数据监管专题报告：聚焦效率-辅以激励

数据监管专题报告：聚焦效率_辅以激励

一、数据助力经济迅速发展，但使用中乱象频生

数据为经济发展注入新动能，已被官方定义为生产要素

数字经济发展迅速，已成为经济发展重要动能，多次被写入政府文件。当前数字经济处于密集创新和高速增长的阶段，已经成为促进经济社会发展的重要动力。2020年我国数字经济规模达到39.2万亿元，从2005年占GDP比重14.2%上升至38.6%，疫情冲击下保持9.7%的高位增长，达到同期GDP增速的3倍多。数字经济已成为我国经济发展的动力源泉。国家层面上，2015年我国提出“大数据”战略，“数字经济”连续四年被写入政府工作报告，2020年政府工作报告中明确提出“要继续出台支持政策”。地方层面上，31个省市2020年的政府报告中有26个省明确了大力发展数字经济的基调。

数据是数字经济发展的关键要素，推动其他要素市场化配置。数字经济可以分为数字产业化和产业数字化，简单来说，数据是数字产业化之根和产业数字化之翼，且产业数字化的数据催生了数字产业化的进程。一方面数字经济中的数字产业化是依赖数据的存在而出现的产业，没有数据就没有大数据、云计算、物联网等行业；另一方面，当前，我国在生产、分配、流通、消费等环节，仍存在生产要素市场化的体制机制障碍，数据可以推动技术、资本、劳动力以及土地等传统要素优化重组，与传统产业深度融合，发挥放大经济增长，提高生产效率的乘数效应。

中央发布文件明确数据为官方定义下的生产要素。2020年4月，中央发布了第一份关于要素市场化配置的文件《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》，其中正式将数据纳入市场化配置要素中，意味着数据开始与传统经济学范畴中的生产要素有了同样的地位，即土地、劳动力、资本和技术。2017年，最高领导层就已强调过，"互联网经济时代，数据是新的生产要素，是基础性资源和战略性资源"，"要构建以数据为关键要素的数字经济"。因此数据监管的背后本质是对数字经济发展的深度支持。

发展中的乱象与不足：隐私侵权、数据滥用、数据垄断以及数据孤岛

1）个人隐私成为数字经济发展中的牺牲品

部分大平台在数据使用中存在不合规现象，小平台则容易在数据采集上越界。美国棱镜门事件所涉及的互联网公司几乎囊括了微软、雅虎、谷歌和苹果等所有在美的互联网巨头。2018年3月，脸书被曝光其为“剑桥分析公司”的数据分析企业提供了脸书上多达5000万用户的信息，并涉嫌利用这些信息操纵选民投票。同年华住集团和顺丰合计8亿条用户数据遭到泄露。

2）部分大平台倚仗大数据分析结果存在数据滥用行为。

大数据精准营销并实施价格歧视损害消费者权益。近几年来，部分商家通过大数据建立用户画像，为同样的产品制定差异化的价格从而使商家利益最大化的行为，被人们称为“大数据杀熟”。举例来说，一方面平台会根据你的浏览记录，聊天记录等自动推送定制化产品，产品品牌取决于商家付给平台的广告费，变相剥夺了消费者的选择权；另一方面，在提供服务时实行价格歧视，例如在出行平台上预订酒店，发现会员等级越高价格越贵；在外卖平台上点餐，开通会员之后配送费就涨了几块钱；用苹果和安卓手机叫网约车，时间和起止点都一样，价格却相差了不少。这样的新闻最近几年屡见不鲜。然而，由于消费者和企业之间的信息不对称，加上法律并没有要求企业公开相关算法，此类事件往往最终往往不了了之。

3）数字经济发展过程中自然形成数据垄断

产业数字化中，互联网经济平台呈现强者恒强。网络效应包括直接效应和间接效应，直接效应指某一商品或服务的使用者数量的增多，会提升其自身使用价值。例如，微信作为社交工具，使用用户越多，就越能充当熟人社交的媒介，而未使用的用户也不得不加入其中。间接效应是指商品或服务某一类使用者增多，会提升它对于其他类使用者的价值。如淘宝作为商品交易的平台，买家增多可使卖家的商品销量增大、卖出更迅速，卖家增加又可使买家对所需商品选择空间更大。网络效应使得平台用户的平均付费意愿，随用户规模的增长而增加。

数据助力平台经济发挥最大优势，高壁垒带来大数据垄断。数字经济时代互联网平台巨头凭借在电商、社交网络、搜索引擎等领域巨大数据优势，描绘每个消费者数字画像，全面掌握每个消费者衣、食、住、行方面的偏好、兴趣、消费心理，掌握消费者工作、学习、娱乐休闲的轨迹和时间，在抓住客户提供原有服务的同时，将这些大数据分析得出的结果延伸运用到其他相关平台和实体领域的经营中去，形成巨大的不对称优势。但大数据的获取需要前期高昂的资本开支。数据收集成本主要体现在两个方面。第一，新进入者为了吸引大量用户，通常需搭建一个为用户提供免费或补贴服务的平台，需要在宣传推广及价格补贴等方面投入大量资源。第二，新进入者需要在数据收集、分析、存储、应用以及算法开发等方面进行高额投入。

产业数字化产生的数据有助于企业直接开展数字产业化。以腾讯和阿里巴巴为例，由于原有业务就对数据处理存在需求，在这一过程中互联网巨头积累了充分的经验，且平台经济前期已经对数据收集、分析、存储、应用以及算法开发，原有业务衍生出来的技术使互联网平台开始提供数据分析、存储以及应用的服务，具体例如阿里的云计算和腾讯的腾讯云。阿里云计算收入在其传统商务收入增速下滑后开始持续上升，2016-2018年增速均超过100%，业务占比从2013年的不到2%逐渐上升至2021年8.38%，其在国内云计算领域的市场份额占比达到40.6%，领域内CR4高达85.2%。

由于数据获取存在先天优势，平台类产业数字化或进入寡头垄断。从全球云厂商排名来看，前五名分别是阿里云、亚马逊、谷歌、微软和甲骨文，除甲骨文外另四家数据产业化巨头的发展均离不开其对于用户数据获取的先天优势，阿里亚马逊的数据来源是电商，谷歌微软的数据来源则是软件用户。预计未来中小云计算厂商的市场份额将从如今的25%萎缩至2%，未来云计算市场将被亚马逊AWS、微软云、谷歌云和阿里云形成寡头垄断。

