毕马威中国首席经济学家康勇：快跑之后，大数据治理怎么破壁？

毕马威中国首席经济学家康勇：快跑之后，大数据治理怎么破壁？周杰伦大灌篮 疫情给大数据产业带来了什么新变化？毕马威中国首席经济学家康勇表示，大数据在公共卫生事件及社会治理中的重要性得到体现，同时政府数据共享也成为新的突破点，实现了收集疫情相关数据

疫情给大数据产业带来了什么新变化？毕马威中国首席经济学家康勇表示，大数据在公共卫生事件及社会治理中的重要性得到体现，同时政府数据共享也成为新的突破点，实现了收集疫情相关数据和发布疫情统计数据的实时性和准确性。

2019年数字经济占GDP比重达到36.2%，中国尚未制定统一的个人信息保护专门法。康勇认为，制定个人信息保护法要结合数字经济的发展特点，一方面，制度设计要兼顾个人信息保护、创新与效率等价值目标；另一方面，也要充分认识到中国与发达国家在制度环境、产业发展状况等方面的差异，可部分借鉴，但不能照搬。

随着数据价值的凸显，数据的跨境流动不可避免，数据跨境流动的安全性管理引起关注。康勇建议，在保证数据跨境流动的合法性、正当性、必要性的前提下，加快推动数据传输、数据存储等技术，提升数据防护水平。另外，推动制定数据出境的国际管理规则，建立健全数据跨境取证、境外管辖等国际协调机制。

信息保护难在哪儿？

：疫情给大数据产业带来了什么新的变化？

康勇：此次新冠肺炎疫情的防控工作中，包括大数据分析和人工智能在内的高科技手段被广泛应用在疫情监测分析、病毒溯源、防控救治、资源调配等环节，效果显著，体现了大数据在公共卫生事件及社会治理中的重要性。例如智能手机上的“健康码”成为了帮助疫情防控的个人电子通行证，为推动企业健康合理的复工复产提供了便利；生鲜电商、在线教育、网络视频会议、线上医疗咨询、直播电商等数字经济新业态也正在改变传统的生产和消费习惯。

政府数据共享的重要性也在此次新冠肺炎疫情中得到了很好的体现，政府部门利用数据共享平台协同统计并核验确诊病历人数、疑似病例人数和死亡人数等相关数据，这里面有海量数据查询和校验技术的运用，实现了收集疫情相关数据和发布疫情统计数据的实时性和准确性。

除此以外，今年两会首次把“新基建”写入政府工作报告，新基建的权威解释主要包括三方面内容：一是信息基础设施，二是融合基础设施，三是创新基础设施。这三个大的方面无一不贯穿着大数据的应用，新基建将充分发挥数字对经济发展放大效应，对产业链实行改造，有助于突破产业发展瓶颈，培育新的服务与消费模式，实现经济增长由传统要素驱动、投资规模驱动向创新驱动转型。

：大数据产业快速发展，还有哪些因素加速了这一趋势？

康勇：主要因素包括两点：第一是中国所拥有的海量的数据。当前，全球正处于大数据变革的新时代，移动互联网、智能终端、新型传感器快速渗透到地球的每一个角落。英特尔公司预计，到2020年全球数据使用量将达到约44泽字节（1泽字节约为10万亿亿字节），涵盖经济社会发展的各个领域，特别是中国产生的数据量将达到8泽字节，约占全球总数据量的五分之一。正是建立在中国海量数据之上，大数据、云计算、人工智能等新技术、新产业才有可能实现颠覆性创新，由此产生的革命性影响将重塑生产力发展模式，重构生产关系和组织方式，提升产业效率和管理水平，提高政府治理的精准性、高效性和预见性。

第二是国家层面对以大数据产业为代表的新经济发展的支持。中国现在正处于从传统产业型经济向以数字经济为代表的创新型经济转变的过程中，进一步鼓励数据的开放和利用是新经济发展不可或缺的必要条件。2017年工业和信息化部正式印发的《大数据产业发展规划（2016－2020年）》（以下简称《规划》），就提出要以“推动促进数据开放与共享、加强技术产品研发、深化应用创新为重点”；而同年开始正式实施的《网络安全法》也专设“网络安全支持和促进”一章，特别指出鼓励数据开放和利用，其第42条第1款还赋予了利用匿名化数据的自由，这一被称为“大数据条款”的规定为企业创新打开了大门。

