引言
“数据治理(data governance)”一词指组织(如企业)对数据资产的管理行使权力、控制和共同决策(计划、监控和执行)。近年来,随着数据日益成为经济发展的关键驱动要素,一些国家和地区开始意识到仅通过法律(如欧盟《通用数据保护条例》,以下简称“GDPR”)对数据进行保护还远远不够,需要对其进行治理,使其作为经济要素发挥作用。“数据治理”一词开始频频出现在日本、韩国、印度、欧盟等国家的数字经济关键政策之中,一般而言,此处的“数据治理”意指国家为履行社会公共事务治理职能,对自身、市场和社会中的数据资源和数据行为的治理。
2020年,我国国务院公布《关于构建更加完善的要素市场化配置体制机制的意见》中,将数据列为继土地、劳动力、资本、技术之后的“第五大生产要素”。为发挥数据要素作用,我国也在《第十四个五年规划和2035年远景目标纲要》、《关于印发要素市场化配置综合改革试点总体方案的通知》等文件中多次提出培育数据市场,但目前仍未形成完善的数据治理体系。在此背景下,本文旨在分析目前几个典型国家和地区出台的数据治理政策,并提炼出其关键组成要件和背后的考量,以期“抛砖引玉”,为我国数据要素化、市场化的进程的理论研究和实践方向提供经验借鉴。
01 日本:“七层两要素”的综合数据治理
2021年6月,日本发布“综合数据战略”,旨在“通过确保信赖和公益性,构筑安心且高效地使用数据的结构,同时,从世界范围内确保对日本数据本身及其生成、流通方式的信赖,在世界范围内放心地利用日本数据,也让世界数据能在日本放心存放的社会”。
2021年9月,日本成立了数字厅以实施该“综合数据战略”。在“综合数据战略”中,日本设想了一个“七层两要素”的数据治理架构:
表1:日本“综合数据战略”提出的数据治理架构
层级 | 内容 | 要素 |
第七层 | 战略、政策 | 要素一:社会实施和业务改革 |
第六层 | 组织:行政及民间业务改革 | |
第五层 | 规则:除了完善数据标准和质量等数据联合所需的规则外,还完善了用于放心利用数据的信任基础等规则。 | 要素二:数据环境建设 |
第四层 | 利用环境:为各种各样的主体熟练使用个人数据存储、信息银行和数据交易市场等联合的数据提供有利环境。 | |
第三层 | 合作平台(工具):为了系统地联合上述数据,配备了目录等数据联合工具。 | |
第二层 | 数据:从社会活动基础数据着手,从结构上构筑必要的数据。 | |
第一层 | 基础设施:支撑数字社会的5G、数据中心、计算基础设施等基础设施 |
之所以实施数据全产业链战略,是因为日本意识到其存在数字化设施不健全、缺乏基础数据、官民商数据共享不充分、社会整体的数据素养低、对隐私强烈担忧等问题。如不实施全面的措施,数据共享难以开展。此外,日本政府还计划使作为最大数据持有者的行政机构本身成为全国最大的平台,让公共数据充分流动。
02 韩国:以各主管部门推进行业数据利用
2021年10月12日,韩国国务会议通过了《数据产业振兴和利用促进基本法》(以下简称“韩国《数据基本法》”),旨在促进数据产业发展和振兴数据经济。韩国《数据基本法》是世界首部规制数据产业的基本立法,该法对数据的开发利用进行了安排。韩国《数据基本法》规定要建立国家数据指挥中心,即“国家数据政策委员会”,系统培育数据交易、分析服务商等数据专业企业,培育作为数据经济时代创新的推动者的数据经纪商,打造数据资产价值和权利得到保障的市场。
2022年4月,《数据基本法》法全面实施后,韩国发布了“数据产业振兴综合计划”,并成立了“国家数据政策委员会”,韩国总理为委员长,作为国家数据和新产业政策的管理机构,该委员会由各主管部门代表和个人信息保护机构代表共同组成。
2022年9月14日,韩国总理韩德洙主持并召开了韩国国家数据政策委员会的第一次员会,发表了对8个数据领域、5个新产业领域、共计13个领域的改善计划。此次会议与不久后韩国政府于9月28日推出的“韩国数字战略”相互呼应,最终目标在于在韩国打造全球顶级水平的数字力量,扩大数字经济的覆盖范围,提升数字经济的包容性,构建政府数字平台和推动数字文化创新。
表2:韩国国家数据政策委员会对数据产业的改善计划
My Data(本人数据管理)和假名信息等8个数据领域 | 5个新的产业领域 |
1.增加指定个人行政信息的提供对象【行政安全部】 | 1.可以通过工具条上的应用格式操作,快速应用一个单元的格式到一行,一列或者其它行 |
2.个人数据可携带权扩散到所有领域【个人信息委员会】【福利部】 | 2.制定城市公园内无人驾驶班车服务的安全标准和范围【国土部】 |
3.允许私人协会专门机构通过自组合假名信息向第三方提供【个人信息委员会】 | 3.允许自动驾驶机器人通过人行道【产业部】【警察厅】 |