4）部分行业数据形成数据孤岛尚未被充分利用

政务数据正在加快打通。目前国家在《数据安全法》中对政务数据明确指出要“推进电子政务建设”，“推动政务数据开放利用”。各地级以上平台数量迅速增长，从2017年的20个，到2018年的56个，到2019年的102个，再到2020上半年的130个。我国电子政务发展指数从2018年的0.6811提高到了2020年的0.7948，排名提升至全球第45位，达到“非常高”水平，特别是作为衡量国家电子政务发展水平核心指标的在线服务指数上升为0.9059，指数排名大幅提升全球第9位，进入全球前十行列。

部分工业数据尚未被充分利用。工业互联网领域，一方面我国存在各类工业机械设备连接能力不足，采集类型少、采集难度大、互联互通水平低，大多数平台数据点采集量少或无数据点，缺乏完整的数据采集集成解决方案，另一方面中国工业企业制造技术与管理知识经验积淀不够，工业企业两化融合发展水平参差不齐，中国制造业占全球20%比重，但是软件行业规模只占1.9%，且国内工业软件90%依赖进口，说明我国和数据息息相关的工业软件化水平还有较大的提升空间。从华为全球联接指数可以看到，我国工业互联网以及面向企业的数字化与欧美相比还有较大的距离，我国工业数据仍未被充分利用。

二、数据应分类监管：流通，效率，激励，安全，隐私

数据主体存在交叉，使用权出现错配，按数据控制者分类监管困难重重

若将数据按主体分为公共、公司和个人数据，流通、安全和隐私为监管主线。从数据的所有者出发可以简单的将数据分为公共数据、公司数据和个人数据。三类数据的监管目标虽各有偏颇但还算明确：1）公共数据中可公开的部分需要更广泛地流通创造价值，避免出现数据垄断的情况，不可公开的数据涉及国家安全则需要严格管控；2）公司内部的生产数据可以不公开但需要做到保障数据安全，数据出境时需要得到相关行业部门的审批；3）个人数据则应该给予严格的隐私保护。

但由于数据之间存在交叉，对数据按所有者分类无法清晰的体现数据监管的痛点。个人数据与公司数据相交部分涉及隐私数据的定义。举例来说，用户群体在使用“今日头条”时产生的交互数据，匿名化前和匿名化后是属于公司数据还是个人数据。公司数据与公共数据交叉部分涉及国企数据的开放和安全问题，同时公司数据内部分民营公司内部数据属性需要明晰。举例来说，前者即国家电网的发电量数据作为可公开的重要经济数据既属于公司又是公共数据，但是国家电网内部的发电厂选址，技术改造数据则涉及国家安全，虽然属于公司，但是和公共安全相关要严格保密；后者即类似滴滴的出行数据需要国家统一汇总监管并使用，但是其他公司内部的电商数据使用权应该归公司自身所有。数据主体之间的交叉与各主体内部数据属性的不同，决定了我们需要更加细致的将数据分类监管。

兼顾数据权属和内部数据的分类，关注流通，效率，激励，安全，隐私

目前数据监管的难点在于数据归属的不明确和数据使用权的错配，不同类型的数据监管的主要矛盾不一样，因此在数据监管过程中需要将数据细分为五类：

1）涉及国家安全的数据（黑色）。国家官方首先要建立数据安全的制度，其次部分公司拥有大量涉及国家安全的数据，需要经过国家处理或者不应公开，企业对数据处理的不恰当会对国家安全造成风险，例如数据泄露和数据违规出境；

2）可回溯定位到个人的隐私数据（淡红色）。《个人信息保护法》中对于个人信息的定义是“是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息”。

3）政务数据类可公开的政府数据（红色）。应该进一步开放，打破数据孤岛，方便群众办事；

4）涉及公共属性的公司数据（灰色）。部分公司拥有大量的公共属性数据，公共属性主要指行业属性，若是该类数据可以不公开，则会造成数据垄断，进而导致业务垄断，不利于所有经济参与者享受经济发展的红利；

5）不涉及公共属性的公司数据（蓝色）。该类数据包括匿名化后的个人隐私数据（前提是不涉及公共属性），若认为这部分数据完全属于个人则不利于公司拓展业务，若认为这部分数据完全属于公司则是对个人权利的一种侵害。同时该部分数据还包括企业内部经营数据。

所有数据均应兼顾安全、隐私、流通、效率和激励，但不同数据有所侧重。所有数据都必须在流通中才能发挥其效用，在使用数据的过程中需要使我们的工作在数据帮助下效率最大化，同时要保证数据所有者的激励机制，此外需要保障数据安全和个人隐私不被侵犯。但是以上五类数据的现状决定了他们所需监管的主要矛盾不同。政务类公开数据需要更广泛的流通，涉及公共属性的数据需要从效率入手统一汇总管理，其他公共属性应该做好和个人隐私数据的区分同时做好数据使用的激励机制建设，涉及国家机密和共安全的数据要建立安全管理制度，最后个人数据需要做好隐私保护。

三、剖析数据监管现状，安全和隐私为主线，强调流通

当前数据监管法律框架：四大安全法+民法典保驾护航

我国数据安全相关法律框架已经初具雏形。当前国家的数据监管法律体系由《国家安全法》、《网络安全法》、《数据安全法》、《个人信息保护法》和《民法典》五大法律构建，《个人信息保护法》刚于8月正式施行。各个法律对数据的监管并非简单的横向或竖向分类，《国家安全法》保护的是核心数据，《网络安全法》保护的是重要数据，《数据安全法》针对的是所有数据，《个人信息保护法》针对的是个人信息，《民法典》针对的则是个人私密信息、敏感信息等涉及人格权的信息。此外还有各部门发放的《办法》文件和信息安全标准委员会的标准规定文件作为补充。

目前监管主线：强调重要数据安全与隐私数据保护，兼顾政务数据流通

数据监管一方面以数据的重要性进行划分，强调重要数据和核心数据的安全。《数据安全法》中多次提及重要数据和核心数据的概念，原文中把“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据”定义为重要数据中的核心数据，重要数据的定义可参考《数据安全管理办法（征求意见稿）》中的“指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据，如未公开的政府信息，大面积人口、基因健康、地理、矿产资源等。且‘重要数据’一般不包括企业生产经营和内部管理信息、个人信息等”。

