新基建背景下的数据治理体系研究——以数据生命周期为总线的治理

1、新基建背景下的数据治理体系研究以数据生命周期为总线的治理摘要：数据是新基建发展的“土壤”，共性基础设施建设促进了产业间数据 的密切交互，也带来了海量化、耦合化的数据形态，传统“囚笼式”的数据规制 方式已无法满足新基建数据动态发展的需要。结合对数据治理现状的多角度分 析，本文提出以数据生命周期作为主线的治理框架，通过数据生命周期穿透各个 治理环节，提炼出数据的共性价值，为治理提供合理有效的规制路径。还结合法 律政策与技术规范，对数据的来源、传输、存储、加工、应用和清理等六大数据 生命周期的环节进行具体论述，并针对每一环节提出治理重点和治理思路。2020年3月4日，中共中央政治局常务委员会召开的会

2、议强调，要加快推进国家规划已明确的重大工程和基础设施建设。4月20日，国家发改委在新闻发布会上对新基建的具体内容作了明确解析，为基础设施数字化、智能化发展释放出巨大的产业信号，标志着信息互联网向更深层次的产业互联网和价值互联网转型。新型基础设施建设通过技术驱动数据 ，将产业作为技术赋能的对象，形成巨大的社会能力。在数字基建浪潮的推动下，从消费领域到实体经济都将面临一次巨大的技术变革，各行业由过去被动、条块状的数据平台建设模式，升级为主动与业务结合，共同进化的有机体系化框架。但是海量数据爆发，多样化的数据形态和激增的实时处理需求也给数据产业安全带来了巨大的挑战。区别于传统互联网“尽力而为”的网络

3、服务架构，产业互联网需要给予产品服务体系可靠的数 据安全保证，并通过对数据的软治理来提升对整个基础设施的治理高度。本文从 技术、立法、评价与监管、伦理等四个角度对当前数据治理体系的现状进行综合分析，在此基础上提出以数据生命周期为总线的新基建数据治理路径，并对数据的来源、传输、存储、加工、应用、清理等六大生命周期环节具体展开论述。一、新基建背景下的数据特征强调数据的流动与融合。融合是大数据的价值所在，在新基建数据赋能中，不同行业数据进行有效联结，并通过数据利用与挖掘实现数据价值的最大化。多源数据的汇聚，避免了数据割裂带来的片面决策，不同行业间的数据互补将更好 地提升数据的内在价值，但对技术创新的

4、同步性、产业配套的系统性也提出了更 高的要求。强调应用能力与平台能力的结合。新型基础设施建设通过“数字化” “信息化” “智能化”对传统行业进行重塑，呈现数据平台化和数据产业链分工细化的趋势。共性数字基础设施已成为各类工业数据和资源的重要载体 ，针对行业数据差异 较大的特点，需要结合产业环境搭建产业互联网平台，通过区分化的数据治理思 路实现行业数据价值升级。强调数据的安全属性。随着信息基础设施建设和应用的大面积开展 ，政治、 经济、军事、文化、科技等活动越来越依赖于信息系统的辅助支撑 ，潜藏其中的 数据危机也不断衍生出新的安全挑战。同时 ，随着信息基础设施的大规模增加，对数据的攻击将从网络空间

5、延伸到更加丰富的物理空间，这就需要从终端芯片、服务器、网络、操作系统和数据库等方面建立起全方位的保护。强调数据的社会属性和价值属性。数据平台的广泛关联和运行形成了全新的社会运行机制，信息生产和运行模式、信息与行为的关系、社会行为模式、社 会关系结构等多方面也在发生深刻的改变。数据在社会流动中拥有了价值属性， 数据的所有权、知情权、采集权、保存权、使用权以及隐私权等 ，也成了每个公 民在大数据时代的新权益。结合对数据特点的分析可知，新基建背景下的数据治理要更加强调数据在新时期发挥的关键作用，在保障数据安全的同时还要实现促流动、促融合和促发 展，数据治理所涵盖的内容已远超过狭义上的数据安全管理。因

