总第131期 公共数据资源开发与授权运营的合规路径详解
2024年10月9日,中共中央办公厅、国务院办公厅发布《关于加快公共数据资源开发利用的意见》(“《意见》”),2024年10月12日,国家发展改革委、国家数据局分别就《公共数据资源登记管理暂行办法(公开征求意见稿)》(“《登记暂行办法》”)、《公共数据资源授权运营实施规范(试行)(公开征求意见稿)》(“《授权运营规范》”)向社会公开征求意见。《意见》对公共数据资源开发利用首次作出中央层面系统部署,确立“两步走”目标,进一步提出建立公共数据资源登记制度,依托政务数据目录,根据应用需求,编制形成公共数据资源目录,对纳入授权运营范围的公共数据资源实行登记管理,以规范公共数据授权运营,作为首个顶层设计文件,意义重大。本期专题结合最新政策法规,对于公共数据开发利用的制度框架、公共数据资源授权运营要求、实施方案、合规要点等重点法律问题进行深入解析。
(一)北京市:公共数据专区授权运营模式
2020年4月至2023年12月期间,北京市相继出台《关于推进北京市金融公共数据专区建设的意见》、《关于推进北京市数据专区建设的指导意见》、《北京市公共数据专区授权运营管理办法(试行)》,逐渐探索出了一套较为成熟的公共数据专区运营管理机制。北京市经济和信息化局2023年12月8日印发《北京市公共数据专区授权运营管理办法(试行)》,提出建设领域类、区域类、综合基础类三类公共数据专区。公共数据专区采取政府授权运营模式,选择具有技术能力和资源优势的企事业单位等主体开展运营管理。市政府与专区运营单位签订授权运营协议,协议内容包括授权主体和对象、授权内容、授权流程、授权应用范围、授权期限、责任机制、监督机制、终止和撤销机制等,授权运营协议的有效期一般为5年。
针对公共数据分级共享问题,《北京市公共数据专区授权运营管理办法(试行)》第23条提出将按照《政务数据分级与安全保护规范》以及各领域、各行业相关标准规范要求开展公共数据向公共数据专区的共享应用。将向公共数据专区共享应用的公共数据分为四级。其中,一级数据允许提供原始数据共享,二级、三级数据须通过调用数据接口、部署数据模型等形式开展共享,四级数据原则上不予共享,确有需求的采用数据可用不可见等必要技术手段实现有条件共享。在公共数据依照前述规定共享至公共数据专区运营后,不得以任何形式对外提供原始数据。
作为分散授权模式(可以理解为分领域授权和依场景授权)的典型代表,北京市聚焦金融、教育、医疗、交通、信用、文旅等重大领域应用场景,要求公共数据专区运营单位投入必要的资金、技术并积极引入相关社会数据,拓展政企融合应用场景。
(二)上海市:首次提出公共数据分级分类开放模式
上海市政府2019年8月29日出台的《上海市公共数据开放暂行办法》,首次提出公共数据分级分类开放机制,将公共数据按照开放类型分为非开放数据、有条件开放数据和无条件开放数据三类,并在2021年出台的《上海市数据条例》中予以沿用。正是此处的数据开放分类,为后续公共数据授权运营探索做好了前期的准备工作,其中的“有条件开放类数据”正是公共数据授权运营中主要的数据种类。《上海市数据条例》初步提出建立公共数据授权运营机制,提高公共数据社会化开发利用水平。2022年12月31日,上海市经济信息化委、市互联网信息办公室印发《上海市公共数据开放实施细则》,提出探索开展公共数据授权运营,鼓励相关主体面向社会提供公共数据深度加工、模型训练、系统开发、数据交付、安全保障等市场化服务。
上海市在公共数据授权运营方面走得较为谨慎,暂未出台市级层面专门的公共数据授权运营办法。但在今年8月,上海市浦东新区数据局就《浦东新区公共数据授权运营管理若干规定(草案)》向社会公开征求意见,明确“区数据主管部门或者区行业主管部门”是公共数据授权运营的授权主体,授权主体与运营主体签订授权运营协议,协议内容包括授权主体、授权对象、授权范围、运营期限、主要权利和义务、费用和收益、安全要求、运营要求、违约责任、终止情形、终止后处置规则等。草案提出公共数据授权运营主要采取整体授权、领域授权的方式,其中整体运营主体向领域运营主体提供基础公共数据产品,并可以在授权运营范围内进行公共数据产品开发。领域运营主体开发符合产业发展、市场需求的数据产品,向社会提供。
(三)浙江省:重点领域试点,探索授权运营模式
