实务 研究 | 新法 速览 | 热点 解读 | 案例 分析 |
文章导读
3月1日起,国家公共数据资源登记平台上线,目前已公示公共数据资源475项,覆盖38个国民经济行业大类。该平台上线对数据要素市场建设意义重大,将进一步促进公共数据的管理、供给、获取和挖掘,并加快释放公共数据的价值。
自2022年来,中国数据市场价值已超千亿,在庞大的数据价值背后,政府与企业如何在数据浪潮中通力合作,实现双赢?而在其中又如何实现公共数据授权运营的前置性条件——数据合规?
本文海润天睿合伙人徐婧媛律师通过举例国内外公共数据授权运营的成功案例,解读公共数据的运营模式,并分析数据合规领域中常见身份主体的数据合规需求,助力企业规避法律风险。
文章关键词:公共数据、授权运营、数据合规
开始阅读
点击查看大图
一、公共数据是什么?
中共中央、国务院《关于构建数据基础制度更好发挥数据要素作用的意见》(“《数据二十条》”)要求“各级党政机关、企事业单位依法履职或提供公共服务过程中产生的公共数据”开放利用,意味着公共数据至少包含“党政机关”“企事业单位”两种主体在“依法履职”或提供“公共服务”两种行为过程中产生的数据。
2022年《数据二十条》的出台,促使各地组建地方数据运营平台,明确进一步创新公共数据授权经营模式,促使公共数据与社会数据融合开发利用,加速数据要素价值释放,为数字中国建设提供基础支撑。显然,公共数据的开放与共享已经成为了必然选择。
二、公共数据的授权运营模式解读
各国政府授权企业获取公共数据并开发、运营数据产品,造福公共利益并促进经济发展,在全球范围内已经有了相当数量的成功案例,下文将举例并分析国内外关于公共数据授权运营的成功案例。
(一)国外公共数据授权案例及合规机制
点击查看大图
分析上述不同国家、不同行业的公共数据产品案例,可以从中获得以下几个方面的启示:
1.国家级的公共数据开放平台,涵盖各层级、各领域的数据,可以充分发挥公共数据的作用。
2.公共数据开放只是基础,更重要的是,公共数据持有者要和具备条件的公司、企业或组织可以合作开发精准化、专业化的数据产品,释放数据的深层次价值。
3.某一个具体领域的数据产品所带来效应绝不仅限于该领域之内,比如交通数据产品对公共交通、车辆碳排放等都有积极影响;再如,气象数据产品对日常生活、农业生产、灾害预警、公共安全、可再生能源利用等都有积极影响。
4.以上各国就公共数据开放、数据产品研发运营中关于数据的合法性和安全性都出台了相关规定,以防止个人数据泄露、公共数据滥用,确保数据开放的公平性和有效性,可见数据合规是数据市场的重要内容。
综上,公共数据授权运营在全球范围内广泛开展,其中运营模式和监管认证受到各国政府的高度重视。下文将结合我国的实践情况对我国的运营模式和数据监管进行具体分析。
(二)国内公共数据授权案例及合规机制
点击查看大图
当早高峰遇上交通算法、集中箱碰撞航运数据,数据要素的“化学反应”逐渐超过想象。通过研究分析,目前公共数据授权运营主要有四种模式:整体授权、分层级授权、分领域授权、场景式授权。
1.整体授权:对于跨地域、跨系统、跨领域、跨部门等公共数据,数据管理部门将其整体授权给一个或多个指定的运营主体进行开发、运营。该模式主要有两大优势,一方面是具有庞大的数据整合价值,迅速整合资源,形成规模效应,促进跨领域、跨行业的深入合作、应用和拓展。另一方面有利于全流程全覆盖监管,保障数据安全合规。
例如,上海市政府办公厅授权上海数据集团有限公司作为运营主体,对公共数据进行开发利用。
2.分层级授权:不同行政层级如从省级到县级的数据管理部门对各自管辖范围内的公共数据进行管理和授权。
该模式优势在于通过明确不同层级数据管理部门的职责和权限,实现了公共数据的分级管理和授权,兼顾安全与效率,推动了地方数字经济发展。
例如福建省,实施了“一体统筹+二级授权”的模式。省级授权运营主体负责全省范围内公共数据资源的管理和统筹,同时通过二级授权的方式,将具体领域的数据运营授权下放给地方政府和行业机构。
3.分领域授权:数据管理部门根据不同行业或领域的数据特点或特定行业或领域的应用需求情况,分别选择具备特定属性的企业进行授权。
该模式基本运用于垂直领域的深耕,例如北京市率先实施了针对性、专业化分类授权,围绕金融流通交易的上下游产业链,开发利用金融公共数据资源,例如打造的“京云征信平台”。
4.场景式授权:是指运营机构向数据主管单位提出具体应用场景和所需数据内容,经审核通过后获取特定数据进行特定场景的开发利用。
该形式也是目前运用最广泛的授权模式,该模式强调“先有场景设计规划,后有授权运营”。具体有如下三个优势:
(1)最大化匹配现有数据资源与社会需求,使落地应用“因地制宜”。
(2)激发市场竞争与创新,地方政府对不特定主体进行授权,可以有效地避免数据垄断,充分激发市场竞争。
(3)降低数据滥用风险,场景式授权要求研发、运营机构做好数据产品和服务规划,保证申请数据与场景的契合。这将使数据主管部门可以对数据授权审批更好地做出决策,防止公共数据的无效滥用,降低数据泄露的风险。
例如广西省,通过“智桂通”公共数据运营平台统一对外颁发《广西公共数据授权运营凭证》,涵盖数据授权方名称、数据开发场景、产品服务范围等信息。
公共数据授权只是整个公共数据产品的基础,在后续的研发、运营中,其中一个重要任务就是满足国家的监管要求,尤其是数据合规要求。
三、公共数据授权运营前置性条件——数据合规
(一)数据合规是什么?
