前言
日前,中共中央、国务院对外发布了《关于构建数据基础制度更好发挥数据要素作用的意见》,又称“数据二十条”。“数据二十条”提出构建数据产权、流通交易、收益分配、安全治理等制度,初步形成我国数据基础制度的“四梁八柱”,标志着我国对数据治理的顶层设计已经基本完成,数据治理工作即将迈入新的阶段。
“数据二十条”出台后,进一步推动了公共数据、企业数据、个人数据合规高效流通使用,数据作为生产要素的重要性越发凸显。但机遇和风险并存,随着数据市场的繁荣发展,数据流通环节存在民事、商事甚至刑事风险。因此,确立数据流通利用的规则,合规开展数据项目,研究数据要素流通中面临的各种问题,对数据流通利用的安全合规和数据市场的持续良性发展有着重要意义。今年3月全国人大通过国务院关于提请审议国务院机构改革方案的议案,组建国家数据局,负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,统筹推进数字中国、数字经济、数字社会规划和建设,可见国家层面对数据合规流通利用的重视程度。如何利用“数据二十条”和国家成立数据局的重大利好,安全、合规开展数据流通利用相关业务是本篇研究关注并希望对解决有所裨益的问题。
一、数据二十条的背景和主要内容
(一)起草背景
数据在社会中扮演着越来越重要的角色,起到了越来越突出的作用,渐渐成为了一种新型生产要素。数据是数字化、网络化、智能化的基础,已快速融入生产、分配、流通、消费和社会服务管理等各环节,深刻改变着生产方式、生活方式和社会治理方式。而其具有无形性、非消耗性等特点,几乎可以零成本无限复制,无疑对传统产权、流通、分配、治理等制度提出新挑战,亟需构建与数字生产力发展相适应的生产关系,不断解放和发展数字生产力。
(二)数据“三权分置”制度内容
“数据二十条”坚持促进数据合规高效流通使用、赋能实体经济这一主线,以充分实现数据要素价值、促进全体人民共享数字经济发展红利为目标。
“数据二十条”构建了四个制度:数据产权制度,数据要素流通和交易制度,数据要素收益分配制度和数据要素治理制度。“三权分置”属于数据产权制度中的内容,是数据要素流通的关键点。
数据的流通利用目前存在很多法律上的障碍。数字中国的整体规划中提到,要建设公平规范的数字治理生态,完善法律法规体系,及时按照程序调整不适应数字化发展的法律制度,说明国家层面已经充分认识到法律制度的调整具有现实紧迫性。
“三权分置”是在立法问题上的探索,本质上是因为法律不适应数据流通利用的实践需求。例如数据权利的法律性质、数据权属、数据权益的分配,在法律、行政法规中均未明确规定具体内涵,仍处于探索阶段。由于数据具有的可复制性和非竞争性,以支配和排他为核心的所有权确权模式难以适用于数据保护,无法简单地将其纳入到传统的所有权保护中。
民法典及一些相关规定对数据权属问题未做法律上的安排,对数据的合规流通利用无疑会产生影响。“数据二十条”建立数据资源持有权、数据加工使用权、数据产品经营权“三权分置”的数据产权制度框架,把权属问题拆成了持有权、加工使用权和经营权。虽然“二十条”“三权分置”本质上回避了现有法律框架下的所有权问题,并未对三种权利的具体内容做出明确解释,但“三权分置”无疑能够促进数据的合规流通利用,系数字经济发展的一项重大举措。
当然,同时需要看到限制数据流通利用的数据权属法律问题并非政策性文件的层级所能完全解决,法律层面的突破已经是现实需求,需要将政策语言及时转化为法律表述,如同土地承包经营权、改革开放等政策在法律上加以确认。
(三)数据二十条对规则、市场、生态层面构建我国数据要素市场体系的具体要求
数据领域内大众广泛关注的问题,“数据二十条”对其都存在具体要求。
规则层面。“数据二十条”强调了场内和场外的规则,要求全流程合规,并提出了相关监管规则。依法治理,规则先行。但数据领域内规则先行还存在制度、法律上的障碍。“数据二十条”是在政策上的先行,经过实践和印证,为后续法律层面的落实打下基础,这符合新兴事务的发展规律。政策先行只是导向,并不意味着一定能够在实践中取得成效,但能够通过小步快走的方式去做一定的尝试和突破。
