您的位置 : 环球研究 / 环球评论 / 新闻详情
数据资产管理领域的法律问题之一:公共数据授权运营相关法律合规问题(上篇)
2024年05月23日李玲(实习生许嘉嘉、丁澎绪对本文亦有贡献)

引言

 

《数字中国发展报告(2022年)》显示,2022年我国数字经济规模已超过50万亿元,数字经济占GDP比重达41.5%,位居世界第二位。数据资产,作为经济社会数字化转型进程中的新兴资产类型,正日益成为推动数字中国建设和加快数字经济发展的重要战略资源。党中央高度重视数字中国建设和数字经济发展,并已作出一系列重要决策部署。2022年,中共中央、国务院印发《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“《数据二十条》”),对构建数据基础制度作了全面部署,明确提出推进数据资产合规化、标准化、增值化,有序培育数据资产评估等第三方专业服务机构,依法依规维护数据资源资产权益,探索数据资产入表新模式等要求。

 

十四届全国人民代表大会第二次会议中所作的《2024政府行政机关工作报告》和《关于2023年国民经济和社会发展计划执行情况与2024年国民经济和社会发展计划草案的报告》(以下简称“《报告》”)等重要文件,以及习近平总书记提出的发展“新质生产力”的要求,不仅指明了新发展阶段激发新动能的决定力量,更明确了重塑全球竞争新优势的关键着力点。上述重要文件和关键论述均体现了国家鼓励发展数字经济,盘活数字资产,发挥数据资产的价值,推进数据资产合规化、标准化、增值化,推动数据资本化的积极态度。

 

在国家政策支持发展数字经济、盘活数字资产的背景下,企业需要对数据进行治理,并对数据资产进行管理。在进行数据资产管理的过程中,必须注意合规与安全两大要求,防范数据资产泄露、损毁、丢失等安全风险,尽到合规管理义务,降低承担法律责任的风险,并避免虚增数据资产价值。

 

就数据资产管理的对象数据而言,根据《数据二十条》可以分为公共数据、企业数据、个人数据[1]。公共数据作为数据要素中权威性、通用性、基础性、可控性、公益性较强的数据类型,对于赋能政务治理、赋能经济发展、赋能共同富裕具有十分重要的意义,是推进数据基础制度的有机组成部分和有力落地抓手之一[2]。此前发布的多份中央文件中,已经指明了推进公共数据运营的要求,并强调了将公共数据作为数据资产管理的重要性。例如,《报告》中明确提出,推动数据要素市场化配置改革,强化公共数据资源开发利用,深化数据管理体制机制改革。此外,《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》亦提出要加强公共数据开放共享,建立健全国家公共数据资源体系,确保公共数据安全,并鼓励第三方深化对公共数据的挖掘利用。

 

本文将分上下两篇,从公共数据的开发利用政策和行业实践案例观察入手,在讨论公共数据的定义范围的基础上,对于实务中客户经常关注的以下法律合规问题进行探讨:

 

  1. 公共数据授权治理机制的法律起点和法律性质
  2. 公共数据、公共数据授权运营的定义和法律影响
  3. 公共数据授权运营中主要参与主体以及主体间的法律关系
  4. 公共数据授权运营的性质和授权运营协议应关注的法律合规要点
  5. 授权运营企业将公共数据转变成自身可合法持有的企业数据的法律渠道
  6. 公共数据在授权运营和使用链条上是否可以脱离“原始公共数据”范畴
  7. 数据授权到期或失效后的公共数据处理和归还等法律合规要点
  8. 提供公共服务的企业所持有的公共数据与企业数据区分的法律基础
  9. 以公共数据授权链为导向的法律合规问题要点梳理列表

 

本部分为上篇,拟通过深入分析公共数据授权治理的法律背景与本质特征,细解公共数据与相应授权运营概念的法律界定。此外,我们也将详尽讨论在公共数据授权运营模式多元化的背景下,在公共数据授权运营实务中参与的主体角色定位以及以授权运营主体为中心的各主体之间应关注的基本但重要的法律问题与合规焦点。