6、此 ，面向新基建 的数据治理体系建设需要实现“从点到面”，进而“从面到体”的立体化的规制和 监管。二、数据治理的现状与不足（一）技术角度技术是数据治理的执行层面，治理的落实需要通过标准化组织建立统一的 标准体系来进行规制。以工业互联网为例，工信部针对总体框架发布了 工业控 制系统信息安全防护指南工业控制系统信息安全事件应急管理工作指南工业控制系统信息安全防护能力评估工作管理办法和工业控制系统信息 安全行动计划（2018-2020） 等指导文件；中国工业互联网产业联盟（AII）、中国 通信标准化协会（CCSA）随后也对安全体系、防护需求、接入技术等提出了细化 标准。纵向上，按照行业细分电力、煤炭

7、、水利等又有各自的行业平台和技术标 准。以煤矿业为例，现有国家标准 AQ 6201-2019煤矿安全监控系统通用技 术要求；MT/T 1169-2019矿井感应通信系统通用技术条件；同时,在煤矿智能化标准制定体系中又涵盖了国家能源局、国家煤炭协会、中国煤炭学会的 19项行业标准立项。数据治理中标准体系的复杂和庞大可见一斑。标准体系复杂化带来的问题具体表现如下：概念混淆，不同层面、不同组织 缺乏统一的术语标准；缺乏跨行业的技术标准和通用的基础标准，数据流通不畅； 行业智能化水平发展迅速，行业标准指导、规范和安全要求制定流程较长，无法及时跟进；落实到基层，企业对标准执行的能力存在着差别，执行效果不

8、佳等诸多 问题，迫切需要技术标准层面的进一步加强和改善。（二）立法角度法律是根本性的社会治理手段，可为数据治理建立监管和问责制度。从网络安全法电子商务法信息安全技术个人信息安全规范关于加强国 家网络安全标准化工作的若干意见，到立法规划中的个人数据保护法数据安全法儿童个人信息网络保护规定个人信息出境安全评估办法，再到近期十二个部门联合发布的网络安全审查办法，我国数据立法体系正逐步 趋于完善。新基建场景下，参与到数据处理的社会角色越发丰富，法律制定需要对不同 的数据安全责任主体进行区分。如信息主体要求加强对个人信息的保护；行业主 体要求对合法搜集、处理信息的法律保障；数据加工主体要求对数据处理能力

9、的 保护;平台要求对网络交易的规范等。目前我国对数据方面的法律保护还集中在 宏观层面，面对产业链中越发具体的数据保护诉求，如人脸识别数据信息保护、 数据平台交易规范、流程数据保护等依旧缺乏及时的立法保护。数据立法是数据技术与立法体系的高度融合，法律保护要恰当务实，把握数 享经济发展与治理之间的平衡，不能一味求全、求严，卡住数据脖子，限制社会的 数字化改造活力。同时更要注重立法的可执行性，避免类似于欧盟 GDPR ”被遗忘权”规范与操作脱节的情况发生。（三）评价和监管体系数据治理中法律政策的执行需要政府部门、行业组织和具备认证资质专业机构的密切配合。以2019年移动互联网App专项治理为例：20

10、19年1月23 日，中央网信办、工业和信息化部、公安部、市场监管总局联合发布关于开展 App违法违规收集使用个人信息专项治理的公告相关认证要求；同时还委托 全国信息标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会成立“App违法违规收集使用个人信息专项治理工作组”；2019年3月，第三方认证机构中国网络安全审查技术与认证中心为落实“公告”要求编制 了移动互联网应用程序（App）安全认证实施规则，并获得市场监督总局认证 监管司评审通过。随后，国家市场监督管理总局发布了该“实施规则”，规则技术 验证依据为GB/T 35273信息安全技术个人信息安全，认定方法为后发布的App违

