汪科科 | 浅谈基于可信数据空间构建全国一体化数据市场 - 新鲜讯息

继9月27日国家数据局发布《关于促进数据产业高质量发展的指导意见》以来，相关配套的数据发展政策先后颁布，逐步形成了一个以《数据产业指导意见》为牵引，以《关于加快公共数据资源开发利用的意见》和《关于促进企业数据资源开发利用的意见》为主线，《国家数据基础设施建设指引》及《可信数据空间发展行动计划（2024—2028年）》为数据基建承载、《网络数据安全管理条例》和《关于完善数据流通安全治理更好促进数据要素市场化价值化的实施方案》为标准规范的中国数据要素发展的政策体系。

上述政策彼此关联，互为支撑，为下一步构建兼顾灵活发展及可信管控的统一数据大市场奠定了明确的指导方向。以下结合政策理解和我自身的工作实践，对如何基于可信数据空间构建全国一体化数据市场提出一些自己不成熟的思考和建议。

数据的未来是灿烂星系

在不远的将来，我们即将看到的全国一体化数据市场，会是一片由各类可信数据空间聚合共生、徐徐展开的灿烂星图。

以城市可信数据空间区域数据基础设施为块、行业可信数据空间为条、企业可信数据空间为点形成一个个数据星系，各类企业数据空间围绕在城市可信数据空间及行业可信数据空间周边，在自转进行满足点与点之间的数据流通同时，并参与公共数据的融合实现城市应用场景开发利用的公转。在一个城市数据星系领域内，城市可信数据空间与行业、企业空间，是依照分建统管、自行流通、跨域协同的关系，进行城市级数据空间运营。

结合上述政策要求，从依托可信数据空间构建全国一体化数据市场的角度，我从以下七方面提出自己的思考。

原则与框架

在打造全国一体化数据市场的过程中，基于市场的归市场、管控的归管控的大原则明确总体原则和架构设计，彼此界面清晰责任明确。

按数据应用场景的不同，所有出现在全国一体化数据市场内的数据，总体可分为业务应用类数据（简称“业务数据”）和管理控制类数据（简称“管控数据”）。对业务数据和管控数据在汇聚开发流通上适用不同原则。

总体原则与框架

首先，业务数据应该基于“原始数据不出本域，需要先加工成数据产品服务后交付“的原则进行流通；对于需要跨域开发的场景，由区域中心进行跨域运营服务。其次，管控类数据应基于”统一标准“的原则，务必全过程记录存证，并依次向上归集汇聚用于各类数据主管部门用于数据流通态势感知和分析研判。

分为“终端间流通交易、区域居中运营服务、中央感知管控全局”三层逻辑框架

终端间流通交易

分布式数据交互架构，促进终端间应用数据流通。相比传统的中心式数据统一采集、集中开发利用模式，应采取分布式架构来解决多源业务应用数据交互的需求场景。该架构可以有效解决三个问题：

1. 安全问题

2. 数据权属问题

3. 数据流通问题

区域居中运营服务

区域中心承上启下运营管控，考虑到数据应用场景受空间区域制约的因素，在跨域业务应用数据融合开发、授权认证的同时，还应做好开发流通全过程管控、管理控制数据存证向上汇聚等工作。需要建设具有跨域管理节点承担相关运营管理工作。

1. 跨域区域中心

2. 跨域数据融合开发及流通过程管控

3. 跨域数据产品流通授权认证

中央感知管控全局

中央层面进行全过程管理数据汇聚，实时感知监管。对于业务应用数据在流通交付、跨域开发、授权认证等过程进行全链路感知，并将来自区域中心上传的管理控制数据进行全量汇聚，用于监管分析。

