金融资产能否在市场持续运营是金融数据要素市场化面临的主要风险。
目前我国产权制度的探索仍处于初级阶段,虽然北京、上海、天津、重庆、贵州、浙江、广东、河南等地纷纷建立数据交易平台,《广州市加快打造数字经济创新引领型城市的若干措施》也提出了数据确权的先行先试的建议,但数据权属问题显然有碍于金融行业数据要素化的进程。无论是从制度实践还是文献综述而言,目前国内外对数据要素权属的探索都尚未形成清晰的体系。简言之,制度探索先于学术探索。《数据二十条》的提出,为数据权属的研究提供了一个新的方向与思路,即绕开数据所有权的“迷思”,以促进数据流通充分发挥数据要素价值为核心展开。具体而言,可从以下方面构建和完善我国数据产权制度。
(一)建立健全“数据资源持有权”规范体系,化解“数据要素归属”“数据资源持有权”是类似于“占有”制度的新型权利样态,避开“数据所有权”这一含混不清的概念,以最便捷合理的方式解决“数据归属”问题。“数据资源持有权”的主体主要包括国家、企业和个人;“数据资源持有权”的内容以数据资源的自主管理权为核心,相应地应承担数据资源的安全保护义务;“数据资源持有权”的客体是数据资源,包括原始数据、衍生数据等。因此,应通过政策、立法等形式进一步建立健全“数据资源持有权”规范体系,推进“数据资源持有权”认证实践的开展。如此,既为相关权利主体“依法持有”特定数据资源提供正当性规范依据,又为防止其他主体对特定数据资源的非法获取提供合法依据。
(二)建立健全“数据加工使用权”规范体系,提升“数据要素价值”“数据加工使用权”亦是一个新型权利样态,在理论上仍有诸多值得商榷和完善之处。未经加工处理的数据犹如“原煤”或“原油”,经过加工处理后的数据可以有效提升数据要素价值。从逻辑关系而言,依法取得“数据资源持有权”是进一步获得“数据加工使用权”的前提或基础,“数据加工使用权”是提升数据要素价值的关键举措。根据《上海市数据条例》第四十九条的规定,数据产品和服务的形成以“实质性加工”和“创新性劳动”为两大重要因素。我国相应法律尚未界定“加工”“使用”两个概念之内涵,不过根据相关标准和学理分析,数据加工通常是指对数据进行筛选、分类、排列、加密、标注等处理活动,而数据使用是指对数据进行分析、利用等活动。“数据加工使用权”的主体是数据合法持有者,主要包括国家、企业和个人;“数据加工使用权”的内容主要包括数据加工权和数据使用权;“数据加工使用权”的客体是特定的数据资源。“数据加工使用权”的行使有其相应的限制性规定:在我国《个人信息保护法》等法律中规定,不得超出合法授权或合同约定的目的和范围、数据安全保障义务等内容。因此,应通过政策、立法等形式进一步建立健全“数据加工使用权”规范体系,推进“数据加工使用权”认证实践的开展。
(三)建立健全“数据产品经营权”规范体系,破解“数据流通”难题“数据产品经营权”作为一项新型权利样态,是指对数据资源经加工、分析等形成数据产品的过程,相关机构对加工形成的数据产品依法占有、使用、收益和依法支配的权利,亦属于依法依规规范数据处理者许可他人使用数据或数据衍生产品的权利。《深圳经济特区数据条例》第五十八条规定:市场主体对合法处理数据形成的数据产品和服务,可以依法自主使用,取得收益,进行处分。 “数据产品经营权”的主体是数据处理者,其通过提供正当服务、签订合同等合法方式收集数据,并通过筛选、特定组合、深度开发、系统整理等大量智力和体力劳动赋予了数据更高的价值。“数据产品经营权”的内容主要包括数据处理者作为合法的市场主体,对合法处理数据形成的数据产品和服务,依法获得自主的经营及获取相应收益的权利。“数据产品经营权”的客体是经过加工处理后形成的数据产品。因此,应通过政策、立法等形式进一步建立健全“数据产品经营权”规范体系,推进“数据产品经营权”认证实践的开展。
