文 | 中国科学院大学经济与管理学院教授 孙毅 建立健全合规高效的数据流通体系是推进数据要素市场化的必然要求，也是推动数据要素以较低的交易成本实现跨主体流通、多场景复用，在更大范围内与其他要素协同、与不同种类数据融合，促进数据要素价值化过程、放大数据要素价值化效应的重要举措。 近日，国家发展改革委、国家数据局等部门联合印发《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》（以下简称《方案》），针对数据流通安全治理中存在的标准不明、责任不清、制度不健全等突出问题，制定了科学规范、务实可行的政策举措，以期有效降低数据流通环节的安全治理成本，以成本最小化实现安全最优化，营造鼓励创新、包容创新、让企业轻装上阵的数据产业发展环境，培育充满活力、充满信心、充满韧性的市场主体，开创以良法善治统筹发展和安全、平衡活力和秩序的数据要素市场化价值化新局面。 《方案》不新增数据安全责任义务，不新设数据安全治理条款，旨在细化现行法律法规的原则性要求，打消市场主体顾虑，降低市场主体负担。在《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络数据安全管理条例》（以下简称“三法两条例”）的总体框架下，《方案》聚焦数据流通环节的痛点堵点问题，将“三法两条例”的原则性要求细化为数据流通中的具体举措，坚持以促进数据要素流通使用作为安全治理的出发点和落脚点，通过总结安全可信、行之有效、具有共识的安全治理实践经验，健全数据流通安全治理体系，提升数据流通安全治理的稳定性和可预期性，实现高质量发展和高水平安全良性互动。例如，依照《个人信息保护法》规定，在广告投放、精准推荐、用户画像等业务场景中，企业在跨平台交互、开发个人数据时，需要对个人信息进行匿名化处理，以保障个人权益、保护个人隐私。 业界普遍反映，由于个人信息匿名化处理缺乏认定标准，企业在开展相关业务时普遍存在安全合规顾虑，数据安全治理投入因标准缺失导致负担过重。事实上，关于匿名化的标准问题，业界存在一些具有共识、验证可行的做法，如传递非永久性设备标识符、使用联邦学习和隐私计算技术进行联合数据开发、采用聚合数据进行群体统计分析等。针对这些现实问题和迫切需求，《方案》针对个人数据流通保障，在《个人信息保护法》的原则要求下，提出了制定个人信息匿名化相关标准规范，明确匿名化操作规范、技术指标和流通环境要求，以及鼓励采用国家网络身份认证公共服务等多种方式，强化个人信息保护。这些政策举措将为个人数据流通安全治理提供标准和依据，有效打消市场主体安全合规顾虑，减轻安全治理投入负担。 《方案》不搞叠床架屋，不求面面俱到，旨在找出“真问题”、提出“实举措”，强化问题导向，突出可操作性，力求务实管用。针对企业数据、公共数据和个人数据在流通环节中的场景化问题，《方案》立足行业需求、总结行业经验，提炼出针对性举措。 例如，政务数据共享过程涉及多元主体，各参与主体的责任边界缺少清晰界定，出现安全问题时“责任不随数据流通而流转”，政府部门作为政务数据供给源头单位往往承担兜底责任，从而导致政务数据“不愿共享”“不敢共享”。相关政府部门普遍反映希望能够明确政务数据共享的权利责任边界，从而更好地促进政务数据流通使用。 针对上述问题，《方案》依照《政务信息资源共享管理暂行办法》，在政务数据提供方“谁主管、谁提供、谁负责”和政务数据接收方“谁经手、谁使用、谁管理、谁负责”的原则基础上，明确提出要区分数据提供前和数据接收后的安全管理责任。 特别是针对政务数据提供方，要求在数据提供前明确政务数据共享范围、用途、条件，探索建立数据接收方数据安全管理风险评估制度，保障政务数据提供方在履行好事前安全管理责任的前提下不再承担兜底责任。上述举措将建立健全政务数据流通安全合规责任划分机制，有效减轻政务数据共享的安全合规负担，从而提升政务数据共享水平，促进政务数据价值释放。 贯彻落实《方案》的关键在于降低数据流通安全治理成本。 一是要逐步制定完善数据流通安全合规细则与标准，降低制度性交易成本。要加强调研征集新场景、新问题和新诉求，总结提炼有需求、有共识、有效果的经验做法，不断完善数据流通安全治理体系，提升数据流通安全治理的针对性和可操作性，降低因政策要求不明确、不具体、不落地带来制度性交易成本。 二是要加大数据安全治理技术和产品服务研发支持，降低数据流通安全治理的创新成本。加大可信数据空间、区块链、隐私保护计算、匿名化等技术研发和应用推广支持力度，完善引导企业加大技术创新投入的机制，培育一批面向数据流通安全治理的技术创新型企业，壮大数据流通安全治理服务规模，推动数据流通安全应用产品创新，全面提升数据流通安全治理领域企业创新能力。 三是要积极探索数据流通安全治理的创新模式，降低数据流通安全治理的运营成本。采取差异化监管措施，在保障安全的前提下降低数据流通安全治理的行政负担；探索建立数据流通安全保险机制，利用市场化手段合理分散企业风险成本；鼓励各级政府、大型企业面向中小型企业提供有助于提升企业风控能力、降低企业安全成本的数据流通安全治理服务，推动具备条件的部门和地区建立中小企业数据流通安全补贴制度，降低中小企业参与数据流通的合规成本。 四是加强《方案》的政策宣贯，降低数据流通治理的协调沟通成本。强化《方案》出台背景、原则、目标等方面的解读和宣贯，凝聚各方共识、稳定市场预期，避免因理解不深入、认知不统一、配合不到位带来的沟通协调成本，群策群力建立健全数据流通安全治理体系，更好促进数据要素市场化价值化。 来源（公众号）：北京数据