11、法违规收集使用个人信息行为认定方法。从 2019年12月开始，在 工业和信息化部网站上可看到由工信部通信管理局对违规App进行通告整改和下架的工作。在实际操作中，多部门参与的监管和评估会在一定程度上影响执法的稳定 和可预期性。如国家发改委等十余个部门均具有关于App个人信息收集使用的行政监管权与执法权，带来了多头管理的局面，管辖权限范围不明确，不利于执 法尺度和标准统一的问题。还需注意的是评价和监管并不能仅注重事后管理，还需要通过常态化的评价与监督方式 ，建立起科学完善的监控平台，实现主动防治。（四）数据伦理角度数据治理不能仅靠公权力进行维护，同时也要将治理思维体现在伦理道德 监管中。新兴技术

12、指向未来发展，技术研发还处于快速成长期，社会影响的复杂 性、长期性、累积性，带来了信息技术的“科林格里奇困境”。伦理问题将借由新 基建的放大效应，给社会带来多方面的影响。2019年7月24日，中央全面深化改革委员会第九次会议审议通过了国家科技伦理委员会组建方案，开启了我国科技伦理治理制度化的历程。有效应 对信息技术带来的社会挑战，需要深入研究思考并树立正确的道德观、价值观和 法治观。习近平总书记在中共中央政治局第九次集体学习时强调：“要整合多学科力量，加强人工智能相关法律、伦理、社会问题研究，建立健全保障人工智能健康发展的法律法规、制度体系、伦理道德。”然而，近年来隐私泄露、算法歧视、信息茧房

13、等有关数据使用的丑闻使公众对数据使用和信息技术的信任度降低；数字经济浪潮下的数字鸿沟导致在不同社会群体之间形成新的“权利沟”和“知识沟”，反而会阻碍社会治理能力的提升。故要正确引导公众的数据使用方式，提倡数据使用的自由、平等、诚信和自律 ， 积极帮助公众适应新基建时代带来的环境挑战和劳动力市场结构变化，实现公众数据和产业数据的价值共创，最大程度地释放数据红利。综上可见，数字基建带动了数据的流动和集中，随着平台数据价值重要性的体现，数据治理需要从问题导向向价值导向进行转变。如何在海量数据中穿透各个运行层面，提炼出数据的共性价值，为治理提供合理有效的规制路径，成为数据 治理体系构建研究的重点。三、

14、以生命周期为总线的数据治理路径新基建数据来源多样，处理方式多样，所处行业和场景不断变化。数据从其产生的原点出发，会全部或者部分流经信息基础设施的相关环节，如下图（图1）。 基础设施建设环环紧扣，传统对单一行业数据或某一数据处理环节的技术规范 体系或政策法律规制很难起到综合治理的作用。 TOC o 1-5 h z IIII一数擒来我:一敷疗传慵3收加存惘-数篇加工敷应用f数掰清理IIIIII一通信网用础设亮W力聂描设推断控术4硬过旅IiI图1新基建中的数据生命周期总线数据贯穿信息流动的生命周期，把握以数据生命周期为总线的数据治理，可 以将治理思路贯穿于数据的产生、收集、流转、加工、使用直至清理的

15、全应用 流程,在信息全链条中完成数据从端到端的跟踪与管理服务。故此，有必要对数据治理流程的各个环节进行全面深入的梳理。（一）数据来源：区分来源的差异化治理现阶段，我国的数据来源形态处于由单向应用阶段向协同共享阶段过渡。不同来源数据具备不同的数据规模和数据特征，在数据治理的过程中不可一概而论，而是要采用“分而治之”的思路，抓住特点，给出不同的治理思路和路径措施。个人数据是大数据最重要的信息来源 ，也是整个数据产业链中经济价值最高的数据类型。在我国法律体系中，“公民个人信息”被定义为以电子或者其他方 式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名