在信标委征求意见的《信息安全技术数据出境安全评估指南（征求意见稿）》（“评估指南”）中，将重要数据定义为：“相关组织、机构和个人在境内收集、产生的不涉及国家秘密，但与国家安全、经济发展以及公共利益密切相关的数据（包括原始数据和衍生数据）。”并且将政府信息公开渠道合法公开的数据，排除出重要数据的范围。由《网络安全法》衍生出的《数据出境安全评估指南》更是系统的以附录的形式，列出了非常详细的重要数据识别指南。需要注意的是，重要数据可以同时包括个人、公司以及政府数据，其确定的标准在于国家安全而非数据的生产方或所有方。

数据监管另一方面聚焦在个人隐私数据，从隐私出发监管企业的数据主体责任。目前和数据相关法条除安全外主要涉及个人数据的隐私保护。个人数据保护方面则有《个人信息保护法》和《民法典》从个人信息和个人隐私方面进行保护，《个人信息保护法》中对于个人信息的定义是“是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息”，其中个人信息中敏感个人信息在传输和存储的安全性要求更高，《民法典》针对的更多是个人隐私。同时《信息安全技术》中对个人信息以及敏感个人信息给出了详细的举例。

此外，《数据安全法》独辟一章强调政务数据需要加大流通开放利用。政务数据作为国家大数据战略的重要组成部分，是政府部门进行社会治理的重要记录与呈现，蕴藏着难以估量的政治、经济、科学、文化和社会价值，在国民经济建设和国家安全战略体系中的地位日益凸显。《数据安全法》中除了要求政府应当遵循公正、公平、便民的原则，按照规定及时、准确地公开政务数据，还要求国家制定政务数据开放目录，构建统一规范、互联互通、安全可控的政务数据开放平台，推动政务数据开放利用。

安全：自上而下建立安全制度，出台关基保护政策，行业归口监管

数据安全方面，完善顶层设计，强调个体责任，近年需关注数据出境。宏观层面上，《数据安全法》要求建立数据安全标准体系，完善数据安全监测评估、认定服务，建立完整的数据安全制度，完善数据安全保护义务。微观层面上，对于数据所有者的个体强调内部的数据安全治理，工信部在重点互联网企业贯彻落实《数据安全法》座谈会上提出企业要加强组织领导，明确数据安全责任部门和责任人，建立全生命周期的数据安全管理体系和机制，采取相应的技术措施开展风险监测和应急处置，加强重要数据安全风险评估和出境管理，同时鼓励企业积极参与数据安全标准研制、关键技术研发等工作。近年来随着国内互联网公司的海外上市，监管在数据出境方面开始重视，网信办在7月10号发布的《网络安全审查办法》征求意见稿中指出“掌握超过100万用户信息运营者国外上市需审查。”

关基保护政策正式出台，涉及8大重要行业16个领域，覆盖范围广泛。2021年8月17日，国务院通过并公布《关键信息基础设施安全保护条例》（以下简称《关基保护条例》），将自2021年9月1日起执行。《关基保护条例》对关键信息基础设施的认定、运营者责任义务、保障和促进以及法律责任等进行明确，为我国开展关键信息基础设施安全保护工作提供法律支撑。根据《关基保护条例》第二条，关键信息基础设施指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

落实到具体监管部门，未来或由网信办牵头，各行业实行分类分级制度。从监管惯例上看，我国基本形成了行业归口监管的体系。《数据安全法》提到“各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护”。以近期受到关注的“数据出境”为例，具体实施方面，《个人信息和重要数据出境安全评估办法(征求意见稿》区分了行业属性，在网信办的协调下，将数据的跨境流动审核权分别授予网信办、公安部门、安全部门、中国人民银行、银保监会、工商总局等具体业务部门。目前金融保险行业、电信和互联网行业、车联网行业、工业互联网行业近年来对数据和数据安全问题都愈加重视，中国人民银行、中国银保监会、工信部、科技部等各部门纷纷发布相应规定，为数据分类分级、管理能力评估、安全防护等相关工作提供了政策指导。

隐私：各方采集数据应遵循最小必要原则，匿名化数据不属于隐私

“个人信息”界定已基本落实，具体处理相关文件表述清晰。《个人信息保护法》目前已经较好地界定了企业收集处理个人信息的原则；《信息安全技术个人信息安全规范》中对个人数据从获取到使用的各个环节，个人信息的主体权利以及个人信息的安全管理要求都给出了仔细的描述；《APP收集使用个人信息最小必要评估规范总则》强调了个人信息处理的最小必要原则，并从数据使用的各个环节提出了评估要求；《常见类型移动互联网应用程序必要个人信息范围规定》更是直接明确了39类常见APP的必要个人信息范围。

目前由个人信息衍生出来的“匿名化数据”监管尚未给予直接说明，该部分交互数据未来或应考虑企业的激励机制暂时放松管制，具体标准由网信办制定，具体监管实施应依靠市场监督管理总局。

流通：政务数据与可公开的政府数据应打破地域层级持续流通开放

目前对政务数据和可公开的政府数据，政府持续推动积极流通。《数据安全法》中提到国家要大力推进电子政务建设，提高政务数据的科学性、准确性、时效性，提升运用数据服务经济社会发展的能力。国家机关应当遵循公正、公平、便民的原则，按照规定及时、准确地公开政务数据。目前国家对政务数据的开放持开放态度，截至2020年下半年我国已有142个省级、副省级和地级政府上线了数据开放平台，与2019年下半年相比，新增了4个省级平台和36个地级（含副省级）平台，平台总数增长近4成。

部分省市选择和大数据平台合作，上海考虑针对第三方数据处理机构发放牌照。阿里云是最早入局政务市场的科技巨头之一，基于此形成了深厚的政企客户服务能力和经验。早在2012年，浙江省水利厅就开始和阿里云合作，利用云计算支持水利厅的网站以及公众服务。腾讯云目前也已经与全国15多个省、50多个城市签署合作协议，包括四川省政务云、广东省政务云、云南公安厅警务云等在内的各级政府机构。具体省市方面，贵州省是国内较早探索政府数据资产化运营的省份，在2014年就成立云上贵州大数据产业发展有限公司，定位于政府数据运营。目前上海正研究公共数据授权运营，第三方数据服务机构或将迎来新机遇。

