2022年12月19日,中共中央、国务院正式印发《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“数据二十条”),创造性地提出资源持有权、加工使用权和产品经营权“三权分置”的中国特色数据产权制度框架,并强调研究数据产权登记新方式。指出“建立体现效率、促进公平的数据要素收益分配制度”,明确“建立安全可控、弹性包容的数据要素治理制度”。就数据的产权、收益分配以及安全治理等方面提出制度构建方案,这对我国构建体系化的数据要素基础制度具有重大的理论和实践意义。数据二十条中14至16条,明确把安全贯穿数据治理全过程,构建政府、企业、社会多方协同的治理模式,创新政府治理方式,明确各方主体责任和义务,完善行业自律机制,规范市场发展秩序,形成有效市场和有为政府相结合的数据要素治理格局。
数据作为新型生产要素,与传统土地、劳动、资本、技术等生产要素相比,具有非消耗性/非稀缺性、非排他性、时效性等独特特性,传统的生产关系制度已经难以与其相适应。在当下百年未有之大变局之际,传统生产要素对经济增长的贡献已经越发有限。因此,加快构建数据基础制度,充分发挥我国海量数据规模和丰富应用场景优势,其最终的价值在于两个重要的目标指向,一是增强我国经济发展的新功能,二是构筑起国家竞争的新优势。
随着数字化建设号角全面吹响并逐步驶入快车道,数据流动和安全发展的矛盾逐渐显现:在开放共享过程中,数据泄露、数据贩卖、数据滥用事件频发,为个人隐私、商业秘密、国家重要数据存储与使用带来了严重的安全隐患。由此,推进数字建设,既应促进数据按需共享开放、充分发挥数据的创新引擎作用,还需严守安全防线、避免数据基座“漏水”。这就需要理性审视二者的矛盾根源,合理运用科学的方法论找寻规避矛盾的策略,精准把握二者矛盾的平衡点。
数据赋能日渐成为动力之源。如将数据资源“深藏闺中”不进行开发,既是极大资源浪费,不利于数据要素市场培育,和数字经济发展。
数据安全“监管沙盒”,旨在打通“数据孤岛”发挥数据价值的同时,能够满足数据“可用不可见”的安全要求,从而促进数据作为生产要素在安全的前提下充分发挥价值。在限定的业务范围内,在确保各方权益受到充足保护的前提下,鼓励各组织单位创新与包容试错。
一方面,有利于国内大循环下的各组织间数据充分碰撞,进行业务创新。通过数据监管沙盒鼓励企业之间进行数据共享,营造包容创新的数字经营环境,实现数字驱动型创新。
另外一方面,有助于在国外双循环数据跨境流动下的监管前置。数据安全监管沙盒模式强调一定时空条件下的无监管自由流动,通过签署政府间数据监管合作协议、企业间数据共享协议和政企间数据开放许可协议,各成员国数据跨境管理机构采取审慎包容的开放态度,以先行先试的姿态对协议范围内的数据跨境流动进行适度宽松的监管。
总之,数据监管沙盒是强调事后监管、持续监督的监管模式,形成“基于可控范围内的数据流动”的规制思路。
示例:零售商和保险公司想找出在建立数据之前他们有共同的客户数量共享伙伴关系,从多个客户中获取共同客户的附加特征或属数据集。
示例:旅行社和电信公司希望创建一个联合数据模型,建立能够描述旅客们旅行偏好的功能同时,并不透露敏感数据。
2.使数据可用于人工智能模型开发和测试
示例:投资公司想要训练投资风险 AI 模型,其中包含其投资公司在海外的供应链数据,但面临监管或保密约束。
示例:一家银行和电信公司(既是数据提供商又是数据消费者)正在寻求参与双向双边数据共享,以改善客户体验并提高两个实体的业务成果。交换的数据用于很好地了解客户需求,并为合并后的客户群提供更相关的解决方案、体验和优惠。合作伙伴关系使双方及其合作伙伴能够预测并更好地响应客户不断变化的动机和偏好,并为客户提供超越单一实体或行业的价值。
示例:将供应链服务商数据对公司数据进行共享,向客户提供有关当前库存的实时数据,使他们能够更好地了解库存并优化货物周转。 当地一家中小企业推出了一个实时订单和库存管理的集成平台。消除了不必要的跨仓库库存缓慢移动或即将过期的库存,并增加了货物的周转率。
《数字经济伙伴关系协定》(Digital Economy Partnership Agreement,DEPA)是由智利、新西兰和新加坡共同发起的一项旨在促进数字贸易和数字经济的新型贸易协议。该协议于2020年6月12日签署。
DEPA设计十余个模组,涵盖商业和贸易便利化、数字产品的处理及相关问题、数据问题、商业和消费者信任、新兴趋势和技术、创新与数字经济、中小型企业合作和数字包容性等主题。2021年11月1日,中国商务部致信新西兰贸易部长奥康纳正式申请加入。2022年8月18日,中国加入DEPA工作组成立。
