《数据二十条》首要的创新是提出数据资源持有权、数据加工使用权、数据产品经营权“三权分置”的产权制度，这个创新性的安排切合数字经济的特点。

数据要素形成过程中的参与方比较多，这意味着数据很难像土地、劳动和资本那样清晰地确定所有权。

“三权分置”的产权制度，不纠结于数据“归谁所有”这一传统视角，而是从数据的三种形态出发，明确对应的持有权、加工使用权和经营权。

👉以“三权分置”为主线，从公共数据、企业数据和个人数据这三个维度，界定“谁的数据”；同时也明确确权依据是“数据来源和数据生成特征”，这就让数据来源方、数据处理方、数据使用方的权益得到了保障。

《数据二十条》提出的数据资源、数据和数据产品这三种形态，是确立产权分置制度的基础。通过准确理解数据的特性与功能，可以进一步明确“数据三态”的含义：

• 1.数据资源包含了存在于公共机构、自然界、企业、个人等多方的可以数据形式记录的信息

• 2.数据产品是采集、清理和加工数据资源所形成的成果

• 3.数据资产则是数据产品应用于经营活动时的形态。

《数据二十条》的另一个重大突破是基于数据要素的特征，提出了一个全流程的合规与监管规则体系。

这个框架充分考虑了数据要素不同于传统生产要素的特征在供给、需求和交易环节造成的挑战。数据包含个人隐私和商业机密，还具有非排他性、非竞争性和非耗竭性，同时信息不对称的矛盾十分突出，因此数据无法像土地、劳动和资本那样在市场上流通。

所以，要建立健全的数据交易市场体系，需要解决数据供给方、数据需求方以及数据交易环节中的困难。最突出的问题可能是数据有效供给不足、品牌数据缺乏。

数据需求不少，但是交易或流通收益少、合规风险和安全风险大，导致数据供给方不想卖、不敢卖。

除了有效供给不足，数据方也存在寻找合适数据难、货比三家难、内外整合难和安全保障难等问题。另外在交易环节，还存在数据交易机制不顺畅的问题，例如数据交易争端难以解决等。

《数据二十条》从增加有效供给和提高数据交易效率这两个维度破局，同样具有很强的创新性，而且也留下发展空间。

在交易场所方面，关注点主要放在“统筹构建规范高效的数据交易场所”，提出“引导多种类型的数据交易场所共同发展，突出国家级数据交易场所合规监管和基础服务功能”。

在可预见的将来，可能需要特别重视场外交易的重要性，其至少可作为正规交易所场内交易的重要补充。

从全球经验来看，数据集市不容易做，规模也小。据Maximize Market Research统计：2021年全球数据中介交易额约为2572亿美元，预计2029年将达3657亿美元。

而Grand View Research的统计显示，2021年全球数据集市的市场规模为7.8亿美元（其中B2B数据集市占据了58%的收入份额），预计2030年将达50.9亿美元。

另外，有大量数据集市失败或关闭的例子，比如微软的Azure Data Market（-2018）、Kasabi（2010-2012）、奥地利的Data Market Austria、Swivel.com等。

目前数据交易的主流模式是依托于品牌数据经纪商的数据交易。在美国，许多行业都有典型的数据经纪商，比如Corelogic涵盖了美国99%以上的住宅与商业地产数据。

数据交易困难的症结在于信息不对称程度高、信任不容易建立，好的交易模式必须有效解决这个问题。

点对点模式可行，因为这种模式之下供需双方见面，供需直接匹配；数据经纪商占主导，因为中介可以帮助降低信息不对称、增加信任；数据交易所进展有限，因为数据产品比较难标准化，除非交易所兼做数据商或者引入大量数据商。

现在数据交易市场体系刚刚开始建立，不妨让“有效市场”和“有为政府”共同发挥作用，如果数据商有能力解决问题，那就不必过分纠结场内还是场外，当然，对场外交易也要做到监管全覆盖。