四、顶层文件与要素身份决定数据效率改革，兼顾激励

参考官方文件与其他生产要素，应加强数据使用效率同时兼顾激励

生产要素官方顶层文件在表述中体现的是促进流通，加强效率，增加掌控。在《构建更加完善的要素市场化配置体制机制的意见》中官方强调要推进政府数据开放共享；提升社会数据资源价值；加强数据资源整合和安全保护。第一条针对的是政府数据的开放，提高政府的办事效率，第二条针对的是具有公共属性的数据，既要通过数据提高政府以外的效率，且直接点名了农业、工业、交通、教育、安防、城市管理、公共资源交易行业；第三条提出加强数据资源整合和安全保护，表明部分数据需要由国家来统筹规划使用，并保证他们的安全性。作为社会主义的数据要素，部分数据或需收为国家使用。

从我国各生产要素监管历史来看，坚持公有制为主体也要激励多种所有制共同发展。我国目前生产要素分为土地、资本、人口、技术以及数据。土地始终坚持城市土地归为国有，农村土地归为农民集体所有，土地作为我国区分资本主义国家核心区别生产要素，我国不可能放开土地私有制，但对于使用权的转让已经通过土地招拍挂制度进行市场化改革；资本方面我国国有资本占比达40%，经历国有资本改革后国有资本比重虽有下降，但是通过股权设计国有企业对于经济始终具有掌控权且撬动了民营经济的发展；人口方面我国在1954年建立了户籍制度，虽然目前户籍制度正在逐渐松动，但是国家对于人口流动仍然进行密切的监测，从而以看的见的手调控经济；技术方面国家建立了知识产权保护制度，国家统一管理，且对知识产权设定50年保护期，此后技术可以被所有社会中的个体使用，该制度兼具对企业技术创新的激励和提高社会整体福利。

数据要素的监管一方面要坚持公有制为主体，目前数据领域的公有制体现的不够好，大部分数据掌握在民营企业中，国家应动用国家意志对部分公共数据进行监管，但同时也要给非公有制经济提供数据要素的使用权，要利用市场分配数据要素，提高数据对公司的激励，对于不牵涉公共利益的数据，例如匿名化后的个人偏好数据，国家不该将所有公司数据都剥夺使用权，例如欧盟作为个人信息保护做得最好的地区，也没有剥夺公司对匿名化数据的营销权利。

虽目前普遍关注数据安全和个人隐私，但其本质是为统筹数据利用做准备。以滴滴被七部门入驻事件为例，官方对其性质定义是数据违规出境和违规采集个人隐私数据。中央出台《数据安全法》、《网络安全法》、《个人信息保护法》以及各类和数据相关的法律法规都和安全与隐私相关。保障数据安全和个人隐私保护是运用大数据提高社会运转效率的底线，即提高社会效率不能以安全和个人隐私泄露为代价，本质上是为了更好的利用和统筹数据资源。国家统筹建立安全标准除了防止数据泄露，也可以把行业内的数据收集标准化，方便汇总保障安全和处理，《个人隐私保护法》除了保护个人隐私，更重要的是使得民众对于大数据的使用知根知底，更好的推动数据要素的合规流动。

数据效率层面改革依靠行业内部推动，激励侧面配合由国家推动制度建设

把数据进行横向分类，企业数据目前存在监管盲区。从目前法律文件和管理办法来看，重要数据和核心数据由《安全法》和《数据安全法》保护，政务数据在《数据安全法》中有单独篇章进行描述，个人隐私数据则有《个人信息保护法》和《民法典》进行说明。企业数据可以分为内部经营数据和个人在企业产生的匿名化的交互数据。前者在目前法律框架中只能从数据安全的角度对其进行管理，后者尚无准确的监管文件对应，只有在特定行业对该类数据的使用方法进行了限定，例如征信数据需要征信牌照才能办理业务，广告数据需要在使用时征得被使用者的同意且在定向推送的过程中表明广告字样。所以企业数据是目前监管的主要盲区。

从数据监管五大属性来看，效率仍需深化，激励需要补充优化。从流通、效率、激励、安全和隐私五个角度入手，流通属性体现在政府对政务数据的重视，安全属性由各类数据安全法阐明，隐私方面主要有《个人信息保护法》。效率和激励暂未出现在数据监管框架内，未来国家在企业数据的监管中或将提升效率作为监管线索，同时要破除原有依靠数据垄断的单一激励模式，配合数据共享优化数据要素对于企业的激励机制。

数据效率层面改革或将由各行业内相关部门统一出台法规标准并推广。数据效率层面的改革与数据安全和个人隐私保护的推进有较大的差别。首先不同行业的数据从获取到使用有着不同的特征，从下文的分析可以看到金融、医疗以及交通需要从数据流通的不同环节入手进行监管，而数据安全与个人隐私对所有数据具有一定的普适性；其次，并不是所有的行业数据都需要从效率的角度进行监管，而数据安全与个人隐私则是针对所有数据；最后，效率层面的监管本质是要“集中力量办大事”，因此改革中必然需要各行业相关的监管机构来统一负责。因此未来效率层面的监管需要各行内部成立相关专业的部门进行统一的管理，很难从法律角度在最高层面统一效率监管，在此基础上，具体的监管可以从数据的使用、数据的来源以及数据公司本身入手。

数据激励层面需要在数据共享中提供市场化报酬以及数据交易制度。数据激励层面要去除当前凭借业务闭环获得数据垄断后的盈利模式，要在数据充分流动配置的情况下优化企业的激励机制。首先需要官方明确具有公用属性的行业，及公司需要共享的数据边界，在边界外则应该减少监管，保护公司进一步获取相关数据的积极性，保证数据公司以数据作为生产要素来获得收入分配的基本权益。同时在数据共享的过程中也要适当给予企业一定的补偿，例如百行征信对接各家数据公司时会给予一定的“数据接入费”。同时加快推进数据交易制度的建设，一方面使得数据处理产品价格更加市场化，另一方面使数据公司在得不到关键数据的情况下提高数据公司参与数据融合的积极性。