：企业通过数据获得客户画像，用户的个人信息如何被保护？

康勇：中国已经陆续颁布和实施了一系列个人信息保护的法律法规，其中将于2021年1月1日开始实施的《民法典》中的《民法典人格权编》专章规定了隐私权和个人信息，明确强调自然人享有隐私权，自然人的个人信息受法律保护，处理个人信息应该遵循合法、正当、必要原则。

所以，对用户个人信息的保护除了建立法律保障外，也需要从企业和个人用户两方面努力。对企业而言，可以积极利用科技手段，更好的保护消费者隐私。对个人用户而言，国家网络监管部门、消费者协会等组织也可以加大宣传、教育和引导，提升个人用户尤其是未成年用户的自我防范意识，以及如何在个人隐私遭到泄露时，合法合理的利用相关法律法规进行维权。

：2019年数字经济占GDP比重达到36.2%，中国尚未制定统一的个人信息保护专门法，难点在哪里？

康勇：个人信息保护是一个重要法律命题。各个国家都在持续地制定和修改相关立法，完善个人信息保护的规则，维护个人信息主体的权利，并对数据的权属、数据的利用规则以及数据各方主体之间的权利配置问题持续探讨。全球很多国家和地区都制定了专门的个人信息保护法，确立了包括个人信息收集和使用、跨境传输、登记注册以及泄露通知等制度。

截至目前，中国并未制定统一的个人信息保护专门法。在个人信息保护领域，目前采用的是分散立法模式，立法体系由法律、法规、规章以及各类规范性文件等共同组成。个人信息保护的立法过程中所面临的最大挑战在于如何重新定位和统一定位个人信息属性和保护的模式，做到既保护个人的权利，又促进整个数字经济的发展。备受各方关注的《个人信息保护法》在2018年就被列入十三届全国人大常委会立法规划，目前法工委正在会同有关部门研究论证，加紧推进《个人信息保护法》的起草工作，将按照立法工作计划，适时提请常委会审议。

随着互联网的迅猛发展，个人信息收集以及利用的场景和方式都发生了巨大的变化，传统的个人信息保护的相关规则正在面临着挑战和变革。数字经济时代的分享经济等新型商业模式、经营方式等也与传统产业有很大不同，传统的治理模式已不再适应新兴经济态势的发展。法律法规政策的制定不能削足适履，硬性要求新事物符合旧事物的政策框架，而是需要因时制宜地调整或者制定新的监管政策。既要做到数据安全保护，又要促进数字经济发展，为数字经济营造开放包容的发展环境。

：在数据安全方面，数据的跨国流动存在哪些安全隐患，有何建议？

康勇：随着经济全球化以及信息技术的快速发展，全球经贸合作、技术交流、资源分享等跨国活动日益频繁，使跨境服务和数据流动日益频繁。但数据的跨境流动和管理存在不少潜在的风险，首先可能会引发用户数据泄露以及被滥用的问题，给用户带来经济损失甚至人身伤害；其次，与国家安全、经济发展，以及社会公共利益密切相关的重要数据的跨境流动，还可能使得数据流入国挖掘出流出国的国家重要战略信息，给国家安全和社会公共利益造成威胁。有国家主张全球数据自由流动，意在利用遍布全球的企业分支机构占据数字经济竞争的制高点，但此种数据自由流动的前提，依然是保障国家安全不受威胁。

随着数据价值的凸显，数据的跨境流动不可避免，数据跨境流动的安全性管理值得关注，在保证数据跨境流动的合法性、正当性、必要性的前提下，加快推动数据传输、数据存储等技术，提升数据防护水平。另外，推动制定数据出境的国际管理规则，建立健全数据跨境取证、境外管辖等国际协调机制。