市场层面。强调的是场内数据交易市场建设。近年来,国内数据交易场所建设如火如荼。“数据二十条”鼓励积极探索,走出一条数据领域流通利用可行的道路。数据交易所的重要性逐步演化,2021年上海数据交易所成立时主要强调进场交易是一对多交易、成本较低、交易过程透明、具有第三方中介机构合规审核相对合规,作为数据的需方,在场内购买数据产品相对较安全。现在,财政部在资产入表方面出台《企业数据资源相关会计处理暂行规定(征求意见稿)》。未来如果数据产品变成数据资产,并可以入表,将深刻影响市场,数据产品交易的登记将成为数据资产确权和价值衡量的基础,而场内数据交易天然是严格登记的,必然有更多的数商企业将会进场交易。
生态层面。涉及到数据流通的相关主体,数据交易的双方、数据商和第三方专业服务商都可以归入到广义的数商范畴,具体包括技术方案的提供者,交易合规的保荐者和数据价值的发现者。
(四)数据二十条关于数据要素登记的设计
“数据二十条”提出要做数据要素的登记。数据要素登记是数据要素市场发展和数据资产化的一个基础工作,通过登记确认数据资源持有权、数据加工使用权、数据产品经营权,建立科学合理的数据产权登记制度是保障数据要素市场有序运行的根本所在。例如数据具有无形性和非排他性决定导致数据的原本和副本难以区分,同一数据产权也将被多次登记;登记对象是原始数据、数据集合、数据产品中的一种或多种的组合,与其它市场要素的登记具有明显区别。
一些观点认为,数据登记和披露制度旨在弱化数据寡头对数据的掌控权,是一项数据透明的机制,增强数据生产者,即使用户和数据监管者对数据的控制权,打破数据垄断,促进公平竞争。
但是数据登记的目的显然是多元的,一方面有国家监管目的。另一方面,数据资源到数据产品,数据产品到数据资产的过程无疑需要通过登记来支撑。
(五)财政部《企业数据资源相关会计处理暂行规定(征求意见稿)》的具体内容
2022年12月财政部发布《企业数据资源相关会计处理暂行规定(征求意见稿)》提出企业应当根据数据资源的持有目的、形成方式、业务模式及与数据资源有关的经济利益的预期消耗等方式,细分为“企业内部使用的数据资源”和“企业对外交易的数据资源”两类,对数据资源相关交易和事项进行会计确认、计量和报告。征求意见稿提出,结合相关资产属性,企业内部使用的数据资源符合《企业会计准则第6号——无形资产》规定的定义和确认条件的,应确认为无形资产;企业日常活动中持有、最终目的用于出售的数据资源符合《企业会计准则第1号——存货》规定的定义和确认条件的,应确认为存货。对于不符合会计准则的,通过收入准则等规定,确认财务上的、会计上的处理方式。最关键的内容在于从会计角度给数据资源明确规定,如果未来数据交易双方的会计处理、数据资源是否可以作为资产入账等问题得到明确,将大大增加企业资产,影响十分深远。而从对数据要素市场的影响来看,数据资产入表是“牛鼻子”,将有助于承担数据产品交易登记职责的场内数据交易市场的发展。
二、三种数据流通利用的合规要点和存在的主要问题
(一)企业数据的合规审查要求
企业数据的挂牌交易有比较成熟的体系。在数交所存在之前,比较合规的企业,也会对数据供应商做合规审查。目前就数交所挂牌的数据产品,中介机构合规审查的维度有如下几点。
第一,关于公司的基础背景调查。与常规的收购或投资前对企业做的尽调类似。另外还会比较关注在数据领域的特有问题,例如等保、关键信息基础设施和特殊的行业监管要求等等。
第二,数据产品来源的合法性。数据的来源合法正当是交易的基础。在评估的过程中,这一点非常重要,关乎数据产品的合规性保障。合法的数据来源包括公开数据的合法收集、通过商业协议购买间接获取、企业自行生产、合法的直接采集等。
第三,数据产品的可交易性。是否存在监管的限制,是否经过权利人同意,是否包含重要数据或核心数据等,要做严格评估。同时数交所要求在原始数据的基础上做实质性加工和创造性劳动,而不允许直接倒卖原始数据,在创造性劳动和实质性加工的判断上,合规评估主要解决定性的问题,相关的评估标准在不断完善。
