近来合规运营已成为数据治理领域重点关注方向，作为数据密集型企业，电信运营商在数据获取、处理和利用方面具有得天独厚的优势。基于此，本文聚焦电信运营商现阶段数据运营实践，探讨在数据要素市场化的战略背景下，如何构建数据合规运营体系，释放数据价值，为运营商从“管好”向“用好”、从“数据管道商”向“数据服务商”转型提供法治保障。

　　价值释放与安全合规并重

　　以《数据安全法》《个人信息保护法》《网络安全法》为基础，我国已构建数据运营与治理的基本法律框架，2025年1月1日实施的《网络数据安全管理条例》又优化规范了网络数据处理活动。这些法规为电信运营商划定了明确的合规边界，以刚性约束强化了数据处理者的安全义务，构建了权属清晰的责任体系，既明确了数据安全合规要求，又压实了安全义务的不可突破性和责任链条的全流程延伸。

　　尽管数据监管体系日益严格，但国家近期陆续出台了一系列政策，旨在促进数据要素市场化配置和数据价值释放。其中2022年《关于构建数据基础制度更好发挥数据要素作用的意见》提出“三权分置”概念，构建数据产权、流通交易等四方面制度；2024年《关于促进企业数据资源开发利用的意见》针对企业数据开发堵点提出13项措施，鼓励合规开发利用数据，推动数据持有权、使用权、经营权分置运行等。新的政策环境为电信运营商的数据运营提供了政策红利和发展机遇。

　　数据合规开发利用的关注点

　　数据持有权与用户授权的合规平衡。作为通信服务提供商，用户是运营商海量数据（维权）的主要来源和生产者。在提供通信服务过程中，运营商收集包含了用户身份信息、联系方式、生物识别信息、通信记录、行踪轨迹等各类用户数据。而数据与信息具有一体两面的关系，大量数据承载着人格尊严，具有个人信息、个人隐私等人格属性。根据《个人信息保护法》对个人信息“可识别性”的定性，意味着电信运营商持有的用户数据多属于个人信息范畴。而在“三权分置”背景下，除依法定获取数据外，数据持有权的一个核心要素就是运营商要获得用户的有效授权，这是数据价值释放的基础环节。实践中授权机制面临多重挑战：一方面传统的授权模式存在采用“一刀切”的方式获取用户授权，从而导致授权的范围和具体含义不够明确产生“过度授权”争议；另一方面存在授权撤回机制缺失，这些不仅违反相关法定要求，直接侵犯用户知情权和隐私权，也破坏了数据合规生态和用户信任基础。

　　原始数据与衍生数据产品的权属界定。在挖掘与释放数据价值的进程中，厘清原始数据与衍生数据产品之间的内在关系是推动数据有序流通、激活数据要素市场活力的另一重要维度。对运营商而言，原始数据是指在提供服务中初次产生或源头收集的、未经加工处理的用户数据，强调的是数据首次取得或者源头收集的初始性。衍生数据则是在原始数据基础上形成数据产品，是运营商开发处理的经营性成果。现有规定虽未明确禁止原始数据交易，但具有个人信息属性的原始数据受《个人信息保护法》及相关法律法规的严格规制。对衍生的数据产品，现有政策支持运营商对依法合规持有的数据进行开发，形成数据产品进行利用。一个重要问题是，如何确认是区别于原始数据的衍生数据产品。结合当前政策导向与司法实践，一般而言，企业衍生数据的权属应考虑以下几个因素：第一，数据来源合法。运营商要取得用户有效授权，为衍生数据的权属提供合法依据。第二，对数据进行匿名化的深度加工。即对原始数据超越简单的清洗和脱敏进行深度实质性加工，且已匿名化到无法识别个体并不可复原的程度。这种深度加工的权利边界取决于加工深度与匿名化程度，核心在于切断数据产品与个人信息的关联。第三，形成独立于原始数据的新产品。衍生品需具备独立于原始数据的市场价值，具有价值增量。如基于驾驶行为风险评分模型可独立用于保险定价。

