方跃(中欧国际工商学院经济学与决策科学教授)
赵玲、吕星航(中欧国际工商学院研究员)
2月底,中共中央、国务院印发的《数字中国建设整体布局规划》中明确提出夯实数字基础设施和数据资源体系“两大基础”,强调了建设数字中国是数字时代推进中国式现代化的重要引擎。
伴随着数字经济的高速发展,数据作为新型生产要素成为提高社会数字经济发展水平的有力支撑,也是推动企业数字化转型和向高质量发展的重要驱动力。
数据为社会和企业创造价值的同时,也带来了数据安全与合规的隐患和风险,突出表现在2021年下半年《数据安全法》和《个人信息保护法》出台后,有关数据安全保护和合规的案件及咨询呈现爆发性增长趋势。如何提高数据治理和合规水平,同时尽可能发挥数据资源创造价值的能力,在实践过程中尚有很多问题需要探讨和解决。具体体现在以下四方面:
首先,从政策视角看,数据安全和个人信息保护需要合规监管,但这不意味着过度约束,否则短期内会对数据流动与数据价值的发挥造成不必要的阻碍。从长期看,这也将给社会、政府与企业带来额外的成本和风险,进而不利于整体数字经济的长期健康和可持续发展。
近年来,很多企业都在积极进行数字化转型,无论消费互联网、工业互联网还是产业互联网,数据作为核心生产要素在企业数字化转型中扮演着重要角色。目前,不同监管机构执行的数据私隐法有不同的标准和实施办法。从企业视角看,企业往往需要耗费大量时间和资源来满足这些不同标准的法律法规,这不但增加了营运成本,也给企业的合规带来很大困惑及挑战。不少企业还担心,监管机构对公司收集、存储、处理和使用数据的盘查,可能会损害公司的声誉和打乱日常业务经营。因此,不少企业对于数据合规及检查存在一定的防御和排斥心理。久而久之,社会与企业创新的热情也会随之消减,过度的合规及监管会提高社会和企业利用数据创造价值的门槛,不利于市场竞争机制的迭代及发展。
其次,数据只有通过流通和融合才能更有效地产生价值。在数据融合和流通方面,数据交易所将承担越来越重要的作用。截至2022年末,我国已累计成立近50家数据交易机构,贵阳大数据交易所、上海数据交易所、北京国际大数据交易所、深圳数据交易所以及广州数据交易所组成全国5家主要的数据交易所。
整体上看,无论是政府类或企业平台类的交易所,目前都尚在起步和探索阶段。众多数据交易呈现“各自为战”的趋势,既没有形成统一标准化的市场,也没有有效实现价值发现功能,未能最大限度发挥数据使用效应,逐渐形成“微生态”。各地的数据交易所在数据确权、数据定价、数据交易、数据安全等方面的监管标准与规范操作存在诸多差异。有的过分强调数据安全性,使企业增加额外的数据使用成本与数据使用限制;有的又对数据安全性的管理相对宽松,引发数据提供方对数据滥用风险与数据泄露问题的担忧。
同时,由于数据属于隐形资产,多数数据交易所尚无定价的理论模型和标准的操作流程,导致数据定价缺乏“公允性”。长此以往,数据循环仅限于组织内部的“微生态”,多为交易双方的线下撮合,没有真正实现社会面的流通共享,不利于打造社会意义上的大数字生态。
第三,对企业来说,数据治理对企业数字化转型至关重要。但数据治理仅靠监管远远不够,企业需要加强对数据合规重要性的认识,并逐渐形成适合自己的合规体系。
数据治理是一项庞大又复杂的工程,需要企业高层牵头,由专人负责,层层落实,各部门相互协同配合。目前多数企业的数据治理工作单由一个部门牵头,而其他部门参与度较低。多数企业由于缺少完善的制度管理、数据治理管理流程和管理标准体系,跨系统、跨部门数据治理沟通成本高、协调难度大,导致在数据治理方面面临一系列挑战和问题。
比如,数据收集风险:未经用户同意的情况下,企业APP、小程序和网站等违规收集数据,在用户拒绝收集后反复弹窗骚扰多次要求收集,或者不给用户明确的拒绝选项强行收集。数据存储风险:内部人员窃取以及系统安全中的数据库软件漏洞均容易带来存储风险。数据使用风险:网购平台、在线旅游、网约车等通过搜集用户个人资料、消费习惯、流量轨迹等行为信息,向用户推荐产品、服务,最终形成不合理的差别定价。这类大数据“杀熟”和算法推荐等数据滥用行为已引起社会普遍反感,对企业造成不良影响。数据提供和分享的风险:此类风险威胁主要来自于不合规的提供和共享。数据公开风险:很多数据在未经过严格保密审查、未进行泄密隐患风险评估,或者未意识到数据情报价值或涉及公民隐私的情况下被随意发布。
第四,《数据安全法》和《个人信息保护法》目前实践的重点多在消费互联网领域。随着数字经济及新兴技术的不断发展,数据安全合规涉及的范围将会更广泛,例如在人工智能领域,AI模型除了需要算力和算法之外,大量的数据也是不可缺少的,这在一定程度上也会涉及到数据安全及个人隐私。
