授权运营模式下企业如何合规加工运营和交易公共数据？｜iLaw

公共数据是我国数据要素制度体系的重要组成部分和关键环节。相比于其他数据类型，公共数据的权威性、通用性、基础性、可控性更为突出，促进公共数据的开发利用、充分挖掘公共数据的价值已经成为我国数据要素领域发展的关键策略，目前通过公共数据授权运营开发数据产品进行流通是公共数据市场化的有效途径。

《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》提出“开展公共数据授权运营试点”；《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》（“数据二十条”）明确围绕数据分类开放与授权运营构建公共数据开放制度体系；财政部《关于加强数据资产管理的指导意见》聚焦公共数据，提到“公共管理和服务机构可授权运营主体对其持有或控制的公共数据资产进行运营”，鼓励探索公共数据资产应用路径；《国家数据局发公共数据资源授权运营实施规范（试行）》（公开征求意见稿）（以下简称“《征求意见稿》”）更是对公共数据授权运营事宜做出了具体规定。中央文件的陆续出台，为公共数据授权运营提供了制度保障和方向指引。地方上更是出台多个法律和政策文件以公共数据授权运营的方式管理和规范公共数据流通交易。但公共数据由于来源的特殊性以及权益主体的不确定性，其安全合规面临着许多困境。笔者通过厘清公共数据范畴、交易标的和流转链路和相关法律体系，基于各地相关政策法律规定，提出授权运营模式下公共数据产品交易的合规要点建议。

公共数据的范畴界定

“公共数据”概念在2015年国务院发布的《促进大数据发展行动纲要》首次被提起，此后的相关政策文件也有提及，但都没有明确公共数据的定义以及与其他概念的区别。数据要素纲领性文件《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》（“数据二十条”）提到 “对各级党政机关、企事业单位依法履职或提供公共服务过程中 产生的公共数据加强汇聚共享和开放开发，强化统筹授权使用和管理”；国家数据局最新出台的《数据领域常用名词解释（第一批）》沿用了这一说法，明确将公共数据定义为“各级党政机关、企事业单位依法履职或提供公共服务过程中产生的数据”。由此可以看出，公共数据的产生主体包括“党政机关”和“企事业单位”，产生行为包括“依法履职”和“公共服务”。

我国地方的立法实践和政策文件明确了公共数据的定义，并进行了一定的扩展。例如， 《深圳经济特区数据条例》 对公共数据的定义是：“ 公共管理和服务机构 在依法履行公共管理职责或者提供公共服务过程中产生处理的数据”。 《上海市数据条例》 的定义则更为具体：“公共数据，是指本市国家机关、事业单位，经依法授权具有 管理公共事务职能 的组织，以及供水、供电、供气、公共交通等 提供公共服务 的组织（以下统称公共管理和服务机构），在履行公共管理和服务职责过程中收集和产生的数据。”可以看出，公共数据的产生主体可以概括为 公共管理和公共服务 两大机构。 《广东省公共数据管理办法》 明确列出了不属于公共数据的范围：“公共数据，是指公共管理和服务机构依法履行职责、提供公共服务过程中制作或者获取的，以电子或者非电子形式对信息的记录。本省行政区域内行政机关、具有公共事务管理和公共服务职能的组织（以下统称公共管理和服务机构）实施的公共数据采集、使用、管理行为，适用本办法。电力、水务、燃气、通信、公共交通以及城市基础设施服务等公共企业、事业单位和社会团体， 实施公共服务以外的数据采集、使用、管理行为，不适用本办法。” 该规定从行为要件的角度排除了部分数据类型。

新出台的《征求意见稿》虽未直接对公共数据下定义，但也明确规定授权运营的客体是“县级以上地方各级人民政府、国家行业主管部门持有的公共数据资源”，同时第二十五条又规定“中央党群机关、县级以上各级地方党委持有的公共数据资源开展授权运营，参照本规范执行。供水、供气、供热、供电、公共交通等公用企业持有的公共数据资源的开发利用，可参考本规范有关程序要求授权使用”。可见，《征求意见稿》与此前地方所规定的范畴基本相一致，都认为公共数据的产生主体包括政府机关、党群机关和相关企事业单位。

