研究成果丨数据交易动态合规:理论框架、范式创新与实践探索
作者:王青兰 王喆
来源:《改革》
本文发表于CSSCI期刊、北大核心期刊、AMI核心期刊《改革》2023年第8期。基金项目为:国家发展和改革委员会体制改革综合司专项项目“要素市场交易平台建设研究”。
摘要:
当前,我国数据交易市场面临场内交易合规成本高的入场难、场外黑灰产盛行的监管难以及国际数据合规话语权缺失的作为难等痛点。基于此,本文提出了一个数据交易动态合规理论模型,在严守合规底线,不降低合规要求的前提下,通过“标准”“合规师”“信用”与“人工智能”等要素进行范式创新,可以实现对变量“合规灵活程度”的调节,从而满足动态合规的要求,获得合规体系建设的最优解。最后,通过深圳数据交易所的改革探索与前沿实践,我们将理论模型应用于现实世界,进一步论证了该模型的合理性与有效性。
关键词:
数据交易;动态合规;数据合规师;信用机制;人工智能
作者简介:
王青兰,深圳数据交易所合规部负责人,法学博士,计算机科学与技术博士后;
王喆,国家发展和改革委员会经济体制与管理研究所研究室主任、研究员。
2022年12月,中共中央、国务院印发《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称《意见》),将数据流通与交易合规提升到国家战略高度,明确指出要建立合规高效、场内外结合的数据要素流通和交易制度,完善数据全流程合规和监管规则体系,规范引导场外交易,培育壮大场内交易。数据交易合规在实践中存在狭义和广义两种不同的理论视域:从狭义上来看,数据交易合规是指交易主体为防控数据交易过程中的各种合规风险而构建的治理体系;从广义上来看,数据交易合规是指以数据交易主体合规责任落实为核心,以第三方服务机构与数据交易场所运营机构(以下简称“数据交易所”或者“数据交易平台”)的合规服务为防火墙,以数据交易监管部门的合规激励为指引的场内外全流程数据交易治理体系。本文所指称的数据交易合规属于广义的数据交易合规。
不同于一般领域,数据交易合规存在着巨大的立法及规则空白,“怎么做才算合规”成为数据交易实践中最大的痛点。在如何平衡数据权益保护与数据高效利用的核心命题中,明晰的法律法规和包容的动态监管是激发数据交易市场活力的基本要素,须臾不可分。虽然《意见》淡化了数据所有权的争议,提出建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制,以鼓励数据交易流通,平衡数据权益保护与数据利用的两难,但其在合规实践中如何落地依然存在巨大的争议——如果对数据权益尤其是个人信息的权益保护过于严格,交易主体的合规义务就会增加,数据交易与利用可能面临重重阻碍,乃至桎梏相关产业发展;如果以产业发展为先,减轻交易主体的合规责任,忽视个人信息保护,个人权益与隐私泄露将会愈演愈烈,大规模侵权事件极可能发生,并造成较为恶劣社会影响。
笔者认为,既然数据交易市场发展时间短,相关规范体系支撑不足,短期内也无法实现规则健全,那么依托数据交易场所进行合规体系改革与制度创新,就具有极其重要的意义。一方面,数据交易所可以作为监管缓冲区,帮助企业进行入场合规体检与整改,强化数据交易合规风险的事前防范、事中预警与事后监督。另一方面,数据交易所可以作为改革试验田,通过交易标的个案的合规积累与疑难标的上市的合规论证,为我国数据要素市场发展提供引导、规范和保障,为立法提供源源不断的经验和借鉴。因此,本文拟构建一个全新的数据交易动态合规理论模型,并基于深圳数据交易所的前沿探索,论证其合理性与可落地性,以期为我国数据要素市场化改革提供新思路。
一、相关文献综述
在数据法律体系较为完善的欧美地区,数据合规作为一种理念,贯穿于数据采集开始的全生命周期。而交易作为数据流通的一个环节,其合规问题并未受到特别重视,鲜有文献专门研究数据交易的合规问题。美国的数据交易市场,发轫于消费者个人信息交易的需求,不断迭代的互联网技术裹挟着消费者在线活动产生的大量数据流入交易市场,一路奔腾向前。于是乎,一个叫做数据商(Data Brokers)的新产业出现了,它们专门收集、处理和销售个人信息[1],经过几十年的发展,已经成为美国数据交易市场发展的底座。欧洲对个人信息保护极其严格,但并未阻止其商业化,而是鼓励通过隐私增强技术的发展来促进新兴的数据交易市场[2]。因此,欧美的数据交易合规研究主要侧重于数据商以及个人信息的隐私保护合规,再加上欧美并不存在中国这种由政府主导的场内数据交易生态,自然也不存在专门针对数据交易平台的合规体系研究。
不同于中国“所商分离”的顶层设计,欧美的数据交易平台属于数据商产业的一部分。学者们普遍认为,数据商大规模收集个人信息进行交易的行为存在严重的隐私泄露风险,即便是将个人信息售予执法部门,也存在着程序正当性的风险[3]。为了增加数据商交易的透明度 [4],自上世纪70年代以来,“通知和选择”成为应用于数据商产业的主要监管框架[5],在一定程度上限制了未经消费者同意的数据交易行为。2014年,美国联邦贸易委员会(Federal Trade Commission)在深入研究九家数据商后,呼吁通过立法构建数据商的问责机制。[6] 实践中,美国通过权衡数据的社会经济效益与隐私风险,采取事后且基于市场的模式来应对个人信息交易的挑战,而欧盟则强调隐私权利与数据合规,采取事前且基于国家和市场合作的模式来探索解决方案。[7] 不少学者都认为欧盟的数据保护框架是监管数据商的有效模型[8],美国需要采取类似欧盟的综合性立法来解决问题[9]。
