一、数据资产管理语境下的公共数据资源开发利用的政策法律

（一）与公共数据资源开发利用相关的国家政策

《数据二十条》中，对“公共数据”的释义是指各级党政机关、企事业单位依法履职或提供公共服务过程中产生的数据[3]。

具体在各地对于公共数据管理的落实上，各省市结合当地特色以及优势正在逐渐形成具有地方特色的管理模式，例如：北京的“公共数据+行业应用”、浙江的“顶层统筹+试点落地”、广西的“统一授权+全流程支持”、福建的“一体统筹+二级授权”以及济南的“综合授权+分领域授权”等公共数据管理模式。[4]

（二）公共数据授权运营模式的实践观察

在讨论公共数据运营领域的法律合规问题之前，有必要先厘清目前国内公共数据的运营模式以及相关的场景、产品的实践情况。主要原因在于，公共数据运营的模式以及场景的不同，其可能涉及的法律合规问题也会存在差异，而在多元公共数据运营模式下又可能包括共通的法律合规要点。

就公共数据运营的模式，我们基于初步的案例调研观察到，目前各地公共数据授权运营的主要模式包括：

1. 政府行政机关集中统一授权运营、省域统筹，分层级分领域分级授权运营（省级1对1模式）；
    
2. 分行业集中的数据专区模式（分行业1对N模式）；
    
3. 通过统一的公共数据运营平台进行运营（1对N模式）；
    
4. 政府行政机关与数据交易所合作进行授权运营等模式（政所直连模式）。

需要提示的是，各地针对公共数据开放和授权运营的模式是存在一些差异的，但是可以观察到，这些模式都旨在推动公共数据的开放和利用，促进数据经济的发展和社会应用的创新。并且，这些运营模式均涉及如何将公共数据从政府行政机关“交给”商业公司进行授权运营的问题。

（三）公共数据授权运营的行业垂直领域相应场景和产品的实践观察

通过法律调研，我们观察到现存公共数据授权运营的行业领域内的应用场景和产品实践已经较为多样化，涉及的领域包括金融贷款、电信征信、交通驾驶、司法、社保、广告营销、医疗健康等（详见表1所示）。不同的场景、领域对于公共数据授权运营所重点关注的具体法律合规问题可能会存在不同。此外，由于公共数据授权运营相关的制度、国家标准、机制尚待落实和细化，实务案例仍待进一步挖掘，因此在现有政策及立法体系鼓励数字经济发展、鼓励公共数据流通的背景下，企业多基于自身特点选择与政府行政机关、大数据公司、数据交易所等可实现公共数据授权运营的平台进行合作，发掘先发优势。

表1 垂直领域公共数据授权运营的实践观察

二、公共数据授权运营中的法律合规问题

（一）公共数据授权治理机制的法律起点和法律性质

政府行政机关要充分激活公共数据，更好的发挥其要素作用。但是，对于政府行政机关来说：

1. 政府行政机关/政府不宜直接参与公共数据的市场化开发运营，因此不适宜直接作为对数据开放共享收费的主体。通过向平台公司授权运营的模式，可建立基于成本回收并附加合理溢价的收益机制，这是推动数据要素化进程的有效途径。
    
2. 政府行政机关对于公共数据开放后对数据的使用领域要有干预，但是干预的力度可能存在不足，因此数据授权制度有利于政府行政机关通过数据运营机制进行管控。
    
3. 数据取之于民，用之于民，但是公共数据也不是无条件无治理的开放，因此政府行政机关对于公共数据也应按照《中华人民共和国国家安全法》《中华人民共和国数据安全法》（下称“《数据安全法》”）等进行分类分级管理，并通过数据运营平台进行，使得合规化管理更加专业有效。
    
4. 政府行政机关也要防止共公共数据被滥用。政府行政机关对外提供数据如存在瑕疵，则可能面临法律责任，因此通过授权机制可以适当转移和分配责任承担。由此，授权运营的依据、运营数据的范围、运营模式、数据运营安全等多方面问题成为公共数据授权运营的主要合规治理问题。

此外，公共数据不是以“所有权”为法律逻辑起点的法律关系，而是公共数据“授权”和“运营”、“共享、开放”和“应用”经营活动概念下对数据资源持有权、数据加工使用权、数据产品经营权（以下称“数据三权”）的形成和流转的法律关系，即公共数据运营主体通过与政府行政机关签署授权合同获得和被授予公共数据运营（治理、使用、加工、销售等商业行为）的法律权利，因而形成基于数据权利的兼具政府行政机关特许经营和民商事合同特点的法律关系，涉及法律、合规方面多维度的问题（具体法律合规问题要点详见下图所示）[5]：