角色定义

在全国一体化数据市场中，从数据的业务流通和监督管控两个场景角度，大致分为数据提供方、数据消费方、数据托管方、数据中介方、数据运营方、数据监管方六类数据角色。

数

据

提

供

方

基于自身依法合规持有的数据资源的一方，数据资源类型包括公共数据、企业数据、其他合法合规获取的数据。

该角色可提供数据产品进行流通交付，也可通过合规授权的模式委托数据托管方对其托管的数据资源开发相应的数据产品用于流通交付。一般指代企业、提供公共服务的相关机构。

数

据

消

费

方

希望通过外部获取的数据产品，直接或与自身数据融合后，解决自身业务过程中出现问题的一方。

该角色方也可称之为数据的直接消费方，与数据托管方或自身业务没有需求但需要获取各类外部数据后综合处理加工后再对外销售的数据中介方不同。一般指代各类企业、政府机构等。

数

据

托

管

方

具备专业数据采集加工交付能力、安全可信存储开发环境、强信用背书身份的第三方综合数据开发利用方。一般由各地数据集团、行业龙头企业等具备公信力的机构主体承接。

数

据

中

介

方

在数据从采集治理、开发加工、交易交付，甚至出现法律诉讼纠纷的全链路生命过程中，所出现的各类中介方的统称。一般指代数据开发加工公司、律所、事务所、资产评估公司、数据安全评估公司、第三方咨询公司等。

数

据

运

营

方

负责企业、城市、行业三类可信数据空间的运营管理方。

1.企业可信数据空间运营方

由承建企业可信数据空间的龙头企业承担该角色，负责基于分布式数据空间构建多方互信的数据流通利用环境，协同上下游企业开放共享数据资源，打造数字化供应链。

2.城市可信数据空间运营方

由承建城市可信数据空间的各地城市数据集团承担该角色，负责构建城市数据资源体系，推动公共数据、企业数据、个人数据的融合应用。

3.行业可信数据空间运营方

由承建行业可信数据空间的产业链龙头企业或行业主管单位承担该角色，负责创新共建共治共享的数据使用、收益分配、协同治理等机制，促进产业链端到端的数据流通共享利用。

数

据

监

管

方

负责业务数据在开发流通授权过程中的全链路监管、预警控制，并对管控数据进行全域感知、事中研判及事后分析。对本区域内的整体数据资源分布、数据产品流通交易、数据融合开发利用、数据调用交付过程中的合规授权过程进行全面管控。

复合角色说明：在上述数据六类角色中，可能存在多角色融合的情况。例如：数据提供方与消费方在大部分业务场景中可能出现重叠，数据托管方和数据中介方可能同时具备类似的同类服务功能等等。

总体架构

结合全国统一数据大市场的总体原则，构建“城市群、城市、行业、企业“三层条块点结合的总体架构，统一可信数据空间建设运营标准，城市及城市群枢纽城市的区块链+隐私计算数据基础设施由国家统建统一运营。

数据产品流通交付及融合开发

按业务数据和管控数据的不同属性定位，以城市区划为例探讨基于以下原则进行在数据开发及流通交付：

业务数据

企业及城市公共数据授权运营主体，可依托各自可信数据空间，将数据资源加工成数据服务产品，对于需要跨不同数据源进行联合建模开发生产后再进行交付。建议操作路径如下：

1. 产品登记

2. 产品发布

3. 产品需求申请

4. 产品流通交付

5. 跨域数据开发

管控数据

在城市数据开发流通交付的案例中，所有数据产品的登记发布、测试流通交付授权、跨域数据联合建模生产等行为都应作为管控数据被城市区块链进行存证记录，并定期将本区域的数据产品上架信息向上一级结点汇总。

合规授权

作为数据流通交付的基础，合规与授权是保障整个流程常态运行的重要因素。我们还是以城市区划内的数据流通为例，介绍下相关注意要点：

合规

在整个数据流通交付过程中，有很多过程涉及合规要求。本文主要介绍接入合规。在城市区划内，城市可信数据空间运营方应承担各类企业可信数据空间运营方和数据需求方的接入资质合规审查及备案工作，确保该接入方符合基本的数据主体的资质要求，并对其数据提供和接受能力进行基本评估，并结合实际情况签署托管协议。

授权

由于在实际的数据流通交付中，不管被调用数据的主体个人还是企业，均涉及到被调用数据主体的授权知情同意。在管理控制具体的授权调用过程中，结合目前商业数据流通的工作实践，大致可借鉴以下两种做法：

