域外观察| 东盟发布《数据管理框架》(DMF)

全文共计约3200字，细读时间约10分钟

新加坡个人数据保护委员会于2021年1月22日确认，东盟部长级会议已批准《数据管理框架》和《跨境数据流动合同范本》，这是由新加坡主持的数字数据治理工作组制定的两项计划。

文| 杨春白雪 信通院互联网法律研究中心研究员

新加坡个人数据保护委员会（PDPC）特别强调，《数据管理框架》（DMF）和《跨境数据流动合同范本》（MCC）旨在促进数据相关的业务运营，减少谈判和合规成本，同时确保跨境数据传输过程中的个人数据保护。

其中，《数据管理框架》旨在为企业提供分步指导，通过完善数据治理结构、保障措施和风险管理等管理规范和基本原则，帮助企业建立有效的数据全生命周期管理系统。

一、背景和概述

数据是数字经济的动力，甚至是未来经济的动力。世界最有价值的资源不再是石油，而是数据。据估计，当前世界数字经济体量约为3万亿美元，数字经济正在以空前的速度和规模迅猛增长。据预测，到2022年全球GDP的60％将由数字化驱动实现。其中60％至70％的新价值将来自于“基于数据驱动的数字化网络和平台”。世界上一半的人口已接入互联网，三分之一的人口活跃在各类社交网站上，移动网络凭借价值1700亿美元的数字广告已成功渗透到53％的网民。如果可以建立适当的数据基础设施，到2025年东盟十国将有潜力建立35个智慧城市。

随着互联网用户群的不断增长，东盟2018年互联网经济的商品成交总额（GMV）为720亿美元，涵盖国际旅游，电子商务，在线媒体、叫车服务等方面，到2025年有望超过2400亿美元。与此同时，东盟国家数字技术拉动经济增长的能力是十年前的6.4倍，到2030年数字技术价值可达到6250亿美元。

中小企业是东南亚经济增长的引擎，覆盖东盟国家多达99％的商业机构、超过90％的就业人口和近60％的国内生产总值。为保持竞争力，68％的企业正在使用新兴技术改善支付应用程序，66％的企业正在投资大数据分析、人工智能和认知计算。这些技术的成功在很大程度上取决于数据共享。而对数据的信任是充分实现数字化转型收益的前提，为此中小企业正在努力平衡数据利用与隐私保护之间的界限，以确保隐私保护措施不会阻碍科技创新。正因为数据对于经济发展和科技创新的巨大驱动力，东盟十国产生了强烈的数据治理的动机。

为了确保对数据的管理和保护，企业需要了解应采取的技术级别、管理程序和物理控件。对数据集分类分级可帮助企业管理数据资产并正确部署控件级别，适用于静态数据以及传输中的数据。建立东盟数据管理框架将促进企业健全数据治理，保护数据资源，遵守相关规定，进而增进企业之间、国家之间可信任的数据流动共享，促进数字经济和国际贸易的繁荣。

二、战略重点和举措

2018年12月，第18届东盟电信与信息技术部长会议批准通过了《东盟框架-数字数据治理》（ASEAN Framework on Digital Data Governance），规定了战略优先事项，原则和举措等，为各个成员国的数据治理政策制定提供了有益指导。《东盟框架-数字数据治理》框架下的四大战略优先事项分别是东盟数据分类分级框架、东盟数据跨境流动机制（CBDF）、东盟数字创新论坛、东盟数据保护和隐私论坛。其中，第一项“东盟数据分类分级框架”已经正式更名为“东盟数据管理框架”（DMF），因为公司需要建立整体数据治理框架和贯穿数据全生命周期的保护措施，数据分类分级只是其中的一个重要环节。通过数据分类分级可以指导下游决策，对数据提供适当级别的访问权限和保护措施，贯穿数据识别、评估、管理和保护的各个流程。为此，企业应当充分了解自身拥有数据的机密性、完整性、可用性和相应的保护措施。为了支持数据分级分类，企业还应当建立适当的政策和程序文件，履行管理和监督职能，对数据管理活动进行监控并持续改进现有实践。

《数据管理框架》是为数据全生命周期和数字生态系统这一战略重点而量身打造的，旨在帮助在东盟境内运营的所有企业深度参与数字经济，实现对数据全生命周期的有效治理，并对所有数据类型提供足够保护。企业的数据资产无论是在本地系统还是在云中进行处理或存储，数据保护的起点都要围绕数据的机密性、完整性和可用性展开。通过使用《数据管理框架》，企业可以更好地实现数据保护，赢得客户信任，培育企业信心，拓展创新业务。