4.支持组合假名信息的安全再利用【金融委员会】 | 4.促进数字化服务的直接购买【科学和信息通信技术部】 |
5.提高二元化的假名信息结合制度统一性【个人信息委员会】【金融委员会】 | 5.执行线上视频服务等级分类制度【文化部】 |
6.促进人工智能学习使用数据的立法改革【文化部】 | _ |
7.移动图像信息处理设备的个人信息收集和使用标准【个人信息委员会】 | _ |
8.建立明确的个人信息侵权处罚标准【个人信息委员会】 | _ |
可以看到,国家数据政策委员会第一次委员会发表的对8个数据领域,5个新产业领域的改善计划都落实到了各个产业的主管部门,这表明,韩国政府更加注重数据经济的产业属性。同时,该计划建立了个人信息保护监管机构“个人信息委员会”与各个产业主管部门的协调工作机制,个人信息委员会在此协调工作机制中需与产业主管部门协调推进工作,在具体行业数据利用中建立个人信息保护适当标准。这种“监管部门+产业主管部门”的工作机制可以为数据流通中“安全有序”与“开发利用”之间的平衡提供有效的沟通协作平台。
03 印度:对不同类别数据分别制定治理框架
印度的数据治理政策着眼于不同的数据类别,为个人数据、非个人数据、政府数据分别制定了不同的治理框架。在个人数据方面,2019年草案较为重视数据本地化和政府监管权利,新草案如何规定尚未可知。但是为了使个人数据能够顺畅共享,印度提出了“数据授权和保护架构框架”(Data Empowerment and Protection Architecture,以下简称“DEPA”),通过在技术上解决数据处理者对数据权利的方式解决数据可移植性阻碍。在非个人数据方面,印度不仅为经济社会中的数据共享作出了努力,而且为推动政府持有的数据的流通利用制定了规则。
在个人数据方面,目前,印度2011年通过的《信息技术(合理的安全实践和程序以及敏感的个人数据或信息)规则》是监管敏感个人数据的基本框架。2022年8月3日撤回了2019年公布的《个人数据保护法(草案)》(点此查看详情),并宣布重新制定新的《个人数据保护法(草案)》(点此查看详情)。
在非个人数据方面,2019年印度电子与信息技术部召集了Gopalakrishnan委员会,就印度如何管理非个人数据集思广益。2020年12月,Gopalakrishnan委员会发布了《非个人数据治理框架专家委员会的报告》以供公众咨询。Gopalakrishnan 委员会将非个人数据定义为与个人无关的数据,以及曾经是个人数据但匿名化后不能识别个人的数据。该委员会还建议设立非个人数据机构,与草案寻求设立的数据保护机构分别行使职权,并建立密切合作。
在政府数据方面,政府于2012年3月发布了《国家数据共享和可访问性政策》(National Data Sharing and Accessibility Policy),旨在为公共利益共享其持有的非个人和非敏感数据。政策规定了政府通过开发开放数据平台提供机器和人可读格式的数据。为了促进政府手中数据的利用,印度电子与信息技术部于2022年2月发布了《2022年印度数据可访问性和使用政策》草案(India Data Accessibility and Use Policy 2022),规定了政府可定价出售其持有的数据,此规定遭受了广泛的批评,因此,印度电子与信息技术部于2022年5月26日发布了《国家数据治理框架政策》草案(National Data Governance Framework Policy)(点此查看全文翻译),本草案与2月份颁布的草案结构相似,但是剔除了广受争议的数据许可和定价规定。该草案设定的数据管理框架为建设大型数据集存储库、设立印度数据管理办公室(IDMO)以负责制定数据收集、存储规则和管理数据集平台。
在规范框架之外,印度还提出了针对个人数据使用的技术法律框架,即印度国家转型研究所于2020年8月发布的《数据授权和保护架构框架草案》(Data Empowerment and Protection Architecture,“DEPA”)。DEPA意在提供数据处理者对其个人数据进行有意义的控制的手段,促进数据处理者之间统一的数据共享,使企业从使用个人数据中获益。DEPA的运行逻辑和个人数据的可携带权类似,其架构如图1所示:
图1:印度数据授权和保护架构(DEPA)
04 欧盟:搭建数据共享、流通和利用的生态系统
2022年5月16日,欧盟理事会批准通过《数据治理法案》,并将于2023年9月正式实施。《数据治理法案》旨在解决三方面的问题:(1)政府手中公共数据的重复利用;(2)公司因为担心共享数据将意味着失去竞争优势并存在被滥用的风险而不共享数据;(3)个人担心数据无法获得安全保障而不共享数据。