2022年至2023年,浙江省相继出台《浙江省公共数据条例》和《浙江省公共数据授权运营管理办法(试行)》。作为全国首部以“公共数据”为主体的地方性法规,《浙江省公共数据条例》将公共数据按照开放属性分为无条件开放、受限开放和禁止开放数据三类,提出县级以上人民政府(“授权主体”)可以授权符合规定安全条件的法人或者非法人组织运营公共数据,并与授权运营单位签订授权运营协议,协议内容包括双方权利义务、授权运营范围、运营期限、合理收益的测算方法、数据安全要求、期限届满后资产处置、退出机制和违约责任等。同时明确,禁止开放的公共数据不得授权运营。2023年9月1日施行的《浙江省公共数据授权运营管理办法(试行)》提出建立省级、试点市、县(市、区)级公共数据授权运营管理工作协调机制,负责本行政区域内授权运营工作的统筹管理,优先在“与民生紧密相关、行业发展潜力显著和产业战略意义重大”的重点领域先行开展授权运营。
(四)广州市:全国首创“运商分离”
2021年11月25日生效施行的《广东省公共数据管理办法》主要规范了公共数据在公共管理和服务机构间的共享、公共数据的开放,对于公共数据授权运营并未专门规定,而是提出“省和地级以上市公共数据主管部门可以根据行业主管部门或者市场主体的合理需求提供数据分析模型和算法,按照统一标准对外输出数据产品或者提供数据服务,满足公共数据开发利用的需求”,“鼓励市场主体和个人利用依法开放的公共数据开展创新创业活动”,未能给市场化主体参与具有一定敏感性的公共数据授权运营留下适当空间。不过,今年8月发布的《广州市公共数据授权运营管理暂行办法(征求公众意见稿)》则是对广州市开展公共数据授权运营的专门规定,提出由市人民政府(“授权主体”)授权公共数据运营机构进行加工使用,为数据商提供安全可信的数据开发利用环境;明确提出“运商分离”,要求“公共数据运营机构不得从事可能影响数据商公平公正准入的活动及应由数据商开展的相关营利性活动”,维护市场公平竞争。但在10月8日发布的《广东省数据条例(草案征求意见稿)》,其规定的授权主体又显然宽泛得多,“省和市人民政府及其有关部门、有条件的县(区)、乡(镇)”均可以授权运营公共数据,并与被授权运营主体签订授权运营协议。
(一)政务数据与公共数据的概念外延
根据《登记暂行办法》,公共数据资源,是指各级党政机关、企事业单位依法履职或提供公共服务过程中产生的具有利用价值的数据集合。按照《政务信息资源共享管理暂行办法》对“政务信息资源”的定义,政务数据可以理解为政务部门在履行职责过程中制作或获取的,以一定形式记录、保存的文件、资料、图表和数据等各类信息资源,包括政务部门直接或通过第三方依法采集的、依法授权管理的和因履行职责需要依托政务信息系统形成的信息资源等。政务部门则是指政府部门及法律法规授权具有行政职能的事业单位和社会组织。综合来看,公共数据具有明显的“公益属性”,其外延涵盖政务数据,从《登记暂行办法》第十六条“依托登记信息和政务数据目录,建立健全公共数据资源目录”的表述也可看出,政务数据范畴囊括在公共数据范围内。二者关系可用下图表示:
(二)三种公共数据开发利用方式的区别与联系
根据《政务信息资源共享管理暂行办法》,政务数据共享应是指政务部门间因履行职责需要使用其他政务部门政务信息资源和为其他政务部门提供政务信息资源的行为。其中政务部门是指政府部门及法律法规授权具有行政职能的事业单位和社会组织。政务信息资源按共享类型分为无条件共享、有条件共享、不予共享等三种类型,除涉及国家秘密和安全等特定情形外原则上均应予以共享,且共享信息的产生和提供部门应无偿提供共享服务。
公共数据开放,以维护国家数据安全、保护个人信息和商业秘密为前提,主要面向企业和一般社会公众,优先开放与民生紧密相关、社会需求迫切的数据;公共数据授权运营,主要是对一些潜在价值高,具有一定敏感性,无法直接向社会开放,需要依托专业开发能力,在保障安全的前提下,将公共数据加工形成数据产品和服务向社会提供。
在《授权运营规范》中,授权运营活动被明确定义为“将县级以上地方各级人民政府、国家行业主管部门持有的公共数据资源,按照法律法规和相关要求,授权符合条件的运营机构进行治理、开发,并面向市场公平提供数据产品和技术服务的活动”,从数据持有主体的描述来看,我们理解按照《授权运营规范》确立的监管框架,政务数据亦可纳入公共数据开放或授权运营范围。
(一)登记主体
登记主体,是指根据工作职责直接持有或管理公共数据资源,以及依法依规对授权范围的公共数据资源进行开发运营的法人或非法人组织,换言之,指“具有利用价值的公共数据资源”的“直接持有者/管理者/被授权开发运营者(后文的公共数据授权实施机构、运营机构)”。作为登记主体,前述“法人或非法人组织”在提出登记申请前,需自行或委托第三方专业服务机构,通过技术手段在保障安全的前提下对公共数据资源进行存证,确保来源可查、加工可控。
(二)登记机构