公共数据是我国数据要素供给体系的重要组成部分，具有公共性、权威性与规模性，蕴藏巨大价值。各地区各部门在坚持数据开放的基础上，有序探索公共数据授权运营，对于赋能政务服务、公共治理具有重要意义，是培育数据要素市场的关键突破口。公共数据授权运营过程中，随着参与主体、数据及授权运营模式的不断拓展，如何构建公共数据安全治理格局，促进公共数据开发利用成为重要内容。 近日，国家发展改革委、国家数据局等部门联合印发了《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》（以下简称《方案》），对促进数据要素安全合规流通利用提出重要意见。其中，针对公共数据流通过程的安全管理，明确了数据提供方、数据接收方、公共数据授权运营机构三方数据主体角色的数据安全保护责任和管理要求，细化了公共数据开发利用过程中的安全要求。 01强化源头安全治理，提升公共数据安全成效和供数水平 《方案》指出“数据提供方按照‘谁主管、谁提供、谁负责’的原则，明确政务数据共享范围、用途、条件，承担数据提供前的安全管理责任，探索建立数据接收方数据安全管理风险评估制度，确保数据在安全前提下有序共享。”公共数据涵盖的数据范围广泛，涉及国家安全、公共利益。各级党政机关、企事业单位等政务、公共数据来源机构作为数据提供方，应承担数据提供前的安全管理责任，在数据供给源头强化公共数据主动治理，在供给环节保障所供出公共数据的合法性、安全性、可用性、准确性和时效性。 02贯穿供出后全过程安全管理，确保公共数据在各接收主体间安全流转 《方案》指出“数据接收方按照‘谁经手、谁使用、谁管理、谁负责’的原则，承担数据接收后的安全管理责任。”公共数据持有者、使用者作为数据流转过程中的数据接收方，要承担数据接收后的安全管理责任。一是确保公共数据接收后的存储安全，建立安全的数据存储环境，包括物理环境、网络环境等，确保重要数据在存储过程中的安全性。二是确保公共数据使用与加工安全，公共数据接收方应按照协议或规定中明确的数据使用范围和用途来合规使用公共数据。采取必要的安全措施，如数据加密、访问控制、数据脱敏等对重要数据进行加工处理，以防止重要数据泄露或被非法访问。三是数据销毁末端安全，数据接收方应根据数据的生命周期和业务需求，制定数据销毁计划，明确数据销毁的时间、方式和范围，考虑数据的敏感程度和重要性，选择可靠的数据销毁方法，确保数据在销毁后无法被恢复。 03 探索公共数据授权运营安全合规制度化路径 《方案》指出“有关地方和部门开展公共数据授权运营的，应依据有关要求明确公共数据授权运营机构的安全管理责任，建立健全数据安全管理制度，采取必要安全措施，加强关联风险识别和管控，保护公共数据安全。”公共数据授权运营被认为是构建数据要素市场的关键突破口，也是繁荣数据要素市场的重要支撑，如何把控好这一环节安全合规，备受市场关注。公共数据授权运营安全治理是一个“制度化”过程，授权运营机构应建立健全数据安全管理制度，加强数据全生命周期的安全防护。一是明确授权运营机构在经营与信用、专业资质与人才、技术安全、应用场景与数据使用等多个方面的数据安全保护条件和能力。二是加强数据产品和服务的安全合规管理，通过建立分类分级、访问控制、监测预警等安全管理制度，在保障国家秘密、国家安全、社会公共利益、商业秘密、个人隐私和数据安全的前提下，依法依规在授权范围内开展公共数据授权运营活动，充分释放公共数据价值。三是基于数据全生命周期安全防护理念，持续完善态势感知和监测预警体系建设，切实提升公共数据授权运营过程中的安全风险监测和应急处置能力。 （来源：国家数据局微信公众号；作者：周民 国家信息中心副主任；罗海宁 国家信息中心外网办安全管理处处长）

