企业数据确权与全球合规趋势报告_清华大学数据确权报告-CSDN博客

本文链接：https://blog.csdn.net/weixin_42226175/article/details/146239006

在数字化与智能化浪潮席卷全球的当下，数据已成为企业乃至国家至关重要的战略性资产。随着数字经济的蓬勃发展，企业对数据的依赖程度持续加深。在此情形下，数据的有效管理、确权以及合规使用，不仅关系到企业核心竞争力的塑造，更对全球数字经济的健康可持续发展有着深远影响。然而，伴随着数据价值的日益凸显，数据权属界定模糊、合规标准缺乏统一性等问题愈发突出，严重阻碍了数据的顺畅流通与充分利用。

鉴于此，清华大学技术创新研究中心、DAMA（国际数据管理协会）、环球律师事务所等机构携手开展研究，并发布了《企业数据确权与全球合规趋势报告（2023 年）》。该报告深入剖析了全球数据确权与合规的现状，积极探索有效解决路径，力求为企业及相关主体提供极具价值的指导与借鉴。本文正是基于上述内容提炼出核心观点。

一、数据确权与立法现状

各国积极推动数据安全与开发利用，但数据确权立法滞后

中美欧等国家和地区均大力加强网络数据安全立法与监管。美国通过《国家网络安全战略》《澄清境外合法使用数据法案》等，着重保障网络安全及境内数据安全；欧盟凭借《网络和信息安全指令》构建网络安全认证制度，强化网络与信息系统安全监管；中国依靠《网络安全法》《数据安全法》，明确网络运营者责任，强调重要数据和核心数据保护，并鼓励数据合理利用与有序流通。

在个人信息保护方面，各国立法与执法不断强化。中国《个人信息保护法》管辖范围广泛且违法后果严重；美国《美国数据隐私和保护法（草案）》致力于在联邦层面统一数据隐私保护法律，各州也有诸如《加州隐私权法案》《弗吉尼亚州消费者数据保护法》等相关法律；欧盟的《通用数据保护条例》适用范围广、处罚金额高昂，《电子隐私条例》则加强了电子通信领域的隐私保护。

数据交易流通方面，各国侧重点有所不同。中国逐步确立数据市场化体系，建立产权制度并构建交易场所；美国态度开放，已形成商业数据交易平台和数据经纪商；欧盟围绕促进数据获取与使用不断更新立法，推动政府数据开放，构建公私合作模式。

数据反垄断监管力度持续加大。中国禁止经营者利用数据等优势从事不正当竞争或垄断行为，加强对平台的反垄断审查；美国通过相关法案对超级平台提出数据可选择性和互操作性要求，加大对数字平台垄断的审查力度；欧盟发布《数字服务法》《数字市场法》来规制数据垄断行为。

然而，目前各国均尚无关于数据确权的相关立法。中国虽发布多部政策指引，但在实践中仍存在诸多难题，例如数据权属界定复杂、缺乏统一标准等。

二、企业数据资产化及面临挑战

企业数据资产化依赖数据确权，内外部资产化方式各有特点

企业数据资产化以数据确权为基础，通过内部和外部两种方式实现。

内部数据资产化是指数据在组织内部使用以产生经济效益，常见于依靠数据分析洞察的组织。其优势在于所需的安全性、知识产权和法律预防措施较少，但潜在经济收益受组织内部结构和情况的制约。

外部数据资产化则是个人或组织将数据以收费方式提供给外部各方，或充当经纪人。这种方式经济收益潜力较大，但需要复杂的方法将数据分发给潜在买家和消费者。

从市场前景来看，预计到 2028 年，全球数据交易平台市场价值将达 197.50 亿美元，在预测期内以 15.9% 的 CAGR 增长。

以亚马逊为例，其拥有购物交易数据，可用于完成订单、提供个性化推荐等，但必须依据法律和监管要求，保护个人信息，遵守欧盟数据保护法和美国加利福尼亚州消费者保护法等，制定隐私政策，赋予客户一定的数据控制权。