登记机构,是指由数据主管部门设立或指定的,提供公共数据资源登记服务的事业单位。根据《登记暂行办法》第6条,登记机构负责实施公共数据资源登记,执行全国统一的登记管理要求,按照行政层级和属地原则,提供“规范化、标准化、便利化”登记服务。这意味着登记服务将由主管部门统一管理和进行,不会交由市场化主体承担,登记机构也不能跨行政层级或跨区域提供登记服务。
登记机构应当建立健全数据资源登记管理责任机制,履行数据安全保护义务,妥善保管公共数据资源登记信息。我们理解,这里的“登记信息”基本与“登记公示内容”相一致,即登记主体名称、登记类型、登记数据名称、数据内容简介,同时还应当包括登记主体在登记过程中向登记机构提供的各类与数据资源登记相关的资料和信息。
(三)第三方专业服务机构
《登记暂行办法》虽对“第三方专业服务机构”着墨不多,但也鲜明表明了对“第三方专业服务机构”参与公共数据资源登记活动的支持、鼓励态度。毋庸置疑,“第三方专业服务机构”在登记活动中是不可或缺的。例如,登记前“通过技术手段在保障安全的前提下对公共数据资源进行存证,确保来源可查、加工可控”,以及“数据合法合规性来源”、“数据安全风险评估”等申请材料的准备、前述公共数据资源存证等均离不开第三方专业服务机构的支持。《登记暂行办法》要求“第三方专业服务机构”应当具备相应管理和技术能力,严格按照委托或协议事项依法客观、独立、公正开展相关服务,在服务过程中不得存在虚假记载、误导性陈述、信息泄露等违法违规行为。为了确保第三方服务的独立性,《登记暂行办法》要求第三方专业服务机构不得与登记机构、登记主体之间存在重叠、隶属或关联关系,并明确第三方专业服务机构“依法客观、独立、公正开展相关服务”的要求。此外,《登记暂行办法》第24条罚则条款,要求登记机构、登记主体、第三方专业服务机构等登记活动参与主体严格依法依规开展登记活动,否则需要依法承担相关责任。
公共数据资源登记,可以简单概括为登记主体向登记机构提交登记申请材料,登记机构按照登记程序,依托登记平台,开展登记活动。根据《登记暂行办法》第5条,登记主体开展登记或强制或自愿,标准为是否准备将自己持有的公共数据资源纳入授权运营范围,登记主体应对持有并纳入授权运营范围的公共数据资源进行登记。
《登记暂行办法》登记申请类型覆盖公共数据资源登记全生命周期,包括首次登记、变更登记、更正登记和注销登记。其中,
● “首次登记”申请,由登记主体在开展授权运营活动并提供数据资源或交付数据产品和服务后的20个工作日内提出;
● “变更登记”申请,是在涉及数据来源、数据资源情况、产品和服务、存证情况等发生重要更新或重大变化,或者登记主体因机构重组等原因导致主体信息发生变化时,由登记主体及时提出;
● “更正登记”申请,是由登记主体、利害关系人认为已登记信息有误时提出,若是由利害关系人提出,则需满足:1)登记主体书面同意,或2)登记主体不同意,但确有证据证明登记信息确有错误;
● “注销登记”申请,包括四种情形:1)公共数据资源不可复原或灭失的(数据没了);2)登记主体放弃相关权益或权益期限届满的(权益没了);3)登记主体因解散、被依法撤销、被宣告破产或因其他原因终止存续的(主体没了);4)法律法规规定的其他情形(其他)。
此外,《登记暂行办法》同时规定了四种不予登记的情形,包括:1)重复登记的(“重复”);2)登记主体隐瞒事实或弄虚作假的(“作假”);3)存在数据权属争议的(“权属争议”);4)法律法规规定的其他情形(“其他”)。
(一)实施机构
实施机构,是指县级以上地方各级人民政府或国家行业主管部门结合授权模式确定的、具体负责组织开展授权运营活动的单位。授权运营模式,包括整体授权、分领域授权或依场景授权等。从上述定义可以看出,实施机构可能并不唯一,各地、各部门根据实际,可以选择采取一种以上的授权模式,确立多种类型的实施机构。同时,从《授权运营规范》第16条的定义来看,实施机构是公共数据资源的持有方。实施机构应当根据审定同意后的实施方案,按照法律法规要求,以公开招标、邀请招标、谈判等公平竞争方式选择运营机构。
根据《授权运营规范》,实施机构应:
● 提供安全可控的开发利用环境。充分利用现有信息系统资源,鼓励集约化建设,支持安全可信流通技术应用,确保数据资源开发利用过程可管、可控、可追溯。
● 履行信息披露义务。按规定公开授权运营情况,定期向社会披露授权对象、内容、范围和时限等,接受社会监督。
● 数据安全责任。实施机构应建立健全管理制度,强化数据治理,提升数据质量,明确数据分类分级安全保护要求,加强技术支撑保障和数据安全管理,严格防控纳入授权运营范围的原始公共数据资源直接进入市场,强化对运营机构涉及公共数据资源授权运营的内控审计。
