星

编辑：冯蕊

版权声明：未经新华财经书面授权许可，严禁任何个人或机构以任何形式复制、引用本文内容或观点。

免责声明：新华财经为新华社承建的国家金融信息平台。任何情况下，本平台所发布的信息均不构成投资建议。如有问题，请联系客服：400-6123115