图1 公共数据授权运营涉及的具体法律及合规问题

（二）如何判断数据是否属于公共数据以及不合规运营的相应法律影响

公共数据的产生主要源于国家机关、事业单位以及其他依照法律法规授权、具有管理公共事务职能或服务的组织，在依法履行公共管理职责或公共服务过程中收集和产生的数据。这些数据涉及公共利益，并且其管理主体包括国家机关、事业单位、经依法授权具有管理公共事务职能的组织，以及供水、供电、供气、公共交通等提供公共服务的部门和企业。

这些数据具有公共性、共享性、开放性和非竞争性等特征。与过去习惯性提及的政务数据不同，公共数据来源范围和服务对象都更广泛。公共数据不仅服务于政府行政机关自身的决策和管理需要，更是为了方便公众获取、利用信息，促进社会经济发展和公共服务提供的需要。同时，公共数据的质量和信息价值更高，可以提升政府行政机关的治理能力，并有助于企业和群众更方便地办事。

除了对公共数据法律定义范畴的一般性的理解，从法律角度我们还应重点关注各省和重要城市的公共数据条例中对“公共数据”的定义，这些定义在每个省域范围内对公共数据范围的框定和公共数据目录的制定都是重要的法律法规依据。谈公共数据授权运营的法律合规问题，不能离开相应省市的相关政策法规制定的背景。作为举例，我们梳理了以下省市的数据条例或类似法规中对公共数据的定义：

表2 重要省市的数据条例或类似法规中对公共数据的定义

从上述各省的数据条例或公共数据管理规定对公共数据的定义中可以看出，公共数据通常应涵盖在“依法履职”或者提供“公共服务”过程中所“收集和产生”的“政务数据（含公益事业单位数据）”、“公共服务数据”等。因此，从法律角度讲，除非数据被个别省市明确规定录入公共数据目录中[6]，不符合上述定义要素的数据在法律理论上则不应归入公共数据的范畴，即应视为非公共数据。视为公共数据的数据运营和使用，除应遵守《数据安全法》《中华人民共和国个人信息保护法》（下称“《个人信息保护法》”）《中华人民共和国网络安全法》（下称“《网络安全法》”）等一般性的数据法律规定外，还应遵守公共数据授权运营和数据治理的相关法律规定（一般为当地的大数据条例、公共数据运营相关的法规，当地政府行政机关相关政策等文件规定）。

在了解上述对“公共数据”定义的基础上，我们进一步讨论“公共数据授权运营”的定义及范围。对于本定义，我们建议参考《<中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要>释义》名词解释99，即“政府数据授权运营试点”是指试点[7]授权特定的市场主体，在保障国家秘密、国家安全、社会公共利益、商业秘密、个人隐私和数据安全的前提下，开发利用政府部门掌握的与民生紧密相关、社会需求迫切、商业增值潜力显著的数据。具体来说，还可以参考《天津市公共数据授权运营试点管理暂行办法》对上述关于公共数据授权运营的定义，即将公共数据授权运营定义为试点区人民政府或试点行业的市级主管部门依法授权符合条件的经营主体作为公共数据运营机构，在保障国家秘密、国家安全、社会公共利益、商业秘密、个人隐私和数据安全的前提下，通过构建应用场景开发利用公共数据，向社会提供数据产品和服务的行为。

由此，对于公共数据的授权运营，主要指的是来源于政府行政机关的公共数据的授权运营。特别地，此处涉及的一个重要法律问题是，在属于公共数据前提下，如果公共数据中含有个人信息的，通常可预设政府行政机关是通过在履行法定职责的过程中所获取的个人信息，因此上述个人信息获取应是符合《个人信息保护法》第十三条第（三）项的规定，即依据履行法定职责事由无需获得个人同意而处理个人信息。当然，如果个人信息数据属于非公共数据，即政府行政机关并不是在履行法定职责时依据合法合规方式收集和处理的，此时如果需要通过公共数据的授权运营的渠道对这类数据进行进一步处理，如何合法合规地进行，公共数据运营方是否可以对这类个人信息数据进行进一步的处理活动，则需要进行具体地法律合规分析。这类问题也是我们在实务中所遇到的有关公共数据来源合法性的一个重要的问题。以医疗领域为例，公共数据领域的医疗数据如果来源于医院且未经过个人同意而收集到政府行政机关运营的大数据平台上，那么这类数据的来源的合法合规性可能存在风险。而公共数据的运营主体是否可以不经个人同意而进行公共数据对外授权运营、甚至与第三方进行共享使用等相关行为是否存在数据合规风险，则需要具体进行数据合规分析。