企业数据确权面临诸多挑战，中国企业在探索中前行

中国参与调研的企业覆盖互联网、金融、通信、制造等多个行业。其中，民营企业占比 50.4%，央国企占 30.4%，外资占 6.4%，千人以上企业占 47.2%。企业持有数据资源丰富，包括企业生产经营数据、行业产业数据、个人消费等信息数据、公共及政务数据。

96% 的受访者认为数据合规涉及法律监管和数据安全，是企业必须履行的义务。43.2% 的企业数据确权与合规工作稳步推进；54.4% 整体或部分构建数据合规制度体系；31.5% 具备分类分级管理制度。

但企业同时面临着一系列挑战，包括缺乏专业人才、制度标准和行业案例；未形成稳定合规流程；理论技术存在难点；缺乏高层战略重视；数据合规的信息基础设施建设落后；业务部门与技术部门配合不融洽。

不同类型企业在数据融合汇聚业务开展上存在差异。中央企业与国有企业已逐步开展；部分大型民企在企业内部开展，中小型民企数据治理及确权工作优先级较低；跨国企业开展工作难度较大，受政策影响会采取数据本地化政策。

央国企积极推动数据确权和治理合规。例如，某汽车领域央企在微观层面分层分置数据产权，宏观层面分级处理不同数据产权；某综合型央企形成权责明确的数据治理工作组，建立统一的数据治理与服务中心，制定相关管理办法和流程机制；某国有电信企业全资子公司在云计算方面建立多云管理系统，研发区块链 BaaS 平台；某国有电力企业促进电力系统各环节协同分析，助力国家实现碳达峰、碳中和目标。

三、企业数据确权路径及意义

企业数据确权存在被动和主动两种路径，精准确权路径优势明显

数据权利法律制度形成是社会问题、理论观点、方针政策、法律法规、司法解释 / 规范性文件 / 标准规范等五要素相互作用的过程。

企业数据确权分为被动的 “规范确权路径” 和主动的 “精准确权路径”：

规范确权路径是在国家法律法规明确规定数据权属后，企业对其数据直接享有法定权利。该路径权利观念通俗易懂，权利界定方式简便，但依赖数据法规制定，立法周期不确定，企业确权在法规出台前缺少依据。
精准确权路径则是在国家未明确规定前，数据当事人通过民事法律行为依法约定相互之间的数据权利义务。此约定需符合民事法律行为有效要件，不违反法律、行政法规强制性规定，不违背公序良俗。精准确权路径符合数字技术实现条件、数据活动经济规律和智能时代治理要求，能解决市场现实问题，受到现有法律保护，适用性和兼容性强，是企业全面普及的方法，适应智能化治理，不过权利关系认定相对复杂。

数据确权方法体系是企业数据经营活动合法性、合规性评估的关键。在数据权属争议时，基于协议合同构建的数据权利法律关系可成为法院裁决可采纳的证据依据，保障企业数据权利和权益。

全球企业数据精准确权通用路径基于权利主体识别、关系界定和法律认定

基于数据权利关系理论，企业通过权利主体识别、权利关系界定、法律关系认定三个步骤界定数据权属。

权利主体识别采用 “数据三体模型”，将企业数据活动按目的分为 “数据生产活动、信息经营活动、权利治理活动” 三类。根据企业数据活动的九类角色，即存储者、采集者、提供者、加工者、分配者、使用者、规范者、监管者、解纷者，分层进行权利主体识别。

权利关系界定通过分析企业数据业务完整闭环，企业可从数据特性、现实需求与场景化特征等创设数据占有、使用、生产加工、收益、处分（有限制）等权能。基于使用目的和利用方式，如公共利益、消费者福利、产业生态构建等，结合外部制度约束制定配置方式，形成企业数据业务权能清单。将该清单与法律体系对照，企业可观察 “业务实践 - 法律制度” 间的差异和权利冲突，及时调整权能配置方案，完善数据合规要求，制定经营决策，为研究分析提供框架。