我国数据合规研究尚在早期,亦缺乏从数据的采集端便开始的全生命周期合规治理实践,因此相关文献较少,多集中于近两年,主要涉及企业数据合规建设、刑事合规问题以及技术视角的切入。其中,企业数据合规研究主要围绕法律框架与运作机制的完善[10]、隐私政策的规范[11]以及跨境数据合规体系的创新[12]等议题展开;刑事合规研究关注单位犯罪刑事归责[13]、刑事诉讼中如何对待数据合规等问题[14];技术视角切入的研究主要聚焦于科技助力数据合规的路径[15],或者数据合规科技本身的风险规制[16]等问题。
作为数据合规的重要应用场景,数据交易有望成为推动数据合规实践落地的重要抓手。遗憾的是,目前我国数据交易合规体系的理论研究基本处于空白阶段。有学者通过数据交易场所运营机构的合规创新来论述数据要素合规交易的新范式[17],侧重于数据交易合规实践的描述;有学者提出了数据所有权共有的概念来推动数据合规交易[18],关注的是数据确权与收益分配的问题。还有一些学者通过重构“可交易数据”的范围[19]或者强化个人信息保护[20]来完善数据交易市场的规则体系,间接论述了数据交易合规的相关问题。在我国数据要素市场建设的关键时期,厘清数据交易合规的基本概念,构建合适的理论框架将其应用于实践,具有重要的理论价值与现实意义。因此,本文的研究不仅填补了该领域的空白,也将为我国数据交易合规体系建设提供有力的理论和应用支撑。
二、数据交易合规实践的痛点剖析
我国的数据交易市场借鉴证券交易市场的运作模式,采取的是“所商分离”的发展思路,因此,基于数据交易所的“场内数据交易”生态乃中国独有。在场内交易的语境中,只有获得数据交易所认可的“数据商”资质方能在场内销售数据,未取得资质的数据卖方可以委托数据商入场进行交易。不同于美国将数据商限定为个人信息的收集、处理与销售,在我国,通过各种合法来源收集、处理数据并转化为交易标的出售的企业法人,通过资质审核后,可以在场内申请登记为数据商,因此,从概念上来说,我国数据商的外延更广。由于现阶段法律法规严重滞后,我国数据交易市场面临场内交易合规成本高的入场难、场外黑灰产盛行的监管难以及国际数据合规话语权缺失的作为难等痛点。再加上监管不明确,企业害怕“合规体检”、“不敢入场交易”,即便有交易需求,也会借助场外黑灰产市场以规避合规监管。
(一)痛点一:场内合规成本高导致入场难
一是场内交易占比低。根据工业信息安全发展研究中心的测算,2021年数据要素市场规模约为815亿元,预计2025年规模有望接近2000亿元[21],但当前规范的场内交易占比不足5%[22]。根据我们的统计与估算,2022年全国几大数据交易场所交易金额约为24.32亿元(北京国际大数据交易所、浙江大数据交易中心未披露交易情况)。以数据要素市场发展较为成熟的金融行业为例,其采购规模呈指数级增长,近五年来,采购项目数量复合年均增长率达到40%,年交易量在百亿级别[23],但几乎都为场外采购。
二是合规成本高削弱企业入场交易意愿。传统场内每个交易标的上市均需第三方专业机构出具合规评估证明,服务费用一般从一万到几十万元不等,而场外交易并未对合规做强制要求,较高的入场合规成本导致企业“不愿入场交易”。监管多头、执法边界不明、标准不统一进一步加重了合规性风险和交易成本[24],我们统计发现,2022年深圳数据交易所的数据商中,高达65%的交易标的因入场合规成本压力而暂缓上市,其中不乏龙头企业的成熟数据产品。
(二)痛点二:场外黑灰市盛行导致监管难
一是数据权益难保障。作为数据权益侵害的重灾区,侵犯公民个人信息犯罪案件数量近年来持续保持在高位,2020年,全国检察机关起诉侵犯公民个人信息犯罪6000余人,2021年起诉人数攀升至9800余人,2022年起诉9300余人,非法信息交易犯罪呈现产业化趋势,交易模式甚至订单化,犯罪效率更高、手段更隐蔽,查处难度更大。[25]针对该现状,国家发展改革委等九部门联合发布《关于推动平台经济规范健康持续发展的若干意见》,明确从严管控非必要采集数据行为,依法依规打击黑市数据交易、大数据杀熟等数据滥用行为。
二是场外交易难监管。数据交易市场野蛮生长多年,场外已形成成熟的黑灰产业链。此外,通过调研了解到,国内数据行业现阶段过度依赖事后监管,加之力度有限,故市场仍存侥幸心理,并视合规为不必要成本。因数据交易无实体性,数据流通及交易难以觉察,故在具体案件发生前监管难识别、难介入、难核查。著名黑市交易市场Agartha和Cartel仅35周的收入就达到了9160万美元和3230万美元,相当于美国一个中型公司一年的收入水平。[26]
(三)痛点三:国际数据合规的话语权缺失