近期,随着生成式AI爆发(如OpenAI公司开发的ChatGPT、微软与OpenAI相结合的Bing、Google开发的Bard以及百度的文心一言等)的新浪潮,国内其他科技公司如华为、腾讯、字节等也都纷纷表示在相关方向上有所布局。对于新技术的落地应用确实令人振奋,但相应的数据安全及隐私保护、算法歧视和伦理等问题也会随之而来。
可以预测,数据治理所涉及的范畴将更为广泛,也更具挑战性。
基于上述所谈的四个问题,建立健全有效的数据合规体系与生态需要国家、社会和企业三方面的共同努力和协同配合,既可以降低和控制数据安全和个人隐私的风险,又能促进数据有效流通和使用。具体可从如下方面推进:
第一,数据合规的本质是希望企业和社会充分发挥数据价值,促进中国数字经济发展。
法律法规应当遵循动态调整的原则和包容审慎的精神,在合法权益保障的前提下,便于促进数据流动和数据价值的发挥。
具体讲,应对数据监管用二分法的原则来处理:一方面做到将有明显个人烙印的信息进行严监管,另一方面对其他信息做到宽监管,督促市场形成一个自律组织,强化市场淘汰机制。
同时,明确合规举措的范围和限度,在安全管理和数据开发利用之间做好平衡,才能提升企业数字化转型的技能、意愿、信心,达到能转、会转、敢转的目的。
对数据合规和个人信息保护中的细节不宜跟风国外,要随着自身经济发展进程、地区发展不平衡和行业发展的不同阶段进行调整。
创新是新兴技术得以发展的核心,要使新兴技术(例如生成式AI)尽快找到落地场景并得以规模化应用,我们需要持之以恒地鼓励创新,绝对不能因可能的潜在风险过度约束,更加不能“一刀切”。
第二,从国家层面需尽快建立统一数据资产估值体系的标准,充分发挥数据交易所数据价值发现的功能。
根据目前交易所尚未形成统一的定价规范,考虑到一步到位的难度,数据交易所可集中打造一些典型数据交易实例,推动市场提升对数据价值的认知,也可以推动各领域、各行业更加重视和挖掘数据价值,以及数据价值的变现,起到示范作用。同时,通过交易实例,交易所也可不断探索数据资产的价值,结合特定应用场景、获取的难易程度、时效性和未来预期的收益等多重因素进行评估。
为了增加交易品种并尽快提升交易规模,交易所需要不断创新,在积极推动双边交易及多边交易的同时,适当推出标准和半标准化数据产品,让企业和政府拥有的数据通过挂牌交易,尽可能发挥数据价值的全社会属性。
第三,《数字中国建设整体布局规划》中指出,要优化数字化发展环境,建设公平规范的数字治理生态。对此,笔者认为,政府需加大扶植力度,并充分发挥龙头企业、机构、行业协会的示范效应和引领作用。
鼓励具有示范效应的企业率先探索对数据的开发与流通应用。如光大银行就将银行数据资产分为原始类、过程类和应用类,共17个估值对象,结合111个计算参数,计算出目前的数据资产价值超过千亿元,对行业有一定示范意义。
政府要积极发挥协同作用,以医疗行业为例,目前各大医院多自建数据库,数据在医院之间尚未流通。对医院而言,由于自建数据库,合规也面临挑战。由于尚未融合和流通,数据无法发挥其应有的价值,可以考虑建立国家统一的公民医疗信息数据库来解决上述问题。
充分发挥行业协会的作用,利用好平台,鼓励创造更多交流机会,开放宣传更多数据共享的案例。鼓励国内顶尖律师事务所积极参与,推动数据合规监管法律体系的完善。
第四,企业需要依据《数据安全法》和《个人信息保护法》等相关法律,明确企业的数据安全管理组织架构、建立和完善数据安全与合规的管理制度和措施。要尽快梳理企业数据安全管理现状,分析自身与法律监管要求之间的差距,作出准确的判断,进而形成适合自己的数据安全与合规管理的可行方案。数据安全合规体系建设往往难以一蹴而就,企业需要结合自身情况,分步推进数据安全合规体系建设。
企业必须认清数据合规保护仅仅是底线要求,企业更应把数据安全与合规视为自己不可推卸的责任,它应作为企业价值观和企业文化的重要组成部分,是企业可持续成长发展的战略重点之一。企业需将数据安全与治理作为一项长期的任务推进。
第五,政府也需要加强自身的数字化能力建设,包括数据安全和数据治理的能力。目前从国家层面虽已在积极推进数字政府的构建,但依旧处于起步阶段,标准规范体系及安全护航能力亟需提升。国家需重视数字政府的构建,通过信息技术实现政务管理、公共服务、政策决策等数字化转型,促进政府效能的提高和数字经济的发展,为企业和社会创造更多的机遇和价值。
在今年全国两会期间,国务院提请并通过组建成立国家数据局。专业的国家层面的统一数据中心,一方面能够提高国家对于数据交易机制的建设,另一方面也可以通过国家层面,打通数据链路,实现数据整合。
有效地逐步建立健全数据安全与合规体系,会极大地提升数字中国建设的整体性和协同性,促进数字经济和实体经济的深度融合,使数据价值在提升社会生产力,进而赋能社会经济发展上发挥应有的作用。
1本文为《每日经济新闻》原创作品。
2 未经《每日经济新闻》授权,不得以任何方式加以使用,包括但不限于转载、摘编、复制或建立镜像等,违者必究。