效率：公共属性数据由国家管理，聚焦数据使用、来源和流通环节

数据只有在流通中才能最大程度提高效率，国家统一管理并非收为国有，而是建立机制或成立平台将同类数据汇集在一起统一使用。社会主义市场经济改革方向是使市场在资源配置中起决定性作用和更好发挥政府作用。提高数据的配置效率既不能完全放任市场，也不能直接将数据收为国有只由国家来决定数据资源的配置，过去的海外经验和历史经验告诉我们这都是走不通的。政府在提高数据资源使用效率的过程中需要建立数据统一监管平台以及健全数据交易制度，统一汇总数据，加强数据流动，做到能掌控但又有边界。

完备的公共数据能在复杂场景下发挥更大的作用，企业内部数据的应用场景过于单一。未来大数据的使用场景将更加趋向于多样化，复杂化，而企业数据的使用场景局限于内部业务，使用场景相对单一。从百行征信的八大股东自身征信数据的来源来看，8家每一家都想寻求依托互联网形成自己的业务的闭环，这样在客观上就分割了市场的信息链，而且每一家的信息覆盖范围都受到限制，因为信息不广、不全面，这样带来产品的有效性不足，不利于信息共享。阿里和腾讯虽然占据了征信数据中的半壁江山，但是其数据来源为电商、快递、社交等其自身业务范围内，范围外例如保险、移动运营、P2P网贷等并不能完全囊括。公共属性的数据使用需要大而全才能发挥其应有的价值。

政府拥有传统机构的公共数据，统一管理市场内的大数据可形成良性互补。民营经济在发展的过程中，逐渐对一些国有传统机构的业务进行了替代和扩展，原来国家对公共行业的掌握能力随着民营经济的介入和发展有所削弱，统一管理可形成良性互补。举例来说，互联网小贷补充了银行不能覆盖到的一些个人信用贷款，民营医院和微医等互联网医院形成了传统公立医院以外医疗服务供给的补充，网约车和共享单车弥补了市内公共交通最后1公里的问题。政府拥有传统机构内沉淀的数据，此时如果能够统一管理市场民营企业的大数据，两者可形成良性的互补。例如央行征信与百行征信共同建立个人征信基础设施，互联网医院和公立医院联合提高患者的看病效率，城市公共交通大数据可配合网约车大数据共建智慧城市。

公共属性数据无直接定义，可参考重要数据以及关键信息基础设施定义。《数据安全法》与《网络安全法》中均强调了关键信息基础设施（CII）的概念，并强调了在网络安全等级保护制度的基础上，实行重点保护。大致范围可分为七类：公共通信和信息服务、能源、交通、水利、金融、公共服务（水、电、食品、卫生）、电子政务。2017年7月《关键信息基础安全保护条例》增加了环境保护，和国防科工、大型装备、化工、食品药品。结合美国、俄罗斯与德国对CII的定义，暂时讨论下表中各国标准有重叠的行业。

排除安全属性、国有资本占比，应优先监管金融、医疗和交运。首先大部分触及国家公共利益的行业均为国有企业，其次国家亟需监管的数据一定是应属于国家但国家没有所有权的数据，最后需要行业内有数据存量，国家能拿来整合。从各行业的国有公司控股比例来看，掌握通信数据的三大运营商均是国有企业，能源、水利、国防因其特殊性基本都是国有企业，工业制造业虽有一定比例的民营企业，但国内工业领域的数据量较少，还未到需要国家监管的层次。政府数据属于政务数据，公共服务数据涉及较广。此外重要互联网应用的定义是MAU超过100万的公司，这一范围针对性较差，暂先不考虑，若涉及公共行业，可以在筛选互联网公司中涉及公共利益的行业。

剩余的金融、交通、医疗和教育因服务对象大多为个体，互联网公司对其渗透颇深，民营企业数量较大。金融行业中的第三方支付和民间借贷催生海量个人征信数据，交运行业中客运的滴滴和做货运的四通一达、顺丰每天都在创造不被政府拥有的天量数据，民营医疗机构、医药公司和基因分析公司以及过去的补课机构内部都沉淀了相当大的冗余数据。政府若要监管数据，上述行业数据必然有较高的优先级。

1）金融数据：百行征信通过征信牌照限制使用，倒逼征信数据统一融合。

金融数据已有人行征信与百行征信，“市场+政府”双轮驱动。国内传统征信为政府背景的人行征信，行业数据的整合在2006年完成，对象是商业银行中的个人与企业贷款数据，但是数据显示，央行征信中心覆盖大约8亿人，其中具有征信历史数据记录的人群仅有3亿，其征信数据无法有效的降低金融机构贷款的信用风险。而随着互联网时代的到来，第三方支付机构目前用户已逾8亿人，阿里、腾讯更是占据94%的份额，互联网巨头所拥有的天量消费行为数据可以有效地刻画用户画像，作为非信用数据可以有效地帮助银行与第三方金融机构规避信用风险。在这样的背景下，由人行发行牌照，互联网金融协会牵头，8家征信公司入股，15家征信公司接入数据，初步构建了个人征信数据的市场化。

通过个人征信业务牌照倒逼各家征信数据汇总于百行征信。2015年央行要求芝麻信用、腾讯征信等八家机构做好个人征信业务的准备工作，该模式下获得征信牌照后各家公司的业务模式和原先差别不大，政府也难以对其数据的使用情况进行监管。最终八家机构均未通过审核，但最终以入股的形式组成了第一家个人征信机构——百行征信。该模式下，腾讯、阿里没有独自开展个人征信的权限，开展个人征信业务必须先对接百行征信，再由百行征信对外开展个人征信业务。牌照的稀缺性使得各家的征信数据自然汇总于百行征信。

腾讯、阿里拒绝接入核心数据，朴道征信作为补充形成良性市场。目前央行只发布了2块个人征信牌照，第一块是百行征信，第二块是朴道征信，因此互联网平台所拥有的数据并不能用于征信业务，腾讯、阿里只有通过把数据授权给百行征信，由百行征信进行征信业务服务，但是由于初期股份设置并不合理，拥有超过80%征信数据的阿里、腾讯在百行征信中只占有8%的股份，两家巨头拒绝接入数据直接放弃个人征信业务。

