近日，《中華人民共和國數據安全法》（以下簡稱“數據安全法”）的出臺，引發了國內各界的高度關注。作為我國第一部有關數據安全的專門法律，也是國家安全領域的一部重要法律，將于2021年9月1日起施行。

盡管《數據安全法》為解決數據安全和權屬問題提供了一些重要遵循，但是在實施過程中，仍有一些具體問題待進一步確認，而數據確權成為其中立法難度最大的一項。

艱難的數據確權立法

根據《數據安全法》的界定，“數據處理”覆蓋了數據的全生命周期，包括數據的確權、收集、存儲、使用、加工、傳輸、提供、公開等環節，不過對各個環節尚未有深入的處理細則。

而在所有環節之中，數據確權可能是優先級最高、任務最艱巨的一環。

如今，數字經濟在GDP中的地位已經舉足輕重，2020年我國數字經濟規模占GDP比重已近四成，對GDP貢獻率近七成。數字經濟的崛起，倒逼著對數據的確權。

但不可否認的是，數據確權立法難度很大。

一方面，數據確權是非常復雜的系統性工程。數據到底是誰的？用戶和商業機構，究竟誰才是數據的主人？自打產生數據交易這門生意開始，便成了行業的“靈魂之問”。

另一方面，如今大量數據被互聯網巨頭占有，成為其最核心的資產，對數據確權，就是動互聯網平臺企業的“奶酪”。由于數據在生產、收集、流通、使用等過程中的產權歸屬不清，要確權這些平臺上的數據，足以引發萬億級的“地震”。

事實上，國內對數據確權的立法之路，顯得頗為坎坷。

早在2016年，貴州在全國率先出臺大數據地方性法規《貴州省大數據發展應用促進條例》，對大數據發展應用的系列環節和數據共享開放、數據安全等重點內容進行規范調整。

貴州之外，還有北京、上海、安徽、福建、黑龍江等省市，針對大數據開發利用有地方性立法。據不完全統計，全國各地以“數據”為名的法規（草案）已經近百部。

但是這些地方性法律幾乎都未觸碰“數據確權”這一敏感的問題。

由于數據確權沒有完成，后續的數據要素流轉就無法很好進行，無法發揮出來數據要素的價值，數字經濟的發展就會受到限制。

此前許多地方成立了大數據交易所，意圖通過數據交易帶動數據產業。然而，由于數據沒有確權，個人數據、企業數據難以交易，只能交易政府掌握的開放數據。

問題是，開放數據人人可得，其價值也會大打折扣，而有限的數據量也使得交易不活躍，一些大數據交易所也逐漸形同虛設。

可以預見，解決數據確權問題，將是數據立法“下半場”的重要議題。

數據確權的博弈

一場數據確權的博弈，正在用戶和商業機構之間展開，至今仍無確切的分曉。

在數據確權不明的情況下，一旦用戶對某段數據主張所有權，卻被告知相關數據已經被服務商出售給其他商業機構，勢必引發出售者與用戶之間、購買者與用戶之間、購買者與出售者之間關于非法買賣的爭議。

正方觀點通常是，既然數據是在用戶的使用過程中產生的，數據的主人理應是用戶，而非公司。

反方則認為，數據并非只要有用戶行為就會產生，而是因為服務商提供了一套記錄并存儲數據的方式和設備，才產生了數據的概念，在所有權問題上，應當由商業機構和用戶之間協商解決。

作為上位法，數據安全法并未涉及數據確權問題。

上海數據交易中心CEO湯奇峰認為，用戶理所應當是數據的產生者和所有者，然而由于服務提供商的加入，使得用戶的行為被收集和封裝成為數據，服務提供者同樣是數據鏈條上不可或缺的一環。

“用戶在服務提供者的幫助下，享受了其提供的訂機票、送餐等出行和生活服務的便捷，其實已經獲得了提供數據給服務提供者的‘紅利’?！睖娣逭J為，確權問題應該在用戶和服務提供商之間達成平衡，而不是單方面強調用戶對數據所有權的主張。