法律关系认定以中国为例，企业依据现有知识产权、反不正当竞争、反垄断等法律法规，创设司法体系认可的数据权能体系，将数据权利和权益纳入公权力保护。采用供需双方合同方式约定权利义务，基于合同私权利自治，符合现代法律制度发展规律，解决权利冲突问题。现有法律体系认可基于协议合同构建的数据权利法律关系，在数据权属产生争议时，可成为法院裁决依据，有效保护企业数据权利和权益。

在 “用电数据 + 金融” 业务中，通过该路径确定数据权利主体及关系，进行权能配置和合法合规性审核。

企业数据精准确权路径具有重要意义，为智能治理提供新范式

企业数据精准确权路径为非法律专业人士提供了认知、分析和构建数据权利关系的思维工具，具备法律常识的数据业务管理人员可对照法律文件对数据权属进行初步判断，降低数据权属判断门槛，提高工作效率。

该路径为建立跨越国界和法律制度的数据权利理论提供基础框架，是中国企业在全球数据市场体系中打破巴别塔陷阱，可借助的通用法律语言体系，有助于中国企业在国际数据领域提升话语权。

精准确权路径还为数据智能化治理提供权力规则代码化、合约智能化执行的可能性，可能开启 “代码即法律” 的数字治理范式，推动数据治理模式创新，提高数据治理的效率和精准度。

四、AIGC （Artificial Intelligence Generated Content，人工智能生成内容）带来的影响及各国治理体系

AIGC 对数据确权与合规提出全新挑战，各国呈现不同合规趋势

AIGC 的爆发式增长给数据确权与合规带来新挑战。

中国在政策层面体现伦理先行原则，法律层面形成网络与数据安全、隐私与个人信息保护、算法治理及其他领域的整体合规框架，并开始加入对 AIGC 的专项监管。

美国分为政府管理、AI 研发应用治理、企业合规三个层次，涵盖隐私与数据保护、竞争与消费者保护、算法治理、就业与劳动者保护、知识产权五个领域，呈现多头立法、分散执法的特点，发展规划与合规治理规则平行推进。目前尚未进入数据权属规则制定阶段，头部 AI 企业面临增多的民事诉讼。

欧盟采用风险分级治理方式，形成科技伦理、算法透明、隐私保护、内容治理、产品责任、市场竞争等多个合规抓手，推动 AI 综合性法律规范出台，多主体共同加强对 AIGC 全周期的监管。

从权能配置角度，AIGC 大模型的研发运营、接入使用企业关注不同数据权能。目前企业主体多通过协议方式，以法律明确界定的权利（如知识产权）约定对数据资源的利用与边界。美国在政府信息公开框架下向人工智能研发等主体开放联邦数据与模型；欧盟鼓励在 “通用欧洲数据空间” 内促进主体间共享使用，虽未形成数据权属规则，但承认并保证企业和个人对数据的控制，通过法律认可的权利体系明确权属。

美国 AIGC 治理体系由人工智能治理框架与各领域综合治理组成

美国 AIGC 治理体系中，人工智能治理框架包含管理人工智能发展及应用的政府工作原则与规划、人工智能研发部署与应用需遵守的治理原则、企业及其他机构进行人工智能风险管理的组织合规框架。

各领域综合治理涉及隐私与数据保护、算法监管与反歧视、竞争与消费者保护、就业与劳动者保护、人工智能系统注册管理等方面。这种治理体系体现了美国在 AIGC 治理上的多层次、多领域特点。

欧盟 AIGC 合规治理框架以《欧盟人工智能（草案）》引领多头监管并行

欧盟 AIGC 治理在科技伦理方面有《可信人工智能伦理指南》《人工智能、机器人和相关技术的伦理问题框架》；隐私保护方面依据 GDPR 等；算法规制有《算法问责及透明度监管框架》等；内容治理通过《2022 年虚假信息强化行为准则》等；产品责任方面有《欧盟人工智能责任指令（草案）》等；竞争秩序方面《数字市场法》《数字服务法》对生成式 AI 相关行为进行规制。这些法规共同构成了欧盟 AIGC 合规治理的多头监管体系。