综上所述，为更全面地展现公共数据的广泛应用场景和巨大价值，笔者认为公共数据起码包含两大要件： 主体要件和行为要件 。主体要件，即收集公共数据的机构应具有公共管理和服务职能，包括政府部门、具有公共职能的公共企事业单位和社会团体组织等；行为要件，即只有在依法履行公共管理和服务职能过程中收集和产生的数据才能成为公共数据。

公共数据授权运营的成果：公共数据产品

在公共数据流通交易中， 首先要考虑数据来源。 获取公共数据的途径有数据开放（包括无条件开放和有条件依申请开放）和数据授权运营两种途径。传统的 通过数据开放获取公共数据 进行加工再交易的方式存在 数据质量不佳、供需不匹配 等问题，而授权运营则通过市场化方式对公共数据开发利用，有效扩大了数据供给，提高了数据质量，激发了数据活力。

从各地的政策文件的提法中，笔者总结出公共数据授权运营的定义：公共数据授权运营是指有关部门（实践中一般为数据主管部门，以今年各地新成立的数据局为代表）授权特定的市场主体，在保障国家和社会公共利益、个人信息和商业秘密的前提下，以应用场景为导向，开发利用与民生紧密相关、行业增值潜力显著的公共数据，形成数据产品并向社会提供服务的行为。

本文笔者采用“原始数据—衍生数据（初步加工的数据）—数据产品”的模式划分公共数据，代表对数据资源的不同加工程度。[1] 从各地的规定来看，公共数据授权运营对公共数据开发利用形成的成果是数据产品。这里的数据产品是广义概念，包含公共数据加工形成的产品和服务。主要形态有数据包、数据接口、数据模型、数据服务、数据报告等。也就是说，运营公共数据需要运营单位对数据加工投入比较多的劳动贡献，开发出安全性强、加工程度高的完善的公共数据产品，同时满足“原始数据不出域、数据可用不可见”“满足数据应用场景”等数据加工要求。

图2部分地区对数据产品的表述

笔者认为，目前我国公共数据市场化推进仍处于探索阶段，公共数据涉及国计民生，各地的这种审慎做法是出于数据安全和监管的考量；并且“数据二十条”对于数据产权分置的采取的是“数据加工使用权”和“数据产品经营权”的提法，相关主体对数据产品持有经营权，从而可以基于此获得收益。 但“数据二十条”没有明确规定数据加工主体对衍生数据即初加工的数据是否具有经营权 ，并且在授权运营模式下对于数据加工使用的内涵界定不够明确，目前行业内存在诸多争议；此外，公共数据产权问题一直是其市场化过程中最大的难点，但 数据产品基于数据处理者对其的深度加工，更易于得到法律保护。 例如，目前我国在大力推进数据知识产权登记与保护，实践中可以认定数据产品的独创性，基于数据处理者的劳动和经济投入，通过著作权等知识产权法规则进行保护，如北京知识产权法院(2022)京73民终3718号案例；在理论上学界也有一些正在探索中的观点，如按照民法“加工取得所有权”一般原理进行处理，数据产品虽然派生于原始数据，但因加工行为增加的数据价值大于原始数据，故加工所得数据产品可归加工人所有。[3]总之，目前我国公共数据授权运营产出的成果以公共数据产品为主。

流通交易是公共数据运营成果的重要去向

对于公共数据形成数据产品后应该如何处置，目前的政策文件通过下定义的方式进行了比较笼统的描述。在国家数据局的《征求意见稿》出台之前，地方政策文件的说法是“将开发形成的数据产品和服务向社会提供”。笔者认为实践中数据成果主要有两种提供方式： 一是走数据开放的道路 ，使用主体（也称为数据应用方、数据需求方）提出用数申请，经审核后对公共数据进行二次的使用和开发利用；也可以直接作为政府数据开放成果的一部分向自然人、法人和企事业单位提供，如浙江省数据开放平台里面收录了很多运营加工后的数据应用成果，通常以APP、小程序等形式出现。 二是走市场化道路 ，也是本文主要讨论的道路，数据成果可以作为交易标的直接进行流通交易，这一点在很多地方政策文件中都有明确说明，如山东省规定“授权运营形成的公共数据资源产品和服务，开展流通交易的，按照国家和省数据交易有关规定开展交易。”