 

一、数据资产管理语境下的公共数据资源开发利用的政策法律

 

(一)与公共数据资源开发利用相关的国家政策

 

《数据二十条》中,对“公共数据”的释义是指各级党政机关、企事业单位依法履职或提供公共服务过程中产生的数据[3]。

 

具体在各地对于公共数据管理的落实上,各省市结合当地特色以及优势正在逐渐形成具有地方特色的管理模式,例如:北京的“公共数据+行业应用”、浙江的“顶层统筹+试点落地”、广西的“统一授权+全流程支持”、福建的“一体统筹+二级授权”以及济南的“综合授权+分领域授权”等公共数据管理模式。[4]

 

(二)公共数据授权运营模式的实践观察

 

在讨论公共数据运营领域的法律合规问题之前,有必要先厘清目前国内公共数据的运营模式以及相关的场景、产品的实践情况。主要原因在于,公共数据运营的模式以及场景的不同,其可能涉及的法律合规问题也会存在差异,而在多元公共数据运营模式下又可能包括共通的法律合规要点。

 

就公共数据运营的模式,我们基于初步的案例调研观察到,目前各地公共数据授权运营的主要模式包括:

 

  1. 政府行政机关集中统一授权运营、省域统筹,分层级分领域分级授权运营(省级1对1模式);
     
  2. 分行业集中的数据专区模式(分行业1对N模式);
     
  3. 通过统一的公共数据运营平台进行运营(1对N模式);
     
  4. 政府行政机关与数据交易所合作进行授权运营等模式(政所直连模式)。

 

需要提示的是,各地针对公共数据开放和授权运营的模式是存在一些差异的,但是可以观察到,这些模式都旨在推动公共数据的开放和利用,促进数据经济的发展和社会应用的创新。并且,这些运营模式均涉及如何将公共数据从政府行政机关“交给”商业公司进行授权运营的问题。

 

(三)公共数据授权运营的行业垂直领域相应场景和产品的实践观察

 

通过法律调研,我们观察到现存公共数据授权运营的行业领域内的应用场景和产品实践已经较为多样化,涉及的领域包括金融贷款、电信征信、交通驾驶、司法、社保、广告营销、医疗健康等(详见表1所示)。不同的场景、领域对于公共数据授权运营所重点关注的具体法律合规问题可能会存在不同。此外,由于公共数据授权运营相关的制度、国家标准、机制尚待落实和细化,实务案例仍待进一步挖掘,因此在现有政策及立法体系鼓励数字经济发展、鼓励公共数据流通的背景下,企业多基于自身特点选择与政府行政机关、大数据公司、数据交易所等可实现公共数据授权运营的平台进行合作,发掘先发优势。

 

表1 垂直领域公共数据授权运营的实践观察

 


二、公共数据授权运营中的法律合规问题

 

(一)公共数据授权治理机制的法律起点和法律性质

 

政府行政机关要充分激活公共数据,更好的发挥其要素作用。但是,对于政府行政机关来说:

 

  1. 政府行政机关/政府不宜直接参与公共数据的市场化开发运营,因此不适宜直接作为对数据开放共享收费的主体。通过向平台公司授权运营的模式,可建立基于成本回收并附加合理溢价的收益机制,这是推动数据要素化进程的有效途径。
     
  2. 政府行政机关对于公共数据开放后对数据的使用领域要有干预,但是干预的力度可能存在不足,因此数据授权制度有利于政府行政机关通过数据运营机制进行管控。
     
  3. 数据取之于民,用之于民,但是公共数据也不是无条件无治理的开放,因此政府行政机关对于公共数据也应按照《中华人民共和国国家安全法》《中华人民共和国数据安全法》(下称“《数据安全法》”)等进行分类分级管理,并通过数据运营平台进行,使得合规化管理更加专业有效。
     
