企业数据确权与全球合规趋势报告（2023年）

企业数据确权 与全球合规趋势报告(2023年) (中国电力数据精准确权应用指引) 清华大学技术创新研究中心DAMA GLO环球律师事务所 全球发布2023.4.24 数字中国峰会•2023数字中国创新大赛 本报告相关权利，归清华大学技术创新研究中心、DAMA、GLO环球律师事务所共有，获取完整报告请联系我们，引用请标明来源 2 关于报告 企业数据确权与全球合规趋势报告(2023年) 李纪珍教授清华大学经济管理学院副院长、清华大学技术创新研究中心副主任 “数据确权与合规，是全球企业数字化、智能化发展过程中共同面临的难题。清华大 学技术创新研究中心、DAMA(国际数据管理协会)、环球律师事务所的专家共同编写 《企业数据确权与全球合规趋势报告(2023年)及电力数据精准确权应用指引》，希望能与全球各国政府及行业企业，共同推动数据流通与数据资产价值的发现。 本次报告全球首发”企业数据精准确权路径“，是针对AIGC时代的数据确权与合规治理挑战，提出的全球通用的企业数据确权理论和方法体系。由清华大学技术创新研究中心数权经济研究室，与DAMA专家共同研究，并在中国大型央企进行了实践。特别感谢国家电网、国网福建电力大数据中心等机构对研究的支持！” 目录 CONTENTS 企业数据确权 与全球合规趋势报告(2023年) 01 02 各国数据确权相关法律要求企业数据确权的需求与实践 03 全球企业数据精准确权通用路径中国电力数据精准确权应用指引 04 AIGC治理下的数据合规趋势 企业数据确权 与全球合规趋势报告 (2023年) 清华大学技术创新研究中心(RCTI)DAMA 环球律师事务所(GLO) 01 各国数据确权 清华大学技术创新研究中心(RCTI)国际数据管理协会(DAMA) 环球律师事务所(GLO) 相关法律要求 4 01各国数据确权相关法律要求 企业数据确权与全球合规趋势报告(2023年) 数据确权：中国发布多部政策指引，各国暂无关于数据确权相关立法。 本报告相关权利，归清华大学技术创新研究中心、DAMA、GLO环球律师事务所共有，获取完整报告请联系我们，引用请标明来源 5 各国都在推动数据安全保护与开发利用，中美欧不断探索行之有效的流通机制，也开始在数据交易及流通和防止数据垄断方面逐渐发力，但是目前均尚无关于数据确权相关立法。 开发利用 安全保护 网络数据安全：加强网络安全和数据安全立法和监管。个人信息保护：强化个人信息保护方面的立法和执法。数据交易流通：促进数据流通使用，但各国侧重方向不同。 数据反垄断：加强数字领域立法与监管，促进数据流通利用。 中美欧：网络数据安全相关立法和保护要求 加强网络安全和数据安全立法和监管 企业数据确权与全球合规趋势报告(2023年) 本报告相关权利，归清华大学技术创新研究中心、DAMA、GLO环球律师事务所共有，获取完整报告请联系我们，引用请标明来源 6 保障网络安全和数据安全的同时，提倡数据开发利用 《网络安全法》（2017年6月） •网络运营者网络信息安全保护责任； •CIIO网络安全保护、个人信息重要数据的 本地化存储等特殊义务。 •修正案：提高惩戒力度，补充法律责任。 《数据安全法》（2021年9月） •强调重要数据和核心数据的保护。 •鼓励数据依法合理有效利用，保障数据依法有序自由流通。 《数据二十条》（2022年12月） •促进数据合规、高效地流通使用。 重视国家网络安全和关键基础设施的保护，强调美国数据 《国家网络安全战略》（2023年3月） NationalCybersecurityStrategy •提高关键基础设施最低安全防护要求，加强政府企业合作，发展现代化联邦网络，提高安全事件响应速度，以保护国家安全。 《澄清境外合法使用数据法案》（2018年） CLOUD •基于用户同意，或根据刑事诉讼程序，跨境调取在美国运营的电子通信服务或远程计算服务提供商存储在美国境外的通信数据。 