(四)建立健全数据分类分级规范体系,促进“三权分置”实施落地《意见》进一步强调以“市场配置”为中心的宗旨,聚焦数据使用权流通,着力构建以数据产权制度为核心,创造性地提出建立数据资源持有权、数据加工使用权和数据产品经营权“三权分置”运行机制的顶层设计。这有利于保护数据流通传输过程中各个主体的合法利益,并且合理规范了各个主体的权利义务,从而助力数字经济发展。这其中关键的抓手在于建立健全数据分类分级规范体系,适合市场经济国际竞争和国内竞争的需求。《网络安全法》把数据分类作为网络安全保护法定义务之一,《数据安全法》也确立了“数据分类分级保护制度”及其基本原则,但如何具体开展和落地实施,仍困难重重。究其原因,在于纠结人为设计最佳利益分配方案。破解困境关键在于创建市场自发运行生态,市场的回归市场,恪守市场规律。
健全数据分类分级规范体系的核心应致力于寻求合乎市场经济的简捷有效的规范指引,降低相应成本。具体而言:其一,关于公共数据,以开放为原则,不开放为例外。对于不涉及个人敏感信息、企业商业秘密等非涉密数据,应无条件开放,最大限度地为促进数据流通提供保障;对于涉及个人敏感信息、商业秘密、保密商务信息等法律、法规规定不得开放的公共数据,不予开放。其二,对于企业数据和个人数据,在遵守现行法律的前提下,鼓励数据主体根据其享有的“数据资源持有权”“数据加工使用权”和“数据产品经营权”等通过“合同”“数据交易机构”“数据经纪商”等多元途径自由流转。个人敏感或隐私信息,禁止交易,经过匿名化处理后的个人信息,可以交易。其三,政府在保障数据安全的基础上,应积极创设数据要素在市场中自由交易的条件,给予充分的实验、试错空间,并在政策、制度和法律上予以保障。
《暂行规定》要求企业应当按照企业会计准则相关规定,根据数据资源的持有目的、形成方式、业务模式,以及与数据资源有关的经济利益的预期消耗方式等,对数据资源相关交易和事项进行会计确认、计量和报告。然而,在数据资源的成本拆分、使用寿命、资本化条件、经济利益流入可能性等方面的判定上亟需探索和完善相应的规则指引。因此,结合《中华人民共和国会计法》和《企业会计准则》等相关规定,提出以下完善建议。
(一)探索并完善数据资源的成本拆分规则 《暂行规定》要求企业应当按照外购无形资产、自行开发无形资产等类别,对确认为无形资产的数据资源、相关会计信息进行披露,并可以在此基础上根据实际情况对类别进行拆分。关于对确认为无形资产的数据资源拆分的方法,应根据企业数据资源的不同取得方法进行分类考察,对诸如外购、自行开发或其他方式进一步类型化考察,将取得数据资源的成本进行拆分和类型化分析,并明确拆分的标准。因此,完善数据资源的成本拆分规则,重在根据市场需求结合企业会计准则,进行科学的类型化探索。
(二)探索并健全经济利益流入可能性的判定规则相关经济利益很可能流入企业是依据企业会计准则确认有关资产的重要条件之一,但是数据资源是否能给企业带来经济利益的认定缺乏明确的判定规则。国家市场监督管理总局、中国国家标准化管理委员会发布的《信息技术服务治理》(GB/T 34960.5-2018)第 5 部分:数据治理规范对“数据资产”的定义为:组织拥有和控制的、能够产生效益的数据资源。根据国际会计准则理事会(International Accounting Standards Board,简称 IASB)2018 年公布修订后的《财务报告概念框架(Conceptual Framework for Financial Reporting)》(简称《概念框架》)。2018 年版《概念框架》将资产重新定义为:由过去事项形成的,由主体控制的现时经济资源,经济资源是指潜在能带来经济利益的权利。取代了 2010 年版《概念框架》的定义,即因过去事项形成的,由主体控制且逾期会导致未来经济利益流入主体的资源。