  4. 政府行政机关也要防止共公共数据被滥用。政府行政机关对外提供数据如存在瑕疵,则可能面临法律责任,因此通过授权机制可以适当转移和分配责任承担。由此,授权运营的依据、运营数据的范围、运营模式、数据运营安全等多方面问题成为公共数据授权运营的主要合规治理问题。

 

此外,公共数据不是以“所有权”为法律逻辑起点的法律关系,而是公共数据“授权”和“运营”、“共享、开放”和“应用”经营活动概念下对数据资源持有权、数据加工使用权、数据产品经营权(以下称“数据三权”)的形成和流转的法律关系,即公共数据运营主体通过与政府行政机关签署授权合同获得和被授予公共数据运营(治理、使用、加工、销售等商业行为)的法律权利,因而形成基于数据权利的兼具政府行政机关特许经营和民商事合同特点的法律关系,涉及法律、合规方面多维度的问题(具体法律合规问题要点详见下图所示)[5]:

 

图1 公共数据授权运营涉及的具体法律及合规问题

 

图片

 

(二)如何判断数据是否属于公共数据以及不合规运营的相应法律影响

 

公共数据的产生主要源于国家机关、事业单位以及其他依照法律法规授权、具有管理公共事务职能或服务的组织,在依法履行公共管理职责或公共服务过程中收集和产生的数据。这些数据涉及公共利益,并且其管理主体包括国家机关、事业单位、经依法授权具有管理公共事务职能的组织,以及供水、供电、供气、公共交通等提供公共服务的部门和企业。

 

这些数据具有公共性、共享性、开放性和非竞争性等特征。与过去习惯性提及的政务数据不同,公共数据来源范围和服务对象都更广泛。公共数据不仅服务于政府行政机关自身的决策和管理需要,更是为了方便公众获取、利用信息,促进社会经济发展和公共服务提供的需要。同时,公共数据的质量和信息价值更高,可以提升政府行政机关的治理能力,并有助于企业和群众更方便地办事。

 

除了对公共数据法律定义范畴的一般性的理解,从法律角度我们还应重点关注各省和重要城市的公共数据条例中对“公共数据”的定义,这些定义在每个省域范围内对公共数据范围的框定和公共数据目录的制定都是重要的法律法规依据。谈公共数据授权运营的法律合规问题,不能离开相应省市的相关政策法规制定的背景。作为举例,我们梳理了以下省市的数据条例或类似法规中对公共数据的定义:

 

表2 重要省市的数据条例或类似法规中对公共数据的定义

 


从上述各省的数据条例或公共数据管理规定对公共数据的定义中可以看出,公共数据通常应涵盖在“依法履职”或者提供“公共服务”过程中所“收集和产生”的“政务数据(含公益事业单位数据)”、“公共服务数据”等。因此,从法律角度讲,除非数据被个别省市明确规定录入公共数据目录中[6],不符合上述定义要素的数据在法律理论上则不应归入公共数据的范畴,即应视为非公共数据。视为公共数据的数据运营和使用,除应遵守《数据安全法》《中华人民共和国个人信息保护法》(下称“《个人信息保护法》”)《中华人民共和国网络安全法》(下称“《网络安全法》”)等一般性的数据法律规定外,还应遵守公共数据授权运营和数据治理的相关法律规定(一般为当地的大数据条例、公共数据运营相关的法规,当地政府行政机关相关政策等文件规定)。

 

在了解上述对“公共数据”定义的基础上,我们进一步讨论“公共数据授权运营”的定义及范围。对于本定义,我们建议参考《<中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要>释义》名词解释99,即“政府数据授权运营试点”是指试点[7]授权特定的市场主体,在保障国家秘密、国家安全、社会公共利益、商业秘密、个人隐私和数据安全的前提下,开发利用政府部门掌握的与民生紧密相关、社会需求迫切、商业增值潜力显著的数据。具体来说,还可以参考《天津市公共数据授权运营试点管理暂行办法》对上述关于公共数据授权运营的定义,即将公共数据授权运营定义为试点区人民政府或试点行业的市级主管部门依法授权符合条件的经营主体作为公共数据运营机构,在保障国家秘密、国家安全、社会公共利益、商业秘密、个人隐私和数据安全的前提下,通过构建应用场景开发利用公共数据,向社会提供数据产品和服务的行为。

