首次在中央层面对公共数据资源
进行体系化部署
近日,中共中央办公厅、国务院办公厅正式发布了《关于加快公共数据资源开发利用的意见》(以下简称《意见》)。紧接着,国家发展改革委和国家数据局发布了《公共数据资源登记管理暂行办法(公开征求意见稿)》(以下简称《办法》)和《公共数据资源授权运营实施规范(试行)》(公开征求意见稿)(以下简称《规范》)。
三个文件响应了二十届三中全会“加快构建促进数字经济发展体制机制”的精神,是国家首次在中央层面对公共数据资源进行体系化部署,填补了顶层文件长期缺失的制度空白,为公共数据资源开发利用提供了明确的政策指引。
双重困境
所谓公共数据资源,是指各级党政机关、企事业单位依法履职或提供公共服务过程中产生的具有利用价值的数据集合,涵盖了社会、经济、文化、卫生等多个领域,比如全国人口普查数据、金融贸易数据、农业生产数据、气象数据等。
《全国数据资源调查报告(2023年)》显示,全年数据生产总量仅有2.9%的数据被保存,存储数据中一年未使用的数据约占四成。在公共数据开放过程中,大量资源长期处于沉睡状态,价值潜能尚未被唤醒。
不过,值得注意的是,一些潜在价值高的公共数据恰恰具有较高敏感性,直接开放存在较大安全风险。为了纾解市场需求与交易安全的矛盾,破除数据流通使用的体制性障碍,再加上政府部门数据处理能力的限制,公共数据授权运营方式应运而生。
从多省市公共数据授权运营的制度实践来看,目前,公共数据授权运营实效不彰,直接抑制了公共数据资源的有效开发利用,影响了数字经济的创新发展和政府治理效能的提升。
当前公共数据授权运营主要面临着双重困境:一方面,各地授权运营探索规则不明确,且法律层级较低,哪些公共数据可以被授权,应当具备何种条件,采取何种运营模式等问题要么模糊处理,要么标准不一,体制性障碍加大了区域数据向全国统一数据市场推广的壁垒;另一方面,公共数据授权运营管理失范,全国一体化数据资源登记制度尚付阙如,授权运营监管机制治理效能不佳,安全责任承担规则难以发挥规制作用,机制性梗阻阻碍了规范有序的数据要素市场形成。
如何探索
《意见》提出了“鼓励探索公共数据授权运营”,《规范》要求由县级以上地方政府、国家行业主管部门将持有的公共数据资源授权给运营机构治理、开发。为了构建全方位的授权运营规则,应对授权范围、授权条件、运营模式和运营期限等要素进行逐一解读。
授权范围,即可纳入授权运营的公共数据类型。公共数据按照开放属性,分为无条件开放、有条件开放和不予开放三类。显然,无条件开放的公共数据当然可以被授权运营,有条件开放的公共数据只要有符合授权要求的运营机构亦可纳入授权范围。问题在于,不予开放的数据是否一概紧闭授权运营的大门呢?对此,可参考广州市做法,由数据资源持有者向运营机构提供经技术处理后的密文“计算因子”,运营机构再对该“计算因子”加以开发利用。也就是说,此类数据经脱敏和匿名化等技术处理后,也可授权至拥有较高安全要求和技术标准的运营机构。
对于授权条件,北京、上海、河北、浙江、贵州等地均提出了复合要求。总体来看,运营机构应当具备三项条件:一是基本条件,在符合国家和本地区公共数据授权运营规定的前提下,具备相应的行业资质和良好的经营状况、信用状况;二是运营服务能力,运营机构应具备对公共数据资源加工,并向市场提供产品和服务的基础和软硬件环境;三是技术安全要求,运营机构应建立成熟的数据安全保障系统和完善的数据安全应急预案,近3年内未发生网络安全、数据安全事件。满足上述条件的运营机构,向实施机构(指由县级以上地方各级人民政府或国家行业主管部门结合授权模式确定的、具体负责组织开展授权运营活动的单位)提交申请并接受严格核查。核查通过的,双方签订书面的公共数据资源授权运营协议。