《国家安全与个人数据保护法提案》（2019年） NSPDPA •限制特定国家成立或控制的科技公司对美国公民数据的处理，确保美国境内数据免受境外政府的安全威胁，保护数据安全。 强化对关键实体、基础实体和重要实体的网络安全保护义务与监管 《网络安全法案》（2019年6月） CybersecurityAct •构建欧盟层面网络安全认证制度，确保具有足够的网络安全水平，强化对数字单一市场中网络和信息系统安全的监管。 《网络和信息安全指令》（2022年12月） NIS2 •提出基础实体和重要实体概念。 •为在欧盟范围内开展业务的实体创建适用范围更加广泛的网络安全规则。 •强化欧盟范围内网络安全水平。 《关键实体弹性指令》（2022年12月） CER •加强关键实体的网络安全保护，强化义务。 中美欧：个人信息保护的立法和保护要求 强化个人信息保护方面的立法和执法 企业数据确权与全球合规趋势报告(2023年) 本报告相关权利，归清华大学技术创新研究中心、DAMA、GLO环球律师事务所共有，获取完整报告请联系我们，引用请标明来源 7 《个人信息保护法》（2021年11月） •管辖范围大（境内、境外）、违法后果严重（5%；责任人100万元人民币）。 《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》（2022年8月） •银行、保险公司深入全面查找2021年以来个人信息保护方面存在的问题，确保整改到位。 《美国数据隐私和保护法（草案）》ADPPA（尚未生效） •在联邦层面建立统一的数据隐私保护法律，加强消费者隐私权利。 《金融服务现代化法案》GLBA（2000年3月） •对金融信息的收集、使用、披露进行规制。 《加州隐私权法案》CPRA《弗吉尼亚州消费者数据保护法》CDPA（2023年1月） •保护各州消费者对其个人信息的行使权利。 《通用数据保护条例》GDPR（2018年5月） •适用范围广泛（欧盟境内、境外），处罚金额高昂（最高2%或2000万欧元）。 《电子隐私条例》ePrivacyRegulation（2021年2月） •通过让用户更好地控制自己的个人数据来加强电子通信领域的隐私保护。 2022年7月 违法收集、过度收集个人信息等。 80.26亿（5%）；100万元。 2022年12月 违法收集13岁以下儿童个人信息。与FTC达成和解后，合计支付 5.2亿美元。 2021年6月 卢森堡国家数据保护委员会（CNDP） 广告定位功能未经适当同意。 7.46亿欧元。 中美欧：数据交易及流通的监管趋势 美国 美国在数据交易方面整体呈现开放的态度。 数据流通：构建流通的法律体系和监管机制，由推动政府数据开放、政府数据机制建设进一步构建公私合作，促进特定领域数据的使用。 数据交易：倡导市场自由经济， 在实践中形成商业数据交易平台、数据经纪商（databroker）。 数据确权：暂未形成相关政策法规。 中国 近年来，中国正在逐渐确立起数据产权、交易流通、收益分配、安全治理的数据市场化体系。 建立公共数据、企业数据、个人数据产权制度 采取开放、共享、交换、交易等方式流通数据 构建规范高效数据交易场所，鼓励数据商进场 但目前相关官方文件多为政策，暂未形成立法文件，并且实践中仍存在一系列难题待进一步探讨和研究。 促进数据流通使用，但各国侧重方向不同 企业数据确权与全球合规趋势报告(2023年) 欧盟 数据流通：欧盟数据战略的关键在于促进数据的获取与使用，重点是使更多具有公共利益属性和经济效益的数据充分发挥其价值，并围绕这一目标不断更新立法，构建数据流通的机制。 2020年2 月 《欧盟数据战略》 EuropeanStrategyfordata 2022年5 月 《数据治理法案》 DataGovernanceAct 2022年5 月 《欧洲健康空间》提案 EHDS 数据确权：暂未形成相关政策法规。 