最后,数据产品的流通性风险。数据产品交易应当明确界定使用场景,无场景不交易,数据产品的交易需要在特定的场景,数据的使用场景、使用条件、出境和管控等情况都应受到约束。
(二)企业数据交易过程中需要特别关注的问题
企业数据交易过程中还需要特别关注几个问题。
第一是等保,如果企业没有定级,数交所需要企业给出无定级的原因,虽然等保的相关规定确实存在模糊之处,例如如何有效确定等保一级从而不用做等保二级以上必须做的等保测评不明确,但是建议欲挂牌的企业在交易前应做自身评估或自主定级。
第二是数据跨境流通的问题,目前数据交易所大多限制数据产品出境,但随着数据出境的几条路径逐步落地,未来跨境流通不是数据交易的实质性障碍。
第三是不正当竞争问题。
此外是在特定领域的数据交易,例如互联网平台不得直接向金融机构提供征信信息服务;另一方面有的数据需方合规意识较强,不依赖于卖方的评估报告,也会委托中介机构进行合规审查评估。
(三)个人数据的实际流通情况、操作困境与二十条出台后的解决路径
国内的数据交易所不允许个人数据产品直接进场交易, “数据二十条”虽然确立了三权分置安排,但是政策性文件的立法层级并未解决现有法律框架下个人数据流通的障碍。但是长远来看,个人数据产品在真正有价值的数据中占比很大。例如金融机构要精准营销、风险防控等最终都需要落实到个人。因此未来个人数据产品的流通利用很大程度上取决于法律层面对个人信息利用的特别规定确立。
“数据二十条”禁止采取“一揽子授权”、强制同意等方式过度收集个人信息,这与《个人信息保护法》所规定的“知情同意”机制相吻合。同时鉴于目前个人信息流通还存在较大障碍,如《个人信息保护法》中规定个人信息单独同意的一些场景,在实际中便利性和操作性都存在问题,例如第一次获得授权同意,若又要对外提供则还需再次获得个人授权同意。这可以通过一些其他方式尝试解决,例如金融监管部门的监管沙盒,增加技术安全保障,合同的安排和司法判例等,在法律没有修改之前需要多管齐下尝试突破。
“数据二十条”还提出“个人数据受托人”制度,这似乎可以理解为“告知-同意”机制平行的一种机制,因为“告知-同意”机制由于个人对个人信息权容易漠视、难于维权,且操作难,因此是否能够从实质上保护个人信息主体也存在争议。而弱化个人主体的作用,赋权于专门组织监督个人信息处理主体,同时对违法行为予以严格处罚的方式未来应该是可以探索的新方式。但是这与传统的信托制度存在很大的差异,只是借鉴了拟制的委托机制。
此外,个人数据产品流通的操作困境本质上还是因为法律规定不清楚,法律层面存在数据权属不确定问题。例如匿名化的信息不是个人信息,但匿名化的判断和认定存在很多争议,所以在实际中也很难操作;互联网平台和互联网平台用户之间的财产权益分配,法律上也缺少明确的规定,这种情况司法案例的确认比较重要。
(四)公共数据开放与公共数据授权运营的区别点?公共管理过程中形成的数据是否当然的开放?
“数据二十条”中提出,推动用于公共治理、公共公益事业的公共数据有条件无偿使用,探索用于产业发展和行业发展的公共数据有条件有偿使用。将公共数据的使用分为“有条件无偿使用”和“有条件有偿使用”,这是“数据二十条”的重大创新,有助于促进公共数据的合规利用。
公共数据开放与公共数据授权运营,两者都是公共数据社会化利用的方式,但是维度有所区别,开放更多是从使用的角度,授权运营更多是从收益的角度。从政府主管部门的角度,两者实践中也有一定的区别。公共数据开放和授权运营,都需要对数据进行有效治理,包括“原始数据不出境,数据可用不可见”的技术方式,但是治理主体的形成方式有不同。
关于公共管理和服务过程中形成的数据是否能开放。“数据二十条”明确强化统筹授权,意味着允许公共服务机构根据数据行业特征、用途等因素实施开放。公共数据开放有固定的规则体系,分为无条件开放、有条件开放以及非开放几类,并非任何公共数据都能随意开放。
「数据二十条」背景下的数据合规流通利用
作者:江翔宇来源:金融与数字经济法律研究

前言 日前,中共中央、国务院对外发布了《关于构建数据基础制度更好发挥数据要素作用的意见》,又称“数据二十条”。