数据主权、数字经济已经成为各国高度关注的全球性问题，各国立足自身实际情况和政策基准制定这一领域的数据治理规范，会对他国产生“规范溢出”的影响，数据的高流动性会使其向监管较宽松、更有利于数字经济发展的地区流动，所以数据治理也必然需要全球各国之间紧密配合。

数字治理怎么破壁？

：在企业方面，数据治理目前处于怎样的阶段，核心问题是什么？

康勇：目前大多数企业的数据系统建设为“烟囱式”，各个系统如同烟筒一样独立支持业务应用，仅在功能层面有少许交互，而企业未建立统一的数据汇总、整合平台，导致各个系统之间的数据壁垒严重，数据无法释放价值。

为了使公司数据的交互、整合、使用更加流畅，减少数据间的问题和冲突，企业应建立统一的数据规范，也就是数据标准。数据标准从业务属性、技术属性和管理属性三方面定义了数据分类、数据标准名称、业务定义、取值范围、数据类型、数据长度、数据定义部门等内容。从企业角度来看，应将数据标准落实在系统开发中，保证系统中产生的新数据满足数据规范要求。

数据的价值在于流动。除了企业内部数据治理以及企业与消费者之间的连接，企业间的数据流动同样值得重视。就中国而言，企业间数据共享的典型应用是数据交易所模式。但限于价值评估方式不明确、相关法规标准缺失、权属界定存在困难、交易技术链条有待完善等问题，数据交易所面临诸多难题。整体来看，企业间的数据流动有待进一步“破题”。

：数据治理的关键环节有哪些？

康勇：企业在开展数据治理时可以参照“数据管理能力成熟度评估模型”( Data Management Capability Maturity Assessment Model)，构建一个系统的数据治理整体框架。这个框架通常包括以下四个关键环节：第一，数据战略：企业端数据治理的整体策略和方向；第二，数据资产盘点：数据治理工作的先行任务，明确企业数据的范围和分布；第三，数据规范：打破数据壁垒，实现数据互通和共享；第四，企业数据治理三道防线：实现数据质量闭环管控。

其中数据战略的制定是企业数字化转型工作开展的首要工作，也是最为重要的工作，数据战略是组织开展数据工作的愿景、目的、目标和原则，是组织开展各项数据相关工作的宗旨和指引，同时也是企业数据治理的方向。

“数据治理三道防线”是数据管理的组织架构，是数据管理全面化、体系化的具体体现。“三道防线”中的第一道防线为业务管理条线，主要负责本业务管理条线的数据治理，实施数据源头管控，负责相关业务制度的制订、执行、日常检查和持续改进，管理业务领域数据源，落实数据质量控制机制，执行数据治理相关工作要求，及时收集业务管理条线的数据问题和数据需求，动态调整制度、流程、数据控制措施，提出数据治理体系和数据管理工作提升建议。

第二道防线为数据治理管理条线，主要负责实施数据治理体系建设，协调落实数据管理运行机制，制定和实施系统化的制度、流程和方法，发挥其对一线部门的设计、管理、控制、指导和监督作用，实现数据统一管理和有效运营，组织推动数据在企业经营管理流程中发挥作用；并对条线的风险进行识别、计量、监测和控制，将数据治理融入到业务流程、产品创新和日常管理当中，提升第二道防线穿透式数据风险管控效果。

第三道防线为审计监督条线，应以促进企业经营目标和数据战略的实现为出发点，强化以数据问题为导向的内部审计和检查，对重点业务和管理领域开展检查，揭示重大违法违规数据问题和重大数据风险，对企业数据治理状况进行再评估；对第一、二道防线的管理措施和效果进行再评估、再监督；对数据治理的整体有效性进行再评估；向董事会和高级管理层提出独立的建议和报告，并建立常态化整改持续跟踪机制，强化审计成果利用。