一是第三方评估认证机制空白。欧美国家普遍建立了成熟的第三方合规评估认证机制,印章与标识作为认证的视觉化展示,极大提高了市场的合规透明度[27]。欧盟由欧洲数据保护监管局和成员国数据监管机构负责数据交易监管[28],并通过GDPR构建了由欧盟数据保护委员会、欧盟委员会、各国监管机构、各国认证认可机构、第三方评估认证机构组成的一整套认证管理体系[29]。美国则通过悠久的行业自律传统,形成了一套行业自我监管的第三方评估认证体系,打上第三方评估认证的印章与标识是一种保证,即被评估的企业符合特定的数据合规标准,倘若第三方评估存在瑕疵,监管将对该认证机构采取指控行动。[30]当前,数据合规评估与认证机制已经成为国际通行规则,也是平衡数据处理者、监管机构和社会公众之间关系的重要纽带。而我国的数据合规评估依然以自评估或者政府评估为主,数据合规第三方评估认证机制较为空白,相关立法与政策支撑不足。
二是第三方评估市场几乎空白。欧美通过立法与政策的支持,催生第三方评估与认证市场的不断发展,经验丰富的数据合规律师或者安全专家联合发起的Onetrust、TurstArc等智能化第三方评估或认证机构逐步占领全球市场,早在2020年Onetrust估值就高达51亿美元[31],TrustArc则推出了风靡全球的TRUSTe认证,加之传统的ISO认证体系也由BSI(英国标准协会)、DNV(挪威船级社)等国外认证机构主导,目前我国大型企业均委托上述境外机构开展数据合规相关的评估与认证,客观上对境内企业数据安全和国家数据主权带来一定风险。深圳律师协会数据合规法律专业委员会的调研显示,截止到去年年底,全国具备三年以上数据合规评估经验的律师占比不足0.2%,我国数据合规第三方评估市场几乎空白。以隐私/个人信息保护技术供应商为例,中国仅有2家,而美国则以170家的数量遥遥领先[32],并占据了全球主要的市场份额。
三、从静态合规走向动态合规:理论框架的构建
从上述痛点分析中,我们可以提取出若干的模型变量,他们分别是:合规严格程度(严格或者不严格)、合规灵活程度(静态僵化或者动态灵活)、风险程度(高或者低)、合规成本(高或者低),合规意愿(高或者低)。在此基础上,我们可以构建起一个基于类型学方法论的理论模型(见图1)。该模型展示了四种数据交易的合规类型,其中,“合规严格程度”与“合规灵活程度”是两个最基本的调节变量,我们将其作为模型的纵横坐标,其“高低”变化将直接或者间接影响其他变量,并最终确定合规体系的类型。
图1:动态合规基础理论模型
(一)类型学方法论下的变量分析
从数据交易的经验世界出发,可以提取出现实世界中各种合规体系混合成品的基本变量,接下来,通过进一步分析其中的基础变量,可以探究数据交易合规体系的本质特征。诚如卡多佐所言:“在我们能够确定一种化合物的比例之前,我们必须了解将予以混和的成分”。[33]因此,本文所采取的类型学研究方法,更加注重研究过程中的外部视角——一种为了适应广泛的比较研究而采取的事物观察方法[34]。
在我们的模型中,合规严格程度与合规灵活程度是最基础的两个变量,它们在合规体系中的比例,决定了合规模型的类型。其中,合规严格程度主要是由“交易标的流通是否前置合规评估”来决定,它直接影响数据交易合规风险的高低程度,并呈现出负相关关系——合规严格程度越高,交易合规风险越低。合规灵活程度则是由“该合规评估程序的灵活性”来决定,它直接影响数据交易合规成本的高低程度,也呈现出负相关关系——合规评估程序灵活度越低,静态的重复评估次数与内容就越多,合规成本就越高。
实践中,为了提高市场主体的合规意愿,一般的做法是降低合规的严格程度,即采取“弱合规”策略。以场内交易为例,如果不做合规审核,或者降低第三方合规评估的标准,的确会显著降低合规成本,数据商的入场意愿也会极大提高,但随之而来的交易风险却不容忽视——数据合规作为一种新兴的治理模式,并未被市场主体普遍采纳,在缺乏大规模合规“体检”的前提下,当前市面上流通的交易标的“不合规”是主流,采用“弱合规”策略将进一步扰乱市场秩序,劣币驱逐良币的现象可能越来越多地上演,不利于我国数据要素市场的长远发展。
在场内数据标的上市合规审核实践中,会经常遇到采取“弱合规”策略的第三方法律意见书,即律师用降低合规评估严格程度的方式,帮助客户入场交易。比如某法律意见书最后的结论为:“该企业具备参与数据交易的合法主体资格,在获得合法有效的数据授权前提下,其数据产品的数据来源合法合规”。这个结论表面上看没有重大结论性错误问题,数据商也认为自己被评估的数据产品已达到合规标准。但此结论隐含的前提是,该数据产品必须在“获得合法有效的数据授权前提下”才满足来源合规的要求。事实上,经我们调查,该企业的数据产品并未获得上游企业授权,不具备交易的合法性基础。类似的情况不胜枚举,“随便审审”、“不要吓跑企业”成了一些律师或者交易平台的选择,虽然短期内这种策略可以达到促进交易尤其是场内交易的目的,但从长期来看,不利于我国数字经济的高质量发展。
如果降低合规严格程度有风险,那是否有其他方法可以在不增加风险的前提下提高企业的合规意愿?答案不言自明,只能调节另外一个基础变量,即“合规灵活程度”来实现。比起简单粗暴地调节合规严格程度,调节合规灵活程度需要非常精巧的制度设计,才能实现真正的“动态”合规,从而防止一刀切的静态评估。比如,将信用机制引入数据交易合规体系,推进信用分级监管,建立安全可控、弹性包容的治理模式;利用技术手段对交易主体与交易标的进行全流程合规追踪,分环节与维度对被审核标的进行拆分,每次只需审核新增风险部分,从而避免重复僵化审核。
