《吕氏春秋》载,“一兔走,百人逐之,非以兔可分以为百也,由名分之未定也”。大意是很多人去追逐一只兔子,并不是这只兔子够大家分,只是因为谁抢到谁得。
“今天的数据就是这只兔子,因为权属不清晰,就只能用一种野蛮的方法来分配,谁得到就归谁。”大数据专家涂子沛说,发展数字经济,数据确权应该是数据治理的一个前置性问题。
随着数据成为重要生产要素,数据治理已经成为支撑数据开放共享和数据要素价值释放的重要一环。然而,数据要素市场化配置仍面临诸多难题:数据有效供给不足,数据要素市场缺位,技术体系尚不完善,法制体系亟待健全以及制度体系相对滞后。推动数据治理、发挥数据价值,成为企业要补的一门课。
数据确权
平台数据不仅仅为商户所有
海量的数据汇聚成金矿,但这座金矿到底归属于谁?这关系到数据价值的分配。
例如,用户在日常使用App时,常常出现App收集用户数据的要求,甚至只有在同意授权之后才能使用。App收集用户信息不仅引发隐私保护的难题,更核心的问题是,用户使用这些服务时留下的数据到底归谁所有?
蚂蚁集团资深副总裁周靖人认为,消费者在App上购买了某商品,产生了行为数据,服务方和平台方则通过观察消费者和服务之间的关联,把相互的行为数据记录下来,也成为整个数据生产的重要一环。
“行为数据涉及到了多个数据主体,数据归属问题已经不能简单用单一主体来概括。”周靖人认为,数据归属原则上应属于整个数据行为参与的各个主体。
广东省法学会网络与电子商务法学研究会会长、暨南大学法学院教授刘颖对此也认为,单个或少量的个人信息没有或至少没有太多财产价值,而个人、平台等多方主体参与了数据的财产价值创造,在经客观合理标准认定个人数据已经去身份化或匿名化后,处理者加工产生的数据财产利益应当认定归属于处理者。如此,才能发挥数据的生产要素功能,促进数字经济的发展。
数据流通
机构内部先“转”起来
数据确权之后,还要从行动上推动数据共享,目前还面临不少难题。
华控清交副总裁宋巍说,如果患者在不同医院做的CT也能得到互认,这就是对数据价值的一种认可,“对拥有数据的一方来说,应该有数据平权的责任和意识,有意识地推动数据开放共享”。
同样从医疗行业切入隐私计算的翼方健数,在公司首席科学家张霖涛看来,医疗大数据的价值较清晰,科研工作对不同类型数据的需求量较大,医疗数据如果能够首先在医院内部“转”起来,外部的制药、保险、基因研究公司也自然会对数据感兴趣。
“三甲医院的医生看病产生的数据可以用来训练高质量的医疗模型,这些模型可以被用于分级诊疗,赋能社区医院,能够使得稀缺的高质量医疗资源被最大化地利用起来,造福更多的患者。”张霖涛说。
而在清华x-lab数权经济实验室主任钟宏看来,全球数据虽然呈爆发式增长,但真正形成有价值的数据,比例还很小,数据交易平台需要鼓励数据拥有方、数据开发利用方共同扩大有效数据供给,如此才能吸引数据输出方,形成良性增长模式。
钟宏建议,一方面,政府应加快推动细分行业的数据要素市场培育,推动金融、医疗等行业的数据专区作为突破口;另一方面,搭建数据交易联盟,围绕数据交易架构、交易标的、交易方式、交易安全、服务规范等,制定数据交易服务细则,作为交易规则的基础制度。
数据安全
技术与管理不可或缺
一个不容忽视的问题是,在《数据安全法》发布之前,很多国内企业在数据合规能力搭建前就已经掌握了大量数据,这正是风险所在。
“必须对原有数据重新审视。”深信服数据安全产品线总经理李玉亮注意到,不少企业已经在针对App数据采集进行整改,评估业务是否合规,哪些数据本来是不需要的但还是采集了,是否坚持数据采集的“最小原则”,“企业不能只顾采集数据,还要对数据进行全生命周期管理。”