何谓相关经济利益流入的可能性,可以从新的“资产”界定中加以判断,大致可以从以下三个维度考量:其一,是否具有权利?产生经济利益潜力的权利形式多样,如收取现金的权利、收取商品或服务的权利、与其他主体交换经济资源的权利、对实体物品(如不动产、设备或存货等)的权利、使用知识产权的权利等。其二,是否具有产生经济利益的潜力?权利已经存在且至少在一种情况下,该权利可能产生超过其他所有各方可获取的经济利益的潜力,即使产生经济利益的可能性较低。其三,是否有效控制?控制是经济资源与主体之间的连接。如果主体拥有现实能力,可以主导一项经济资源的使用且可能获得该经济资源带来的经济利益,那么主体就控制了该经济资源。鉴于此,可以借鉴 IASB 发布的 2018 年版《概念框架》之规定,进而探索和健全经济利益流入可能性的判定标准。即如果具备上述三个维度,则可以认定其具有经济利益流入的可能性。
(三)探索并健全数据资产使用寿命估算与摊销的规则探究如何合理估计数据资产的使用寿命,实质在于企业如何摊销数据资源无形资产。制定科学合理的折旧周期来确定此类资产的使用寿命是一项艰巨的任务。结合我国会计规则规定,可以从以下方面进行类型化探索。第一,直线法摊销的类型。本规则适用于对于依据合同约定或其他正当规定、可以确定数据资产使用寿命的情形。第二,不摊销处理的类型。这是针对无法预见数据资源无形资产为企业带来经济利益期限的,应当视为使用寿命不确定的无形资产,故不应摊销。第三,其他情形。随着技术的不断发展和进步,关于数据资产的使用寿命更加难以测度,因此,比较合理的方法是根据市场交易真实情况建立具有统一标准的科学的模型,从而估算数据资产的使用寿命,从而选择合适的分摊方式。
(四)探索并明晰数据资产资本化的路径 数据资产具有可复制性、价值增值性等特别属性,这与之前遇到的资产类型有本质的区别。未经市场检验的人为设计数据资产资本化之条件并非良策。历史证明,市场就像一只“看不见的手”,市场经济内在机制可以有效应对新生事物。因此,探索数据资产资本化的条件需要充分尊重市场资源配置方式,尊重数据资产资本化市场的自发秩序。一是充分开展通过自发或自觉交易形成数据资产的探索,根据市场化的交易价格解决数据资产化过程中的价值评估等问题。二是充分开展通过特定事项(如互联网平台公司和金融公司的信息化、数字化升级事项)形成数据资产的探索。通过市场力量探索数据资产化的路径,可以有效避免“垃圾数据”“数据价值”等主观臆断,在市场认可前提下,依法取得的任何数据均可纳入数据资产化的轨道。
建立合法的分级分类制度并采取合理必要的控制措施保障数据安全不仅是金融机构及金融领域相关参与方必须履行的安全及合规义务,也是金融市场主体在注重安全保障的同时实现经济效益的方法论。将重要性不同的数据采用同样等级的保护措施,实施无差别的保护,可能导致对敏感数据保护力度不足,对普通数据保护力度过剩。而建立起合规合理的数据分级分类制度,区别对待不同业务和数据采用相关控制措施,综合业务发展与成本考量,才能实现金融数据要素市场化与数据安全的双赢。
正如上文所分析的,金融数据安全风险集中于控制金融数据如何被访问以使数据免受非授权的泄露和篡改。故金融企业在确定分级分类原则和方法后,应决定每一分级分类保护的不同数据集所需的控制措施,实现对每一分级分类具有对应的访问、使用和销毁数据相关的单独处理、销毁要求和流程,实现为每一分级分类的数据集设定机密性、完整性和可用性保护水平。实践中,数据分级分类管理的主要内容包括:1.对不同类别级别数据的访问控制;2.对不同类别级别数据的加密和解密;3.对不同类别级别数据脱敏。数据安全无小事,尤其是金融领域的数据不仅涉及个人敏感信息,还涉及企业的重要数据,如果保护不力,甚至会危害到国家的经济安全。