《数据二十条》中新观点对数据安全治理的指引

2022年12月2日，国家发展改革委发布了《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》（以下简称“数据二十条”），本文首先介绍了数据要素若干政策与数据安全治理的关系，学习 “数据二十条“中的主要内容和新观点并进行初步解读，希望对从事数据安全行业和正在落实数据安全治理理念的企业和组织有所帮助。

数据安全治理背景

上图是在“数据二十条“之前已发布的数据元素相关的政策要求和数据安全治理的关系，简要说明如下：

2015年8月19日，国务院常务会议通过《促进大数据发展行动纲要》，是我国促进大数据发展的第一份权威性、系统性文件，从国家大数据发展战略全局的高度，提出了我国大数据发展的顶层设计，是指导我国未来大数据发展的纲领性文件，为我国大数据应用、产业和技术的发展提供了行动指南。

2020年4月9日发布的《关于构建更加完善的要素市场化配置体制机制的意见》将数据作为一种新型生产要素写入文件，明确完善要素市场化配置的具体措施，提升社会数据资源价值，加强数据资源整合和安全保护。可以说，《意见》的出台正式拉开了我国数据产权制度从宏观政策主张走向具体制度实践的序幕。[1]

2021年发布的《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》指出，随着数字经济蓬勃发展，数据保存量逐年倍增，建设安全的数据基础设施将是支撑数据产业长期可持续发展的重要要素。从科学角度加强数据治理、深化数据开发、保障数据安全是释放数据资源价值的关键环节。建立数据要素资源体系，以数据治理为突破提升数据质量，以数据开发利用为抓手激活要素价值，以立法规范为重点保障数据安全，加快完善与我国发展实际相符合的数据要素资源体系，释放数据要素价值。[2]

2022年6月22日，中央深改委提出的《关于构建数据基础制度更好发挥数据要素作用的意见》，主要目标是通过构建数据基础制度，让数据要素的获取、加工、流通、利用以及收益分配等行为有法可依、有规可循，推动数据要素市场规范化、制度化建设，最终实现数据要素的市场化配置效率的提升。

2021年9月1日《数据安全法》、11月1日《个人信息保护法》正式施行，数据安全治理与“数安法的发展与安全并进，个保法的利用与保护并重”相契合。对于企业和组织在合法的前提下开展数据价值挖掘和个人信息利用尤其重要，既要推动数字化转型和加快数字化发展，又要保障在安全合规的前提下用好数据。

“数据二十条“的主要内容

“数据二十条”主要内容可以概括为：“把握一条主线、构建四个制度、推进四项措施”。[3]

把握一条主线。坚持促进数据合规高效流通使用、赋能实体经济这一主线，以充分实现数据要素价值、促进全体人民共享数字经济发展红利为目标。

构建四个制度。建立保障权益、合规使用的数据产权制度，探索数据产权结构性分置制度，建立数据资源持有权、数据加工使用权、数据产品经营权“三权分置”的数据产权制度框架；建立合规高效、场内外结合的数据要素流通和交易制度，从规则、市场、生态、跨境等四个方面构建适应我国制度优势的数据要素市场体系；建立体现效率、促进公平的数据要素收益分配制度，在初次分配阶段，按照“谁投入、谁贡献、谁受益”原则，推动数据要素收益向数据价值和使用价值创造者合理倾斜，在二次分配、三次分配阶段，重点关注公共利益和相对弱势群体，防止和依法规制资本在数据领域无序扩张形成市场垄断等各类风险挑战；建立安全可控、弹性包容的数据要素治理制度，构建政府、企业、社会多方协同的治理模式。

推进四项措施。加强党对构建数据基础制度工作的全面领导；加大政策支持力度，做大做强数据要素型企业；积极鼓励试验探索，支持浙江等地区和有条件的行业、企业先行先试；稳步推进制度建设，逐步完善数据产权界定、数据流通和交易等主要领域关键环节的政策及标准。

新观点学习和解读

对于从事数据安全行业和正在落实数据安全治理理念的企业和组织，“数据二十条”有关数据安全的新观点如下：

“（二）工作原则

——完善治理体系，保障安全发展。统筹发展和安全，贯彻总体国家安全观，强化数据安全保障体系建设，把安全贯穿数据供给、流通、使用全过程，划定监管底线和红线。加强数据分类分级管理，把该管的管住、该放的放开，积极有效防范和化解各种数据风险，形成政府监管与市场自律、法治与行业自治协同、国内与国际统筹的数据要素治理结构。“

