摘 要
数据作为新型生产要素,有利于促进新质生产力发展,但因其涉及国家信息安全、国计民生和个人信息保护等诸多法律风险,如何能够在当前我国数据有关权属、流通、交易等核心法规立法较为滞后、有所缺失的背景下,在确保数据安全和符合现有法规要求的前提下,将公共数据授权运营作为数据开发利用的重要先行先试突破口,充分发挥释放数据乘数倍增效应价值,成为国内各地广泛实践所面临的关键问题。本文主要对国内公共数据授权运营现状,存在的法律问题、成因分析以及对策建议等进行充分探讨,以利后续工作开展。
随着大数据时代的来临,数据的价值日益凸显。如何有效地管理和利用数据,成为政府和企业面临的重要课题。为了充分发挥数据要素的作用,促进数据资源的有效配置和高效利用,国家出台了一系列相关政策。2021年3月11日,十三届全国人大四次会议表决通过的《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》提出了政府数据授权运营试点,鼓励第三方机构深入挖掘和利用公共数据。2022年12月2日,《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》提出对各级党政机关、企事业单位依法履职或提供公共服务过程中产生的公共数据,加强汇聚共享和开放开发,强化统筹授权使用和管理,推进互联互通,打破“数据孤岛”。2023年12月31日,国家数据局等17部门联合印发的《“数据要素×”三年行动计划(2024—2026年)》提出更好发挥政府作用,扩大公共数据资源供给,维护公平正义,营造良好发展环境。
公共数据作为数据的重要组成部分,其开放和利用对于促进数据要素产业发展、推动经济高质量发展具有重要意义。然而,由于公共数据的特殊性,如何规范开展授权运营,确保数据安全、隐私保护和合规性,成为国内公共数据授权运营广泛关注的痛点,很多省份虽已出台了相关政策规章,鼓励和规范公共数据的开放与利用,但现实中仍然存在着数据持有者缺乏动力导致的“不愿开放”,数据大范围流通导致安全管理边界扩大的“不敢开放”和数据流通的效率、安全和成本难以兼顾,缺乏专业技术能力支撑导致的“不会开放”难题
[1]
。这些痛点和难题如不加以解决势必会掣肘数据公共授权运营实践的发展。
虽然公共数据授权运营实践之路充满曲折荆棘,但并未能阻碍国内各省市热情高涨的百家竞放、竞相争鸣探索。据不完全统计,“数据二十条”颁布后,国内大胆先行探索发布公共数据授权政策的省(直辖市)就多达17个、地级市36个、区县8个。由于没有中央政策的明确定义,各地对公共数据授权运营的定位仍存在不同理解,公共数据授权运营模式呈现出共通性框架和差异化探索并存的混合型特征。公共数据授权运营模式主要如下
[2][3][4]
:
模式一:集中统一授权运营模式
此种模式下主要又分一级授权和多级授权。其中一级授权模式主要由代表政府的公共数据管理职能部门整体授权给国资背景公司承担该地区所有公共数据运营服务平台建设和公共数据开发利用工作,形成可流通的数据产品和服务。典型有广西、福建、河南、上海、海南、青岛、成都等。其中广西采用的省级统一授权,进行全流程管控模式最为典型。2023年11月,广西通过“智桂通”公共数据运营平台统一对外颁发了首张《广西公共数据授权运营凭证》。这一凭证包含了数据授权方名称、数据开发场景、产品服务范围、服务对象描述、数据运营方名称、统一社会信用代码、有效期等关键信息,并且经过了广西公共数据授权。同时,广西选定了自然资源、交通、农业、工业、电力等六个重点领域,在“智桂通”及其依法设立的数据交易平台上开展了公共数据授权运营工作。这一举措旨在规范入围、申请、审核、公布、登记、备案、交付、中止等授权运营管理活动,提升数据运营的规范性和效率。
