2023年11月23日，由智慧中国年会组委会主办、国脉研究院承办，国脉互联、普宙科技、网景盛世、上海星鸟、中兴通讯等企业支持的“2023智慧中国年会”在北京召开。本届年会以“数联天下 智启未来——构建数据共同体，共创数字生产力”为主题，邀请界内决策者、管理者、建设者、观察者、思考者聚焦当下发展热点，总结发展趋势，探讨数字政府、数字城市、数据要素、公共数据开发利用、数据资产和公共数据授权运营、AI、大数据等融合应用和场景创新，剖析我国政府数字化转型的发展方向与未来路径，搭建行业解惑交流的平台，为我国政府数字化转型和高质量发展贡献顶尖思想和智慧。

23日上午主论坛，海南省大数据管理局局长董学耕做了《海南省数据要素市场建设探索与实践》经验分享，以下为演讲内容，内容通过速记整理，未经本人审核。

---以下为演讲内容精选---

尊敬的各位专家学者、各位企业家，很荣幸收到国脉互联的邀请来参加此次盛会。今天我想分享海南在数据要素市场建设的探索实践，讲一讲海南怎么解决数据主权探索过程中的涉私数据价值释放和应用问题。主要从数字领域国际合作、数据要素特性和数据产品、数据产品超市、安全跨域互通和数据安全有序流动五个方面展开。

首先是中国一直在数字领域的国际合作方面有所行动。2020年9月，国务委员兼外长王毅在全球数字治理研讨会上提出《全球数据安全倡议》，各国不得强制境外数据本地化存储，不得绕过他国法律直接向企业或者个人调取境外的数据，应当通过司法协助和多双边协议解决跨境数据调取需求，跨境调取数据应当尊重他国主权、司法管辖权和对数据的安全管理权。2021年10月30日，中国国家主席习近平在出席二十国集团领导人第十六次峰会时宣布，中国已经决定申请加入《数字经济伙伴关系协定》（DEPA）。对于海南来说，《中华人民共和国海南自由贸易港法》第四十二条规定：海南自由贸易港依法建立安全有序自由便利的数据流动管理制度，依法保护个人、组织与数据有关的权益，有序扩大通信资源和业务开放，扩大数据领域开放，促进以数据为关键要素的数字经济发展。国家支持海南自由贸易港探索实施区域性国际数据跨境流动制度安排。

其次是数字领域国外的一些做法参考。欧盟以2016年颁布的《通用数据保护条例》(GDPR)和在2018年颁布的《非个人数据自由流动条例》(Regulation on the Free Row of Non-personal Data)，分别对个人数据和非个人数据采取不同的跨境流动策略。2022年5月16日，欧盟理事会批准了《数据治理法案》（the Data Governance Act，简称“DGA”），对公共数据再利用等做出规定。这些策略总结起来一是建立公共部门数据再利用机制，使某些类别的公共部门数据能够安全重用，包括商业秘密、个人数据和受知识产权保护的数据。从技术角度来看，相当于实施建立数据目录并将数据在技术上进行诸如上链等保护的策略。二是推出数据中介新商业模式，数据中介机构本质上是数据共享服务提供商，且在交换数据方面保持中立的要求。通过提供一个安全的环境，让公司或个人可以在其中共享数据。不管是公司还是个人，都可以通过数据管理工具基于知情同意来授权他人共享数据。

可以看到，基于数据主权属性，在信息处理者满足国家网信部门相关规定前提下（已经实施《数据出境安全评估办法》），《个人信息保护法》对个人信息跨境的基本考虑就是两方面，一是纳入国际条约、协定，如已经生效的RCEP和中国申请加入的CPTPP和DEPA；二是境外接收方处理个人信息的活动达到本法规定的个人信息保护标准，也就是同等保护水平的原则。