(二)基于模型的推论与类型选择
通过上述分析,我们已经能够掌握两个基础变量的基本调节方式,接下来,我们将进一步通过变量调节结果的组合,构建起数据交易合规体系的类型学模型:一方面,通过调节合规严格程度的高低,可以得到:高严格“合规”体系与低严格“弱合规”体系两种基本的合规策略。需要说明的是,在我们的模型里,只要满足了基本的合规要求,就达到了高严格“合规”体系的要求,因此无论是60分及格合规,还是100分满分合规,都属于高严格“合规”体系的范畴。另一方面,通过调节合规灵活程度的高低,可以得到高灵活“动态”体系与低灵活“静态”体系两个基本的合规评估程序策略。最后,经过两两组合,我们可以得出4种类别的数据交易合规模型:静态合规体系、静态弱合规体系、动态合规体系、动态弱合规体系(见图2)。
图2:动态合规类型学模型
到这里,我们也可以得出“动态合规体系”的基本内涵,即在不降低合规基本要求的前提下,通过提高合规评估机制的灵活度,实现一种场内外全流程数据交易动态治理体系的构建。该体系以数据交易主体的诚信合规责任为基础,以第三方服务机构与数据交易场所运营机构的合规服务为支撑,以数据交易监管部门包容审慎的合规激励为指引,兼顾了严格与灵活的要求,企业的风险最低、合规意愿最高,是四种类型中的最优合规策略。在此基础上,我们还可以结合实践得出以下结论:
目前场外交易无前置的合规评估要求,再加上难以监管,所以极少有交易卖方愿意主动做交易前的合规自评估。既然连合规评估程序都不存在,自然也谈不上评估程序是否灵活。
场内交易有基本的合规要求,且便于监管,如何提高企业的合规意愿,让更多企业入场交易是解决问题的关键。相比场外交易,场内交易对于企业来说最大的考验在于对其合规的考验,企业需要花费直接或者间接合规成本做体检与整改,不愿意做合规基本等于不愿意入场交易,因此,必须提高企业的合规意愿,才能激发入场交易的繁荣。
传统场内交易都是静态合规体系或者降低了合规严格程度的静态弱合规体系。诚然,只要提高合规的动态灵活性,就能够在不降低合规严格程度的前提下,直接降低合规成本,提高企业合规与入场的意愿,实务中,大家之所以不采取这种方式的原因,主要是静态容易,动态难;调节合规严格程度容易,调节合规程序的灵活性难。静态合规本质是“一刀切”,即“为了达成某种政策效果而采用的相对单一的执行标准或/和方式”[35],在市场发展初期,这种方式具有一定的合理性,但从长期来看不利于整个数据要素市场发展,我国数据交易的合规体系亟待创新改革,从静态迈入动态。
四、标准、合规师、信用与AI:范式创新的要素
如前所述,动态合规在理论上虽然是最优的数据交易合规类型,但是需要解决一个问题,就是如何在严守合规底线,不降低合规要求的前提下,通过变量“合规灵活程度”的改善,来满足动态合规的要求。在本章中,我们将梳理出四个创新要素,完成数据交易合规范式的创新,其中“标准”与“合规师”这两个要素是动态合规保障合规底线的基础要素,“信用”与“人工智能”(以下简称“AI”)是动态合规实现动态灵活的效率要素。
(一)标准引领实现合规促交易
在动态合规的理想模型中,数据交易的合规要求不会降低,但实践中,由于立法滞后且短期内也无法填补空白,交易标的流通所需的前置性合规评估成为了“烫手的山芋”——无论是数据卖方还是提供第三方法律评估服务的律师,都不知道“怎么做”才能达到合规的标准;数据交易场所运营机构与数据交易监管部门也还未达成统一标准来判断第三方法律评估机构出具的评估意见是否符合要求。通过制定数据交易标的合规评估标准,可以在立法滞后的情况下有效缓解当前规则缺失的问题,促进数据交易市场的良性竞争与合规经营。此外,制定标准还能有效提高数据交易市场的透明度和公信力,增强市场参与者的信心与合规意识。遗憾的是,我国数据交易合规仍待统筹管理及规划,如评估标准、评估要求、评估流程等方面均存在标准“缺位”,未形成统一的合规评估标准及行业共识。基于此,我们梳理出的第一个范式创新要素就是“标准”,建议依托数据交易所,联合主管机关发布评估标准、认证标准,并根据数据要素市场的发展,不断更新,再通过评估认证,督促数据交易主体不断调整行为,以持续满足合规要求,促进各方利益再平衡。
(二)培育合规师填补产业空白
“标准”之后的第二个要素就是“合规师”,两个要素共同组成了数据合规评估的基础。在数据交易的场景下,通过第三方法律服务机构对交易标的进行评估与认证,不仅可以促进数据交易主体自律合规,也可以帮助监管部门促进监管合规,加强社会公众对数据交易行为的合规信任。欧美国家普遍建立了完善的第三方数据合规评估与认证体系,在实践中也得到产业界的普遍认可。我国不仅缺乏这样的行业自律、企业自我监管机制,也缺乏相关的第三方评估合规人才,更不用说孵化出像OneTrust、TrustArc这样的第三方评估或认证的独角兽企业。结合我国国情,应大力发展数据交易合规师产业,并依托数据交易所,先行探索构建场内数据交易合规师认证体系,标准化合规第三方评估培训体系及能力指数认证。
(三)引入信用实现动态化监管