因此,数据的分级分类保护制度,不仅要体现在技术和制度层面,更应该体现在管理体系层面。因为再好的技术安全防范措施和合规体系最终是需要人去落实。这就需要每一个人都有数据安全意识。如何做到呢?需要科学的管理体系。首先,建立专门的数据合规部门或者建立数据首席合规官制度。为了保障数据安全性,确保数据分级分类制度的落实,《数据安全法》规定,重要数据的处理者应当明确数据安全负责人和管理机构;《网络安全法》要求要专门设置安全管理机构和安全管理负责人;《个人信息保护法》要求指定个人信息保护负责人,对于境外个人信息处理者还要设立专门机构或者指定代表。除了上述法律规定,2023 年 10 月以来,北京、浙江、深圳等地先后出台文件,实施首席数据官申报试点制度。其次,将分级分类制度与岗位职责相结合,将数据安全保护制度落实到每个人。业务部门是第一负责人,以结果为导向,为结果负责。数据合规部门或者数据合规负责人向业务部门负责人定期培训,明确合规管理要求,方案等内容;并且还需要定期对各业务部门的数据合规方案进行审核,对于各业务部门在数据合规中遇到的难题给出解决方案。此外,数据合规部门或者数据负责人需要明确,一旦数据遭到泄露,则相应人员需要承担相应责任,如涉及刑事责任,则移送公安机关。再次,加强数据安全培训工作。定期开展数据安全培训,不断加强数据安全意识,明确数据安全的重要性。最后,建立应急预案。定期开展网络攻防演练,一旦发生数据泄露,能够启动快速响应机制,遏制数据泄露的程度。但是,与此同时需要注意,根据数据泄露的种类、数量决定做好向相关主管部门汇报工作。
首先,建立事前、事中、事后的全链路数据隐私保护机制,健全从数据采集、数据加工到数据应用全链路数据风控流程,形成针对数据异常操作的事前识别、事中阻断与事后恢复能力。其次,创建一个工具完备、资源可控、安全合规的隔离环境,通过独立集群、网络隔离、加密存储、静态脱敏等综合手段构建物理数据沙箱。同时,运用共享集群、资源隔离、权限管控、动态脱敏等手段构建逻辑数据沙箱,进而搭建起完善的数据要素监管沙盒治理体系。最后,借助隐私计算和联邦学习技术,实现跨数据源、跨数据中心、跨执行引擎等协作,进行异构多源数据的联合机器学习和联合分析,实现在保护数据安全的同时,达到“数据可用不可见”“数据不动计算动”“多源数据跨域合作”等目标,破解数据保护与融合应用难题。最终,打造数据来源可确认、流通过程可追溯、安全风险可防范的数据可信流通体系。
(三)建议网信办优化数据出境安全评估申报机制建议网信办建立金融数据出境评审专业委员会,发挥金融行业协会技术标准专业力量,制定金融数据出境的技术标准和行业指导标准,提高数据出境安全审查的质量和科学性;建议网信办定期发布相关指引问答,增加监管透明度和对申报主体的指引。 另外,参考国际上对金融数据出境活动的监管规则,美国原则上允许金融数据的自由流动,同时,美国外资投资委员会(CFIUS)有权通过国家安全审查的方式限制境外资本通过对美国金融服务业的投资实现滥用公民个人信息等“恶意的网络活动”的不法目的,从而规制个人金融数据向境外流动。欧盟则要求在满足《通用数据保护条例》(GDPR)第五章的要求以及通过欧盟与其他国家/地区签订的多边/双边协定允许金融数据跨境自由流动。对此,我国的金融数据出境监管,可以基于金融数据分类分级机制,结合不同金融业务场景、数据流转场景中数据的安全性、敏感性、价值性等,以部门规章形式分别制定相适应的细化规则,避免“一刀切”导致金融数据安全风险或阻碍金融数据开发利用。同时,可以建立金融数据出境低风险清单、设立试点地区,实施快审机制。