相比于以往地方的定义，国家数据局的《征求意见稿》将运营成果描述为“面向市场公平提供数据产品和技术服务”。笔者认为，这里的“市场”和“公平”两大关键词体现了公共数据授权运营的重要特征。其一，公共数据授权运营的目的是为了更有效的推进公共数据资源开发利用，促进一体化数据市场培育，因此授权运营产出的数据成果一定要面向市场，而流通交易无疑是释放公共数据价值最有效的方式；其二，提供数据成果时要保证公平，尤其是要避免行政垄断。可以看出，《征求意见稿》的新定义体现了对公共数据有序市场的促进与保障。

实践中 公共数据流通交易的方式通常是场内交易 。在中央文件出台之前，很多地区的政策都有提到“鼓励运营单位加工形成的公共数据产品通过依法设立的数据交易平台进行交易。”10月出台的《中共中央办公厅 国务院办公厅关于加快公共数据资源开发利用的意见》更是明确提出“鼓励有条件的地区探索公共数据产品和服务场内交易模式”。可见，鉴于公共数据的特殊性，场内交易无疑是最能保障数据安全合规的交易方式，也是国家所提倡的方式。

此外，有的地区对数据交易场所也有地域限制， 原则上只能在本地的数据交易中心上架， 如《杭州市公共数据授权运营实施方案（试行）》明确提到“授权运营主体原则上应将审核通过的数据产品和服务在杭州数据交易所进行登记管理。”

图 3 部分地区对公共数据交易的规定

因此， 公共数据流通交易存在三方面的要求：标的内容要求， 即交易的对象是加工程度高的数据产品； 交易方式要求， 实践中以场内交易为主； 交易地域要求， 部分地区只能在本地的数据交易场所进行公共数据流通。

授权运营场景下公共数据的流转链路

在流通交易的方式中，公共数据授权运营模式下数据的流转链路如下图。公共管理和服务机构在履行相关职能后收集、产生的数据汇集到搭建的地方统一公共数据授权运营平台，平台会运用数据沙箱、隐私计算等技术对数据进一步清洗处理，从而实现可信授权认证和数据安全流通，为公共数据加工处理和输出数据应用提供安全可信环境。数据管理部门负责管理和组织授权运营，企事业单位获得授权后，对公共数据进行加工处理，形成公共数据产品和服务，最后在各地数据交易中心挂牌上架，向交易相对方流通。

图 4 授权运营模式下公共数据的流转链路

可见，在授权运营场景下，公共数据产品的产生和流通涉及到多个主体、多个环节，由此产生了较为复杂的合规风险问题。现有实践中对于公共数据产品交易的讨论，多集中在最后一个环节，即公共数据加工成数据产品后在数据交易中心上架并向社会流通的过程，但在授权运营场景下，公共数据产品的形成要经过多个前置环节，涉及到数据来源、公共数据特征、数据加工、授权审批等，因此立足数据流转全链路，尤其是公共数据产品形成阶段厘清合规要点至关重要。

授权运营模式下公共数据产品交易的合规要点

如前文所述，公共数据产品交易包括授权运营和加工阶段和上架流通交易阶段两部分，前者需要符合授权单位数据主管部门对数据处理的要求，后者实践中一般需要遵守各交易场所的合规审查要求。笔者依据国家数据局的《征求意见稿》和各地的相关政策规章，根据深圳数据交易所首创并牵头制定上升为深圳市地方标准的“3×4”数据交易动态合规评估体系，基于主体合规、标的合规和流通合规三个环节以及合法维度、安全维度、诚信维度、权益维度四大维度的框架体系，提出授权运营单位在运营和加工公共数据时应注意的合规要点建议。

图 5 公共数据合规框架

（一）数据主体合规

【主体合法维度】

运营单位应依法成立、有效存续并合法经营。获取运营单位的经营业务若属于法律、行政法规规定须经批准或获取特定行业资质的项目，应依法经过批准或获取特定行业资质。

【主体安全维度】

(1) 主体数据技术要求

运营单位应根据本单位的业务特性、企业规模、数据类型等相关因素，在数据安全合规方面符合《网络安全法》《数据安全法》《个人信息保护法》等相关法律法规提出的合规要求。《征求意见稿》规定，运营机构应具备数据资源加工、运营所需的管理和技术服务能力，经营状况和信用状况良好，符合国家数据安全保护要求。以浙江省为例，要求运营单位明确数据安全负责人和管理部门，建立公共数据授权运营内部管理和安全保障制度；具备网络安全等级保护三级标准和符合商用密码应用安全性评估要求的系统开发和运维实践经验；具备成熟的数据管理能力和数据安全保障能力；近3年未发生网络安全或者数据安全事件。

