周辉，中国社会科学院法学研究所网络与信息法研究室副主任（主持工作）、副研究员，中国社会科学院大学法学院副教授、硕士生导师，北京大学法学博士、国家行政学院博士后。兼任中国法学会网络与信息法学研究会副秘书长、中国互联网协会个人信息保护工作委员会副秘书长、《网络信息法学研究》执行主编，先后参与《网络安全法》《电子商务法》《数据安全法》《个人信息保护法》等法律的起草论证和国家有关部门平台经济监管政策制度设计工作。荣获全国法学会系统先进个人、中国社会科学院优秀对策信息对策研究类一等奖等多项部级荣誉奖励，主持国家社科基金等国家级、部级项目十余项，在《环球法律评论》《法制与社会发展》《人民日报》等发表论文、文章数十篇。研究领域：网络治理、数据隐私、智能法治、行政法。代表作：《变革与选择：私权力视角下的网络治理》《算法权力及其规制》《人工智能治理：场景、原则与规则》《互联网平台治理研究》。

　　“规范处理”在数据要素市场法治化建设中处于重要地位，“权益保护”和“合法利用”只有在个人信息处理活动中才具有实际意义。在信息化应用广泛覆盖的现代社会中，数据不仅是反映人类社会各类事物的数字化记录，还是一种土地、劳动力、资本以外的新型战略资源和竞争优势，是数字经济活动的基本生产要素。一方面，以数据为支撑的多元的数字技术应用，将提高数字经济发展的质量与效率。另一方面，随着信息技术的发展，数据处理方法更多样，处理流程越发复杂，处理主体日渐增多，利益相关方更加多元，数据泄露和滥用带来的负面性效应进一步凸显。数据处理者满足数据利用的合法性基础属于“数据风险防范的第一步”，数据处理合规才能真正将风险管控落到实处。
　　《网络安全法》《数据安全法》《个人信息保护法》从当前数据处理的全流程出发，拓展了包括同意规则在内的合法性基础场景。对自动化决策、公共场所等特殊场景下的数据处理活动，做出了更加严格的规范，要求实现数据分级分类管理，采取层次化和场景化数据处理规范，规定利用数据进行自动化决策时，应当保证决策的透明度和结果的公平、公正，不得实行不合理的差别待遇。在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识等。
　　一 数据处理合规的具体要求
　　结合《网络安全法》《数据安全法》《个人信息保护法》及相关法律法规的要求，数据合规处理存在如下具体要求。
　　第一，数据处理者应建立并完善数据安全管理制度。梳理公司涉及的数据内容以及应用情况，对此有一个较为全面的把握，在此基础上结合自身的数据处理活动特性，建立健全包括数据收集、传输、存储、共享在内的全流程数据安全管理制度，从安全责任组织管理、员工访问权限管理、信息系统安全管理、应急事件管理等多个维度全面规范企业日常经营流程，并立足自身实际设立针对数据安全事件的监测、预警机制，应急响应、报告机制，以及日常数据安全培训、演练机制，提高自身数据安全能力，有效应对国家数据安全审查。
　　第二，数据处理者应当建立数据分类分级制度，数据处理者应及时开展数据分类分级管理工作，针对不同类型、级别的数据在存储、权限、脱敏、开发等方面采取不同的技术管控措施，并根据实际情况以及重要数据目录颁布情况，对现有体系作出适当调整。数据处理者应重点识别所掌握的数据是否落入重点数据或国家核心数据范畴，并对此建立高于一般数据的保护机制。具体而言，针对重要数据，设立数据安全负责人和管理机构，其设置可以参考个人信息保护机构或负责人（DPO）的设置思路；建立重要数据处理活动风险评估机制，全面评估不同场景下各类数据面临的安全风险，并提出应对措施。
　　第三，数据处理合规应实现数据全生命周期的合规。数据全生命周期涉及收集、存储、使用、加工、传输、提供、删除等过程。在收集方面，数据处理者收集数据时应履行“告知同意”义务。在存储上，应根据数据类型确保符合相应的存储年限的要求。在使用上，以个人同意为合法基础处理个人信息，在使用目的、方式和个人信息的种类发生变化时，应当重新取得个人同意。数据处理企业利用个人信息进行自动化决策的，应当事前进行个人信息保护影响评估并留存记录，应当保证决策的透明度和结果公平、公正。在传输提供方面，委托处理个人信息的，应当与受托人约定委托处理的目的、期限、方式，个人信息的种类、保护措施以及双方的权利和义务等，并对受托人的个人信息处理活动进行监督。对外提供数据时，则应履行单独的“告知同意”义务，企业因合并、分立、解散、被宣告破产等原因需要转移个人信息的，应当履行告知义务。在删除方面，出现法律、行政法规规定的法定删除情形时，数据处理者应主动履行删除义务；数据处理者未履行该义务的，个人有权请求企业删除。

第一章 数据作为新型生产要素的时代价值
第一节 经济价值：新时代经济深化发展的核心引擎
第二节 社会价值：国家治理能力现代化的重要抓手
第三节 战略价值：塑造国家竞争新优势的关键资源

第二章 数据要素市场化现状与法治化模式
第一节 数据要素发展现状
第二节 发展中的机遇与挑战
第三节 数据要素法治化的模式

第三章 数据要素市场化的法治需求与理论分析
第一节 数据产权
第二节 数据开放
第三节 数据交易
第四节 数据垄断
第五节 数据定价
第六节 数据安全

第四章 数据要素市场法治化建设的中国实践
第一节 加强权益保护
第二节 促进合法利用
第三节 确保处理合规
第四节 保障跨境安全
第五节 强化执法监管

第五章 数据要素市场典型法律案例
第一节 数据交易
第二节 数据竞争
第三节 数据跨境
第四节 数据安全

第六章 数据要素市场法治路径的优化与完善
第一节 产权不必确权
第二节 平衡发展安全
第三节 划清权力边界
第四节 突出平台重点
第五节 开放中谋发展
第六节 技术赋能治理
附录
法律、政策文件
行政法规、部门规章、部门规范性文件