为了解决以上三个现实问题和满足发展需求,欧盟旨在通过《数据治理法》搭建数据共享、流通和利用的生态系统。在这个系统里,欧洲数据创新委员会、市场主体(数据中介机构)、企业与个人、监管部门的监管工具(如对从事数据利他主义机构进行认证)将共同构建数据流通的链条。
在政府公共数据重复使用方面,为了帮助潜在的数据重复使用者找到数据由哪些公共当局持有的相关信息,成员国将被要求建立一个单一的信息点,在欧盟层面将创建一个欧洲单一访问点。
在企业之间共享数据方面,《数据治理法》引出数据中介服务,由数据中介机构管理数据空间。数据空间是商业合作伙伴可以共享、获取和/或维护数据的集中空间,数据空间的参与者将能够决定共享哪些数据、允许谁访问数据以及在何种条件下访问数据。《数据治理法》下数据空间的目标之一是促进信息共享和创建有利于工业和研究的欧洲数据空间或数据市场。在数据空间中可以共享个人数据和非个人数据,但若是共享个人数据则要符合GDPR的规定。数据中介机构将作为中立的第三方发挥作用,将个人、公司与数据使用者联系起来。他们不能将数据货币化(例如,将其出售给另一家公司或使用此数据开发自己的产品),并且必须遵守严格的要求以确保这种中立性并避免利益冲突。
《数据治理法》还引出了数据利他主义的概念,即个人和公司同意或允许将他们生成的数据(自愿且偿)用于公共利益。为了打消个人和公司对于数据是否真正用于公益目的的疑虑并鼓励个人和公司将数据用于利他主义目的,《数据治理法》提出对从事数据利他主义的机构进行认证,并为其制定保护数据的相关规则。
05 数据治理政策对比分析
根据上文内容,本文总结了日本、韩国、印度和欧盟数据治理政策的关键组成要素,并进行了对比分析。
表3 各国/地区数据治理政策关键组成要素
国家/地区 | 数据治理战略/政策 | 数据治理法律/规则 | 数据治理组织/架构 | 数据治理对象类别 | 数据治理生态要素 |
日本 | 2021年“综合数据战略 | _ | 日本数字厅 | 个人数据、行政机构数据、产业数据 | 数据利用环境、合作平台和工具、数据基础设施 |
韩国 | 2022年“韩国数字战略 | 《数据产业振兴和利用促进基本法》 | 国家数据政策委员会(成员包括个人信息监管机构和各行业主管机) | 侧重于个人信息 | Mydata(个人数据管理)、个人数据可携带权、市场主体(数据经纪商) |
印度 | _ | 《非个人数据治理框架专家委员会的报告》、《国家数据共享和可访问性政策》、《国家数据治理框架》、《数据授权和保护架构框架草案》 | Gopalakrishnan委员会(非个人数据)、印度数据管理办公室(IDMO) | 个人数据、非个人数据、政府数据 | 数据收集、存储和管理平台、数据授权和保护技术框架(DEPA) |
欧盟 | 2020年“欧洲数据战略” | 《数据治理法》 | 欧洲数据创新委员会、成员国公共数据单一信息点、欧洲单一访问点 | 个人数据、非个人数据、政府数据 | 市场主体(数据中介机构和数据利他主义机构)、共同监管机制(认证制度)、数据空间 |
由表2可知,日本、韩国、印度和欧盟的数据治理政策基本上酝酿起源于2020年之后出台的国家或区域层面的数据战略为起点。这一方面是因为这些国家和地区认识到数据的流通和利用对于自身在全球数字经济中的竞争力的重要性,另一方面是因为新冠疫情以来,数据深度嵌入国家、社会和个人生活的方方面面,重要性急速凸显。数据战略仅仅是第一步,各国和地区之后就面临着如何实施战略、达成目标的难题。由于数据的非竞争性等特性,其法律规则和治理逻辑都与传统要素有所差异,各国和地区便纷纷寻求一条合理有效的数据治理路径,最大化地发挥数据的价值,并保障数据的安全。
本文提到的四个国家和地区的数据治理政策的有共同的的逻辑起点:即放弃了原有产权法律体系下的治理逻辑,不再从关注数据的产权属于谁,而是从数据流通在各个层面的便利化来激励市场和弥补市场失灵。从本文分析的四个国家/地区来看,数据治理的各个层面已经初具雏形,一般有以下四点:
1. 在国家或区域层面建立数据治理政策机构及其协调机制;
2. 在国家或区域层面建立不同类别数据流通利用的法律及其规则;
3. 在国家或区域内部形成包括数据经纪人、数据中介等在内的市场环境;
4. 针对具体的数据类别或行业类别搭建包括技术和平台在内的软硬件基础设施。