从国内外数字经济的前沿实践来看,数字技术的发展与立法滞后间存在永恒矛盾。我国数据交易的合规实操,在很长一段时间内都不可避免地以弹性条款、原则条款为主,合规与不合规的边界始终存在较大的模糊地带。在这种情况下,数据交易主体必然害怕监管,数据交易场所运营机构以及数据交易监管部门亦不知如何监管,无奈之下只能选择“一刀切”的静态合规模式以保障基本的合规需求。必须创造性地将“信用”工具引入数据交易合规体系的建设中,进行事前风险防范、事中监督管理与事后监督追责的动态监管,降低数据交易信用成本,促进市场主体合规交易。建议依托数据交易所,探索面向政府端的“诚信合规”监管体系与面向市场端的“信用+合规”动态评级,从而创新数据交易模式,有效打通数据交易监管与数据交易促进的合规堵点,构建数据交易合规的全新范式。
(四)AI系统研发提高合规效率
如果说“信用”工具的应用,是通过交易主体主动的诚信合规,来降低反复进行合规评估与监管的必要性,那“AI”则是通过评估服务与监管的智能化来提高合规效率,降低合规成本。AI技术在合规评估中的应用,主要是通过“基于规则”或者“基于学习”这两种方式来实现。“基于规则”的方式在法律AI技术的应用中,体现为基于规则触发条件,自动输出某种合规判断,目前在国内应用比较成熟的领域为合同的合规性审核。“基于学习”的方式则一般通过决策树模型或者神经网络等机器学习方式,对已有数据进行大规模学习,构建起合规与否的关联推理。在数据交易智能评估的实现路径中,可行的方式是先通过“基于规则”的自动化,实现初步的效率提升,例如,通过制定数据交易标的合规评估清单,来进行合规程度与否的初步判断,并智能化识别合规风险,提示合规整改意见或者合规风险预警。在此基础上再进行数据交易合规垂直领域的AI模型训练,结合数据交易合规知识图谱,进一步提高效率与智能化水平。
五、动态合规视角下数据交易的逻辑转向
动态合规作为一种数据交易合规体系建设的最优解,能够有效将“合规”变成促进交易的手段,并通过场内合规交易的繁荣与牵引,实现场内合规倒逼场外合规,最终构建起构建多层次、多元化的数据交易合规生态体系,凝聚更为广泛的社会共识,推动更为深入的合规行动。
(一)合规激励逆转:从阻碍交易转向促进交易
合规是数据交易的基础,但不是数据交易的目的,数据交易的目的是促成更多交易。传统的静态合规模式,让企业的合规自证成本居高不下,再加上相关监管机制也不完善,导致企业因为“合规”的前置要求而“不敢入场交易”或者“不愿入场交易”。借鉴强化理论的行为路径[36],合规在这里甚至可以被视为一种“负向激励”,强化了企业的“不入场交易”行为。动态合规模式,能够逆转合规评估因为成本问题所带来的对“不入场交易”的行为强化,通过提高合规效率、减少交易风险等多重叠加的“正向激励”,强化企业的“入场交易”行为。同时,通过监管部门的动态协同监管,在尽量减少企业打扰的同时,又能让交易主体认识到不合规的风险,如惩罚性罚款、品牌声誉受损等风险远大于合规治理所支付的成本,从而激励市场主体规范化交易。同时,随着动态合规模型在现实中的逐步应用,合规成本的切实降低,也会进一步正向激励企业主动开展合规评估,并将数据合规融入到公司治理的全过程。
(二)合规场域扩展:从场内交易扩向场外交易
动态合规落地的最佳策略选择,是依托数据交易所,进行场内数据交易合规体系的深度改革,并依托场内数据交易动态合规的信用评价体系,打通监管链路,探索建立跨部门的事前、事中、事后协同监管机制,推进交易异常行为发现与风险预警研究,将数据交易动态合规评估与评级结果运用到行政监管与司法审判过程中,确保数据依法合规开展交易,破解数据交易监管难题。一旦场内交易的合规优势形成,必将倒逼场外交易的合规改革,实现合规场域的充分延展。因此,这里的逻辑转向属于分支转向,最终目标是建立合规高效、场内外结合的数据要素流通和交易制度。合规场域的扩展,也意味着数据交易“黑灰市”乱象可以得到有效遏制,数据权益的保护也有了全域的合规抓手,企业主动合规、诚信合规有望成为主流。
(三)合规共识凝聚:从行业共识走向社会共识
在动态合规体系的落地过程中,数据交易合规作为一种社会共识也将逐步形成。在第一阶段,通过合规评估标准的打造,形成数据场内交易的合规共识,本阶段的共识主要是数据交易场所运营机构、第三方服务机构与交易监管部门达成法律人的行业合规共识,打造专业高效评估的效率底座。第二阶段,通过对数据交易主体的普法教育,提高其参与意识,以交易个案逐步积累形成交易标的所在垂直行业领域的合规共识,构建覆盖全行业的数据交易合规氛围。第三阶段,通过对普通民众数据权益的良好保护与整个数据交易法治化、信用化营商环境的构建,加快在全社会形成重视数据交易合规的舆论氛围和良好预期,从而形成全社会的合规共识,达成观念上的共鸣,合规自然就会成为数据要素市场发展的核心价值观。
六、“动态合规理论”的深圳探索与实践
深圳数据交易所从2023年2月份开始,正式启动“动态合规”体系改革,试图通过“深圳标准”的引领,探索打造国内首个数据要素流通法治化营商环境高地、全国首个数据交易合规师产业集聚区以及全国首个数据交易动态合规协同监管试点,争创数据交易法治建设领域的多项全国第一。短短几个月时间,已经初步形成一批改革成果,具体的实践经验总结如下:
(一)启动“深圳标准”下的动态合规协同监管试点