数据安全总体解决方案

新型智慧城市数据安全研究，聚焦数据集中化风险、数据泄露、滥用等挑战，并提出合规要求和风险应对方案。本文深入分析了智慧城市数据安全挑战，旨在为业界提供数据安全建设的有益参考。

数据安全已成为事关国家安全与经济社会发展的重大问题，亟待加强人民群众的数据安全意识，筑牢国家数据安全人民防线。习近平总书记指出，数据基础制度建设事关国家发展和安全大局，要维护国家数据安全。党的二十大报告指出，要全面加强国家安全教育，提高各级领导干部统筹发展和安全能力，增强全民国家安全意识和素养，筑牢国家安全人民防线。上述重要论断，既为我国加强数据安全、提升全民数据安全意识和素养指明了道路，也为我国筑牢国家安全人民防线提供了制度支撑和方法指引。

中共中央、国务院印发的《法治政府建设实施纲要（2021—2025年）》中将“数字政府”与“法治政府”予以系统表述，提出“全面建设数字法治政府”的目标。全面建设数字法治政府，是新时代党和国家对政府管理模式、运行机制和治理方式等提出的新要求，核心在于通过政府信息化平台建设，推进公共数据的有序共享并提升政府运行的数字化和智能化水平。

基于角色的访问控制（RBAC）和基于属性的访问控制（ABAC）是两种常见的数据安全访问控制模型。RBAC通过角色管理和权限分配来控制访问，适合于相对稳定的环境和小型到中型组织。ABAC则基于多个属性（如用户、对象、环境）动态决策访问控制，更适合复杂和动态变化的数据访问需求及大型组织。选择适合的模型应根据组织的特定需求和规模进行评估和实施。

2021年《数据安全法》《个人信息保护法》颁布以来，数据安全监管要求逐渐落地，国家、行业、地方相继颁布了一批数据安全方面的配套性政策文件，数据安全体系建设进程明显提速，数据安全供应能力不断增强，数据安全产业生态各方面都呈现快速发展态势。本章将从2022年度数据安全建设热点入手，梳理数据安全建设现状，探讨下一步发展趋势。

在大数据时代，数据的安全与价值日益凸显。随着《数据安全法》和《个人信息保护法》的发布，数据安全已提升至国家战略层面。企业面临保护企业敏感数据、个人隐私数据和国家敏感数据的挑战。本文深入探讨企业数据安全的现状、挑战、核心问题及实施方法，强调从核心资产识别到架构设计，再到工具选择和效果评价，实现体系化数据安全建设的重要性。同时，展望数据安全管理未来，呼吁企业提升数据安全防护能力，确保数据机密性、完整性和可用性，共同保护国家数据资源、企业商业秘密和公民个人信息。

数据开放与共享是企业数字化转型的关键，但如何在保障数据安全的同时提升效率是一大挑战。本文提出了九个策略，包括原则制定、组织保障、制度约束等，旨在帮助企业实现数据安全和效率的平衡。通过明确数据管理政策、优化流程、引入数字化手段等措施，企业可以在遵守法律法规的前提下，高效、安全地共享和开放数据，促进业务价值的最大化。