目前腾讯信用官网已经关闭了信用分查询功能，芝麻信用则将自身定位转为数据和风控服务商以及提供咨询服务，芝麻分将不再轻易提供给B端金融机构。面对互联网巨头在征信数据上的不配合，央行积极联络其他互联网企业成立朴道征信，其股东包括北京金控集团，以及京东科技、小米电软等有全国性重要影响力的互联网平台和科技公司。其中京东在百行征信成立时就作为第一批数据提供商，积极参与个人征信平台的建设，此次发放第二张牌照来补充征信数据市场时，央行自然选择了京东小米作为合作对象。预计未来朴道征信会深化股东业务协同和资源共享，整合数据、技术、服务、市场等资源，携手开展多元合作，培育数据要素市场。

2）医疗数据：国家队建设医疗大数据中心从数据源头统一分配监管

大数据医疗平台作为公立医院的补充受到国家支持。顶层设计方面，国务院发布《关于促进和规范健康医疗大数据应用发展的指导意见》，要求加快建设统一权威、互联互通的人口健康信息平台，推动健康医疗大数据资源共享开放；同年，《“健康中国2030”规划纲要》提出，消除数据壁垒，建立和完善全国健康医疗数据资源目录体系。疫情期间国家卫生健康委接连下发《关于加强信息化支撑新型冠状病毒感染的肺炎疫情防控工作的通知》和《关于在疫情防控中做好互联网诊疗咨询服务工作的通知》，要求在抗击疫情中充分利用“互联网+医疗”的优势作用，为人民群众提供优质便捷的诊疗咨询服务。通过互联网技术，即使在偏远山区，也能够让当地居民不出远门能与北京、上海等地的大医院专家“面对面”交流。医生也能拿着共享的检查信息，通过远程视频“问诊”，提供咨询，开具处方，满足人们看病的需求。

医疗大数据处理主要聚焦医疗服务与药物研发。一方面，医疗大数据可以为医生诊断提供海量的数据支持，如同把无数医师的诊断病历资料全部搬到医生面前供其参考。除了助力医生问诊之外，在新药研发阶段数据起到的作用更为广泛，例如在药品研发上市之后，通过在真实世界总体的数据收集以及合理的观察统计分析，对接下来新药的进一步研发，临床的应用和发展都会有很大的帮助。

医疗大数据目前存在三大阻碍，隐私保护，利益分配以及标准化低。隐私保护方面主要是指主要是临床数据安全及隐私保护十分重要，很多医疗机构出于数据安全及隐私保护顾虑，不愿意共享；利益分配方面则是指目前数据共享的获益机制尚不健全，缺乏患者、医院以及数据利用方均能有效获益的分配模式，造成数据共享及利用缺乏源动力；最后数据共享存在技术壁垒，不同医疗机构信息系统庞杂，临床数据标准化程度低，不同医院之间的医疗数据基本不能互认。

“国家队”结合地方国资企业构建中国“东西南北中”医疗大数据中心。中国健康医疗大数据产业发展集团公司、中国健康医疗大数据科技发展集团公司、中国健康医疗大数据股份有限公司是目前国内官方参与承建、运营大数据中心的三支“国家队”。“国家队”由国家卫生和计划生育委员会统一牵头组织，由国家健康医疗大数据安全管理委员会（大数据办）统一监管，同时多个运营商、IT企业、央企、银行等金融机构共同参与发起成立，凭借不同机构的人才、客户、行业经验等资源和资金的互补，发挥协同作用，因此具有一定的竞争优势，在中国健康医疗大数据行业占据龙头的地位。

在采取“1+5+X”的健康医疗大数据发展规划的背景下，“国家队”将承担国家健康医疗大数据中心、区域中心和应用发展中心的建设和健康医疗科技文化产业园等经济发展运营工作，以扩大健康医疗大数据建设的覆盖范围，深化健康医疗大数据的应用并完善健康医疗大数据保障体系。五大医疗健康大数据区域中心分别承担国家健康医疗大数据中心、区域中心、应用发展中心和产业园建设等国家试点工程任务，承担着促进产业整体建设和行业生态培育的任务而继续深入职责，并积极推动市场合作或引入民企成立合资公司。

国家健康医疗大数据北方中心或成发展模板，政府领头医药企业共同出资成立。目前山东成为“东西南北中”格局中首个达标的地区，国家健康医疗大数据北方中心已经建设完成。从北方中心的股东结构来看，大股东是移动系的联仁健康医疗大数据科技股份有限公司，小股东由干细胞企业、医药企业以及山东黄金控股的医疗健康投资公司等组成。目前北方中心已经汇入了来自山东省全民健康信息平台和部分济南市属医院的海量数据。作为北方中心授权运营主体，北方健康医疗大数据科技有限公司正在积极探索健康医疗大数据在商保、金融等领域的一系列应用场景。未来健康医疗大数据将在国家卫生健康委总体部署和授权下，开展健康医疗大数据采集存储、开发利用、安全保障、开放共享、互联网+服务及运营等工作。

未来民营医疗大数据平台应对接国家医疗大数据中心或直接引入“国家队”。国内医疗大数据平台早于2016年前即开始发展，阿里健康、京东医疗均已在港股上市，目前腾讯控股投资的互联网医疗初创公司微医控股拟在港上市，但是微医正接受港交所就其数据治理问题提出的疑问。未来民营的医疗大数据平台若想维持业务的发展或有以下2种解决办法：

1）引入三家“国家队”的国有资本。国有资本的进入，能够对医疗数据的使用有一个总体的监管。国有资本的平台资源广阔，利用这些平台，医疗大数据企业能够更加有序的发展，避免陷入盲目的行业竞争。相对民营医疗大数据企业而言，三大“国家队”具备一定的监管和数据确权能力。2018年起，三家“国家队”已经开始对多家民营医疗公司投资。

2）民营医疗大数据平台与五大医疗大数据中心合作。数据由五大医疗大数据中心“垄断”提供，民营医疗大数据平台所有的数据需要对接医疗大数据中心才能够获得，且公司需要服从国家健康医疗大数据安全管理委员会对于数据使用、数据安全的监管。