三、适用范围和目标

《数据管理框架》中的“数据”是指企业创建、收集、访问、处理和转移的所有数据，包括个人数据和商业交易数据。《数据管理框架》旨在根据最佳实践为东盟企业提供自愿且无约束力的指导，其内容不构成法律建议，也不应被解读为法律建议，更不能作为遵守相关法律规定的合规工具。DMF适用于东盟境内的所有中小私营企业，企业可根据自身业务需求酌情采用数据管理框架中的相关内容。

《数据管理框架》将通过减少数据泄漏和破坏、促进经济增长和创新、鼓励企业间数据流动、支持东盟内部的跨境数据流动等方式促进东盟数字经济蓬勃发展。通过建立数据管理通用术语，鼓励企业成为“受信任的数据合作伙伴”，增强企业数据管理、使用、共享的透明度和信心，帮助在东盟境内经营的所有企业深度参与数字经济，创造新的业务增长点。除此之外，《数据管理框架》还将帮助东盟境内的所有企业实现数据全生命周期治理，为企业提供内部规则制定的实践指导，制定基于风险防范且性价比最高的数据管理流程。

四、六大核心要素

《数据管理框架》包含六大核心要素，分别是治理与监督、政策与程序、数据清单、风险影响评估、数据保护控件、监测与持续改进。

在治理与监督方面，企业应当通过完善数据管理职能、业务评估职能、风险控制职能来细化分工。数据管理职能包括设计包含六要素的数据治理框架、制定规则和流程、明确责任人、数据分级分类等。业务评估职能包括识别数据、完成数据清单、安全事件上报等。风险控制职能包括风险管理实践监测、措施有效性评估、向管理层报告调查结果等。

在政策与程序方面，企业应当通过领导力承诺，明确数据管理的目标、范围和考量，完善数据管理手段。企业还应当明确问责制，围绕数据管理的政策和程序开发，在企业内部实施数据管理框架并持续监测和审查企业的数据管理实践。

在数据清单方面，企业应当建立对包含多数据元素、多业务线资源的数据集的综合管理能力，整合现有数据、识别新进数据、更新数据清单。由于相同的数据字段可能出现在多个不同的数据集中，企业在定义时应充分了解不同部门的数据管理实践，以建立最符合企业业务需求的数据清单结构。应纳入考量的因素包括企业提供服务的性质和类型（信息收集的目的、使用方法、目标客户等）、现有法律规定（法律、行业规定等）、市场竞争格局（专利、研发等）、成本收益分析（数据集中度、数据量等）、客户期望（数据主体、合同义务等）。

在风险影响评估方面，企业应对照数据清单，评估各类别数据集遭到破坏的后果和影响，完善分级保护标准。数据受损的影响参数包括机密性、完整性和可用性三个维度，对企业的影响参数包括财务、战略性、运行性和合规性四个方面。

在数据保护控件方面，企业应当实施与潜在风险相称的保护措施以防止数据遭到破坏，包括事前预防、事中监测和事后纠正等。与此同时，员工应当遵守适当的技术、程序和物理保障措施，确保数据全生命周期的机密性，完整性和可用性。数据保护措施的变化取决于数据所处的生命周期阶段，还应根据业务性质、服务类型、数据敏感性等因素加以调整。

在监测与持续改进方面，监测、分析和评估是保证基础架构处于最新版本和最佳状态的关键。企业应当按照内部规则和程序文件，健全管理和监督职能，明确监测内容、监测方法、评估流程和负责人等。与此同时，企业还应通过定期安全审核、数据分级复查、保护控件测试、更新政策流程等，持续改进企业的数据管理工作。

五、结论

数字经济的增长为企业带来了许多创新机会。与此同时，不断变化的监管要求和安全威胁增加了完善数据保护措施的重要性。不明晰的数据共享种类和共享方式在很大程度上打击了企业利用使用数据来推动业务增长的积极性。当前，企业正在努力平衡数据利用与隐私保护的关系，既要利用数据促进产品创新和服务升级，又要妥善保护个人隐私和业务关键信息。为了充分推动数字经济发展，让中小企业共享数字经济带来的红利，东盟应当建立共同的数据管理框架以支持最佳实践，助力中小企业充分释放数据价值。