此外,实施机构、运营机构应协作配合,通过管理和技术措施,加强数据关联汇聚风险识别和管控,保障数据安全。
(二)运营机构
运营机构,是指按照规范程序获得授权,对授权范围内的公共数据资源进行开发运营的法人组织。运营机构组织形式限于“法人组织”。此处的“规范程序”,应当规定于各地、各部门实施的公共数据资源授权运营实施方案。
运营机构仅能进行两类活动:1)对授权范围内的公共数据资源进行治理、开发;2)面向市场“公平”提供数据产品和技术服务。《授权运营规范》要求运营机构依法依规在授权范围内开展业务,不得直接或间接参与授权范围内已交付的公共数据产品和服务再开发。其意旨仍在于保障授权运营市场活动的公平性,禁止运营机构利用先天优势,未经授权超越授权范围开展业务,或继续参与已经在运营中的公共数据产品和服务的再开发,避免不正当竞争或垄断行为滋生。
根据《授权运营规范》,运营机构应:
● 履行信息披露义务。公开公共数据产品和服务清单,定期向社会披露公共数据资源使用情况,接受社会监督。
● 加强财务管理。运营机构应加强公共数据产品和服务相关的成本、收入和支出的内部管理,对公共数据产品和服务相关的财务收支按照现有财务管理制度进行管理,依法接受监督。
● 履行数据安全主体责任。加强内控管理、技术管理和人员管理,不得超授权范围使用公共数据资源,严防数据加工、处理、运营、服务等环节数据安全风险。
(三)其他经营主体
《授权运营规范》鼓励其他经营主体对运营机构交付的公共数据产品和服务再开发,融合多源数据,提升数据产品和服务价值,繁荣数据产业发展生态。我们认为,这是具备相应开发能力企业,特别是处于金融、交通、医疗、能源、工业、电信等数据富集行业企业,应当关注的重点。作为市场重要参与者,相关企业通过从运营机构处获取公共数据产品和服务,在保障数据安全前提下,结合自有数据,融合其他社会数据,可以形成更多更好的数据产品和服务,满足多层次、多样化的用数需求,进一步加“数”前进。
(一)公共数据资源授权运营实施方案
公共数据资源授权运营实施方案,由县级以上地方各级数据主管部门、国家行业主管部门数据管理机构牵头组织编制或指导本地区、本部门各类实施机构编制。编制实施方案应当兼顾经济效益和社会效益,确保可实施可落地。公共数据资源授权运营实施方案应按照“三重一大”决策机制要求,经由县级以上本级人民政府或国家行业主管部门的部(委、局)务会审议通过后实施。
根据《授权运营规范》第9条,实施方案应包括:1)授权运营名称;2)授权运营的必要性和可行性论证。如前述,三种公共数据资源开放利用方式在适用上实则有先后顺序,对于那些通过共享、开放即可充分发挥价值的数据,或并不敏感的数据,并非必须纳入授权运营范围;3)运营机构的选择条件,包括资金、管理、技术、服务、安全能力等。在前文提及的地方政策中,一般也会对运营机构提出条件或要求;4)授权运营模式,包括整体授权、分领域授权或依场景授权等;5)授权运营的数据资源范围、数据资源目录、数据更新频率及数据质量情况等;6)授权运营期限、建设内容、技术保障、实施进度、评价标准、退出机制、资产管理等;7)拟提供的公共数据产品和服务清单,包括支持公共治理、公益事业和产业发展、行业发展两大类,以及预期产品和服务形式等;8)运营机构授权范围内经营成本和收入等核算机制、收益分配机制等。9)数据安全、个人信息保护措施和应急处置措施;10)实施机构、运营机构及相关参与方权利义务;11)授权运营的监督管理及考核评价要求;12)应当明确的其他事项等12项内容。
(二)公共数据资源授权运营协议
实施机构应独立或会同本级有关业务主管部门,与依法选定的运营机构签订公共数据资源授权运营协议。授权运营协议内容应充分征求各方意见,并经实施机构“三重一大”决策机制审议通过后签订。
根据《授权运营规范》第14条,公共数据资源授权运营协议包括:
1)授权运营的公共数据资源范围及数据资源目录;
2)运营期限,原则上最长不超过5年;
3)拟提供的公共数据产品和服务清单及其技术标准、安全审核要求、业务规范性审核要求;
4)公共数据资源授权运营工作的技术支撑平台;
5)资产权属,包括软硬件设备、公共数据产品和服务的权属;
6)授权运营情况信息披露要求;
7)运营机构授权范围内经营成本和收入等核算要求、收益分配机制;
8)数据安全、个人信息保护要求和风险监测、应急处置措施;
9)运营成效评价,续约或退出机制;
10)违约责任;
11)争议解决方式;
12)协议变更、终止条件;
13)需要明确的其他事项等13项内容。
一问:公共数据资源的定义和范围是什么?