公共数据无论是在国家或地方数据资源平台进行开放共享,还是数据管理部门将相应公共数据授权给企业进行数据产品的研发、运营,都必须满足前置性条件即“数据合规”——即企业或组织在处理数据时,必须遵循国家和地方的相关法律法规、标准以及监管要求,这包括数据的收集、存储、处理、共享和删除等各个环节。
我国目前从法律到行政法规、部门规章再到各地出台的地方性法规、政府规章等等,都从不同层级向不同行业、领域都提出了一系列数据合规要求。数据合规的主要目的在于:
1.首先避免数据泄露,充分保障个人隐私权益;
2.其次促使企业进行数据管理,应对监管要求和法律风险,同时推动企业数据运用能力增长,加快数字化转型,增强在数字时代的市场竞争力;
3.最后从宏观层面看,数据合规有助于推动整个数据要素市场的健康发展,更好应对国际竞争。
(二)公共数据登记平台的合规重点
1.授权合法性审查
法律依据:确保数据来源合法,要求数据供给者提供数据授权依据(如《数据安全法》第32条要求数据合法处理)。
实操建议:与数据供给者签订书面协议,明确数据来源合法性承诺,并审核其是否具备公共数据开放权限(如政府部门的授权文件)。
2.数据分类分级管理
法律依据:依据《数据安全法》第21条要求,建立数据分类分级制度。
实操建议:对公共数据进行分类(如政务数据、公共事业数据等)和分级(一般数据、重要数据、核心数据),差异化设置访问权限。
3.数据安全技术措施
法律依据:《网络安全法》第21条要求采取技术措施保障数据安全。
实操建议:部署数据加密、访问控制、日志审计等技术手段,防范数据泄露、篡改或非法访问。
4.使用场景与授权监控
法律依据:《个人信息保护法》第21条要求受个人委托处理个人信息数据需约定处理目的、范围、方式等进行处理。
实操建议:通过合同约束获取者的数据使用范围,并通过技术手段实时监控数据流向(如API调用监测)。
5.风险评估与应急机制
法律依据:《数据安全法》第29条要求加强风险监测,发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
实操建议:定期开展数据安全风险评估,制定数据泄露等应急预案并向监管部门报备。
(三)数据供给者(政府/公共机构等)的合规重点
1.数据开放的法律依据
法律依据:政府数据开放需符合《政府信息公开条例》及地方性法规(如《上海市数据条例》第二节个人信息特别保护)的要求。
实操建议:明确数据开放的法定权限,避免超范围提供涉及国家安全、商业秘密或个人隐私的数据。
2.数据脱敏与匿名化
法律依据:《个人信息保护法》第51条要求对个人信息去标识化处理。
实操建议:对含个人信息的公共数据,通过技术手段实现匿名化,确保无法复原。
3.授权协议条款设计
法律依据:《民法典》第497条对格式条款的公平性要求。
实操建议:在授权协议中明确数据使用目的、期限、禁止转授权等限制,并约定违约追责条款。
4.数据质量保障
法律依据:《数据安全法》第37条、第41条要求提高所公开的政务数据的准确性和完整性。
实操建议:建立数据更新机制,定期校验并修正错误数据。
(四)数据获取者(使用方)的合规重点
1.使用目的与范围限制
法律依据:《个人信息保护法》第17条要求明示处理目的和方式,处理的个人信息种类、保存期限。
实操建议:严格在授权范围内使用数据,如需变更用途需重新取得同意(如用于算法训练需单独评估合规性)。
2.个人信息保护义务
法律依据:若数据含个人信息,需遵守《个人信息保护法》关于告知同意、最小必要等原则。
实操建议:建立个人信息保护影响评估(PIA)机制,确保数据处理合法。
3.禁止数据滥用与转售
法律依据:《数据安全法》第19条、第33条要求交易合法展开。
实操建议:在交易过程中要求数据提供方说明数据来源并留存审核、交易记录,在合同中承诺不转售、不超范围共享数据,并限制内部员工访问权限。
4.跨境传输合规
法律依据:《个人信息保护法》第38条、第39条及《数据出境安全评估办法》。
实操建议:如需向境外提供数据,需通过安全评估、认证或签署标准合同。涉及个人信息的,须取得个人的单独同意。
附:法律风险示例
数据平台:若未履行审核义务导致非法数据流通,可能被认定为共同侵权(《民法典》第1168条,二人以上共同实施侵权行为,造成他人损害的,应当承担连带责任)。
供给者:违反《个人信息保护法》规定处理个人信息的,未履行本法规定的个人信息保护义务的,可能面临行政处罚(《个人信息保护法》第66条,情节严重的,并处五千万元以下或者上一年度营业额百分之五以下罚款)。
获取者:超范围使用数据可能被认定违约并承担民事赔偿(《数据安全法》第61条)。
以上内容仅是数据合规领域中常见的几个方面,不同身份的主体都有不同的数据合规需求,因此企业合规工作需要专业律师团队提出个性化方案,为企业提供精准数据合规咨询,助力企业规避法律风险。