16、、身份证件号码、通信通讯联系方式、住址、 账号密码、财产状况、行踪轨迹等。在更广义的定义中，个人数据可以扩大解释 范围为个人的自然信息和行为数据的总合。不可否认，目前我国个人数据权层面法律基础设施与配套建设尚不充分，把握个人数据收集过程中的合法公开原则、 目的限制原则、最小数据原则、数据安全原则和限期存储原则成为进一步个人 信息数据收集的关键。政府数据作为国家基础性、 战略性的数据资源已成为当代数字创新的重要 来源，具体包含城市建设、城市健康管理统计监察、服务与民生消费类数据等多 方面信息，是用联产业数据的关键组成部分。但由于缺乏数据开放的相应立法 许多高价值数据处于被锁定的闲置状态。虽然广泛

17、开放政府数据作为重要产业 数据来源、鼓励政府数据流动已成为新型数字产业的迫切需求，但只有制定了相应的对策、建议，才可以推进政府数据工作的均衡有序发展。行业数据是一个涵盖内容更加丰富的数据体量。在新基建政策和技术的驱动下，工业大数据作为“智能制造”和“工业互联网”的关键支撑即两化融合的重 要基础正逐渐受到重视。制造技术和商业模式的变革将首先带来工业大数据市 场的繁荣，对于大规模工业数据的治理，需要建立分级、分权的治理方式才能对 复杂的产业场景进行规范性的整合。表1不同来源数据的特点及治理路径对比Airtie及的人噌如财产次日沈，:* RT1代他期主茸“nMMvifcftA氏和处理叱的今理性.假而

18、担行汇量日旧款舌是岳ir往.比隼隹用剧璃点用蛀于起华小段室E唐所，牌H大注Wffi耕值的框提不M业等时箔麒陌不同的时分精住和体系规范点治 二强个人，一据与忆1三于三昊方.寸和空弗 万般 分矍建田好情阡取性H：4馆祜!； IT评依据赛用:.分赛11幅妙数靠正副电般话共 理目酮合法合理生具悻包括限制目的. 性在发挥班通力上的作用品佛还箫拉制硝:在篝足合修相些磁匕提升企M8座路知情同3枚，沱至自关区等方言术立提以及立菇与国占政策立持置产也企!it恰生比水平就运营幽镒（二）数据传输：以技术为基础，以政策为指引“基础设施犹如经济社会发展的筋骨，节点布局合理、网络密度适宜、通道 运行高效、传输能力符合社会

19、需要，筋骨就强健有力，对经济社会发展的支撑就 稳固有效。”网络基础设施经常被类比于传统基建中的铁路公路建设，伴随国家信息化建设的推进，数据网络的信息安全保障已上升至国家网络空间战略高度。在传统理解中，网络运营商被认为是保障数据安全传输的主体。但随着信息 供应链的日趋复杂，产业链也在逐步细化，设备集成商、网络服务提供商、软件 供应商都在更大程度地参与到数据传输的关键工作中。5G”作为新基建中数据传输的重头戏，对5G的投资范围不仅包括通信设备、网络建设等基础设施，还包括智能驾驶、工业互联网、人工智能、远程医疗、智慧城市等外延产业链群 的同步升级。在网络基础设施扩大建设后需要重新评估现有网络政策和安

20、全治理框架扩大网络安全保障范围和重新评估并建立具备长度、深度、广度的立体化网络空间治理体系。网络空间的治理涵盖技术和政策两个角度 ，行业规范组织从技术角度对设备制造商、软件供应商、互联网运营商，以及互联网服务和内容提供商等所提供的服务进行技术安全保护和行为界定；同时，需要国家和政府从政策及法律法规的角度对网络空间的生态系统做一整合和战略性规制。具体见表2表2数据传输中政策与技术层面的区分与比对（三）数据存储：新形态下的数据中心治理数据存储主要由大规模数据中心进行承载。在新基建时代数据中心的组织形态将发生巨大变化，成为促进5G、人工智能、工业互联网、云计算等新一代信息技术发展的数据中枢和算力载体