一是推动制定《数据交易标的合规评估规范》地方标准。在深圳市发展和改革委、深圳市司法局等指导下,深圳数据交易所联合福田区司法局、深圳市北鹏前沿科技法律研究院、深圳市标准技术研究院,结合现有立法、司法与行政实践,立足深圳数据要素市场化特点,牵头制定《数据交易标的合规评估规范》地方标准,在全国首创“3×4”数据交易合规评估体系,分3个环节与4个维度对数据交易合规评估进行实操指导,规定了各类组织交易数据标的应遵循的合规要求,从而规范数据交易活动、保障数据依法合规有序流通,并通过场内交易的合规引领,加速倒逼场外交易合规建设。
二是打造数据交易动态合规协同监管试点。在福田区司法局支持下,试点在依法治区委员会下设企业合规协调小组,推动出台推动数据交易合规建设、优化法治化营商环境的相关工作方案。与国际接轨,探索构建市场化的数据合规标准、认证与标识体系。需要注意的是,该认证体系属于交易平台对上市产品的内部认证,未被纳入《中华人民共和国认证认可条例》的监管范畴。同步构建由监管机构、深圳数据交易所、第三方评估机构组成的市场化认证管理体系,鼓励行业自律、数据商自我监管,提升数据要素市场“圳品”影响力。积极应对国外数据合规壁垒,推动深圳标准、认证、标识走出去,提升我国参与国际数据规则制定的话语权。
(二)率先开展数据合规评估第三方服务业培育
一是依托深圳数据交易所,培育数据交易合规师产业。在深圳市发展和改革委的指导下,推行“数据交易合规师”专才计划,搭建“培训+考核+认证+评级”四位一体的人才建设体系,培养一批“懂数据、懂交易、懂合规、懂数据资产价值挖掘”的复合型合规人才。深圳数据交易所已于4月底正式对外发布国内首个“数据交易合规师”培训、考核与认证体系,吸引了来自全国各地的631位律师、公司法务、IT、数据安全、审计人员等等相关从业者提交资质审核,截至7月26日,已完成127位学员的培训、认证与考核工作,并颁发认证证书。同步开启“数据交易合规评估法律服务机构库”成员注册工作,解决数据商进行场内交易找谁评估的问题,不到三个月的时间,已有境内外148家律所申报入库,其中112家律所完成首批入库资质审核。
二是打造全国首个数据交易合规师产业集聚区。由深圳数据交易所牵头,联合司法行政部门,依托深圳丰富的律师资源,引导和培育更多专业律师担任数据交易合规师。推动国内首个聚集数据交易合规师人才资源的“数据产业园公共法律服务中心”项目在福田数据要素全生态产业园落地,依托数据交易合规师为数据交易企业、数据商等提供“嵌入式法律服务、互动式普法宣传、动态式合规体检”等多维度现代化公共法律服务。同步配套多元化数据交易争议解决模式创新,便捷化解决数据交易纠纷。
(三)引入信用机制探索包容审慎的动态监管体系
一是引入信用机制,探索包容审慎的动态监管体系。深圳数据交易所牵头制定《数据交易动态合规指引》,探索“法治+信用”动态协同监管体系,构建以诚信合规为核心的信用监管机制,从事前高门槛准入,高标准审查、高成本管理,变成事前“信用核查+信用承诺”,事中“信用监测+信用预警”,事后“信用激励+信用惩戒”,构建数据交易良好信用环境,增进数据交易主体间的信任,降低数据交易的制度性成本。
二是初步构建数据商、第三方法律服务机构、数据交易合规师三大主体的信用评级机制。在深圳市发展和改革委、深圳市市场监督管理局(信用办)的指导下,深圳数据交易所率先在全国开启数据交易信用体系建设试点,首批面向数据商、第三方法律服务机构、数据交易合规师三类主体从不同维度构建信用评级指标,并建立动态评级机制。例如针对数据商,从自主自治、市场自律、行业监督和政府监管四个维度构建指标体系,并将信用评级结果应用在合规管理方面,等级高的可适当减少合规服务频次,降低数据交易的合规成本。
(四)AI系统研发提高合规效率
一是自主研发数据交易合规评估模型和智能算法。初期针对训练数据稀缺问题,深圳数据交易所邀请专家广泛参与,使用AHP(层次分析法)确定各评估环节与维度的初始权重,在此基础上,基于深圳数据交易所数据样本的积累,利用机器学习,逐步建立起合法、安全、诚信与权益保障四个合规维度,以及主体合规、标的合规与流通合规三个具体环节的风险推理动态模型。同时,使用NLP(自然语言处理)与CV(计算机视觉)技术智能采集数据交易合规相关问题,并配套可视化技术实现数据交易合规风险分析等功能,可识别合规风险超过500项。
二是打造四端联动的数据交易合规评估系统。面向数据商端,研发数据交易合规AI自测工具;面向律师端,研发第三方合规评估审核AI辅助工具;面向审核端,研发产品上架合规审核AI辅助工具;面向监管端,研发监管端动态合规评级与风险预警工具。以上四个系统均在内测或研发过程中,将逐批上线公测。同步配套智能答疑交互模块,通过深圳数据交易所自研法律知识图谱,结合最新的AIGC(生成式人工智能)预训练大语言模型技术,提供数据交易合规答疑、数据交易政策法规文件查询、数据交易行业案例演示等智能答疑功能。
七、结语
以合规严格程度与合规灵活程度作为基础变量,我们通过类型学的分析方法得出了四种不同的合规体系类型,论证了“动态合规”这一合规体系建设的最优解。必须承认的是,合规严格程度以及合规灵活程度作为基础变量,并非合规体系构建和发展的唯一因素,亦不能充要决定合规范式的优劣。考虑到在当前数据交易的实践中,“严合规”与“促交易”之间的矛盾,俨然已成为阻碍数据要素高效利用的最大障碍,如何在有限的条件下,因时制宜,摸索出破局之道,成为了改革的关键。因此,我们抛开了其他可能的建模因子,最大化简练合规体系类型模型的构建,以期能拨开数据交易乱象的迷雾,看清可以摸索的改革前路。
