《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》提出“完善数据全流程合规与监管规则体系”。具体而言,要求建立数据流通准入标准规则,强化市场主体数据全流程的合规治理,确保流通数据来源的合法、隐私的保护、流通和交易的规范,加强企业数据合规体系建设和监管,严厉打击黑市交易,取缔数据流通非法产业。
在国家对数据资源管理的战略规划尚未完全明确之时,市场已自行形成了大量的数据流通和交易活动。然而,这些活动大多数处于监管之外,难以有效纳入法规管理之中。尽管在许多领域内,对数据的需求持续高涨,供应端却相对冷清,这主要是因为数据管理领域的法律法规尚不健全、规则不明确,导致数据合规成本过高。这种情况使得企业在数据提供和使用时变得谨慎,因为“法不明则不敢行”的困境使它们在供应和利用数据时存有顾虑。
2024年3月23日,《经济日报》发布的“确保数据安全合规流通”的专家观点指出,数据流通的安全合规最终取决于使用环节。一旦这一环节失去监管,就可能引发难以预测的风险挑战,给利益相关方带来巨大损失。因此,加强开发和利用环节的监管,构建“可控可量化”的数据使用监管机制,是保障数据流通安全合规治理“最后一公里”的关键。我们应明确授权范围,探索建立数据安全合规使用的标准合同机制,明确各方在数据开发和利用上的目的及场景,确保数据的开发和利用限定在法定的场景和范围内,并实现数据使用的全程留痕存证,以防止非法使用导致的数据安全风险。同时,明确安全责任,严格落实各类数据处理主体的安全保护义务与责任,具体化数据处理活动主体责任的情形和形式,设定数据处理活动的底线,提高数据应用的合规性。此外,加强协同监管,建立政府、产业、研究机构和用户等多方主体协同联动的监管体系,形成跨部门、跨地区、跨行业的协同监管合力。企业也要加强内部的数据安全合规体系建设,形成有效的自律安全合规内控系统,主动承担起数据安全的主体责任,确保数据处理的全流程符合《中华人民共和国数据安全法》《个人信息保护法》等相关法律法规的要求。
由安恒信息与客户共同创立的“数据合规流通数字证书”和随之成立的“中国数谷”合规委员会机制,双管齐下,形成了促进数据流通的强有力机制,这一创新做法获得了国家发展和改革委员会、国家数据局等相关国家部门的高度认可。这一成就标志着我国在数据流通和合规管理方面迈出了重要一步,展现了通过政企合作推进数据合规流通领域创新的巨大潜力。
“数据合规流通数字证书”不仅是基于数据要素特征精心设计的,还是全国首个既实用又具备存证稽查功能的“数据发票”。它充当了数据流通过程中的全流程合规监督者,通过确保数据交换的合规性,极大地提高了数据使用的透明度和安全性。此外,作为一种制度性工具和软件基础设施,它在促进数字经济健康发展方面发挥着至关重要的作用,为数据流通提供了可靠的合规保障,确保了数据交易的合法性和正当性。
与此同时,“中国数谷”合规委员会的建立为数据合规流通提供了强有力的组织保障。该委员会汇聚了来自政府部门、行业协会、企业界和学术界的专家,共同探讨和制定数据流通与合规的最佳实践和标准。委员会的工作不仅加强了行业的自律和监管,而且促进了公私部门间的沟通和合作,为数据流通和利用提供了更加明确和可靠的规则和指导。
通过这些创新举措,不仅加强了数据的安全合规管理,也为我国的数字经济发展打下了坚实的基础。这一系列措施的实施,有助于建立一个更加开放、透明、高效的数据流通环境,进一步激发数据价值,推动经济社会全面数字化转型。
数据合规流通数字证书的设计理念基于政府的灵活包容和审慎监管原则,同时鼓励企业通过诚信自治来自我证明其合规性。该系统遵循“三不两实现”的核心原则。
(1)“三不”原则,一是确保系统不直接参与任何交易过程;二是不接触或存储任何交易数据;三是不作为交易过程中的第三方参与者。
(2)“两实现”原则,一是通过低成本措施实现合规交易的有效存证;二是采用无须编程的方式,确保安全高效地进行交易抽检。
数据合规流通数字证书的设计目标旨在减轻企业在数据合规性验证、交易过程记录及存证成本方面的负担,通过构建一个全流程灵活而包容的监管机制成为其重要支撑。通过这一系统设计,不仅提高数据交易的透明度和安全性,还为企业和政府之间建立起一种更为高效、低成本的合作模式,以促进数据流通的健康发展。
数据合规流通数字证书业务流程图如图2-5所示。
图2-5 数据合规流通数字证书业务流程图
交易前“合规委员会”会针对市场提出的数据交易场景,深入审视涉及的数据。这一审视过程涵盖数据的来源、管理方式、使用方法及最终的数据输出等多个维度。通过法律专家和技术手段,采用“场景证书”的形式,对该场景相关的法律法规、标准和管理方法的规范性文件进行详细的查证。此外,基于这些查证结果,委员会将编制一份详尽的合规自查手册。这份“场景证书”及其配套的“企业合规自查手册”共同构成了一个有效的规范化工具。企业可以依照“自查手册”的指导进行自我审查和自证,然后将自查和自证的材料提交至“数字证书”中心,进行司法互认的区块链存证。这不仅为企业在数据合规方面提供了明确的指导,而且有效地减少了合规的不确定性,降低了整个市场的合规成本。