 

由此,对于公共数据的授权运营,主要指的是来源于政府行政机关的公共数据的授权运营。特别地,此处涉及的一个重要法律问题是,在属于公共数据前提下,如果公共数据中含有个人信息的,通常可预设政府行政机关是通过在履行法定职责的过程中所获取的个人信息,因此上述个人信息获取应是符合《个人信息保护法》第十三条第(三)项的规定,即依据履行法定职责事由无需获得个人同意而处理个人信息。当然,如果个人信息数据属于非公共数据,即政府行政机关并不是在履行法定职责时依据合法合规方式收集和处理的,此时如果需要通过公共数据的授权运营的渠道对这类数据进行进一步处理,如何合法合规地进行,公共数据运营方是否可以对这类个人信息数据进行进一步的处理活动,则需要进行具体地法律合规分析。这类问题也是我们在实务中所遇到的有关公共数据来源合法性的一个重要的问题。以医疗领域为例,公共数据领域的医疗数据如果来源于医院且未经过个人同意而收集到政府行政机关运营的大数据平台上,那么这类数据的来源的合法合规性可能存在风险。而公共数据的运营主体是否可以不经个人同意而进行公共数据对外授权运营、甚至与第三方进行共享使用等相关行为是否存在数据合规风险,则需要具体进行数据合规分析。

 

(三)公共数据授权运营中的主要参与主体与法律关系界定

 

通过对公开信息的调研和观察,我们注意到,目前行业中的公共数据授权运营领域涉及多方参与主体,如按照公共数据运营授权链和数据要素化工作的主要参与主体角度来进行划分,则如下表所示:

 

表3 公共数据授权和数据要素化的主要参与主体角色定位与职能

 

 

注:上述参与主体、参与方式和角色定位与职能可能因所在地区不同,以及根据上文公共数据授权运营的模式不同而存在差异性,不一定都能够直接适用。此外,上述主体被授予的权利内容的权限和范围也不尽相同,需要结合地方的政策法规和具体的公共数据的授权运营模式,具体情况具体分析。有鉴于此,上表仅对公共数据运营主体的一般实践情况进行了初步梳理。此外,上述主体之间也不必然是线性联系的关系,也有可能某几类主体是在公共数据领域是并列存在或合并存在的主体关系。

 

目前,我们通过调研观察到政府行政机关通过1对N模式进行公共数据授权运营的,被授权企业通常是国资控股的企业。这类授权模式下,政府行政机关与公共数据授权运营主体之间的授权通常属于一级/一次授权,可理解为政府行政机关将公共数据(在某些省市地区包括公共数据的原始数据)授权给数据运营主体进行收集、存储、加工、治理、使用、应用、收益、删除等多个环节的处理活动。上述授权运营关系通常以数据授权运营协议的方式体现,涉及多个方面的法律合规考量:

 

  1. 主体资质:公共数据运营的主体资质要求申报单位在合规性、信用记录、经济实力、技术能力、安全管理、法律法规遵守和社会责任等方面都具备相应的要求和条件。
     
  2. 数据范围:政府行政机关将特定范围或者特定行业的公共数据授权给运营主体进行治理和运营。这些数据的类型包括政府行政机关部门、公共服务机构或其他行政授权机构等在履行法定职责或提供公共服务过程中收集、产生的各种信息。对于这类授权,应通过授权协议来实现。从法律角度,在授权协议中授权运营主体应注意数据授权的经营范围的适当性,即建议授权经营范围包括数据平台运营、数据治理、数据加工、数据使用、数据运营、数据应用和收益等全领域覆盖的数据经营行为,既考虑当下数据授权经营主体的业务需求,也考虑未来潜在更宽的数据授权业务模式的需求,并且数据授权的权利范围也以有利于数据运营主体形成“数据三权”为目标。
     