解读：“把安全贯穿数据供给、流通、使用全过程，划定监管底线和红线”，这里体现了强化数据安全保障体系建设和划定监管底线和红线。“加强分类分级管理”，要求企业和组织在开展数据安全治理的第一步就要做好数据分类分级管理，对数据的重要程度做到心中有数。“形成政府监管与市场自律、法治与行业自治协同、国内与国际统筹的数据要素治理结构。”，这里监管与自律、自治协同、统筹这些关键字都应在数据安全治理过程中有所体现。

“（七）建立健全数据要素各参与方合法权益保护制度。”

解读：数据要素各参与方合法权益保护制度，以解决市场主体遇到的实际问题为导向，创新数据产权观念，淡化所有权、强调使用权，聚焦数据使用权流通，创造性提出建立数据资源持有权、数据加工使用权和数据产品经营权“三权分置”的数据产权制度框架，构建中国特色数据产权制度体系。

“（八）完善数据全流程合规与监管规则体系。”

解读：这条体现了从国家宏观层面的数据安全治理，强化市场主体数据全流程合规治理，建立数据分类分级授权使用规范，探索开展数据质量标准化体系建设，推动用于数字化发展的公共数据按政府指导定价有偿使用，加强企业数据合规体系建设和监管，建立实施数据安全管理认证制度等等。

“（十一）构建数据安全合规有序跨境流通机制。”

解读：企业和组织涉及数据跨境的时候，应该认真参考这条做好数据安全治理。针对跨境电商、跨境支付、供应链管理、服务外包等典型应用场景，探索安全规范的数据跨境流动方式。统筹数据开发利用和数据安全保护，探索建立跨境数据分类分级管理机制。

“五、建立安全可控、弹性包容的数据要素治理制度

把安全贯穿数据治理全过程，构建政府、企业、社会多方协同的治理模式，创新政府治理方式，明确各方主体责任和义务，完善行业自律机制，规范市场发展秩序，形成有效市场和有为政府相结合的数据要素治理格局。

（十四）创新政府数据治理机制。

（十五）压实企业的数据治理责任。

（十六）充分发挥社会力量多方参与的协同治理作用。“

解读：“把安全贯穿数据治理全过程”，企业和组织尽管当前在数据治理中也在不断加强对数据安全方面的要求，但相对数据安全治理而言，数据治理中的安全实践还是常被置于从属角色，如同信息安全在信息化建设中的角色一样，不够系统和深入。近年来，随着包括大数据在内的数据在数字化社会中的重要性不断提升，国家已将数据上升到新型生产资料和创新要素的高度，数据对安全形成影响的广度和深度已超越单纯为数据掌握者保护数据自身价值的范畴，例如对个人（数据主体）隐私保护的问题就牵涉到了社会伦理以及关于数据权益的法律认定，而数据出境等问题更是需要在国家安全层面全盘统筹考虑。

企业和组织的数据安全治理应将主要关注以保护数据及其价值实现过程安全为目标的风险管控活动，但在合规性方面，则将以全面覆盖和满足国家关于数据安全的所有法律、法规、政策、规范和标准的要求为目标。数据安全治理工作既可在数据治理的框架下作为一个环节或子过程来开展，也可直接依照数据安全治理框架独立实施。

如下表所示：数据治理与数据安全治理的差异对比

总结

“数据二十条”提出了数据要素在产权、流通、分配、治理等方面制度，构建与数字生产力发展相适应的生产关系，不断解放和发展数字生产力。对于正在落实数据安全治理的企业和组织，参照这一系列有关合法权益保护的内容，无疑会让数据要素各方受益，促进加工、使用的积极性，提高生产效率。我们也期待着在有条件的地方和行业开展数据要素流通使用试点示范，推动公共数据、企业数据、个人数据合规高效流通使用，赋能实体经济发展。

参考资料

[1]《夯实数据基础制度更好发挥数据要素作用》, [2022-08-14]，http://paper.cntheory.com/html/2022-08/12/nw.D110000xxsb_20220812_2-A3.htm 来源：学习时报

[2]《“十四五”国家信息规划》，[2021年12月]，中央网络安全和信息化委员会办公室

[3]《构建数据基础制度 更好发挥数据要素作用——国家发展改革委负责同志答记者问》，https://export.shobserver.com/baijiahao/html/563357.html