对于运营模式,实践呈现出整体授权、分领域授权和依场景授权等样态。比如,福建成立大数据集团有限公司,统一对全省的公共数据开发利用,此类整体授权多为国有资本运营。北京设立多类公共数据专区,如金融领域由北京金融控股集团运营,贵州则按照“一场景一审核”原则,基于特定应用场景授权至运营机构,此两类分领域和场景的授权多为特许经营方式,即由政府和社会资本开展合作。鉴于我国数据要素市场水平各异,各地公共数据资源禀赋不一,《意见》明确应结合实际选择运营模式,不宜一概而论。
对于运营期限,由实施机构与运营机构双方协商确定,并记载于授权运营协议之中。《规范》提出运营期限原则上最长不超过5年,这与北京、南京的规定相一致,安徽、湖北、浙江、江苏等地将最长期限设定为3年。考虑到数字技术领域更新迭代快,数据市场需求变化大,期限不宜过长;而期限过短亦会消解运营机构持续投入和创新的热情,阻碍优质运营平台建设。综合考量,运营期限上限应设定为5年为宜。
怎样规范
公共数据授权运营,大众最为关注的是数据安全问题。相较于《中华人民共和国网络安全法》《中华人民共和国数据安全法》《网络数据安全管理条例》等规范性文本,近期发布的三个文件聚焦公共数据,强调健全资源管理制度,完善运营监督,加强安全管理,进一步丰富了公共数据安全领域的制度供给。在笔者看来,确保公共数据合规利用,需要从以下三个方面出发:
一是建立资源登记制度。通过国家公信力予以背书,有利于促进供需对接以节省交易成本,助力全国一体化数据市场的培育。《办法》划定了登记主体的范围,即授权运营公共数据的直接持有者、管理者和开发运营者。登记客体不仅包含被授权运营的公共数据本身,还应涵盖运营机构经加工利用后形成的数据产品和服务,以及经登记编制形成的资源目录。经运营机构申请,公共数据资源登记服务机构开展审查,审查通过的予以公示并发放国家统一电子凭证。纳入授权运营范围的公共数据通常关涉国家安全和重大公共利益,应归入数据分级中的国家核心数据和重要数据,理应审慎对待,采取更为严格的登记模式,即采取“登记生效主义”,未经登记不发生效力。
二是实现多方主体协同监督。在保障授权运营情况动态披露的前提下,充分发挥数据管理机构的监督主导作用,构建多方主体合力联动监管机制。管理机构应提升风险防范能力,严格把控授权准入门槛,对运营机构的履约情况和技术安全处理能力实施定期评估,落实问题整改与优化管理,做好事前、事中和事后的全过程监督;运营机构应加强行业自律,自觉接受审计监督,并定期向数据管理部门报告运营工作;网信、公安、国家安全、保密等部门应建立系统的数据安全评估、报告、信息共享、监测预警机制,必要时对运营机构进行风险约谈,并责令整改;社会公众发挥评价性监督效能,对运营情况有异议的,可向数据管理部门提请申诉;引入第三方专业评审机制,设立专家委员会,对运营机构的数据处理行为以及安全情况开展评估和认证。
三是落实安全管理责任。公共数据实行“谁授权谁负责、谁运营谁负责”的责任制。实施机构应强化数据治理,提升数据质量,建立数据安全常态化运行管理机制。若原始数据存在侵权内容,实施机构未尽到公共数据的安全审查义务,导致运营机构生成的产品或服务侵权的,实施机构应承担相应责任。运营机构应提升自身技术安全保障能力,在授权范围内规范开发利用行为,确保数据来源可溯、去向可查、行为留痕、责任可究。若原始数据不存在侵权内容,但运营机构自身原因导致产品或服务侵权的,理应由运营机构承担相应责任。若原始数据存在侵权内容,实施机构和运营机构均未尽到合理安全审查义务的,则出现责任竞合,由双方承担比例连带责任。
(作者系中南财经政法大学法学院民商法典研究所助理研究员)
编辑:徐天
封面报道
《商界军校创业史》
点击下图,一键下单