  3. 授权期限:授权期限理论上是约定长期授权对授权运营主体比较有利,但是也要注意当地数据条例或类似法律法规是否存在期限的限制性规定,同时也建议在明确授权期限时注意当地的政府行政机关政策和实践情况和要求。
     
  4. 数据使用目的和用途:我们在实务中也注意到,有些政府行政机关可能会明确授权运营主体使用公共数据的具体目的和用途,即对公用数据的使用目的和用途进行限制性约定。这类约定对于数据授权运营主体对外进行数据共享和使用(或者说进行数据的二级/二次共享和使用)来说,存在限制性的法律效力;授权运营主体应注意在对外进行数据共享和使用合同中进行背靠背约定。
     
  5. 运营要求:通常在数据授权协议中,政府行政机关会对授权运营主体提出一系列运营要求,以确保公共数据的有效利用和保护。这些要求可能包括明确数据处理活动的开展标准、确保数据存储和传输的安全性、建立数据共享和开放的可信机制等。
     
  6. 监管和评估:政府行政机关会建立相应的监管机制,对授权运营主体的运营活动进行监督和评估。这有助于确保运营主体遵守政府行政机关的规定和要求,实现公共数据的合规使用和有效运营。

 

以上为本文上篇内容,我们将在下篇将继续讨论公共数据的授权主体和授权运营主体之间的法律关系及公共数据授权运营领域受关注的其他法律合规问题。

 

注释:

[1] 来源于《关于构建数据基础制度更好发挥数据要素作用的意见》(www.gov.cn)。

[2] 来源于国家信息中心政务外网发展规划处,政策解读:《落实<数据二十条>精神 高质量推进公共数据开发利用》(https://www.ndrc.gov.cn/xxgk/jd/jd/202303/t20230317_1351339.html)。

[3] 请见《数据二十条》第(四)条的规定。《数据二十条》对公共数据的的定义是方向性的指引,具体的定义还应参考每个省的数据条例和类似的行政法规和规章。

[4] 来源于数据要素社,公共数据授权运营的五种代表性实践路径-北京通信信息协会(bita.org.cn)。

[5] 图片中罗列的法律合规问题仅为主要的法律问题,建议就具体的公共数据授权运营领域的法律合规问题结合具体的实际情况进行法律分析。

[6] 对于有些数据是否应落入公共数据目标或者是否符合公共数据的概念也需要探讨,例如行政机构部门从医疗机构所获取的健康医疗数据是否当然全部视为是公共数据则也可能存在争议。本文就类似问题不做具体分析,仅假设这类型的数据归类为公共数据在法律上有效。

[7] 此处试点指政府部门或行业监管部门。

[8] 对于公共数据平台是否属于政府/行政机构部门所有,也要依据“物权法”和数据权属的法律依据进行判断。例如,我们在实践中注意到一些城市的公共数据平台由行政机构出资建设,行政机构再授权给大数据平台运营公司进行运营。在这样的模式下,行政机构是大数据平台的所有者,而运营公司仅为通过合同授权关系而成为大数据平台本身的运营方。当然,我们也注意到实践中也存在大数据平台属于运营方公司自建。在这种模式下,行政机构应视为“租用”了大数据平台系统和采购了运营方的数据平台的运营服务,大数据平台不属于行政机构所有,但是行政机构仍持有大数据平台上数据的完整法律权属。然而,不论在上述哪种所有权模式下,数据本身的原始持有者应是政府行政机关。由此,数据的原始权属和大数据平台的法律权属是存在区别的。

[9] 提示注意,不是在每个公共数据授权链上均存在该类主体。