21、。海量数据将推动数据中心向超大规模发展，对时延要求敏感的 VR/AR、自动驾驶、远程医疗等业务场景，使计算能力逐步向用户端下沉，边缘数据中心的需求迅猛增长。 考虑自然灾害、病毒攻击等不 可控因素影响（如数据的异地灾备）,分布式云数据中心将进行更大范围的协同 布局和整体优化。经过调整的数据中心组织形态建设 ，将更好地面向新基建背景 下的多场景业务需求，但是其多节点、广分布、跨地域的形态特点，也给数据存储的治理带来了新的挑战。从应用需求角度看，要加强数据中心和网络建设的协同布局。构建基于云、 网、边深度融合的算力网络，满足在云、网、边之间按需分配和灵活调度计算资 源、存储资源等的需求。统一数据中心

22、的技术标准，优化网络组织结构，从基础能力上保障海量、异构和多样性数据的接入，维护数据中心的物理环境、 数据存 储安全和数据处理能力。由工信部牵头组织，中国数据中心工作组（CDCC）、中国数据中心产业发展联盟、中国数据中心技术委员会、数据中心联盟、中国绿 色数据中心推进联盟等均正在致力于推进数据中心基础设施的技术能力治理 提升，并推出相关系列国家和行业建设标准。从立法监督角度看，结合当前分布式数据存储的特点，尤其要加强离岸存储 数据的确权管辖。由于历史因素和规制传统的不同，各国数据规制制度存在显著 差异，数据业务的跨国提供和数据的离岸存储带来地域管辖上的冲突。我国大数据发展的国际环境日趋复杂、治

23、理难度系数逐级攀高，围绕着数据资源的跨境传 输与数据主权、开放数据的共享利用与安全保护以及敏感数据的情报萃取与反渗透、反窃密等行为的博弈较量日趋激烈。2016年11月出台的网络安全法首次以国家法律形式明确了中国数据跨境流动的基本政策，但仍缺少明确的 评估方式和评估机构。从美国、欧盟和俄罗斯这三大数据跨境保护阵营的实施策略中，我们可以清楚地发现,国家的数据技术能力与立法的限制程度成反比。 数据治理能力综合体 现为技术治理能力与政策治理能力的叠加 ，呈现互补的关系。数据中心的治理以 保护国家数据主权作为第一需要，而数据流动价值需求次之。这种规律也为我国 制定数据信息保护和管辖规范的制定提供了一定的

24、参考价值。（四）数据加工：对智能算法及产品的规制数据加工是对数据彳值的深度挖掘，涵盖人工智能、数据挖掘、智能感知、 智能交互等多重技术，是数据成果化实现的关键环节和信息技术发展的核心动 能。随着数字基础设施建设的发展 ，数据传播的内容将更具社会渗透力 ，数据加 工的结果对人的社会化方向、内容将产生更深远的影响。从社会治理的维度看，人类行为正通过算法以一种全新的方式产生关联运行,数据的社会属性就是人类社会行为及作为行为基础或者依据信息的表现形 式和载体的数据化。人工智能应用下的信息生产和运行模式、行为决策机制、 社会关系结构等多方面正在发生深刻的改变，传统法律法规只能通过国家干预 进行事后救济，

25、而技术规则则可以通过代码进行事先预防首先是对智能算法本身的规制。智能算法是“以数学形式或计算机代码表 达的意见”，但其内核和运算过程带有不透明性和不可解释性。同时大量数据经过算法的循环推演，又会把这种歧视倾向进一步放大或者固化，从而造成“自我实现的歧视性反馈循环”。算法歧视和算法黑盒的结果应用在社会价值的判断中，就会直接影响到相关主体的权益，带来现实社会中“偏见”和“歧视”的受害者。 当前，对人工智能算法和相关业务规范已在不同条款中有涉及。其次是以智能算法为内核的智能产品法律地位，及权利义务关系问题。如人工智能创作成果的知识产权争议，智能算法致第三方损害的责任承担问题等等。以无人驾驶汽车交通肇

