数安条例百问13、14:关于数据开发利用和交易管理
小贝案语
11月14日,国家互联网信息办公布了《网络数据安全管理条例(征求意见稿)》。为此,小贝说安全设立《网络数据安全管理条例(征求意见稿)》(后文简称《条例》)解读专栏,以百问百答的形式对《条例》进行系列解读。
需要指出,这些解读只是专家个人观点,不代表官方意见;且这些解读针对的是征求意见稿,未来条文本身可能会发生变化,不排除会有新增和删除。
对应条款
第七条国家推动公共数据开放、共享,促进数据开发利用,并依法对公共数据实施监督管理。
国家建立健全数据交易管理制度,明确数据交易机构设立、运行标准,规范数据流通交易行为,确保数据依法有序流通。
解读
当前,信息资源日益成为重要生产要素和社会财富,信息掌握的多寡成为国家软实力和竞争力的重要标志。习近平总书记指出,要构建以数据为关键要素的数字经济。
2020年4月,中共中央、国务院印发《关于构建更加完善的要素市场化配置体制机制的意见》,将数据作为一种与土地、劳动力、资本、技术等传统要素并列的新型生产要素。
此后,如何发挥数据的生产要素作用引起社会热议,各地也积极开展与此相关的地方立法。但在这个过程中,人们往往对三个词没有加以区别:共享、开放、开发利用。甚至在很高层级的立法中,以上三个词也有混用的情况。
事实上,共享、开放、开发利用分别代表了数据发挥生产要素作用的三个阶段、三种形式。《条例》对此作了科学、精确区分。如下图所示。
共享,是落实习近平总书记提出的“让百姓少跑腿、信息多跑路”要求,在政府内部实现不同部门之间数据的共享。例如,公民到公安机关办事,如需查验学历证明,不必要求当事人返回家取毕业证,公安机关直接按程序调用教育部门的相关数据即可。多年以来,政府部门内部形成了很多“数据孤岛”,打通这些孤岛面临很多困难,尤其是很多部门不愿共享、不敢共享、不会共享。但无论如何,至少在体制机制上,国家已经作了部署。
开放,则在共享的基础上更进一层。此时数据不仅仅是在政府内部流转了,而要可供社会查阅、使用(这也是“开放”的本意)。这种场景下,面临的问题与“共享”明显不同。例如,哪些数据可以开放?开放给谁?数据离开组织、进入社会后如何保障数据的安全?这些问题的难度也很大,但国家也已部署了有关试点,进行了体制机制探索。
开发利用,则是数据发挥生产要素作用的最高阶段。其与共享和开放最大的不同,是需要对原始数据进行加工,生产出不同的数据产品(无论采取何种隐私保护算法、模型,其结果本质上都是数据产品)。而在共享和开放形式下,并不强调数据本身的改变。
这意味着,对同一批健康医疗数据进行开发利用,可以分别产生供保险机构、药厂、医院、医学院使用的不同数据产品。例如,对保险机构而言,其在核保时关心投保人是否真正发生了诊疗、住院事实,其需要的数据产品涉及到某个具体人;对药厂而言,其关心某种病的患病人群在性别、年龄、居住环境、遗传、生活习惯等方面有哪些共同特征,但其并不关系具体人的信息。
由于开发利用涉及经营问题,故此时面临着一系列更为复杂的难题,截至目前基本都没有答案。如图所示。
显然,共享、开放、开发利用涉及的法律关系也不同,这三个词不能随意混用。
对应条款
第七条 国家推动公共数据开放、共享,促进数据开发利用,并依法对公共数据实施监督管理。
国家建立健全数据交易管理制度,明确数据交易机构设立、运行标准,规范数据流通交易行为,确保数据依法有序流通。
解读
我国共出现过两次建设数据交易机构的热潮。
第一次是2015年8月国务院印发《促进大数据发展行动纲要》之后,这是指导我国大数据发展的国家顶层设计和总体部署。
第二次是2020年4月中共中央、国务院印发《关于构建更加完善的要素市场化配置体制机制的意见》,由此明确了数据是一种新的生产要素。
两个重要文件的发布极大激发了地方对数据交易机构的热情。但事与愿违,几年下来各地的数据交易量寥寥无几,两次热潮中建立的数据交易机构绝大多数宣告失败,留存下来的也多是苦苦支撑,少数盈利的则是靠信息化集成、软件开发等其他业务收入填补。造成这一局面的根本原因,是数据交易涉及的数据保护还没有上位法规定,一系列法律问题没有解决,甚至“数据交易”本身还存在很多有争议的理论问题。这也说明,尽快在法的层面明确数据交易规则,已成当务之急。
为此,《数据安全法》第十九条规定,国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。尔后,《数据安全法》在第三十三条对数据交易中介服务的机构提出了要求:应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。但上述条款并不能回应社会对数据交易管理制度基本内容的关切。与数据交易有关的基本规定只能留待《条例》解决。
《条例》指出,数据交易管理制度的关键是明确数据交易机构设立、运行标准,以规范数据流通交易行为,确保数据依法有序流通。这些机构设立、运行标准将在后续专门制定,《条例》通过授权制定文件并明确文件主要内容的形式建立了数据交易管理制度。
相关文章:
数安条例百问15、16、17、18、19:关于数据处理者安全保护义务
数安条例百问27、28、29、30:关于“一般要求”中的几个特定考虑
数安条例百问46、47、48:关于生物特征应用和一百万人以上个人信息处理者的适用
数安条例百问55、56、57、58、59:关于年度评估与对外提供数据的风险评估
