2023年3月31日，由中国信息通信研究院安全研究所主办、数据安全共同体计划承办的智享数安系列“数据产权：制度构想与技术实现研讨会”在京成功召开。研讨会聚焦《中共中央国务院关于构建数据基础制度更好发挥数据要素作用意见》（以下简称“数据二十条”）中数据产权制度，邀请来自学界、业界的法律和技术专家从不同角度探讨了数据产权制度，以期为数据产权的制度落地与技术实现建言献策。

　　会上，中国信息通信研究院安全研究所数据安全事业部陈湉主任代表主办方作开场致辞。陈湉主任介绍了此次会议的发起背景，期待“数据安全共同体计划”能够成为法律与技术多方专家对谈的沟通平台。

　　主题演讲阶段，来自学界、业界的法律专家和技术专家围绕数据产权问题作主题演讲。

　　对外经济贸易大学法学院许可副教授作《数据三权分置的财产法阐释与反思》主题演讲。许可指出，“数据二十条”构建了数据资源持有权、数据加工使用权、数据产品经营权三权分置的数据产权制度，但还存在三权各自含义为何、三权之间关系如何、三权是否代表全部数据权利等悬而未决的问题，仍然需要从政策话语转向法律话语，将政策话语中的权利转变为法律语境下的权利。

　　许可从财产权设置的权利球、权利束、权利块不同结构的解读出发，指出三权分置未采纳权利球结构，而是建立在“权利束”结构之上，淡化所有权而重视使用权，从而数据三权呈现出相互分离、彼此独立的样态，实现多元主体、多元利益并存。其中，“数据资源持有权”即数据控制者就其合法持有的数据集合排除他人侵害之权利，重点在于排除他人侵害的“排他”权，而非“支配”；“数据加工使用权”可分为“数据加工权”和“数据使用权”，在权利束结构下，应理解为“许可他人加工使用权”，便利数据的用益价值；“数据产品经营权”并不要求创新性或实质性投入，而是经过加工的数据即构成数据产品，从而形成原始数据和经过加工后的数据产品，但实践中界定加工仍然存在难度，经营权可以从广义上处分权角度理解，便利数据的交换价值。

　　最后，许可指出，目前数据三权分置以“数据处理者”和“企业数据”为中心，未能兼顾个人数据和公共数据的特殊性，也未能有效容纳国家管制、回应数据权利的开放性等问题，未来可以结合权利块结构，对标标准化、类型化的数据权利关系，形成公共数据权利、非公共数据权利等不同的权利模块。

　　对外经济贸易大学数字经济与法律创新研究中心朱悦研究员聚焦《数字广告的数据权属》展开主题演讲。朱悦指出，数字广告市场是数据要素市场的典型样例，但现实中数字广告要素市场面临来自个人信息权益的约束、守门人的隐私约束以及监管侧“两头强化”等紧张约束，未来需要认真对待个人权益保护和治理模式选择，扩张数据要素市场的“解空间”。

　　就个人信息权益的约束，朱悦认为目前存在着扩张个人信息的界定、扩张个人信息处理者界定、限缩可用的合法性基础以及其他规定，最终导致数字广告生态面临合法性挑战。谷歌、苹果等守门人也正在通过归因报告、主题、隐私预算等加强隐私约束，还包括借由隐私沙盒中其他组件、交易环境、基础硬件等多重要求，进一步控制数据的流动。从欧盟动向来看，监管侧还在持续补强个人信息权益，包括《数字市场法》《数字服务法》中数字广告相关规定，《数据法案》《人工智能法案》《数字公平法案》等立法中也有所涉及；同时欧盟委员会、英国ICO等监管机构也会针对隐私沙盒进行公开调查。

　　朱悦指出，对于个人信息保护中核心概念的收缩或放大，便会根本性改变数字广告市场的监管，而监管侧与守门人的合作与治理，包括治理手段、合作对象等选择，也会对数字广告市场产生重大影响，应当认真对待个人信息保护和治理模式选择，扩张数据要素市场的“解空间”。

　　上海观安信息技术股份有限公司战略规划部首席顾问谢江围绕《数据安全技术体系》作主题演讲，对我国数据安全产业技术发展形势、数安全技术体系组成、数据产权相关安全技术等内容进行介绍分析。

　　谢江指出，我国数据安全服务商位于数据安全产业链中游，包括综合类数据安全服务商和垂直类数据安全服务商，并通过研发、并购、合作、延伸产品等手段不断丰富自身业务种类，根据数据安全服务内容大致可以分为数据安全咨询商、服务商、传统厂商、集成商、测评机构等。数据安全技术可以分为边界安全、访问控制和授权、审计监控、数据保护等类型，也可以分为数据安全基础技术、衍生技术和综合技术；基于数据安全应用场景，数据安全产品包括数据安全系统产品、数据安全生命周期保护产品以及数据安全服务。