26、事为例，其在刑事和民事领域的责任主体构成上与有人 驾驶的机动车肇事案件需要做明确的区分。智能算法仍具有高度的不确定性，相关数据体量庞大，相互依赖性强，影响后果的因素复杂，这种不确定性使得法律制定在事后干预措施的可控性较弱。因此，在立法层面要积极地推动人工智能责任立法以及自动驾驶、医疗机器人等相关领域的细分，充分考虑特定场合中对相互冲突的利益进行道德判断和取舍，以及在此基础上如何调整法律理念、制定法律规范和分配法律责任等问题。（五）数据应用：平台风险的管控数据应用的治理是面向不同应用场景的数据资源再分配和数据安全管理。目前网络和数据安全风险不断向平台转移，安全形势愈加复杂，工业互联网正在成为网络

27、安全的主战场，且工业大数据多涉及到民生、军事等重大方面 ，工业互 联网安全已威胁到国计民生和国家发展的安全。因此 ，要结合产业环境，针对行 业数据差异性的特点，通过区分化的数据治理思路实现行业数据价值的升级。技术安全保障是工业互联网数据平台治理的基础，通过技术治理赋能我国工业互联网平台运行的数据采集、监测、感知和预警等工作，实现工业企业数字 化、网络化、智能化的综合应用能力提升。 强调平台数据使用安全，在防护维度 上加强数据监控和数据感知，避免工业互联网大规模安全事件发生。 国内外工业 互联网技术标准体系正在逐步建立与完善，我国信息安全标准化技术委员会、中 国通信标准化协会（CCSA）等标准组

28、织已分别着手从不同层面定义了安全防护 总体要求、接入要求、检测要求、监测管理要求等评估标准。同步建立以国家政策性规章为导向，以地方指导意见为资源保障的工业互联网平台数据治理体系。自 2015年5月国务院首次提出智能制造 2025 至2020年初，我国共颁布全国性政策法规及指导意见21项。其中与数据治理密切相关的有2019年7月26日工信部、教育部等十部委共同印发的加强 工业互联网安全工作的指导意见，标志着中国工业互联网安全体系基本形成;2020年2月，工业数据分类分级指南（试行）围绕工业数据的概念、分类 分级方法、差异化管理等方面提出16条指导意见，标志着我国工业数据治理体系的建立；2020年

29、3月，关于推动工业互联网加快发展的通知具体提出工业互联网20项举措，还印发了工业互联网企业网络安全分类分级指南（试行）等重要文件。从落实到地方的政策法规看，29省均具体下发了结合地域工业发展要求的地方性指导政策、实施方案及配套措施等相关意见。（六）数据清理：不同清理需求的区分海量数据涌入信息系统，带来商业价值的同时也带来了大量的数据冗余。数 据的清理可以发生在数据处理的各个环节，是数据生命周期的重要组成部分，也 是最容易被忽视的治理环节。2018年以后，随着GDPR数据删除权的提出和施 行，数据清理、数据丢弃问题开始走入数据治理的视野。什么样的数据可以被清 理;哪一个数据主体有决定数据可以被删

30、除的权利；业务数据被删除后，数据副本 是否依旧留存；“互联网的记忆”要维持多久,数据的清理周期是如何规定的等等 ， 这些都成为在数据清理环节中需要解决的治理问题。数据清理按照清理目的的不同可分为下面三大类：.数据处理过程中的技术性剔除。数据的采集过程通常有一个或者多个数据源，而这些数据并不是系统可以直接处理的数据，存在噪声数据、冲突数据以及格式问题数据，需要对脏数据进行清洗剔除、格式梳理，并根据规则进行数据 转换和数据集成。在这一部分需要结合数据的处理目的 ，来把握数据的业务规则、 约束范围、数据完整程度等具体指标，将不正确的数据删除，纠正或重新估算。 这一数据清理过程保证了数据的合法性、一致性、完整性和准确性，避免了数据系统的“垃圾进、垃圾出”的问题