答:《登记暂行办法》第三条第(一)项规定,“公共数据资源,是指各级党政机关、企事业单位依法履职或提供公共服务过程中产生的具有利用价值的数据集合。”这一条相比《深圳经济特区数据条例》对公共数据的定义,“公共数据,是指公共管理和服务机构在依法履行公共管理职责或者提供公共服务过程中产生、处理的数据。”,核心差别是加了一个定语“具有利用价值”。
《登记暂行办法》第二十五条规定,“中央党群机关、县级以上各级地方党委持有的公共数据资源开展授权运营,参照本规范执行。供水、供气、供热、供电、公共交通等公用企业持有的公共数据资源的开发利用,可参考本规范有关程序要求授权使用,维护公共利益和企业合法数据权益,接受政府和社会监督。”
实务中,需要注意:
第一,并非只有党政机关、事业单位才可能有公共数据资源,企业因为依法履职或提供公共服务过程中也可能产生公共数据资源;如“供水、供气、供热、供电、公共交通等公用企业持有的公共数据资源的开发利用,可参考本规范有关程序要求授权使用,维护公共利益和企业合法数据权益,接受政府和社会监督。”
第二,《企业国有资产法》已经被纳入立法计划进行修订,结合该法第二条,“本法所称企业国有资产(以下称国有资产),是指国家对企业各种形式的出资所形成的权益。”为此,需要注意国有企业的数据资产,也可能会纳入国有资产,需要结合本次企业国有资产法修订,以及实务中国有企业的数据入表情况,进行判断;《公共数据资源开发意见》还明确,“公共数据管理和运营的责任边界,围绕强化管理职责优化机构编制资源配置。在有条件的地区和部门,按照管运适度分离的原则,在保障政务应用和公共服务的前提下,承担数据运营职责的事业单位可按照国家有关规定转企改制,试点成立行业性、区域性运营机构,并按照国有资产有关法律法规进行管理,符合要求的纳入经营性国有资产集中统一监管。”
第三,需要注意区分国家所有的数据资产和国有企业的数据资产,这是不同的主体分别持有的数据资产。
第四,需要注意公共数据资源可能同时包括了个人信息、重要数据、国家秘密等,为此,需要结合不同授权运营项目,进行识别,并结合数据流情况,分别开展合规工作。
二问:公共数据授权运营过程中,有哪些参与主体?
答:《公共数据资源授权运营规范》第三条、第五条、第七条,明确了下面三组概念和相关参与主体,分别是:
“授权运营,是指将县级以上地方各级人民政府、国家行业主管部门持有的公共数据资源,按照法律法规和相关要求,授权符合条件的运营机构进行治理、开发,并面向市场公平提供数据产品和技术服务的活动。
实施机构,是指由县级以上地方各级人民政府或国家行业主管部门结合授权模式确定的、具体负责组织开展授权运营活动的单位。
运营机构,是指按照规范程序获得授权,对授权范围内的公共数据资源进行开发运营的法人组织。”
“...鼓励其他经营主体对运营机构交付的公共数据产品和服务再开发,融合多源数据,提升数据产品和服务价值,繁荣数据产业发展生态。”
“以政务数据共享方式获得的其他地区或部门的公共数据,用于授权运营的,应征得共享数据提供单位同意。”
实务中,公共数据授权运营过程中,一般包括了数源单位(又称共享数据提供单位,通常为《公共数据资源授权运营规范》中所提及的县级以上地方各级人民政府、国家行业主管部门)、数源主管部门(部分地区公共数据授权运营场景会独立设立数源主管部门)、实施机构、运营机构、二级市场的数据产品开发单位(又称平台合作方或者数据产品开发方)、数据需求方、中介机构(如律师事务所)等。为此授权链条一般较长,参与主体比较多,为合规带来不少挑战。
三问:公共数据授权运营单位应如何产生?