《数据二十条》提出数据治理的目标是“打造安全可信、包容创新、公平开放、监管有效的数据要素市场环境”，并首次提到要建立“算法审查”制度。算法对于数字经济中经营效率的提升和信用风险的管控作出了重大贡献。

与此同时，算法黑箱、算法歧视等问题时有所闻，关键是数字经济企业的大部分合作者和消费者无法判断算法的公平性，监管部门真正做到穿透式监管也面临挑战。因此，“算法审查”是保证合法合规经营的重要一步。

但《数据二十条》并没有明确说明算法审查谁来做、怎么做。算法治理的核心有三个层面：

从业界经验看，头部审计公司也积极参与到算法审计中，如德勤对外尤其是对政府客户推出的算法审计服务，设立了算法审计师并明确算法审计工具箱等安排。中国可借鉴国际经验，进一步明确算法审计的路径、具体框架和评估尺度，构建算法审计制度。

算法审计一般有两种思路，一种重视算法代码透明化，另一种重视对输入输出和对结果的评估。

IAPP CIPP CIPM CIPT全套资料免费下载

算法代码透明化的安排，要求企业提供核心算法程序，由独立第三方企业或者公共机构直接评估算法程序是否合理。

👇这一安排的弊端在于，其可能会因为涉及被审计企业的核心商业机密而被拒绝，而审查机构也无从知晓被审计企业提供的算法是否就是实际使用的算法。

在重视输入输出和结果的审计安排中，输入审计是指要求平台明确，在个性化服务的时候，依据的是哪些重点维度。

输出审计是指要求平台报告依据算法，如算法最主要追求的是什么样的目标；同时要求平台报告算法相关成效，并评估相关成效。

另外，算法审计可以考虑一些基本的指标，包括歧视性、有效性、透明度、直接影响、安全性和可获得性等。当然，在具体的执行过程中可以根据业务的特点对评估指标做一些特定的选择与安排。

通过为算法在上述维度及其分项按照合规程度打分，可以帮助利益相关方和社会公众对平台的算法合规程度有全面的了解，从而推动企业有更高的积极性用合规的算法来推动自身发展、推动中国数字经济的健康成长。

算法在两个方面与审计师相关。首先，审计师通常有一项任务（审计），这要求他们调查和回答问题，如特定控制措施或控制系统是否有效。为了解决问题，审计师需要设计一种算法或审计计划，同时描述他们将如何解决问题。

无论审计计划是否编写，无论审计师使用第三方软件还是自己编写软件，审计人员都在使用一种算法。无论他们是否从这些方面考虑，审计人员对设计算法并不陌生。他们至少应该以非技术术语理解为得出结论而必须回答的问题。如果他们不能管理技术方面，可以寻求技术帮助，但知道必须比较什么是审计师的工作。

使用算法，尤其是 ML 算法来做出决策会使企业面临风险。尽管管理层最终会就其愿意接受的风险做出决定，但客观地告知管理层风险是审计师的工作。常见的风险领域包括：

算法或其实现中的错误以及算法未考虑到的实践中可能出现的情况。这可以通过算法分析或测试来诊断。

👉程序通常是专有的，并且文档（如果有的话）通常不够详细，无法准确了解算法在做什么。即使是这样，对于非专家来说，它也可能很复杂且难以理解。用户验收测试 (UAT) 通常由用户设计，并侧重于证明通用案例有效。

👉罕见的情况通常不会被考虑，但审计师对这些最感兴趣。用户和审计师的关注点不同，但又是互补的；用户专注于良好和高效地完成日常工作，而审计师则对可能出现的错误感兴趣。

👉提供给算法（尤其是机器学习算法）以供训练的数据的正确性和充分性。这样的数据应该能够涵盖通常和不寻常的情况。

审计师担心在极少数情况下训练不佳，从而导致算法产生不正确的结果。

IAPP国际隐私证书考试资格评估

相信机器答案的倾向很强，但只有在正确性已经过详尽测试并且机器实际回答了适当的问题时才被证明是合理的。

文章整理于网络内容，由隐私合规交流圈 隐小私翻译整理，转发请备注出处

*整理编辑：A隐小私(yinxiaosi00)