：数据治理，政府应该承担何种角色？

康勇：政府在数据治理工作中担任多重角色，既是数据治理的参与者，又是推动者和监管者。从参与者角度来看，各级政府通过搭建共享平台，实现政府部门内部政务服务数据的互联互通和共享，提高政务服务效率和质量。在此次新冠肺炎疫情的防控中，也体现了政府数据共享的重要性，政府部门利用数据共享平台协同统计并核验确诊病历人数、疑似病例人数和死亡人数等相关数据，这里面有海量数据查询和校验技术的运用，实现了收集疫情相关数据和发布疫情统计数据的实时性和准确性。

从推动者角度来看，政府在履行行政职能、管理社会公共事务等的过程中掌握了大量数据，这些数据是社会的公共资源，在保障国家秘密、商业秘密和个人隐私的前提下，如果将政府数据最大限度地开放出来，让社会进行充分融合和利用，有利于释放数据能量，驱动经济发展和技术创新。从中国的数据开放程度来看，自2012年上半年上海市推出全国第一个政府数据开放平台起，截至2020年2月，中国已陆续上线90多个符合政府数据开放基本特征的中央部委、地级市及以上平台。但与发达国家如美国相比，目前仍在国家层面缺乏对政府数据开放的明确规则指引和立法，专门立法相对滞后，亟待进一步建立健全相关政策法规体系。我们可以借鉴美国等国际立法以及各地区先行先试的经验，制定开放政府数据的专门立法，建设统一的国家级政府数据开放平台，有效提升政府数据开放的力度，助推数字经济的高质量发展。

：数据公开与隐私保护，如何取得平衡？政府如何构建数据治理制度体系？

康勇：随着互联网的迅猛发展，个人信息收集以及利用的场景和方式都发生了巨大的变化，传统的个人信息保护的相关规则正在面临着挑战和变革。例如，数字经济时代的分享经济等新型商业模式、经营方式等与传统产业有很大不同，传统的治理模式可能与新经济的发展不匹配。因此政府在构建数据治理的制度体系，制定相关的法律法规政策时也不能削足适履，硬性要求新事物符合旧事物的政策框架，而是需要因时制宜地调整或者制定新的监管政策。既要做到数据安全保护，又要促进数字经济发展，为数字经济营造开放包容的发展环境。

因此，当前制定个人信息保护法要结合数字经济的发展特点，一方面，制度设计要兼顾个人信息保护、创新与效率等价值目标；另一方面，也要充分认识到中国与发达国家在制度环境、产业发展状况等方面的差异，可部分借鉴，但不能照搬；设计制度时，要珍惜数字产业多年来快速发展所创造的成果，稳住节奏推进数字产业规范发展。数字经济时代，数据可以看作是一种社会资源，在制度设计时，应该尽量使数据资源的流动和分配更方便、更容易，从而提高各项经济资源的使用效率，最大化地发挥出数据的价值。我们建议制定数据治理政策时可以参考以下四个原则：鼓励创新、开放包容、多方参与、协同治理。

：数据大生态如何实现可持续发展？

康勇：数据大治理需要多方主体共同参与、各司其职、协调配合，形成数据治理的动态生态系统。而实现该生态系统的可持续发展则需要定期对治理效果进行评估，需要构建多层次、多维度、多角度的立体指标体系。

评估数据大治理的效果，需要同时考虑产业发展、个人信息保护和数据安全，亦即在发展和安全这两个最基本的价值之间，通过多主体的努力，寻求最佳的动态平衡点。因此，在指标框架的示例中，可将指标体系分为三个类别，分别为：数据产业发展指标、个人信息保护指标、数据安全指标。

“数据产业发展指标”，主要考察数据产业本身发展情况以及数据对整体经济社会发展的贡献程度。一方面，需要考察数据产业的发展情况，另一方面，数据作为生产要素对于经济社会发展的贡献程度，可以通过考察数据对于驱动GDP的贡献程度来评估。

“个人信息保护指标”主要着眼于对于个人基本权益的保护，通过个人信息保护的立法、执法、行业标准和规则的制定、企业合规、及个人信息保护意识等五个不同的维度来考察这一领域的治理效果。

“数据安全指标”主要从数据引发的公共安全、国家安全、产业安全维度出发进行构建，考察立法框架、执法效能、配套规则、安全产业、企业合规以及国际合作等多主体、多层次的指标评估。