本报告相关权利，归清华大学技术创新研究中心、DAMA、GLO环球律师事务所共有，获取完整报告请联系我们，引用请标明来源8 本报告相关权利，归清华大学技术创新研究中心、DAMA、GLO环球律师事务所共有，获取完整报告请联系我们，引用请标明来源 9 中美欧：数据反垄断方面的监管趋势 加强数字领域立法与监管，促进数据流通利用 中国：打破数据孤岛，促进数据流通利用 •经营者不得利用数据和算法、技术、资本优势以及平台规则从事不正当竞争或垄断行为，扰乱市场公平竞争秩序，从而避免产生市场资源不断向具有大量数据、算法和技术实力的一方主体倾斜。强调平台间的互联互通。 •加强对于互联网平台的反垄断以及反不正当竞争监管与审查。 企业数据确权与全球合规趋势报告(2023年) 美国：加强数字领域反垄断监管执法 •《通过启用服务交换增强兼容性和竞争性法案》ACCESS对超级平台提出了数据可选择性和互操作性方面的要求，意图打破数据垄断，促进数据交易与流通。 •加大了对数字平台垄断的审查和监管力度，持续关注大型数字平台的市场垄断地位与不正当竞争策略。 欧盟：加强数字空间和数字服务的反垄断监管 •2020年12月，欧盟委员会发布了包括《数字服务法》DSA和《数字市场法》DMA在内的一揽子法案。 •两部法案均对不同主体可能存在的数据垄断行为做出规制，体现欧盟监管部门对数据垄断行为的强监管态度。 企业数据确权 与全球合规趋势报告 (2023年) 清华大学技术创新研究中心(RCTI)DAMA 环球律师事务所(GLO) 02 企业数据确权 清华大学技术创新研究中心(RCTI)国际数据管理协会(DAMA) 环球律师事务所(GLO) 的需求与实践 10 02全球企业数据确权的需求与合规实践 企业数据确权与全球合规趋势报告(2023年) 企业数据资产化以数据确权为基础，通过内外部两种方式实现。数据资产货币化主要通过外部流通交易实现，预计到2028年，全球数据交易平台市场价值将达到197.50亿美元，在预测期内以15.9%的CAGR增长。 内部数据资产化：数据在组织内部使用，产生经济效益。在使用分析来发现洞察力的组织中，这种情况很常见，从而提高利润、节省成本或避免风险。内部数据变现是目前最常见的变现形式，与其他类型相比，需要的安全性、知识产权和法律预防措施要少得多。这种类型的数据变现的潜在经济收益受到组织内部结构和情况的限制。 外部数据资产化：个人或组织将其拥有的数据以收费方式提供给外部各方，或作为外部各方的经纪人。这种变现方式不太常见，需要各种方法将数据分发给潜在买家和消费者。然而，收集、打包和分发数据带来的经济收益可能相当大。 本报告相关权利，归清华大学技术创新研究中心、DAMA、GLO环球律师事务所共有，获取完整报告请联系我们，引用请标明来源11 美国：AWS亚马逊数据资产化 数据的权属：以Amazon的数据为例 企业数据确权与全球合规趋势报告(2023年) 在Amazon.com上购物交易产生的数据（例如姓名、地址和购买历史），亚马逊通常可以使用这些数据来完成订单、跟踪购买并提供个性化推荐和其他营销信息。但依据法律和监管要求管理客户数据的使用，亚马逊必须保护个人信息并遵守适用的数据保护法，如欧盟数据保护法 （欧盟数据保护法）和美国加利福尼亚州消费者保护法（CCPA）。亚马逊制定隐私政策，概述了它如何收集、使用和共享客户数据，并为客户提供了控制其数据如何使用和共享的能力。总体而言，虽然亚马逊拥有购物过程产生的数据，但它需要保护个人信息并遵守适用的数据保护法，并为客户提供对其数据如何使用和共享的一些控制。 许可协议 AWS数据交换要求数据提供者同意管理其数据使用和分发的许可条款和条件。 数据验证 AWS数据交换验证数据提供者提供的数据，以确保其完整、准确和一致 数据提供者注册 03 0204 亚马逊