但在具体的实施路径层面,这四个国家和地区仍然有所差异。例如,在数据治理组织/架构方面,仅有韩国建立了明确的监管部门和产业主管部门之间明确的工作协调机制;在数据治理的对象/类别方面,虽然这些国家/地区都认为无论是个人数据、非个人数据还是政府公共数据都有极大的开发利用价值。但由于对个人数据的利用同时还要考虑到对个人权益的保护,韩国和印度都从个人数据可携带权实施的角度特别采取的技术保障措施作为辅助手段,这MyData和DEPA中都有所体现,欧盟则已经开始考虑在存在适当保护水平的数据空间中弱化GDPR中的同意规则。
总体而言,大部分国家/地区的数据治理政策基本上侧重于数据在国内市场、产业的流通利用,比如欧盟明确提出形成“数字单一市场”;但日本的目标则在于打通国内和国际的双数据流通,成为“自己的数据能在世界范围内被放心利用”、“世界的数据能在日本放心的存放”的社会。
06 小结
近年来,我国高度重视数据要素市场的培育、促进数据的流通利用。虽然目前我国尚未形成明确的数据治理政策框架,但以上四个国家和地区的数据治理思路已有所体现。比如,2022年1月出台的《关于印发要素市场化配置综合改革试点总体方案》的通知中提及支持打造公共数据基础支撑平台,推进公共数据归集整合、有序流通和共享,表明对公共数据的治理已经启程;2022年7月11日,国务院办公厅同意了发改委牵头建立的数字经济发展部际联席会议制度,其组成成员与韩国成立的国家数据政策委员会有相似之处。未来,期待我国尽快明晰从国家数据治理的底层逻辑,构建更加顺畅的数据流通利用规则,形成更加透明高效的数据市场体系、建设更加安全的数据基础设施,最终形成一个具备全球数据聚集吸引力、数据要素高效流通的数据市场。
参考文献
[1] 韩国科技信息通信部:https://www.msit.go.kr/SYNAP/skin/doc.html?fn=b260e7bb80b07f8535aebc92444d51ae&rs=/SYNAP/sn3hcv/result/,2022年10月25日访问。
[2] 韩国政府网:https://www.korea.kr/news/pressReleaseView.do?newsId=156525652,2022年10月25日访问。
[3] 韩国经济新闻:韩国政府发表新数据战略,https://www.kedglobal.com/cn/%E6%95%B0%E5%AD%97%E6%88%98%E7%95%A5/newsView/ked202209280021,2022年10月27日访问。
[4] Rahul Matthan, Shreya Ramann,India’s Approach to Data Governance, Carnegie(Aug. 31, 2022), https://carnegieendowment.org/2022/08/31/india-s-approach-to-data-governance-pub-87767。
[5] 印度政府新闻发布网:https://ourgovdotin.files.wordpress.com/2020/12/revised-report-kris-gopalakrishnan-committee-report-on-non-personal-data-governance-framework.pdf,2022年10月25日访问。
[6] 印度科学与科技部:https://dst.gov.in/national-data-sharing-and-accessibility-policy-0,2022年10月25日访问。
[7] 印度国家转型研究所:https://www.niti.gov.in/sites/default/files/2020-09/DEPA-Book.pdf,2022年10月25日访问。
[8] Joanna Rozanska, Data pools for sharing data are now regulated-EU Data Governance Act,Hogan Lovells(Oct. 24, 2022), https://www.jdsupra.com/legalnews/data-pools-for-sharing-data-are-now-1958585/.
[9] 欧盟委员会网:https://digital-strategy.ec.europa.eu/en/policies/data-governance-act-explained,2022年10月25日访问。
[10] 邓韬:《数据流通利用|日本数据战略发展情况综述》,2022年10月22日发表,载微信公众号“清华大学智能法治研究院”。
声明:本文来自数据信任与治理,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。