金融资产能否在市场持续运营是金融数据要素市场化面临的主要风险。金融数据要素市场化的过程不但融合了金融企业业务模式、企业制度管理和终端应用,而且涵盖信息技术、金融数据资源和其他资源。因此,保障金融资产在市场中持续运营管理需要从以下三个维度展开。 一是从政策法律维度而言:既要关注金融数据安全引发国家安全等问题,又要注意金融数据安全不合规引起的行政或刑事风险。随着金融业数字化转型的持续推进,企业应建立健全以网络安全、数据安全与个人信息保护“三位一体”的网络和数据合规监管体系,积极关注并遵守中国人民银行、银保监会、证监会相关政策和整治工作。
二是从管理维度而言:一方面要健全金融企业全面风险管理体系,将风险管理能力打造成为核心竞争力,以有效防范化解重大经济金融风险,建立事前风险防范、事中风险监测、事后风险处置的风险防控过程;另一方面要遵循市场规律和市场法则,促进企业现代化和数字化升级转型工作持续有效地开展,建立健全符合数字经济发展的企业管理新模式。 三是从技术维度而言:以电子形式存在的数据要素与传统生产要素有质的不同,其具有虚拟性、无限可复制性等特质。金融数据管理运营需依赖大数据、云计算、人工智能、区块链以及移动互联网络、算法、存储、删除、安全等技术保障。
在国家《数据安全法》框架下,既要加强数据安全监管和数据治理,又要促进数据的高效协同应用,需要有效的技术来实现数据安全与发展的平衡。数据安全管控、数据合规流通、联合安全计算成为数据要素流通与发展核心能力的重要组成部分,通过隐私计算、区块链等技术实现数据“可算不可见”、数据“可用不可见”,达到数据安全与融合应用发展平衡的目标,将会持续带动我国以数据为关键要素的数字经济产业的健康发展。因此,保障数据安全与融合应用发展平衡的技术关键能力主要有以下几方面。 一是区块链技术能力应用。通俗来讲,它是一个共享数据库,存储于其中的数据或信息是不可伪造、全程留痕、可以追溯、公开透明、集体维护的。利用区块链技术可明确界定数据所有权、管理权和使用权,使链上各方基于算法互信进行数据交换。它可以很好地应用于金融行业中支付、清算、结算、证券交易、保险等领域,降低交易成本,提高交易效率,增强金融体系的稳定性和安全性。
二是隐私计算技术能力应用。这主要包括联邦学习、安全多方计算和差分隐私等算法,使得我们可以联合政务、企业、银行等多方数据进行联合计算,实现在原始明文数据不共享的情况下多方进行联合数据建模、训练和分析,在充分保护用户隐私和数据安全的前提下释放出数据融合应用价值,从而有效解决跨部门数据合作中的安全问题和信任问题,打造出新的数据应用业务模式。三是可信硬件环境能力应用。作为基于密码学的隐私保护技术的一种替代方案,可信执行环境(Trusted execution environment,TEE)基于硬件安全的CPU 实现了基于内存隔离的安全计算,在硬件中为敏感数据和算法单独分配一块隔离的内存,所有敏感数据的计算均在这块内存中进行,除了经过授权的接口外,硬件中的其他部分不能访问这块隔离的内存中的数据信息,在保证计算效率的前提下完成敏感数据的隐私计算。
四是 AI 大模型能力应用。随着 ChatGPT、AIGC 等技术的兴起,全新的人工智能时代正呼啸而来。人工智能和数据要素两者相辅相成,人工智能的迭代需要数据要素作为基石,而数据要素的价值需要人工智能的最大化挖掘。例如在 AI 的协助下,自动识别数据中的异常值、缺失值,进行数据清洗和纠正,对数据进行分类和标注,添加适当的元数据,从而提高数据的可管理性。反过来,将数据提供给 AI 大模型训练,可进一步提高模型的识别率,形成闭环,这必将加速数据要素从原始走向价值输这一过程。 五是云计算技术能力应用。未来“东数西算”工程提供的算力基础设施,可将东部产业资源与西部算力资源有效衔接,支撑搭建包括数据商入驻、产品上架、资产定价、交易撮合、争议仲裁和交易监管等的全流程在线化数据交易平台,通过整合区块链、AI 大模型等新技术,建立数据的授权存证、数据溯源和完整性检测平台,促进数据要素规范、高效、有序的流通和市场培育。