合规发展是数据要素市场高质量发展的必然,以数据交易为应用场景,以场内倒逼场外合规为目标,是现阶段推动数据合规高效流通的关键驱动力。从某种意义上来说,场内数据交易是市场主体迈入数据要素市场的“成人礼”——通过可交易数据的“盘点”,释放数据资产的价值挖掘潜力;通过数据标的上市前的“质检”,激发数据合规的内生发展动力。深圳数据交易所的动态合规改革,是一场通过合规理论体系的创新与实践,来打通合规行为与合规监管之间堵点的先行实验,最终目标是通过合规范式创新,打造覆盖数据交易主体、第三方服务机构、数据交易场所运营机构以及数据交易监管部门四个参与主体的动态合规链路,从而实现“合规标准-合规执行-合规监管”的逻辑闭环。
//参考文献
[1] OTTO P N, ANTÓN A I, BAUMER D L. The choicepoint dilemma: how data brokers should handle the privacy of personal information[J]. IEEE Security & Privacy, 2007, 5(5):15-23.
[2] EUROPEAN DATA PROTECTION SUPERVISOR. Privacy and competitiveness in the age of big data: The interplay between data protection, competition law and consumer protection in the Digital Economy[R/OL]. (2014-03-26)[2023-08-12]. https://edps.europa.eu/sites/default/files/publication/14-03-26_competitition_law_big_data_en.pdf.
[3]HOOFNAGLE C J. Big brother's little helpers: how choicepoint and other commercial data brokers collect and package your data for law enforcement[J]. NCJ Int'l L. & Com. Reg., 2003, (29): 595-637.
[4] BRILL J. Demanding transparency from data brokers[N]. The Washington Post, 2013-08-15.
[5] SIMON L D. Netpolicy. com: public agenda for a digital world[M]. Washington DC: Woodrow Wilson Center Press, 2000:132–153.
[6] FEDERAL TRADE COMMISSION. (2014). Data brokers: a call for transparency and accountability[R/OL]. (2014-05-27)[2023-08-12].https://www.ftc.gov/system/files/documents/reports/data-brokers-call-transparency-accountability-report-federal-trade-commission-may-2014/140527databrokerreport.pdf.
[7] GUAY R, BIRCH K. A comparative analysis of data governance: socio-technical imaginaries of digital personal data in the usa and eu(2008–2016) [J]. Big Data & Society, 9(2).
[8] YEH C L. Pursuing consumer empowerment in the age of big data: a comprehensive regulatory framework for data brokers[J]. Telecommunications Policy, 2018, 42(4): 282-292.
[9] KUEMPEL A. The invisible middlemen: a critique and call for reform of the data broker industry[J]. Northwestern Journal of International Law & Business, 2016, 36: 207.
[10]胡玲,马忠法.论我国企业数据合规体系的构建及其法律障碍[J].科技与法律(中英文),2023(02):42-51.