安全法律体系基本健全。数据20条首先对数据产权制度做了一个非常大的一个创新，提出了三权分制这个要求，同时也提到了要完善数据要素的市场配置机制，更好地发挥政府在数据要素收益分配中的引导调节作用，市场和政府有效的结合起来是非常重要的，基本明确了在数据基础制度的方向。其次是对承载个人信息的数据处理者，要按照个人授权的范围来依法采集，不得采取一揽子授权等方式。数据要素和其他要素最大的区别就是在于关联对象，由于有关联对象，它有数据主权，就是数据主体的存在。所以抽象的谈论数据所有权没有意义，不管是什么权，持有也好，加工使用也好，经营也好，都要取得关联对象的同意，这是数据使用的原则和底线。

数据要素依据关联对象的分类。从主权属性的角度来分类，有核心数据、重要数据、一般数据。从数据处理者或者数据持有者的角度，可以分为公共数据、社会数据、行业数据、企业数据等等，公共数据无非就是公共部门采集的数据，公共部门在政务服务等过程中采集的数据。另外是依据关联对象来对数据进行分类，分为两大类，一是涉公数据，二是涉私数据或者非涉公数据。非涉私数据的关联对象不涉及到个人、法人主体。涉私数据包括两种，一种是个人数据，一种是法人数据。这样分类以后我们才能够真正对数据进行分类处理和开发利用。

数据要素确权。涉公数据确权：“登记”确权，归属数据生产者或载体提供者。这是类似专利制度的数据登记制度，涉及数据范围相对小，价值密度相对低，主要针对大数据、小用户场景应用。前期以及目前各地的探索基本属于这一类。涉私数据，因关联对象太多，不能简单确权。这类数据涉及的数据范围更广、价值更高，这类数据在大数据、大用户场景中应用，只能在使用场景中依赖关联对象的授权才能使用，一次授权一次使用。因此涉私数据权属需要依赖场景，依赖授权。

数据产品化确权探索。实际授权需要便利化、实时、在线实现，只能是将数据做成数据产品，将涉及私权的数据融入到数据产品中，在使用数据产品过程中由关联对象在线进行实时授权。如此，涉私数据依托数据产品才能在真实场景中在关联对象在线授权下使用、流通交易，一次授权一次使用。数据产品化是对数据的二次生产、二次开发、二次利用，产生数据原始价值之外的新价值，并通过新价值，使得数据原始价值从抽象到融入新价值成为具体价值。数据产品确权通过数据权益在数据产品中对碰、让渡、获取和实现而确权。数据产品开发者通过购买数据生产者、载体提供者的数据要素持有权，获取数据加工使用权，开发数据产品，通过在具体场景具体使用中关联对象在线授权（行使数据决定权并获得使用便利）获得关联对象的权益让渡——成千上万的使用者每次使用时各自授权让渡其数据关联者的权益——实现对数据产品的完整权益拥有，即获得数据产品所有权，从而也拥有了数据产品经营权——这就是数据产品的确权过程。

涉私数据产品离不开有公信力的安全可信平台支撑。按照《个人信息保护法》等法律法规要求，信息处理者只有在关联对象授权下才能处理相关数据，但是关联对象不可能在中间过程中进行授权，而只会在最终使用环节进行授权。相关信息处理者在关联对象最终授权之前，必须恪守“数据不出域”“可用不可见”等数据安全和隐私保护要求。

这是一个困境：没有数据产品提供最终服务，关联对象不会提前进行授权；没有关联对象授权，相关信息处理者无法将数据转化为数据产品。需要一个安全可信的平台，形成一个更大的安全域、可信域，让“数据不出域”的要求以此更大安全域、可信域为边界，让多个信息处理者进入该边界，在边界范围内实现数据的交互、集成。同时这个安全可信的平台也要为关联对象所接受。也就是说，这个平台必须具有公信力。上述困境的破解需要发挥政府作用，由政府主导来建立一个有公信力的安全可信的平台。