(2) 主体数据管理要求

信息保存制度：运营单位应建立信息保存制度，妥善保存公共数据运营中产生的制度规范、运营协议、运营日志等各项关键信息。以青岛市的规定为例，相关信息记录的留存时间不少于二十年。

定期报备制度：运营单位应建立公共数据授权运营定期报告制度，定期向数据管理部门、国有资产管理部门报告公共数据授权运营的情况，例如本单位数据资源的授权存储、加工处理、分析挖掘、融合利用及市场运营情况等内容，并接受有关部门的监督检查，根据监管工作要求报送其他相关专项报告。

应急处置制度：运营单位应制定数据安全事件应急处置预案，加强面对泄露、毁损、丢失等数据安全事件时的应急处理能力。发生安全事件或重大风险时，应当立即启动数据安全事件应急处置预案，采取相应的应急处置措施，并向数据主管部门报告。

【主体诚信维度】

《征求意见稿》规定，运营单位应公开公共数据产品和服务清单，定期向社会披露公共数据资源使用情况，接受社会监督。此外，在数据产品上架交易时，运营单位应提交真实、准确的材料，确保相关情况的真实可信，如实披露其近三年网络安全、数据安全、个人信息保护相关的刑事处罚、行政处罚、被诉和被仲裁案件。

【主体权益维度】

运营单位应完善自身权益保障机制，同时保障数据主体及合作方的权益。《征求意见稿》也规定，授权运营应保护各参与方的合法权益。鼓励实施机构、运营机构依法合规通过技术、产品和服务、收益等方式，支持各地区、各部门数据治理和服务能力建设。在合规审查时，可参考的资料有：数据主体权利的告知（例如个人信息保护政策/隐私政策、隐私通知的相关章节等）；数据主体权利请求响应流程、管理政策或相关内部发文（如有）；数据主体权利请求处理和响应表单、记录（示例，如有）；与合作方的合作协议、数据过程记录；第三方管理机制，包括对数据交易领域内的第三方合作方管理的文件及机制说明，对第三方管理审查的记录等；数据相关的知识产权权属证明、数据相关的知识产权约定的协议（如有）。

（二）数据标的合规

运营单位将数据加工成数据产品从而成为数据交易标的，需要满足标的合规要求。

【标的合法维度】

(1) 数据来源合法

运营单位获取公共数据时需要经过公共数据主管部门审核，应通过公共数据授权协议或其他形式取得有关主管部门的有效授权，并确保公共数据产品在规定的应用场景范围内。不得使用危及或者可能危及国家安全的公共数据、可能损害公共利益的公共数据以及法律、法规规定不能运营的公共数据进行加工。公共数据授权运营采用“一场景一授权”的原则。运营单位在申请时应依法合规、明确合理地说明数据使用目的，按照最小必要的原则提交数据需求申请，并详细说明应用场景、使用范围、使用期限和安全防护措施等内容。运营单位利用公共数据创新开展科技研究、咨询服务、产品开发、智慧应用等活动，形成数据产品等成果的，应当在成果中注明数据来源，并向主管部门反馈数据使用情况。

运营单位应与授权单位签署数据加工授权协议，协议内容应当明确具体，主要包括：数据的用途、使用范围、服务方式、运营期限、权利义务关系、数据安全要求、禁止条款、违约责任、争议解决方式、收益分配、退出机制等内容。《征求意见稿》第十四条也较为详细地规定了协议应包含的内容。

(2) 数据加工合法

运营单位应当依托公共数据运营平台对公共数据进行加工处理，形成公共数据产品。加工处理公共数据应满足下列要求：运营单位所有参与数据加工处理的人员须经实名认证、备案与审查，签订保密协议，操作行为应当做到有记录、可审查；原始数据对数据加工人员不可见。运营单位使用经抽样、脱敏后公共数据进行数据产品的模型训练与验证。