腾讯安全反病毒实验室负责人马劲松介绍,勒索对象基本上都是大中型企业,这些企业做了大量信息化工作,但也对计算机系统、网络系统依赖程度高,反而成为被攻击对象。
李玉亮举了一个例子,一家快递公司为推动数据合规业务,20多个人用了半年时间来梳理内部数据,“这家公司也想搞清楚,自身到底搜集了哪些数据,掌握了这么多身份证号、手机号、地址等个人信息,该怎么处理才合规。”
李玉亮分析,像很多公司一样,这家快递公司对数据安全没有一个清晰的规划,随着业务的发展,可能就是公司管理层的一句话,内部不同部门就在轻易调用这些数据,经年累月下来,这些数据存在非常多的泄露风险。
他建议,保障数据安全,应当聚焦在安全管理体系和安全技术体系两个层面。一方面,企业要对数据全面梳理,用管理制度来明确,谁来负责这些数据,哪些数据不能流出企业,哪些人可以触碰到哪些权限;从内部保护角度,要保障数据不被篡改和泄露,对外部保护角度,强化数据合规性要求。
“维护数据安全,其实在数据采集时就应该注意。”李玉亮补充说,如果企业察觉到收集的数据存在风险,就有必要采取措施来降低信息的颗粒度,或以合规方式匿名化、去标识化,以及做一些数据分区的隔离,“企业坚持数据采集的‘最小原则’,即企业在采集数据时,如果不采集这项数据就无法完成任务,例如,在点外卖时,地址是必须采集的,但用户是否实名并不影响订单派送。”
另一方面,引入新的技术来支撑管理制度。“我们会采用水印技术防止截图造成数据泄露。”大疆科技相关负责人说,在系统中留下访问痕迹,对数据泄露起到一定威慑作用。
■观点
大数据专家涂子沛:
数据采集资质应尽快确定
在涂子沛看来,今天的数据社会还在数据碰撞的过程,社会的数据联通还未完全形成。以银行为例,银行在信贷审批中,需要获得企业的纳税信息,也只能从少数几个部门获得数据。
因为数据不足,不少机构疯狂采集数据。正如《吕氏春秋》记载的那只被“百人逐之”的兔子,数据引起了野蛮追逐。
例如,一开始用户在网购时,并没有意识到购买记录等数据是有价值的,一些平台正是在大家没有意识到数据有价值的情况下,就完成了大数据的积累。
涂子沛认为,首先应该对数据的来源进行规范。目前,政府是最大的数据采集者,各级政府采集很多数据,数据之间的科学性、经济性、合理性,都值得深入思考。
涂子沛认为,试点建立首席数据官制度,是一次针对数据治理问题的改革。数据采集就应该赋责给首席数据官,首席数据官要对数据采集牵头负责。
除了公共数据,商业数据的采集资质也要纳入规范的轨道上。涂子沛注意到,疫情期间,企业采集了大量人脸识别等数据,“人脸是辨识度比较高的生物数据,企业能不能采集人脸,什么样的企业才能采集,都应该有一个明确规范。”
“现在的数据市场,就好像是谁拿到就归谁所有。”涂子沛认为,首先需要明确App收集的数据不仅仅为App供应商所有,用户对这些数据也有所有权,起码是供应商和用户共有的关系。
但显然,单凭用户的力量,难以索取这种权益。涂子沛指出,个体维权成本过高,加剧了数据所有权语焉不详的现状。单条数据的价值或许不值一提,即每个人在数据市场上丢失的权益都是一点点,但如果个体去追索这种权利,要付出比数据权益更高的成本。
厘清数据的权属是否会限制数据的流通?涂子沛认为,长远来看,不对数据的主权问题进行梳理,对于数据的发展来说将矛盾丛生和不可持续。
数据只有在流通中才能产生更大价值,数据交易则是数据价值的关键一跃。
涂子沛认为,需要明确的是,交易的不是数据的所有权,而是对数据的使用权进行交易,并根据数据的使用效果来定价,而不是根据数据本身的价值来定价。(南方日报记者郜小平)