多级授权模式主要指政府整体授权具有国资背景的公司承担该地区所有公共数据的综合运营,再由综合运营方依据不同行业、领域、场景,分散授权给不同的数据开发方,开发满足场景需求的数据产品。如2016年10月,福建省人民政府颁布的《福建省政务数据管理办法》规定,福建省委省政府具有本省公共数据的所有权,由福建省数字办代行管理职责。作为授权主体,福建省数字办负责指导、监督和协调公共数据授权运营工作,并对数据二级开发环节中的应用场景进行安全审核,授权开发主体进行数据使用。福建省大数据集团作为公共数据资源的一级开发主体,在数据开发利用场景下,作为技术支撑单位和市场化运营单位,在经过福建省数字办的行政审批后,与二级开发主体签订数据使用和安全保障协议,提供数据运维保障和技术支持。
模式二:分散授权运营模式
此种模式由当地政府各级公共数据部门依据不同行业、领域、场景,分散授权不同行业属性的运营主体。如2023年12月,北京市经济和信息化局颁布了《北京市公共数据专区授权运营管理办法(试行)》在公共数据运营中采取了分行业集中的数据专区模式,分类建设领域类、区域类和综合基础类三种公共数据专区。其中北京市政府已授权北京金融控股集团有限公司进行运营金融领域的公共数据专区是该模式的一大亮点。又如2023年8月,浙江省发布了《浙江省公共数据授权运营管理办法(试行)》,明确建立省市县三级政府公共数据授权运营管理工作协调机制,并在杭州、宁波、余姚、温州等市县进行试点,探索公共数据授权运营的模式和机制,其中浙江温州市瓯海区授权了相关医疗健康公司为医疗健康领域的公共数据授权运营单位。
模式三:混合授权运营模式
顾名思义即统一授权与分散授权相结合的模式。如2023年12月,济南市人民政府颁布实施的《济南市公共数据授权运营办法》,采用大数据主管部门综合授权、数据提供单位分领域授权,同时遵循“一场景一授权”的原则,开展公共数据授权运营探索。
不管哪种模式,目前国内公共数据授权运营均有着数据开放性、市场化运作、收益共享以及专业技术性和安全合规性要求高的共性特征。一是数据开放性,强调数据的开放和共享,鼓励数据的流通,以实现数据的最大价值。二是市场化运作,通过授权的方式将数据交由企业或社会组织进行运营,充分发挥市场在资源配置中的决定性作用。三是收益共享,公共数据授权运营的收益由政府、企业和社会组织等各参与方共同分享,可实现多方共赢。四是专业技术性和安全合规性要求高,由于数据授权运营涉及大量的关乎国家安全、国计民生和公民个人隐私数据的处理、分析和挖掘工作,因此需要运营具备较高的专业性和技术性,同时需要政府主管部门对数据的供给、流通和使用进行有效的监管和控制,确保数据的合法性和安全性。三种授权运营模式都是各地政府出于控制风险、降低成本、促进市场竞争,最大化发挥公共数据价值的尝试,孰优孰劣还需要通过市场实践和时间沉淀的检验。
现阶段我国公共数据授权运营面临的主要法律风险及成因分析
公共数据授权运营作为新型的数据运营模式,在推动数据共享和流通、发挥数据乘数倍增价值的同时,也面临着一些法律风险。
数据授权平台涉及大量国家信息安全、国计民生、个人信息和敏感数据,如果平台未能采取足够的安全保护措施,可能导致数据泄露、滥用、篡改或毁损等风险,进而引发违反《国家安全法》《民法典》《数据安全法》《网络安全法》和《个人信息保护法》等相关法律法规,侵犯国家数据安全、社会公共利益、企业商业秘密和个人信息权利等法益。
成因主要有:一是技术保障手段落后。授权运营平台可能未能采用足够先进的安全技术和措施,如数据加密、访问控制、安全审计等,导致数据在存储、处理和传输过程中存在安全隐患。二是管理制度流程不完善。授权运营平台可能缺乏完善的安全管理制度和流程,如数据分类管理、风险评估、安全事件应急响应等,导致数据安全管理存在漏洞。三是法律合规意识不强。运营者可能对数据安全和隐私保护的重要性认识不足,未能充分履行法律义务和责任,导致数据安全事件频发。