《数字经济伙伴关系协定》中提到,监管沙盒是政府和行业合作的机制,在数据沙盒中将根据各国国内法律在企业间分享包括个人信息在内的数据,从而支持私营部门数据创新并弥补政策差距,同时与技术和商业模式的新发展保持同步。通过DEPA协定,新加坡、智利和新西兰将致力于在数据监管沙盒上进行协作,以创建安全的环境,企业可以在与政府协商后进行创新。金融科技监管沙盒使金融机构和金融科技参与者能够在可信的数据共享环境中,在明确的空间和持续时间内,尝试创新的金融产品或服务,从而促进竞争和高效的开放市场。
自2017年以来,基于监管沙盒理念的启发,新加坡、芬兰、英国、挪威、发过、欧盟委员会、东盟等国家与国际组织在隐私保护领域中进行尝试。其中以ICO(英国信息专员办公室)及新加坡信息通信媒体发展局较为典型。
ICO数据安全监管沙盒在2020年侧重医疗健康、COVID-19疫苗实验、金融诈骗、轻生物识别身份验证等。2021年侧重儿童隐私保护、住房质量提升、减少暴力犯罪、患者共享、道路安全等。2022年侧重身份授权、心理保健、儿童专用服务、打击网络犯罪等。ICO2023年重点应用领域,在新兴技术方面,关注消费健康、物联网、VR/AR、去中心化金融;在生物识别方面,关注公共、教育等领域应用。
以Yoti在ICO中应用为例。自2014 年以来,Yoti⼀直为全球客户提供数字身份服务和物识别技术。Yoti的主要产品之⼀是他们的年龄估计技术,该技术通过算法评估⼀个人的面部特征来估计⼀个人的年龄。 Yoti进入Sandbox探索他们如何将年龄估计技术的使用扩展到6至12岁的年轻人。这将确保儿童专用服务(例如游戏网站和论坛)的提供者能够创建安全的虚拟环境和在线空间。
Yoti于 2020年11月6日被纳入沙盒,中间由于疫情原因,2022年2月Yoti和ICO才完成了Yoti沙盒计划的最后⼀项⼯作,结束了对ICO沙盒的参与。其中一个目标为,Yoti将使用Go Bubble代表其收集的数据(以及可能的其他数据源)来训练其年龄推算技术,有效推算6-12岁儿童年龄(不过因为疫情关系,2021 年 2 月,Yoti 决定不再依赖 Go Bubble 为他们的⽬的提供训练数据。而是通过使用网络门户收集数据。以及通过家庭数字健康组织收集数据(Be In Touch)位于南非)。
新加坡的数据安全监管沙箱,归属在数据共享与创新下,并形成了可信数据共享框架白皮书(Trusted-Data-Sharing-Framework),数据安全监管沙箱整体分为三步。即参与、指导与政策。利用数据监管沙盒的主要考虑因素包含创新、造福公众、现成且具体及风险评估和缓解四部分。
创新:用例应展示如何使用数据来获取新价值或创造新产品;
造福公众:用例不应对消费者产生任何不利影响;
现成且具体的用例:用例不应是假设的。它应该引起相关利益相关者的足够兴趣并产生明确的结果;
风险评估和缓解:应评估和缓解风险和影响,并应做出合理努力以保护个人利益。
可信数据分享框架包含数据共享策略、 法律和监管、技术和组织、数据共享协作四部分。
参照我国金融科技“监管沙盒”的运行机制以及英国与新加坡应用情况,数据安全监管沙盒可分为:准入测试阶段、测试设计阶段、方案评估阶段、实际测试阶段、退出阶段和最终评估阶段。
在准入测试阶段,监管部门以原则性为基础兼具监管灵活性,企业向监管部门递交申请材料后,由监管部门依据国家相关法律法规进行评估,对符合要求的企业进入测试设计阶段,不符合要求的企业则被责令退出“监管沙盒”。
第二阶段为测试设计期。在这个阶段中,监管部门与待测试企业进行沟通,双方根据待测试企业的特点,商议出一套符合监管规则又兼具个性化的测试方案。
第三阶段为方案评估期。监管部门对第二阶段中确立的测试方案进行再评估,待通过后可进入实际测试阶段,若方案未通过审核则退回第二阶段重新制定方案。
第四阶段为实际测试阶段。在此过程中监管部门应实时跟踪企业测试进程,企业应制定运行情况报告并递交给监管部门。如有异常情况,当发现应用不利于市场环境、社会及用户利益时,应责令企业退出沙盒测试。
顺利通过实际测试阶段的企业可进入第五阶段—退出沙盒阶段。在此阶段监管部门做好“沙盒企业”与外界市场的连接工作,对企业产品的合规性做好进一步审查,要求“沙盒企业”必须建立适当的用户保护体系方可成功退出沙盒,确保可以充分保护真实市场用户的利益。
最后是最终评估阶段。测试企业需要向监管部门递交一份测试报告,此报告由监管部门依据“监管沙盒”的预期数据进行评估,分析参与测试的产品是否符合标准,接下来监管部门对外公布、披露报告结果。
数据安全沙盒平台是数据安全监管沙盒机制的落地支撑平台,该平台需融合可信执行环境、联邦学习、多方安全计算、区块链等相关技术。以可信执行环境为核心,实现计算过程中数据的隐私保护、完整性保护和审计追溯能力,在打通“数据孤岛”发挥数据价值的同时,又能够满足数据“可用不可见”的安全合规要求。