[11]李延舜.隐私政策在企业数据合规实践中的功能定位[J].江汉论坛,2020(10):136-144.
[12]梅傲,侯之帅.互联网企业跨境数据合规的困境及中国应对[J].中国行政管理,2021(06):56-62.
[13]敬力嘉.单位犯罪刑事归责中数据合规师的作为义务[J].北方法学,2021(06):97-108.
[14]李玉华.数据合规与刑事诉讼[J].北京航空航天大学学报(社会科学版),2022(02):29-31.
[15]张铁薇,刘旭杰.隐私科技驱动下金融数据合规的治理路径[J].商业研究,2022(06):145-152.
[16]唐林垚.数据合规科技的风险规制及法理构建[J].东方法学,2022(01):79-93.
[17]常艳,刘作丽.探索数据要素合规交易新范式[J].前线,2022(08):75-78.
[18]杨毅.数据权属与合规交易研究[J].武汉金融,2021(05):82-88.
[19]徐玖玖.从“数据”到“可交易数据”:数据交易法律治理范式的转向及其实现[J].电子政务,2022(12):80-89.
[20]苗泽一.数据交易市场构建背景下的个人信息保护研究[J].政法论坛,2022(06):55-65.
[21]国家工业信息安全发展研究中心.中国数据要素市场发展报告(2021-2022)[R/OL].(2023-11-25)[2023-08-12].http://www.cics-cert.org.cn/web_root/webpage/articlecontent_101006_1597772759436365826.html.
[22] 南都大数据研究院.合规交易通道未普及,超九成数据交易来自“场外”[N].南方都市报,2022-04-06(16).
[23]上海数据交易所研究院.金融业数据流通交易市场研究报告[R].2022.
[24]李三希,李嘉琦,刘小鲁.数据要素市场高质量发展的内涵特征与推进路径[J].改革,2023(05):29-40.
[25]最高人民检察院.依法严惩侵犯公民个人信息犯罪,2022年检察机关起诉9300余人 [EB/OL].(2023-03-02)[2023-08-12].https://www.spp.gov.cn/xwfbh/wsfbh/202303/t20230302_605284.shtml.
[26]HOWELL C J, MAIMON D.Darknet markets generate millions in revenue selling stolen personal data, supply chain study finds[R/OL]. (2022-12-02)[2023-08-12].https://theconversation.com/darknet-markets-generate-millions-in-revenue-selling-stolen-personal-data-supply-chain-study-finds-193506.
[27]HORNUNG G, BAUER S. Privacy through certification?: The new certification scheme of the general data protection regulation[M]. in Rott, P. (ed.) Certification-Trust, Accountability, Liability. Heidelberg: Springer, 2019: 109-131.
[28]田杰棠,刘露瑶.交易模式、权利界定与数据要素市场培育[J].改革,2020(07):17-26.
[29]KAMARA I, DE HERT P. Data protection certification in the EU: Possibilities, actors and building blocks in a reformed landscape[M]. In: Rodrigues R, Papakonstantinou V (eds) Privacy and Data Protection Seals. Hague: TMC Asser Press, 2018: 7-34.
[30]Federal Trade Commission. TRUSTe Settles FTC Charges it Deceived Consumers Through Its Privacy Seal Program[EB/OL] . (2014-11-17)[2023-08-12]. https://www.ftc.gov/news-events/news/press-releases/2014/11/truste-settles-ftc-charges-it-deceived-consumers-through-its-privacy-seal-program.
[31]TAN G, ROOF K. OneTrust Valued at $5.1 Billion as TCV, Insight, Coatue Invest [N /OL]. (2020-12-21)[2023-08-12]. https://www.bloomberg.com/news/articles/2020-12-21/onetrust-valued-at-5-1-billion-as-tcv-insight-coatue-invest#xj4y7vzkg.
[32]IAPP . 2022 Privacy tech vendor report [R /OL]. (2022-10)[2023-08-12]. https://iapp.org/media/pdf/resource_center/2022TechVendorReport.pdf.
[33]本杰明·卡多佐.司法过程的性质[M].苏力,译.北京:商务印书馆,2001:8.
[34]王青兰.敲开司法类型的责任之门——一个基于达玛什卡类型学的延伸思考[D].广州:中山大学,2011:5.
[35]张璋.政策执行中的“一刀切”现象:一个制度主义的分析[J].北京行政学院学报,2017(03):56-62.
[36]B·F·斯金纳.超越自由与尊严[M].贵州:贵州人民出版社,1988:5-14.
END
往期推荐 ·
深数所动态:
精彩活动:
精彩观点:
联系我们
深圳数据交易所作为深圳交易集团所属企业,积极秉承深圳交易集团恪守“廉洁从业”和“服务质量”两条生命线的理念,将以“锐意进取,开拓创新”的创业精神积极寻求数据治理、数据安全、数据流通等各类合作机会,并审慎探索跨境数据流通交易和监管协调机制,逐步完善数据要素市场化交易服务平台、信息枢纽、登记中心、应用载体等功能建设,欢迎各位合作伙伴和专家学者积极参与数据要素生态圈共建,并提出宝贵建议!
更多业务垂询请发送邮件至marketing@szdex.com
-End-
扫码关注我们
深圳数据交易所
SHENZHEN DATA EXCHANGE