3）交通数据：保障数据来源的准确完备性，数据源头和使用层面两手抓

省内客运数据中大部分出行数据掌握在平台经济手中。客运数据中跨省市的个人出行基本都掌握在国家手里，从高铁、飞机甚至是手机运营商定位均可获得跨省客运信息。省内公共交通方面，除北上广深轨交基础设施较发达的一线城市，不少二线城市公共出行选择巡游出租车的比重逾20%。在这一背景下，2015-2018年，网约车用户规摸不断扩大，网约车平台数量上升，同时共享单车的出现解决了公共交通最后一公里的痛点，且私家车也在经济发展的过程中越来越普及，网约车、私家车，共享单车成为城市内客运数据中的数据孤岛。

互联网平台估值逻辑面临重塑

未来考虑将监管步骤前移，从数据处理方面入手，可考虑引入国资网安公司。从上文可以发现目前网约车监管的难点在于政府无法保证数据获得的持续性以及完备性，监管部门无法接触到出行的一手数据，同时也无法对数据的使用方式进行规定。前者对于医疗大数据，监管可以通过“国家队”配合公立医院手中的数据建立数据中心来引领业内的监管，后者是征信大数据监管的做法，虽然国家同样无法获得个人消费行为数据的一手数据，但是政府可以通过设立信用牌照对数据的使用进行限制。从新闻看，滴滴虽然曾否认数据将由国资网安公司接管，但我们认为该模式仍存在一定的可行性。该模式下国资网络安全公司的介入可以既保障滴滴数据的安全，也可以保证上传给网约车监管信息交互平台的数据的完备性。网安公司的角色则类似于一家审计公司，以第三方的身份确保数据在互联网公司中使用的合规、合法性，以及在提交给监管部门中数据的完整、完备性。

同时还可以参考字节跳动引入国资的做法，让国资发挥内部监管作用。虽然目前交运领域尚无引领交运信息基础设施建设的“国家队”企业，但是引入国资仍然可以加强企业对于监管政策的把控，政府也可以通过对企业的控股了解企业的运作。以字节跳动为例，三个中国国家实体拥有的网投中文（北京）科技有限公司持有北京字节跳动科技有限公司1%的股份，获得股份与董事会席位之后，政府将有机会更加详细地了解字节跳动的内部运作，并进行监管。未来各网约车企业或将在融资过程中会更加倾向选择“国家队”背景的基金，政府也可以借股东身份来传达监管政策以及了解企业内部数据的处理过程。

其他合作方式方面，目前大部分公司选择与地方政府定向合作开发出行数据，尚未有统一的模式。从公共效率角度来看，平台手中的出行大数据有助于改善城市交通拥挤程度，方便城市对交通干道的再调整，以及重新规划公交线路来改善民生。智慧城市建设的必要条件是需要统一的数据管理，即进行数据共享，同时需要政府、科研机构、商业公司和个人的多方共同参与，但是顶层设计上需要根据各自城市的特点因地制宜。

据滴滴出行方面宣称，2016年，滴滴已率先同贵阳市政府合作，打造“中国网约车大数据交互共享中心”，将依托滴滴公司丰富的用户、车辆资源等成熟的大数据能力，促进贵阳的经济转型升级和社会事业发展。2019年高德地图与北京市交通委员会签订战略合作框架协议，共同启动了北京交通绿色出行一体化服务平台。所以针对网约车、私家车和共享单车这块的数据应首先由各地政府统筹使用，在具体使用中发现较好的合作模式，随后择优全国推广。

物流数据基本掌握在“四通一达”、顺丰以及阿里巴巴的菜鸟裹裹手中。自2009年新《邮政法》首次将快递业务纳入调整范畴，明确快递企业的法律地位，民营快递企业进入了高速发展时期。从快递包裹量来看，前六大民营快递公司四通一达与顺丰占据了市场近80%的份额。目前邮政局是所有快递公司的监管部门，但是邮政局目前并没有权限接入各快递公司的数据接口，但菜鸟裹裹凭借阿里的电商地位已经开始从事统一协调“四通一达”的数据。从2017年的顺丰和菜鸟裹裹关闭互通数据接口的事件来看，邮政局的角色是能协调，而不能从数据源头进行调整来解决。

货运快递数据应考虑由邮政局统一管理，从使用层面出发以提高效率。目前，邮政局已经开始试图整合各大快递公司的数据入口，2020年邮政局推出安易递全网通，用户只需出示“全网通”身份二维码便可实现面单信息快速填写打印，有效提升用户实名寄递效率。这一模式下，通过邮政局的介入，既解决了快递实名制的问题，又解决了个人隐私泄露的风险。同时邮政业安全中心还联合国家预警信息发布中心推出了气象预警服务，平台根据每一位快递小哥的实时位置，动态推送异常天气的预警，提醒其注意防护，提前规划配送时间和路径，有效减少意外伤害和事故发生。

目前邮政局的模式尚未强制推广，但未来快递的收寄或将沿着邮政局的设计路线发展。由于历史数据不容易统一汇总，且快递数据不同于征信数据，暂无可行的商业化模式，所以或不能以建立持牌公司让各快递公司接入数据，但是未来应从用户使用以及快递从业人员的角度，推行各快递公司统一数据格式，统一建设中国快递大数据平台，强化快递大数据挖掘，开发更多服务行业、服务国计民生、接地气的快递大数据产品，逐步发挥“快递大数据+”的社会效益，真正发挥大数据的社会价值。

工业物流方面或集资共同成立大数据平台集中管理。针对工业制造业的物流方面，《推动物流业制造业深度融合创新发展实施方案》强调物流业与制造业需要深度融合，文中提到需要信息资源融合共享，建设物流工业互联网平台，实现采购、生产、流通等上下游环节信息实时采集、互联共享，推动提高生产制造和物流一体化运作水平。未来随着工业互联网的发展成熟，各工业领域或形成由政府部门统一牵头，上下游各公司共同入股建设互联互通的工业物流大数据平台。

激励：非公共属性数据应注重企业激励机制，企业拥有要素收益权

数据作为一种监管要素，固然在其公有制属性上需要进行监管，但是也要注意数据要素在收入分配中的激励机制。有人认为大数据能够实现计划经济，这是错误的，因为大数据不能弥补计划经济的根本缺陷。首先，大数据技术仍然不能帮助国家计划当局获得充分的、无限的信息，特别是知识；其次，大数据不能帮助计划经济形成对个人和企业的符合经济效率目标的有效激励；最后，大数据本身不会对创新有效。引用福特的一句话，“过去调查，你无论找多少人问他需要什么，他肯定不会说需要汽车，都会说需要一辆更好的马车”。这样的创新不是靠现有的数据搜集能去实现的，要靠企业家的创新作用。而计划经济的性质决定了它做不到这一点，所以在数据监管的过程中需要兼顾企业的激励机制，需要给予企业按数据要素分配收入的权利。