　　从数据要素的基本特点出发，谢江指出数据要素流动中的安全问题涉及基础设施安全、数据自身安全与交易活动安全，应坚持数据交易活动合法合规、供需双方后果责任共担、个人信息保护贯彻执行、交易过程可溯可控等原则，保障数据交易对象、交易参与方以及交易过程安全。

　　京东集团数据安全与隐私合规高级专家李然作《数字营销场景下数据匿名化与使用》主题演讲。

　　李然围绕匿名化方向，结合国内外实践，分析现有数据保护技术，指出实践中需要考虑安全性、时效及成本、可用业务场景等要素，选取和搭配不同的匿名化数据保护技术，最终实现不同业务场景中匿名化的落地。在数字营销场景下存在端上计算、群体建模、可替代ID、差分隐私、MPC+PSI/PIR等五大技术方向。

　　其中端上计算方面，李然分析了谷歌隐私沙盒中Topic API和归因模式等内容，总结了跨业务Topic生成以及跨平台互通使用。同时提出了Topic的分配机制、API调用行为检测、Topic分类训练结果维护等未来思考。此外，李然还介绍了弱个性化的群体建模方案及技术迭代方向，并着重分析了不同业务需求场景中MPC与PSI结合的不同技术实现路径。

　　圆桌讨论环节，首先由中国信息通信研究院政经所法律研究部副主任何波、北京理工大学法学院特别副研究员包晓丽、抖音集团数据及隐私法务副总监高震分别作主题发言。

　　何波聚焦《政务数据权属界定》作主题发言。何波指出，当前可以考虑采取分类的方式，由易到难地推进数据产权界定，可以先围绕政务数据探讨数据权属界定问题。相比于个人数据和企业数据来说，政务数据利用国家资源进行采集、管理，具有公共产品的属性，可以考虑将政务数据界定为国家或集体所有，从而推动解决政务数据部门化或部门利益化问题，也有利于政务数据的开放共享，为政务数据价值释放提供法律依据。类似的观点在美国有关人工智能数据归属的法律提案、我国部分地方立法中都有所尝试。同时，何波指出随着加快推进数字政府建设工作，政务数据的产生、运行与数据活动的关系越来越复杂，还涉及个人信息和企业数据接入的问题，在具体制度设计上需处理好国家和政务部门之间、国家与个人之间的关系。对于政务部门处理个人信息的行为，目前《个人保护法》涉及了相关规定，但是较为原则，未来可以考虑制定专门的政府机关处理个人信息的规则。

　　包晓丽聚焦《数据经营权的实现路径》作主题发言。包晓丽指出“数据二十条”中区分了两类重要的主体，即数据来源者和数据处理者。从来源看，数据可能来自于自然人、来源于物的数据和来源于自然界的数据；而数据三权分置是针对数据处理者的三权分置而不涉及来源者的三权分置。针对数据经营权，包晓丽认为数据经营权主要是实现数据流通的功能，从具体内容上来看，大致可以分为许可使用、整体转让、出资入股、融资担保四种样态。数据经营权与数据的持有权和数据的加工使用权，一并形成了数据处理者最关键的三个权利模块。

　　抖音集团数据及隐私法务副总监高震聚焦《完善个保法的适用规则是构建数据产权制度的必要前提》作主题发言。高震指出，当前《个人信息保护法》中个人信息具有极为宽泛的内涵和外延，而匿名化的标准相对模糊，导致数据处理活动中判定数据属于个人信息十分容易，否定个人信息很难，正如域外学者所说，有关个人信息保护的法律正在成为“万物之法”。当前，发展数据要素市场，客观上需要数据要素能够批量化、规模化的流通，这可能会跟个人信息保护相关法律制度所要求的个体粒度的“同意”、“行权”相龃龉。高震指出，必须清楚地界定个保法的适用边界，才能让数据产权制度的构建有的放矢。高震从明确个人信息权益的射程，明确匿名化的标准、承认“相对匿名化”，以及为个人数据的商业化许可使用提供更有针对性的法律规则等三个角度，提出了改进建议。

　　随后，现场嘉宾围绕数据产权相关问题展开讨论。

　　来自对外经贸大学法学院、对外经济贸易大学数字经济与法律创新研究中心、上海观安信息技术股份有限公司、京东集团、北京理工大学法学院、奇安信科技集团股份有限公司、北京抖音信息服务有限公司、阿里巴巴集团、深信服科技股份有限公司云网规划设计院、杭州美创科技股份有限公司等多家企事业单位的专家参加了此次会议。

　　未来，数据安全共同体计划将持续紧跟法律法规和及政策要求，响应数字经济发展需求，从全局着眼，从细微着手，联合行业、产业等多方面的力量，务实进取，推动数据安全保障能力再上新台阶，开创数据安全产业发展的新局面。