数据要素治理的体系推进

2022年12月印发的《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》（以下简称《数据二十条》）提出，建立安全可控、弹性包容的数据要素治理制度。这意味着只有充分认识和把握数据安全的基本规律，探索有利于数据安全保护的产权制度和市场体系，不断完善数据要素治理体系，才能实现数据要素的价值，从而支撑数字经济高质量发展。

数据要素治理的总体目标

建立安全可控的数据要素治理制度。2022年3月，国家发展和改革委员会发布《关于对“数据基础制度观点”征集意见的公告》，建议构建有效市场和有为政府相结合的数据要素治理格局。《数据二十条》强调：“统筹发展和安全，贯彻总体国家安全观，强化数据安全保障体系建设，把安全贯穿数据供给、流通、使用全过程，划定监管底线和红线。”因此，应当强化分行业监管和跨行业协同监管，建立数据联管联治机制，打造安全可信、监管有效的数据要素市场环境，全面加强数据安全保护工作，实现数据要素安全可控。

建立弹性包容的数据要素治理制度。《数据二十条》要求，“坚持‘宽进严管’原则”“建立健全鼓励创新、包容创新的容错纠错机制”“加强数据分类分级管理，把该管的管住、该放的放开，积极有效防范和化解各种数据风险”。其中，分类分级是数据安全保护的重要内容，具体是指按照数据的不同类别和敏感级别实施不同的安全防护策略、施加不同的安全防护手段，这有利于在确保数据依法合规流动的同时，促进数据的开发利用和安全共享，满足不同业务场景中的数据安全保护需求。按照《中华人民共和国数据安全法》第二十一条和《网络数据安全管理条例（征求意见稿）》第五条的规定，国家核心数据、重要数据和一般数据应当采取不同的保护措施。目前，《工业数据分类分级指南（试行）》《基础电信企业数据分类分级方法》《证券期货业数据分类分级指引》《金融数据安全数据安全分级指南》等标准已经相继出台，为数据要素治理提供了更细致的行业指引。

建立贯穿全过程的数据要素治理制度。在大数据时代，数据在采集汇聚、存储处理、共享使用等环节都面临着安全挑战。《数据二十条》强调，“把安全贯穿数据供给、流通、使用全过程”“把安全贯穿数据治理全过程”“建立数据要素生产流通使用全过程的合规公证、安全审查、算法审查、监测预警等制度”。换言之，数据安全治理的关键在于明确数据从产生、使用到流转全生命周期中各环节的责任主体，完善追责机制等配套制度。行业主管部门和监管机关应建立健全数据安全监管和审查制度，制定数据流通和交易负面清单，相关企业应牢固树立责任意识和自律意识，积极履行数据安全保护义务，不断优化在数据采集汇聚、加工处理、流通交易、共享利用等各环节的安全保护制度和措施。

数据要素治理理念的变革

数据要素治理需要强化系统思维。数据治理是一项复杂的社会系统工程，应当置身于深化创新驱动、推动高质量发展、推进国家治理体系和治理能力现代化的大治理格局中。从对象上看，数据治理不仅针对流通过程中可能发生的纠纷，还要建立数据安全预防性制度。从环节上看，数据治理不仅要治“已病”，更要注重防“未病”，不仅要化解数据矛盾纠纷，更应当破解数据基础难题，推动体制机制更健全、政策法规更完善、履职行为更合法，从源头上减少数据纠纷产生。从责任上看，数据要素治理绝不仅是某个主体、部门或行业的事，而是要构建政府、企业、社会多方协同的治理模式，从而推动形成政府监管与市场自律、法治与行业自治协同、国内与国际统筹的数据要素治理结构。

数据要素治理需要强化法治思维。数据要素治理不是否认数据自由流通和安全保护之间的矛盾，而是通过建立数据基础制度来实现矛盾化解和利益平衡，这同样需要在法治轨道上运行：一方面，依法履行数据安全监管职责，守住安全底线。行业主管部门和监管机关应当严格落实网络安全、数据安全和个人信息保护等相关法律规定，推动企业数据合规专项建设。另一方面，依法履行数据竞争监管职责，守住监管红线。对于数据领域中的垄断和不正当竞争行为，应当强化重点领域执法司法，加强经营者集中审查，依法依规查处垄断协议、滥用市场支配地位和违法实施经营者集中行为，防止利用数据、算法等优势和技术手段排除、限制竞争和实施不正当竞争，营造公平竞争和规范有序的市场环境。