　　数据流通中合规运营要求。数据流通是连接数据持有者和数据需求方的关键环节，也是释放数据价值的重要路径。数据流通的法律版图远非个人信息保护的单点突破所能概括，除了个人信息保护层面，数据流通还面临更为复杂和更为严格的多重法律限制。如在国家安全方面，《国家安全法》构筑了数据安全的顶层设计，要求任何组织和个人不得从事危害国家安全的数据活动，为数据流通设定了基本底线和红线；在重要数据管理方面，全维度保障重要数据安全；在市场交易方面，新增了特殊主体供应链安全义务，要求运营商对合作方数据滥用行为承担连带责任，通过对第三方严格监管确保流通链条全程安全。除此以外，相关行业规范也叠加了额外的合规要求，这些限制共同编制了一张保障数据安全、维护国家利益、规范市场秩序的合规之网。这种多维立体化的监管格局，要求运营商在释放数据价值时，要具备全景式的合规视野，保障数据价值合法、安全、高效流转。

　　数据价值释放的思考

　　树立总体国家安全观，坚守合规底线。数据安全直接关系到国家安全和社会稳定。运营商在释放数据价值的过程中，要始终坚持总体国家安全观，统筹发展和安全。重点加强重要数据管理，严格落实分类分级制度，按规定识别、申报重要数据，运用数据标签等技术提升管理水平。在数据提供、委托处理、共同处理前，需开展风险评估。涉及数据出境时，建立安全高效的跨境流动机制。同时重视个体数据与国家安全的关联性，要关注个体人格利益的叠加也会使个人数据的整体人格利益上升为社会公共利益，个体数据聚合至一定密度和规模，也会有危害国家安全和社会稳定的风险。如在车联网业务所涉服务中，技术上可采集到的单个驾驶人员的个体轨迹信息可能涉及交通枢纽、基础设施和军事设施等敏感区域，这些数据达到一定密度和规模被汇聚整合后，一旦泄露或被不当利用将直接威胁到国家安全和公共利益。因此在开展业务过程中，必须始终将国家安全放在首位，建立数据安全与业务发展的协同机制，对于可能涉及国家安全的重要数据和核心数据，要依法合规处置并实行更为严格的保护措施，确保数据处理活动符合国家安全要求。

　　夯实数据权属根基，确保源头合规。从市场交易逻辑出发，数据确权是实现数据高效利用与保护的关键前提，唯有经合法确权，数据方可有序流通。一是原始数据处理需严守“知情+同意+分层+最小必要”准则，以清晰易懂的表述向用户明示数据处理规则，确保非法定职责的数据处理均获合法授权；依最小必要原则严格限定数据收集使用范围，并保障用户查阅、更正等权利行使通道畅通；涉及个人行踪、健康、信用等敏感信息时，需突破“一揽子”授权模式，通过“单独授权+明示同意”双重机制强化用户控制权。二是对深度加工后匿名化的数据产品，需满足“合法性授权+实质性加工+独立性”实质要求。现有司法实践与当前促进数据有效流通的政策相同，支持企业采取共享开放、交换交易、资源置换等多种方式流通数据，促进数据产品和服务创新开发、高效流通和价值复用。如在某大数据项目的司法审判中，判决认定当数据经加工达到不可识别＋不可复原标准时，数据衍生的数据产品不受个人删除权的限制，用户权利终止。

　　强化第三方监管，护航数据流通。构建全方位管理机制，保障数据安全与合规交易。一是建立健全数据安全管理与合规交易体系。重点审核交易数据内容，排查国家安全、公共利益、知识产权及商业秘密风险，杜绝法律禁止交易的数据流通。二是深化合作方尽职调查。全面核查合作方业务资质，评估其数据安全管理能力，明确数据使用目的与计划，确保与自身数据授权、安全要求一致。若涉及特定行业或数据类型，需严格审查前置行政许可获取情况。三是强化合作全周期管控。审慎订立数据合作协议，细化数据采集、使用合规要求，明确使用目的、范围、方式及双方权责，制定保密与安全事件处理机制，并通过负面清单、违约责任构建责任传导链条。合同履行中，加强对合作方穿透式监管，严防数据滥用与违规操作。四是打造协同防御生态治理格局。推动组建行业数据安全联合体，对失信单位实施行业禁入，合力筑牢风险防控屏障。