(3) 数据内容合法

涉及社会数据时，经公共数据主管部门审核批准后，授权运营单位可将依法合规获取的社会数据导入授权运营域，与授权运营的公共数据进行融合计算，所使用的社会数据应满足相应的合规要求。《石家庄市公共数据产品合规审查管理办法（征求意见稿）》对此做出了明确的规定。 运营单位采集的公开数据 ，应说明采集来源、采集方式、采集周期、应用范围，避免以不正当竞争为目的，采用非法入侵、技术破解等方式获取数据，干扰被访问网站的正常运营或者妨碍计算机信息系统正常运行。未征得相关主体同意的，不得收集涉及他人知识产权、商业秘密或者非公开的个人信息的数据。 运营单位在生产经营活动中产生的或通过自身信息系统生产的数据 ，应确保数据的生产和处理行为合法，不存在侵犯第三方合法权益的情形。 运营单位通过协议获取的数据， 应保留明确相关权益的数据采购协议、共享或授权许可文件，在必要时提交给数据管理部门。若通过协议获取的数据为法律法规及相关政策明确规定开展该类数据采集应当取得特殊资质、许可、认证或备案的，还需提交该数据提供方已经取得特殊资质、许可、认证或备案的相关证明以及满足法律法规规定的其他要求。 运营单位所加工公共数据产品涉及使用个人数据的， 需满足相关法律法规要求，确保个人信息的收集具有明确、合理的目的，并遵循合法正当、最小必要、告知同意等原则，并应取得个人授权或同意。同时，采用去隐私计算、匿名化等安全技术措施，防止未经授权的访问以及个人信息泄露、篡改和丢失。

【标的安全维度】

运营单位作为交易主体应根据交易标的所涉及的数据类型和重要程度采取不同级别的安全管理和技术措施，保障交易标的安全。对于公共数据，应满足DB4403/T 271—2022 中基本安全要求的条款内容；应满足 GB/T 22239—2019 中二级要求关于数据完整性、数据保密性、数据备份恢复的内容。

【标的诚信维度】

运营单位对数据产品的相关说明应真实、准确，相关情况真实可信。建议在交易时提供承诺函，如不存在违法标的承诺、无违法违规承诺函、不存在舆情事件承诺函等。

【标的权益维度】

交易标的应具备权益保障等机制。例如交易标的涉及知识产权的，应具备数据相关知识产权的权利证明文件或存在知识产权相关协议，不存在侵犯第三方知识产权等合法权利、权益的情形；交易标的涉及处理个人信息且具有相应告知条件，或涉及处理不满十四周岁未成年人个人信息且具有相应告知条件的，应依法定方式予以公示、告知或完成其他处理方式。

（三）数据流通合规

运营单位利用授权运营的公共数据生产的数据产品，在上市交易时，需要符合数据流通合规要求。

【流通合法维度】

流通合法性需要满足流通对象、流通内容、流通程序三方面的合法性要求。运营单位使用公共数据加工形成的数据产品，不能以直接或间接方式将数据产品交由第三方使用。数据产品应接受公共数据主管部门审核。原始数据或可还原出原始数据的公共数据产品，不能导出授权运营域。导出运营平台的公共数据产品，不能用于或变相用于未经审批的应用场景。

【流通安全维度】

运营单位需要采取安全管理措施和安全技术措施。开展数据交易安全风险评估；在交易流通前采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术进行身份验证；采用安全的数据传输通道，并在交易数据交付完成后，立即关闭数据访问渠道等。

【流通诚信维度】

数据交易活动真实开展，交易主体间已签署交易合同，交易合同约定内容应与数据交易的背景、目的情况说明等标的说明及标的内容一致；运营单位应向数据交易场所运营机构提供标的交付验收清单、支付凭证、发票等交易过程资料，以证明数据交易真实发生。交易主体开展交易还应满足该主体内部相关审批、授权或采购程序要求。

【流通权益维度】

涉及个人信息的流通的，交易主体应依法保障个人信息主体的知情权，向个人信息主体告知行使个人信息权利的方式和程序；交易活动应当获得交易主体必要的内部授权，不侵犯或违反对第三人的法定或约定义务。

[1]  中国信息通信研究院：《数据要素白皮书（2023年）》，2023年发表，第7页；

[2] 张会平、薛玉玉：《公共数据授权运营产权运行机制的理论建构与实施路径》，《电子政务》，2023年第11期，第6页；

[3] 申卫星：《论数据产权制度的层级性：“三三制”数据确权法》，《中国法学》，2023年第4期，第46页。

本文主要参考深圳数据交易所牵头起草的深圳市地方标准DB4403/T《数据交易合规评估规范》、国家数据局《公共数据资源授权运营实施规范（试行）（公开征求意见稿）》及其出台之前各地的相关政策文件（如下）

图 6  地方公共数据授权运营相关政策和法律

【截至2024年6月】