近年来,随着《数据安全法》《个人信息保护法》等法律法规的出台,我国已构建起涵盖数据采集、存储、分析、流通、使用、删除等全生命周期的合规管理顶层设计框架。另一方面,随着数据流通交易的深入与人工智能等新兴技术的快速发展,在不同行业、不同应用场景的各类数据行为应如何构建自身的合规细则,以适应新业务形态和新技术发展的需要,是数据合规2023年深入发展的主要问题。
从地方来看,各地发展数据要素市场时的数据合规要求,大多作为保障数据安全的一部分收录于各类《数据要素市场建设实施方案》《加快发展数字经济行动方案》等政策文件中,整体要求仍在建立健全数据分类分级安全保护制度,加强政务数据、企业商业秘密和个人数据的保护等大框架要求下。值得注意的是,部分地区已在数据合规配套产品及服务方面展开探索,有数据交易机构推出“数据交易定制化保险服务”,未来能否通过系统化和市场化手段为保障合规、为风险兜底或为市场发展的方向之一。
技术应用方面,人工智能等新兴技术发展有赖于大量且高质量的数据供给,如何保障这些数据在被采集利用的各个阶段合规与安全,是行业监管尚在摸索的问题。今年7月,《生成式人工智能服务管理暂行办法》发布,于数据来源、知识产权、个人信息保护、数据质量等方面提出要求,但数据授权、数据标注等领域的合规细则将如何落地,还需结合行业实践进一步探索。
数据合规有两大问题需要关注。一是数据出境政策今年有了新的调整,顺应国内外大市场投资建设需要,对当前数据出境管理提出更高的新要求。国家网信办9月发布《规范和促进数据跨境流动规定(征求意见稿)》,推动“放管服”改革进一步深化,更好实现安全和发展的平衡。近期的中央经济工作会议提到认真解决数据跨境流动问题,未来数据合规中数据跨境监管侧的调整值得关注。另一个问题是新技术带来的合规挑战。以人工智能为例,对新技术和产业秉持开放且审慎的态度,也应提供更加包容、支持创新的发展空间。一方面指导企业主动将数据合规要求嵌入其数据调取和算法应用中;另一方面,监管侧应研究构建让新技术发展更具适应性的制度机制,如新型数据信托机制等,在保护数据主体权益同时,用数据赋能新技术新产业的发展。
着眼当下,在“数据二十条”实施过程中,促进数据多种形式的流通交易是构建数据要素市场的重要一环,也是各类创新研发和业务模式的汇聚区域。与此同时,伴随《数据安全法》《个人信息保护法》等法律法规全面施行,中央和地方已催生了涵盖数据权属、价值界定、流转规则、收益分配和安全保障等各方面的实践思路和解决方案。
展望新年,立足全球对接高质量国际规则要求,在数据要素流通生态的国家战略引领下,各个层次的法律法规以及包括标准规范在内的数据治理规则体系将整体呈现进一步的井喷式发展,更为丰富、细致的规则规范设计和更为敏捷、智能的协同监管机制,会共同要求和推动数据要素生态各方参与主体着力在技术要素、组织管理和数字内容等诸多层面付诸创新,提升数据流通交易的全流程合规水准和能力建设。
人工智能,特别是生成式人工智能的发展给数据合规带来很大挑战。一个重要问题在于,训练阶段使用的海量数据中存在个人信息,且多数是公开信息,如将此种情况下对个人信息的使用定性为“个人信息处理行为”,会因受到《个人信息保护法》规制而给研发带来极高合规成本。
有观点认为,个人信息被夹带在海量信息中被附带性“使用”的,研发者之目的并不在于处理个人信息,其并不能被认定为“个人信息处理者”。依据今年出台的《生成式人工智能服务管理暂行办法》规定,训练阶段使用数据涉及个人信息的,应当取得个人同意或者符合法律、行政法规规定的其他情形。目前我国现行法仍以《个人信息保护法》对训练阶段个人信息的“使用”进行规制,随着产业实践与个人信息合规之间的紧张关系日益凸显,现行法的立场是否在将来有所调整?在有效防范风险的基础上,平衡个人信息保护和人工智能健康发展的路径仍需继续探索。