新型的数据交易所必须兼顾到数据产品的形成和利用全过程，它是一个政府主导的集开发生产、流通交易和安全使用为一体的“三合一”集成平台，我们叫做“数据产品超市”。开发生产平台——依托“数据产品超市”有公信力的安全可信平台，数据产品得以形成。流通交易平台——开发出的数据产品在“数据产品超市”上架，供需对接，流通交易。安全使用平台——数据产品并不能孤立出来提供服务，因为其依赖于数据关联对象在数据产品使用场景中的实时授权，在授权同时，原始数据持有者才能实时提供数据，完成数据产品服务。这个过程必然依赖其原来开发生产的平台，依赖原来的安全域、可信域，在数据产品实时在线服务中实现“数据不出域”“可用不可见”。

“数据产品超市”将数据产品开发生产、流通交易、安全使用一气呵成，让数据产品开发者依托平台提供产品服务。这是一个“三合一”的数据要素开发利用集成平台。形象地说，海南“数据产品超市”采用了“华强北+淘宝+云服务”的模式。通过“华强北”（借用其电子元器件供应链集成为电子终端产品的模式）集成数据供应链来开发生产数据产品；通过“淘宝”实现数据产品的流通交易；通过“云服务”实现数据产品面向最终用户的安全使用。

公共数据资源开发利用“请进来”模式。传统的数据开放通过政府数据开放网站，以可机读的方式开放数据集、数据文件或数据接口，可开放的数据不能涉及私权，因为没有关联对象授权，不能直接开放。能直接开放的只能是涉公数据。大量价值密度更高的有条件开放数据一般都涉及私权，很难通过开放网站的方式开放。“数据产品超市” 实现了开放安全化。转变传统的采用数据开放平台方式开放公共数据，采取将数据产品开发商请进来的方式，在公共数据产品超市的安全域内（依托电子政务外网、政务云、政务中台等基础能力）对高价值密度数据进行产品化，再以数据产品形式对外提供服务，这是新型的数据产品化开放模式。

海南省电子政务外网“一网两线”异构安全传输网络，具备高安全、多维度的安全防护能力和多次攻防演练“零漏洞”的防护效果，已在全国推广。在此基础上，延伸电子政务外网安全域。该网络为超低延迟、超低抖动、高可靠性的确定性网络，可实现上千公里毫秒级响应。支持远程终端，实现云桌面；数据在云端，不出安全域，解决开发人员远程坐席问题。在云端监管数据，支持跨省数据、社会数据通过确定性网络传输，联通多个安全域，解决数据跨域共享。通过确定性网络实现数据跨境安全有序流动。

数据要素跨境安全有序流动。数据跨境流动基于两条国际共识：一是“同等保护措施”的互认；二是个人的知情同意原则（即数据关联对象的知情权和决定权）。国家互联网信息办公室《规范和促进数据跨境流动规定（征求意见稿）》明确了两种“半豁免”数据：从“量”的角度对数据进行类型化，以向境外提供个人信息数据的数量为标准，赋予其对前置程序不同程度的“豁免”。自由贸易试验区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单（以下简称负面清单），报经省级网络安全和信息化委员会批准后，报国家网信部门备案。负面清单外数据出境，可以不申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

跨境数据产品超市探索。具有互认和互操作性的数据产品超市，以确定性网络互联互通，以区块链方式可信交换数据和存证，支持结合场景的数据产品开发利用，以一次授权一次使用方式有效利用跨境数据，应用于跨境贸易、国际电商、跨境旅游消费、远程教育、远程医疗等。建立公共数据以及个人/法人数据目录，目录上链，向开发者公平开放，方便开发者开发利用，以数据产品形式提供服务，数据不出域、可用不可见，依托关联对象授权进行使用（境外个人信息处理者须达到《中华人民共和国个人信息保护法》规定的个人信息保护标准）。依托数据产品超市基础设施，充分利用密码技术和隐私计算技术，建立受严格保护的个人数字空间和法人数字空间，方便用户（个人和法人）便利进行在线授权。通过数据产品超市形成买卖双方价格博弈机制，实现数据流动可计量和数据产品可交易。

以上是我的汇报不妥之处请大家进行指正，谢谢大家！