数据要素治理需要强化技术思维。近年来，针对数据本身具有的技术特征而产生的数据安全问题，“技术治理”作为优先机制被广泛接受。《数据安全法》第十六条规定：“国家支持数据开发利用和数据安全技术研究，鼓励数据开发利用和数据安全等领域的技术推广和商业创新，培育、发展数据开发利用和数据安全产品、产业体系。”《数据二十条》提出：“支持开展数据流通相关安全技术研发和服务，促进不同场景下数据要素安全可信流通。”目前，访问控制、身份识别、数据加密、数据脱敏等传统数据技术不断发展，隐私计算、隐私增强等新型技术使得数据“可用不可见”，既让数据在计算过程中隐形，又不影响提取数据价值用于模型训练，破解了数据安全与融合应用的难题，促进数据流通利用和数字经济发展。同时，数据安全监管也得益于技术思维的强化。比如，依托大数据技术建立的电子政务和数字政府体系，不仅扩展了社会公共服务的范围和功能，也极大地提升了数据安全预警、分析、执法和信息公示等能力，使得数据安全监管具备有力支撑。

多方协同强化数据要素治理

政府创新数据治理思路。作为数据要素治理的首要主体，政府坚持发挥有序引导和规范发展的作用，依法履行监管职责，强化重点领域执法司法，健全数据安全防护体系。《数据二十条》要求建立具体的数据安全制度，指导各方履行数据要素流通安全责任和义务，实现数据要素流通使用全过程的安全治理。首先，建立合规公证制度，推动企业合规体系建设和数据安全专项合规建设，增进数据安全互信和流通。其次，建立算法审查制度，保障算法的公平性、透明性和可责性，治理“算法黑箱”“算法歧视”，实现“看不见的正义”。最后，健全数据安全风险监测预警机制，加强安全信息共享，保障国家安全、社会公共利益、个人和组织合法权益，营造规范有序的数据要素市场环境。

企业积极参与数据治理。作为数据要素治理的关键主体，企业应当严格落实企业数据治理责任。《数据二十条》前瞻性地提出，推行数据流通交易声明和承诺制、建立健全数据要素登记及披露机制。前者主要面向数据商及第三方专业服务机构，鼓励企业积极参与数据要素市场建设；后者针对一切数据企业，要求增强企业社会责任。《数据安全法》第三十三条规定：“从事数据交易中介服务的机构提供服务，应当要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录。”在实践中，数据流通中介声明和承诺包括对交易环节事项、义务履行情况的说明和法律责任的承担等内容，这无疑多加了一把企业自我约束的“安心锁”。对照来看，作为探索数据产权结构性分置方案的配套和深化，数据要素登记及披露制度需要企业承担相应的登记和披露义务，既能够增加数据要素交易流通的透明度，又有助于打破超大型互联网平台等行业巨头对数据资源的独占或垄断，从而实现数据要素的高效流通和公平竞争。

社会力量发挥协同治理作用。在数据要素治理格局中，行业协会等社会组织是重要的力量，在未来应当发挥更加显著的作用：一是加快突破数据安全治理等关键技术，增强数据安全标识、数据资产综合管理、数据生命全周期安全管控和数据安全审计等技术的研发、应用和服务；二是推动形成数据行业自律机制，出台数据要素安全治理的行业公约，加大对违法违规企业的处罚力度；三是建立数据要素市场信用体系，畅通企业、行业和政府之间的信用评价结果互通渠道，实现对守信行为的激励和对失信行为的惩戒，逐步完善数据交易行为认定、信用修复、争议解决等机制；四是完善数据安全治理标准体系，充分借鉴相对成熟的信息安全技术标准体系，积极推动市场主体参与数据要素管理相关标准规范工作，建立健全数据交易安全标准规范和安全制度体系。

来源：民主与法制时报

作者：邓辉中国人民公安大学法学院、数据法学研究院