如果数据授权平台未能明确授权范围、期限和条件等,可能导致数据被滥用或非法获取,容易引发数据侵权责任、违约责任或侵犯公民个人信息罪、非法侵入计算机信息系统罪等法律风险。
成因主要有:一是合同条款不明确。数据授权协议中的授权范围、期限和条件等关键条款可能未能明确界定,导致数据使用方和提供方对授权范围存在误解或争议。二是法律法规缺失。目前关于公共数据授权运营的法律法规还不够完善,缺乏明确的授权范围和条件规定,使得平台在运营过程中难以遵循明确的法律指引。
如果数据授权平台允许数据需求方进行转授权,但未事先征得数据提供方的同意,或未要求第三方对数据提供方的权利以及对数据产品或服务安全承担同等的义务和保护责任,则可能引发数据非法授权、非法使用的法律风险。
成因主要有:一是授权链条不清晰。在数据授权过程中,可能存在多次转授权的情况,导致授权链条变得复杂且难以追踪,容易引发数据非法授权和使用的风险。二是权利保护不足。在转授权过程中,第三方可能未能充分尊重数据提供方的权利和数据安全责任,导致数据提供方的权益受到损害。
对于相对敏感、安全等级较高的数据,如果数据授权平台未能采用区块链、密码等技术手段保障交付,可能导致数据在传输过程中被窃取或篡改,进而引发安全事件和影响数据质量等无法安全交付的法律风险。
成因主要有:一是技术手段落后。在数据交付过程中,如果平台未能采用先进的技术手段来保障数据的完整性和保密性,如区块链、密码学等,就可能导致数据在传输过程中被窃取或篡改。二是交付流程不规范。平台可能缺乏完善的交付流程和制度,如数据封装、加密传输、安全审计等,导致数据在交付过程中存在安全隐患。
对我国公共数据授权运营的主要面临的法律风险的对策及建议
为了降低公共数据授权运营过程中潜在的法律风险,可以从以下几个方面进行防范。
国家应尽快出台与《数据安全法》《网络安全法》《个人信息保护法》配套的公共数据运营法律法规,明确公共数据授权运营的目标、原则、授权方式、收益分配等关键要素,为公共数据运营各参与主体提供统一适用的法规依据。
作为公共数据授权运营平台,
一是应加强组织建设和权限控制能力。
公共数据授权运营平台可探索设立专门的风险防控组织,成立专门的风险管理部门或团队,负责全面规划和实施风险防控工作,确保风险防控措施得到有效执行。公共数据授权运营平台应建立严格的权限管理制度。建立严格的用户权限管理制度,根据用户的角色和职责分配相应的数据访问和操作权限。同时,实行权限的动态调整机制,根据用户的工作变化及时调整权限。公共数据授权运营平台应加强访问控制和审计。可采用先进的访问控制技术,如身份验证、访问授权、数据加密等,确保只有授权用户才能访问和操作数据。同时,建立完整的审计机制,记录用户的操作行为,以便追溯和审查。
二是应建立应急响应机制。
应制定应急预案。针对可能出现的各种风险事件,制定详细的应急预案,包括数据泄露、系统故障、恶意攻击等。预案应明确应急响应流程、责任人、处置措施等。应定期组织演练。提高应急响应能力和效率。通过模拟真实的数据风险事件,检验应急预案的可行性和有效性,发现存在的问题并及时改进。
三是健全投诉与建议机制。
设立投诉渠道。建立便捷的投诉渠道,如投诉热线、电子邮件等,方便用户反映问题和提出建议。完善及时响应和处理机制。对用户的投诉和建议进行及时响应和处理,积极解决用户的问题,改进平台的服务质量和用户体验。
四是加强人员的数据安全培训
。定期组织安全培训活动,提升员工的安全意识和技能水平,培训内容可以包括数据安全知识、风险防控技能、法律法规等。夯实安全责任到人,明确员工在数据安全方面的责任和义务,建立相应的奖惩机制,激励员工积极参与数据安全风险防控工作。