此前，在西方國家的商業層面曾經出現過這種模式：數據所有權歸用戶，商業機構或服務提供商若想收集用戶的使用記錄和個人信息用作商業目的，則支付給用戶一筆錢，用于“購買”屬于用戶的數據，但這類商業模式在我國沒有實踐層面的落地。

360董事長兼CEO周鴻祎在2018年全國兩會期間曾以全國政協委員的身份提交過一份提案，建議將數據所有權和使用權分開討論，即所有權歸用戶，使用權歸服務商及經過用戶明示授權的其他商業機構，“前提是保障用戶的所有權，此外應當允許商業機構在一個明確的框架內利用用戶的數據來賺錢。”

商業“先行先試”

《數據安全法》在數據確權問題上的留白，給了從業者另一種想象的空間。

在《數據安全法》處于草案階段時，華控清交CEO張旭東曾提出，過早、過嚴、過窄地定義和規定數據所有權，在法律上可能會制約數據產業和數據生態發展。

一些從業者提出，既然數據確權是“老大難”問題，在不明確是否應該以法律強制規定來一錘定音的情況下，不如換一種方式，在“先行先試”的具體實踐中摸索出一套有利于整個數據交易行業的確權方式，然后再以立法或行業規范的方式加以確認。

“先行先試”只能從商業機構之間的數據交易開始。

相較于政務數據、金融征信數據和城市運行數據，商業數據更容易“在商言商”，形成雙方都認可的價格。

“先行先試”未必需要面面俱到地在所有類型的數據交易中展開，完全可以就某一類最容易被交易，數據持有者也最有交易動力的數據開始。

在整體交易量的占比上，商業數據的地位已經凸顯出來。湯奇峰曾對媒體透露，2020年，上海大數據產業的商業數據交易已經占到了全國公開交易量的一半以上，商業數據“先鋒隊”的作用可見一斑。

催生前沿技術風口

《數據安全法》的出臺，其實不只意味著數據領域的監管趨嚴，在“牢籠”的形態之外，法案也在加速了新風口的誕生，更多前沿技術投入到數據領域的使用。

隱私計算，在去年突然走紅，很大程度上就與當時《數據安全法》草案以及其他隱私保護相關條例有關。

據悉，隱私計算技術能夠實現“數據可用不可見”，典型的技術包括：全同態加密、多方安全計算和聯邦學習等，實現數據在流通過程中的安全，可以大大促進數據的流轉和交易。

其中，“不可見”是為了數據真正的安全，保證數據不被篡改，不被竊取，承擔起信息的存儲職能；“可用”則是為了承擔起數據流轉的職能。

在《數據安全法》出臺之后，這些新技術將進入飛速發展、跑馬圈地的階段，離規?；?、商業化落地的目標更近一步。

不過業內人士也指出，隱私計算處于初步探索期，工程學上還需要驗證，想要正式投產還需要至少一年時間。

而人工智能在數據開發利用和數據安全方向，仍然是不可缺席的“一員大將”。在提高數據分類分級的效率和準確性方面，人工智能和機器學習潛力巨大。

除此之外，區塊鏈和智能合約也是備受看好的技術方向之一。

由于信息在流轉過程中，要盡可能透明化，同時要保證對客戶本人、行為數據存儲機構的支付，還有交易記錄流轉、數據信息利用的效用反饋數據等，智能合約會是兼顧這幾大問題的有效手段。

結語

盡管《數據安全法》各項執行細則和標準設置得不夠具體，但在不少業界人士看來，作為數據安全領域的上位法，《數據安全法》對于數據安全的基本制度、保護義務和責任已經有了比較清晰的規定。各部門隨后將出臺配套政策，使法律執行更加清晰，降低執行難度。

在期待更多配套法案出臺的同時，前沿技術也正在金融、醫療等領域用于數據安全和隱私保護。相信在不久的將來，數據確權問題將在立法、技術和商業層面，被逐步解決。