答:《公共数据资源授权运营规范》第十二条规定,“实施机构应当根据审定同意后的实施方案,按照法律法规要求,以公开招标、邀请招标、谈判等公平竞争方式选择运营机构。”
对于授权运营单位应如何确定,实务中存在“指定”“公开招投标”等多种方式,从本次规定来看,对此明确了“公开招标、邀请招标、谈判等公平竞争方式”。为此,直接指定的方式,并不可取。这一规定具有较高的及时性。否则,可能对不同地区或者同一地区不同希望参与的运营机构造成不公平的结果,甚至可能会加剧行政垄断的诟病(《公共数据资源授权运营规范》第六条第二款,“开展授权运营活动,不得滥用行政权力或市场支配地位排除、限制竞争,不得利用数据和算法、技术、资本优势等从事垄断行为。”)。为此,对于已经通过指定方式确定授权运营单位的做法,未来面临整改的要求。
四问:实务中,有哪些公共数据授权运营模式?未来授权运营单位的服务内容主要有哪些?公共数据授权运营过程中的数据产品、服务,是否采取场内交易是主流模式?
答:从《公共数据资源授权运营规范》第九条所知,授权运营模式,包括整体授权、分领域授权或依场景授权等。未来,还可能发展出其他授权运营模式。而从授权运营的具体服务内容来看,授权运营单位可以开展公共数据资源开发、产品经营和技术服务三类服务。从鼓励方向来看,《公共数据资源开发意见》非常支持开发数据模型、数据核验、评价指数等多形式数据产品。从支持场内还是场外交易来看,《公共数据资源开发意见》鼓励有条件的地区探索公共数据产品和服务场内交易模式,统筹数据交易场所的规划布局,引导和规范数据交易场所健康发展。
此外,《公共数据资源授权运营规范》第二十五条第二款,“供水、供气、供热、供电、公共交通等公用企业持有的公共数据资源的开发利用,可参考本规范有关程序要求授权使用,维护公共利益和企业合法数据权益,接受政府和社会监督。”对于公用企业持有的公共数据资源的开发利用,也可以参考该规范进行开发利用(非强制)。
值得关注的是,对于公共数据授权运营模式,理论上存在“政府采购说”“特许经营说”“行政协议说”“新型合同说”等不同学说。我们认为,公共数据授权运营模式应适用于“新型合同说”,限于篇幅,在此不赘述。从“新型合同说”角度,可能更有利于未来公共数据授权运营模式的百花齐放,同时也更符合公共数据授权运营的实质。
五问:公共数据授权运营过程中,各方的法定义务有哪些?
答:公共数据授权运营过程中,涉及四大协议文本,包括公共数据授权运营协议、公共数据开发利用协议、数据产品/服务/技术服务协议以及相关授权协议(或者隐私政策等)。这几份协议文本,应包括上述规定中提到的“必备条款”,如公共数据资源授权运营协议内容应包括:(一)授权运营的公共数据资源范围及数据资源目录;(二)运营期限,原则上最长不超过5年;(三)拟提供的公共数据产品和服务清单及其技术标准、安全审核要求、业务规范性审核要求;(四)公共数据资源授权运营工作的技术支撑平台;(五)资产权属,包括软硬件设备、公共数据产品和服务的权属;(六)授权运营情况信息披露要求;(七)运营机构授权范围内经营成本和收入等核算要求、收益分配机制;(八)数据安全、个人信息保护要求和风险监测、应急处置措施;(九)运营成效评价,续约或退出机制;(十)违约责任;(十一)争议解决方式;(十二)协议变更、终止条件;(十三)需要明确的其他事项。
此外,对于下列主体,应满足上述系列规定提到的法定义务:
| 公共数据授权运营相关主体 | 详细义务内容 |
| 实施机构 | 1、实施机构应独立或会同本级有关业务主管部门,与依法选定的运营机构签订公共数据资源授权运营协议。授权运营协议内容应充分征求各方意见,并经实施机构“三重一大”决策机制审议通过后签订。 2、以政务数据共享方式获得的其他地区或部门的公共数据,用于授权运营的,应征得共享数据提供单位同意。 3、实施机构应将授权运营范围内的公共数据资源、公共数据产品和服务,按照公共数据资源登记管理要求进行登记。 4、实施机构应按规定公开授权运营情况,定期向社会披露授权对象、内容、范围和时限等,接受社会监督。 5、实施机构应建立健全管理制度,强化数据治理,提升数据质量,明确数据分类分级安全保护要求,加强技术支撑保障和数据安全管理,严格防控纳入授权运营范围的原始公共数据资源直接进入市场,强化对运营机构涉及公共数据资源授权运营的内控审计。 6、实施机构应通过管理和技术措施,加强数据关联汇聚风险识别和管控,保障数据安全。 7、开展公共数据资源授权运营应鼓励和保护干部担当作为,营造鼓励创新、包容创新的干事创业氛围,同时坚决防止以数谋私。 8、开展授权运营应有效识别和管控数据资产化、数据资产资本化不当操作带来的安全隐患,切实防范化解金融风险。 |