（三）公共数据授权运营中的主要参与主体与法律关系界定

通过对公开信息的调研和观察，我们注意到，目前行业中的公共数据授权运营领域涉及多方参与主体，如按照公共数据运营授权链和数据要素化工作的主要参与主体角度来进行划分，则如下表所示：

表3 公共数据授权和数据要素化的主要参与主体角色定位与职能

注：上述参与主体、参与方式和角色定位与职能可能因所在地区不同，以及根据上文公共数据授权运营的模式不同而存在差异性，不一定都能够直接适用。此外，上述主体被授予的权利内容的权限和范围也不尽相同，需要结合地方的政策法规和具体的公共数据的授权运营模式，具体情况具体分析。有鉴于此，上表仅对公共数据运营主体的一般实践情况进行了初步梳理。此外，上述主体之间也不必然是线性联系的关系，也有可能某几类主体是在公共数据领域是并列存在或合并存在的主体关系。

目前，我们通过调研观察到政府行政机关通过1对N模式进行公共数据授权运营的，被授权企业通常是国资控股的企业。这类授权模式下，政府行政机关与公共数据授权运营主体之间的授权通常属于一级/一次授权，可理解为政府行政机关将公共数据（在某些省市地区包括公共数据的原始数据）授权给数据运营主体进行收集、存储、加工、治理、使用、应用、收益、删除等多个环节的处理活动。上述授权运营关系通常以数据授权运营协议的方式体现，涉及多个方面的法律合规考量：

1. 主体资质：公共数据运营的主体资质要求申报单位在合规性、信用记录、经济实力、技术能力、安全管理、法律法规遵守和社会责任等方面都具备相应的要求和条件。
    
2. 数据范围：政府行政机关将特定范围或者特定行业的公共数据授权给运营主体进行治理和运营。这些数据的类型包括政府行政机关部门、公共服务机构或其他行政授权机构等在履行法定职责或提供公共服务过程中收集、产生的各种信息。对于这类授权，应通过授权协议来实现。从法律角度，在授权协议中授权运营主体应注意数据授权的经营范围的适当性，即建议授权经营范围包括数据平台运营、数据治理、数据加工、数据使用、数据运营、数据应用和收益等全领域覆盖的数据经营行为，既考虑当下数据授权经营主体的业务需求，也考虑未来潜在更宽的数据授权业务模式的需求，并且数据授权的权利范围也以有利于数据运营主体形成“数据三权”为目标。
    
3. 授权期限：授权期限理论上是约定长期授权对授权运营主体比较有利，但是也要注意当地数据条例或类似法律法规是否存在期限的限制性规定，同时也建议在明确授权期限时注意当地的政府行政机关政策和实践情况和要求。
    
4. 数据使用目的和用途：我们在实务中也注意到，有些政府行政机关可能会明确授权运营主体使用公共数据的具体目的和用途，即对公用数据的使用目的和用途进行限制性约定。这类约定对于数据授权运营主体对外进行数据共享和使用（或者说进行数据的二级/二次共享和使用）来说，存在限制性的法律效力；授权运营主体应注意在对外进行数据共享和使用合同中进行背靠背约定。
    
5. 运营要求：通常在数据授权协议中，政府行政机关会对授权运营主体提出一系列运营要求，以确保公共数据的有效利用和保护。这些要求可能包括明确数据处理活动的开展标准、确保数据存储和传输的安全性、建立数据共享和开放的可信机制等。
    
6. 监管和评估：政府行政机关会建立相应的监管机制，对授权运营主体的运营活动进行监督和评估。这有助于确保运营主体遵守政府行政机关的规定和要求，实现公共数据的合规使用和有效运营。

以上为本文上篇内容，我们将在下篇将继续讨论公共数据的授权主体和授权运营主体之间的法律关系及公共数据授权运营领域受关注的其他法律合规问题。