可通过数据需求方获取被查询主体的可信授权记录（纸质授权书影印件或电子签名同意函件），并将该函件在本城市运营方提供的区块链存证平台上进行哈希存证，本地留存实体授权记录，以备审查。

可考虑通过各城市的一网通办政务服务终端，作为被调用主体的授权签署平台，各主体可以按一事一议或全部同意的模式进行授权。

数据权属及安全责任

在整个数据从资源到商品，实现市场化流通交付的过程中。不仅涉及各个主体在过程中的权属认定，也和安全责任息息相关。

数据权属

数据资源资产及商品化的过程中，不仅涉及到内部数据开发外部流通的场景，也和内部场景体质增效有关。既关联数据三权，也和不同阶段的权属登记认定有关。

安全责任

根据近期发布的《网络数据安全管理条例》内容，可以明确地看到安全对可信数据空间在数据资源开发利用和赋能产业转型升级上的重要指导意义。

责任边界

数据交互流通过程中，主要是秉承着谁存储谁管理谁负责的原则，对自身的数据资源、数据产品承担所有的安全责任，一旦发生数据泄露等事件，该主体承担所有民事刑事责任。城市运营方作为本城市数据流通、撮合、运营管理方。在留存数据流通撮合过程中的运营管理数据时，承担相应的数据安全责任。

安全要求

《网络数据安全管理条例》明确要求：

对数据处理者（数据持有者、数据产品开发者、数据基础设施平台运营者）的共性要求：“最小采集原则”“告知-同意原则”，数据转移、变更时的“单独同意”“重新同意”等原则。其中，对数据产品开发者的要求是“在开发的数据产品中面向具体应用场景内嵌关联对象的授权界面，在授权同时才输出服务“；对数据基础设施平台运营者的要求是”可信验证相关责任“。

对可信数据空间平台许可要求。构建集约高效的数据流通基础设施，建立标准规范体系，促进数据整合互通和互操作。

对数据共同处理的要求：《条例》进一步将数据共同处理从处理个人数据扩展到了可以处理重要数据。

对数据委托处理的要求：《条例》关于数据委托处理同样是从允许处理个人数据扩充到了允许处理重要数据，同样是受托方按合同要求处理数据，有数据安全保护义务，委托方有监督义务。

监管控制

可信数据空间作为统一管控的承载平台，必须提供统一建设标准，由各自建设方按标准各自开发建设，并完成彼此接口互联。该平台应具备基于区块链存证、监管数据安全留档存储的功能。各域数据留存、监控的记录，应实时同步存证，便于国家第一时间了解数据要素市场在产品登记、开发、交易流通的全过程情况。

除了数据登记、流通、开发交付的全记录存证存储外，还应建立相关监管风险预警模型，对一些不符合常规的行为进行实时指标处理，并对异常指标提示风险。

实施推进建议

在实际建设全国一体化数据市场的过程中，建议分为三个阶段推进：

第一阶段：总体架构规划阶段

第二阶段：制定实施推进计划

第三阶段：统一标准全面推广

文章来源 | 上海数字治理研究院

赛博研究院简介

上海赛博网络安全产业创新研究院（简称赛博研究院），是上海市级民办非企业机构，成立至今，赛博研究院秉持战略、管理和技术的综合服务模式、致力于成为面向数字经济时代的战略科技智库、服务数据要素市场的专业咨询机构和汇聚数智安全技术的协同创新平台。

赛博研究院立足上海服务全国，是包括上海市委网信办、上海市通管局、上海市经信委、上海市数据局等单位的专业支撑机构，同时承担上海人工智能产业安全专家委员会秘书长单位、上海“浦江护航”数据安全工作委员会秘书长单位、上海数据安全协同创新实验室发起单位等重要功能，并组织“浦江护航”数据安全上海论坛、世界人工智能大会安全高端对话等一系列重要专业会议。

欢迎联络咨询：

邮件：[email protected]；

电话：021-61432693。