1）业务数据：剔除公共属性后要保障企业自身创新驱动的能力。

数据监管同时要保障企业处理业务所必须的数据。目前数据监管主要集中在数据安全和数据隐私两大维度。数据安全集中在重要数据，《数据安全管理办法》指出“重要数据”一般不包括企业生产经营和内部管理信息、个人信息等，同时一般认为匿名化后的“个人信息”并不在个人信息的范畴。可以认为，在数据安全和隐私这两个监管维度上，企业内部经验生产数据以及匿名化后的个人信息及个人与平台的交互数据并不在监管框架下，企业对该类数据有一定的处置权。《个人信息保护法》中也同样强调企业对于开展业务所必须的数据拥有采集权。数据监管本质上并不会影响企业原有的业务开展。

非公共属性大数据的应用需要由企业和市场来探索。大数据的价值是在使用和应用中体现的。大数据在应用领域中可分为2类，一是提升原有业务的效率，例如工业企业通过大数据改善资源配置，地图软件测算拥堵路段提示出行，购物软件用其分析消费者喜好精准营销。这类数据本身应用于企业原有业务效率的提升，最终有利于消费者，这部分数据使用权理应归企业所有。二是利用主营业务的大数据来涉足其他行业，例如滴滴利用出行数据涉足自动驾驶，阿里巴巴利用淘宝大数据改善菜鸟裹裹仓储分布，腾讯利用微信用户行为数据改善自媒体推送。虽然在数据采集方面官方强调最小必要原则，但是很多大数据的使用需要通过企业自身探索才能掌握数据正确的使用方式，政府即使拥有数据也未必掌握数据正确的使用方法，在一些非公共属性领域内，监管应主要考虑企业的激励机制适当放权，让大数据在使用中发挥其作用。

公共属性业务数据需要给予市场化的“使用费”，并探索数据交易基础制度。公共属性在共享时需要给予数据企业一定的激励，这样既有助于数据要素的市场化改革，也有利于提高数据企业提供数据的积极性。以征信行业为例，百行征信和朴道征信本身作为商业化机构，其在做征信业务时有收入就会有成本，征信公司需要对数据接入方给予“数据使用费”。此外政府应继续推进大数据交易所的建设，一方面使得类似百行征信的产品服务可以进行市场化定价，另一方面利用大数据交易所的技术可以使得数据在不进行交换的情况下进行融合，产生出新的价值，这一方面可以使得不能公开的公共属性数据发挥更大的效益，另一方面在保障数据安全的前提下提高了第三方机构参与数据融合的积极性。

2）广告数据：数据控制主体拥有通过数据进行直接营销的权利。

国内对广告数据的监管更多从个人隐私出发。广告数据作为一种较为特殊的业务数据一直广受关注，一方面广告和征信是目前唯二可以直接将大数据变现的行业，另一方面广告容易直接与个人隐私挂钩，与个人日常息息相关，此外互联网广告违法现象也较为突出。目前有关大数据广告推送的监管条例出现在《数据安全管理办法》，条例指出定向推送应当以明显方式标明“定推”字样，为用户提供停止接收定向推送信息的功能；用户选择停止接收定向推送信息时，应当停止推送，并删除已经收集的设备识别码等用户数据和个人信息。也就是说只要用户同意隐私协议且商家在推送时标注广告字样就符合规定。

从欧洲经验来看，《一般数据条例》也保障了数据控制者营销的权利。《一般数据条例》被誉为全世界最严格的数据管理办法，该条例中第六条指出数据控制者或第三方为追求合法利益目的而进行的必要数据处理时具有合法性，且在该条例的Recital47中指出防止欺诈以及直接营销可以被视作追求合法利益。但是欧盟近几年一直在推行数字税的改革，目前班牙的数字税法案已通过，西班牙新征收的数字税针对在线广告服务、在线中介服务、用户信息的数字服务，税率为3%，适用于在全球范围内营收超过7.5亿欧元，或者在西班牙境内营收超过300万欧元的大型科技企业。但该举措更多是欧盟本身数字经济受到美国GAAF垄断的无奈之举，数字税的结局是以GAAF为代表的互联网企业提高了广告服务价格而告终，数字税目前在中国实施的可能较小。

预计未来广告业务受数据监管影响较小，但仍需注意具体使用合规性。未来广告数据由政府统一一手管理的可能性不大，广告数据本身也是公司内部生产数据的一种，且从国内的管理办法和欧洲经验来看，公司利用内部数据进行营销是合理合法的权利。但是定向推送广告业务仍应该遵守《数据安全管理办法》和《个人信息保护法》，在收集信息的过程中要保证最小必要原则。具体实施来看，例如一个日历APP不应该收集用户的通讯录信息，并以该信息办理广告业务或者出售。但是对于用户在平台使用后留下的交互数据，经过匿名化处理后，一方面企业可以直接用于内部业务的营销，另一方面可以将该类匿名化数据的分析结果作为广告服务进行出售，但前提是数据的使用均需要用户的批准，保证合规性。

五、数据监管重塑互联网估值，利好网安和新经济

互联网平台估值逻辑面临重塑

大型互联网平台短期广告收入承压，长期平台估值或将重塑。以阿里巴巴为例，其收入大头依旧是传统的电商广告收入与交易佣金，且其估值通常由其封闭的生态圈而支撑，即以一些非盈利的业务为核心业务导流，提供用户画像的数据来源。从广告收入模型来看，短期影响的关键点在于pCTR即页面访问点击率，数据监管使得大互联网平台可用数据的减少可能导致算法精准度的降低。举例来说，高德地图占阿里的收入微乎其微，但其却能为其他阿里系产品提供导流，同时用户的出行数据完善用户画像提高阿里广告投放和营销的精准性。长期来看数据监管扩大了数据的流动，其广告业务面临其他互联网平台同质化服务的挤压，预计增长趋势将放缓。随着未来官方将该类数据统一监管，短期一方面预计公共数据使用合