| 运营机构 | 1、运营机构应将授权运营范围内的公共数据资源、公共数据产品和服务,按照公共数据资源登记管理要求进行登记。 2、运营机构应依法依规在授权范围内开展业务,不得直接或间接参与授权范围内已交付的公共数据产品和服务再开发。 3、运营机构应公开公共数据产品和服务清单,定期向社会披露公共数据资源使用情况,接受社会监督。 4、运营机构应履行数据安全主体责任,加强内控管理、技术管理和人员管理,不得超授权范围使用公共数据资源,严防数据加工、处理、运营、服务等环节数据安全风险。 5、运营机构应通过管理和技术措施,加强数据关联汇聚风险识别和管控,保障数据安全。 6、运营机构应加强公共数据产品和服务相关的成本、收入和支出的内部管理,对公共数据产品和服务相关的财务收支按照现有财务管理制度进行管理,依法接受监督。 |
其中,上述义务中,值得讨论的有两点:
第一,对于实施机构应“严格防控纳入授权运营范围的原始公共数据资源直接进入市场”,相比“原则上原始数据不出域”,更加严格。这里的进入市场,该如何理解?如果仅仅是存储在数据需求方,是否算是进入市场?实务中,可能存在基于法律要求,如根据《保险法》,保险公司需要存储相关个人信息,因此若保险公司作为数据需求方,难免需要将相关原始公共数据资源对外(保险公司)提供,而非仅仅对保险公司输出结果,后者不符合《保险法》的相关规定。为此,后续建议该条可以进行调整,增加“但法律另有规定除外”。
第二,对于运营机构,“不得直接或间接参与授权范围内已交付的公共数据产品和服务再开发。”这里“间接”参与、“再开发”,该如何理解?如果数据产品的再开发方是运营机构的全资子公司或者控股子公司,那么参股公司,是否算间接参与呢?此外,从技术层面上、基础设施层面上给予其支持,是否也算间接参与呢?这一条还值得推敲,建议进一步明确上述两项问题。我们理解,这一条的主要立法目的,是为了避免行政垄断,同时丰富未来参与公共数据产品和服务开发的主体范围,繁荣数据要素开发二级市场。
六问:公共数据资源登记的主体、客体、登记机构分别是什么?对后续公共数据资源开发利用有什么影响?
答:登记主体,是指根据工作职责直接持有或管理公共数据资源,以及依法依规对授权范围的公共数据资源进行开发运营的法人或非法人组织。登记机构,是指由数据主管部门设立或指定的,提供公共数据资源登记服务的事业单位。登记客体是公共数据资源,第一问已涉及,不在此赘述。
《登记暂行办法》是对公共数据资源登记的意见,而非对企业数据资源登记的意见,为此需要注意区分。此前对于数据资源登记机构的选择,有很多争论,例如是否应该由数据交易所履行?是否应该允许一个地方有多个登记机构进行?疑惑采取各省各一个,由事业单位进行?还是统一全国做一个登记平台?《登记暂行办法》明确了后续登记机构将由事业单位进行,而非地方数据交易所。公共数据资源后续执行全国统一登记,并与各省级公共数据资源登记平台对接,推动登记信息互联互通(《登记暂行办法》第六条、第十六条)。这一做法,可能为企业数据资源登记所借鉴,值得关注后续企业数据资源登记办法、个人数据资源登记办法(如有)。
此外,对于公共数据授权运营单位,在对公共数据进行登记时,还需要自行或委托第三方专业服务机构,通过技术手段在保障安全的前提下对公共数据资源进行存证,同时在首次登记时,“提交主体信息、数据合法合规性来源、数据资源情况、存证情况、产品和服务信息、应用场景信息、数据安全风险评估等申请材料。”此处,需要特别关注“数据合法合规性来源”。这是数据合规的难点和重点,实务中,很多数据来源的授权不清晰或者基于商业秘密或者国家秘密进行了保密。后续登记机构在审查时,还需要关注其对该材料的具体要求,如是否需要提交法律意见书?对该审查是形式审查,还是实质审查?(《登记暂行办法》第十二条规定,“登记机构应当对登记材料进行审查,自受理之日起20个工作日之内完成审核。审查未通过的,应当向登记主体说明原因”)。
数据合规律师在协助公共数据授权运营单位开展公共数据资源登记时,还需要注意两点,第一,注意登记的红线。即《登记暂行办法》第十五条 有下列情形之一的,登记机构不予办理登记:(一)重复登记的;(二)登记主体隐瞒事实或弄虚作假的;(三)存在数据权属争议的;(四)法律法规规定的其他情形。第二,注意后续变更登记的要求。“对于涉及数据来源、数据资源情况、产品和服务、存证情况等发生重要更新或重大变化的,或者登记主体因机构重组等原因导致主体信息发生变化的,登记主体应及时向登记机构申请变更登记。”但是此处对于何为“数据来源、数据资源情况、产品和服务、存证情况等发生重要更新或重大变化”,以及其中的具体情形和场景,建议进一步明确或者在后续登记实施细则中进行明确。
七问:公共数据授权运营过程中,对于提供的公共数据产品和服务,该如何定价?