在数据交易过程中,卖方需主动前往“数字证书中心”开具“数据发票”,并将“买方身份、卖方身份、交易内容、价格、交付方式”等核心信息进行登记备案。在交付数据时会根据特定算法计算出交付对象的不可逆摘要,并进行存证。
交易完成后,“数字证书”中心将提供一套交易监管工具箱,协助进行交易监管和审计。通过这一系列措施,实现从企业合规准入、数据交易和交付到事后监管的整个数据流通交易过程的全流程闭环管理。
数据合规流通数字证书架构如图2-6所示。数据合规流通数字证书系统平台主要包括场景证书模块、数据资产登记模块、数据流通登记(模块)、数据交付记录(模块)、交易稽核模块、合规自查自助模块、跨域管理(模块)等。
图2-6 数据合规流通数字证书架构
1.场景证书模块
该模块负责根据特定的数据交易场景发放证书。合规委员会评估涉及数据的各个方面,包括来源、管理、使用方式和结果输出,并结合法律专家和技术手段,颁发证明该场景合规性的“场景证书”。
2.合规自查自助模块
合规自查自助模块为企业提供了一份合规自查手册,企业可以利用这份手册进行自我审查和合规性证明。该手册会基于场景证书详细阐述相关法律、法规、标准和管理办法,引导企业理解并遵循合规要求。
3.数据资产登记模块
该模块允许企业将合规自查和自证的材料上传至数字证书中心。上传的材料将通过司法互认的区块链技术进行存证,确保信息的安全性和不可篡改性。
4.数据流通登记
在数据流通交易阶段,卖方需向数字证书中心提交并登记交易信息,包括买卖双方信息、交易内容、定价和交付方式等。该模块确保所有关键信息都得到了适当的记录和备案。
5.数据交付记录
数据交付记录(模块)负责在数据交付时记录交付物的摘要信息。通过使用特定算法计算摘要确保了交付的标的物的一致性和不可逆性,这些信息也会被存证以供未来查询。
6.交易稽核模块
完成交易后,交易稽核模块拥有一系列监管工具,帮助监管机构进行稽核和审计。这些工具保障了交易的合规性,确保所有活动均符合相关法律法规。
7.跨域管理
跨域管理(模块)负责验证数据交易参与方的身份,确保只有经过授权的实体可以参与到交易中。这有助于加强安全性和信任度,特别是在跨域进行数据交易时。
整体而言,该架构为确保数据合规流通提供了一个全面的系统,从预先的合规性审查到交易后的监管稽核,每个模块都是保障数据交易安全、合规且高效进行的关键部分。
我国在打造数据要素市场的进程中,已经逐步建立起一套完整的法律法规体系。这一体系从《中华人民共和国宪法》到《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》,再到《网络安全等级保护条例》《关键信息基础设施安全保护条例》,全方位涵盖了数据安全、隐私保护、数据权益及数据交易等关键方面。
考虑到不同地区在数据要素产业发展上的不均衡性,国家鼓励条件成熟的地区进行先行先试,并出台了相应的区域性试点政策。在这一背景下,场景证书作为“数据合规流通数字证书”系统的核心的合规工具和标准,在不同地区也可能会出现差异化的应用。监管与稽核部门在执法时可能会受到地域限制,这也意味着场景证书中的具体生效条款在未来可能会呈现区域性特色。
随着先试区域的深入实践和探索,这些区域在制度和规则上的成功经验将为全国范围内的制度建设提供示范和引领。基于此,系统将被赋予跨域互认的功能和能力,以适应不同地区间的合规需求,并促进全国数据要素市场的整体协调与一体化发展。
2023年8月,“数据合规流通数字证书”在“中国数谷”2023杭州峰会(夏季)正式发布。“数字合规流通数字证书”代表了浙江省在数据要素市场化配置改革探索中的重要进展,特别是体现在杭州方案和滨江实践上的突破。经过实践应用场景的检验,该证书展现了其逻辑严谨性,并证明了在实际应用中的简便性和高效率。
在“中国数谷”2023杭州峰会(夏季)期间,“数据合规流通数字证书”在首批数字交易场景中的正式启用。图2-7展示了首个数据合规流通数字证书的样例。这个发布仪式不仅展示了数字证书的实际应用潜力,也标志着合规数字交易环境的一个新纪元。
图2-7 首个数据合规流通数字证书
“数据合规流通数字证书”利用人工智能、区块链和密码学等尖端技术,构筑了一个全面的数据合规性与监管规则体系,该体系让业务部门能主动推动合规工作,监管部门能有效进行监管,市场主体则拥有了合规的积极动机。经中国数谷的实践验证,这一“数据发票”制度已证明是一种解决全链路合规难题的有效且可行的策略。