答:首先要区分是否属于可以进行有偿开展的公共数据授权运营类型。即是否符合《数据二十条》中“探索用于产业发展、行业发展的公共数据”,而非“推动用于公共治理、公益事业的公共数据”。
其次,政府指导定价管理是基本要求。“用于产业发展、行业发展的公共数据经营性产品和服务,确需收费的,实行政府指导定价管理。”“公共数据产品和服务价格按照国家有关价格政策执行。”
最后,运营机构应加强公共数据产品和服务相关的成本、收入和支出的内部管理,对公共数据产品和服务相关的财务收支按照现有财务管理制度进行管理,依法接受监督。
笔者认为,该定性是基于公共数据资源本身的公益性决定的。但是在数据要素二级市场中,如公共数据授权运营的公共数据产品和服务作为二级市场数据产品的数据来源之一,与其他企业数据进行结合,开发出其他数据产品和服务,是否也受政府指导定价管理呢?不同比例的数据产品中,涉及公共数据产品和服务的比重不同,是否有所区别呢?此外,对于数源单位,该如何参与上述收费的分配,名目如何?如何避免被审计机构认定为“非法牟利”或者“以数谋私”?上述问题值得进一步关注和探讨。
八问:第三方专业服务机构,有哪些新的业务机会?
答:第三方专业服务机构作为数商的一类,在公共数据授权运营中,发挥了重要作用。以律师为例,我们认为可以积极发挥如下专业力量:
第一,代表授权运营机构,参与公共数据授权运营模式的创新研究,就新模式进行合规性论证,同时完成相关文本的草拟、审核工作,以及相关谈判支持工作。
第二,代表授权运营机构,支持其完成公共数据资源的合规审查并完成登记。但是需要注意,第三方专业服务机构不得与登记机构、登记主体之间存在重叠、隶属或关联关系,在服务过程中不得存在虚假记载、误导性陈述、信息泄露等违法违规行为。
第三,代表授权运营机构,就之前完成的公共数据授权运营项目,对照上述新规进行整改调整。
九问:已经开展的公共数据授权运营,该如何处理?
答:值得重点关注的是,实务中已经有很多地区开展了公共数据授权运营,存在成功案例。上述规定提到,在规定发布和实施后:
1、本规范实施前已开展授权运营的,应参照本规范逐步完善。本规范实施后新开展的授权运营活动按本规范执行。
2、本办法施行前已开展授权运营的,登记主体应按首次登记程序于本办法施行后的30个工作日内进行登记。
上述对于“逐步完善”的表述,比较宽泛。为此,需要对照确定:第一,是否已经开展授权运营?例如签署了授权运营协议,对外输出了公共数据产品或服务。第二,参照规范完善。哪些构成禁止性条款,需要停止;哪些构成新增法律义务,可能需要及时遵守等。第三,对于需要完成的登记工作,也需要提前准备登记的材料。
十问:国家数据局等部门未来将如何对公共数据授权运营进行监管?
答:数据管理机构要履行行业监管职责,指导监督运营机构依法依规经营。是上述规定的基本要求。具体来说,有以下几点需要注意:
第一,国家数据局负责全国公共数据资源授权运营工作的统筹协调管理,动态掌握全国公共数据资源授权运营情况,加强政策、业务指导。
第二,省级数据主管部门、国家行业主管部门数据管理机构应做好本地区、本部门各类授权运营协议的备案管理。
第三,省级数据主管部门应发挥综合协调作用,强化数据资源整合,提升数据服务能力,充分发挥公共数据资源规模化应用效应,做好对本地区授权运营工作的监督管理。
第四,国家行业主管部门数据管理机构负责推动本部门公共数据资源授权运营工作,指导本行业加强授权运营范围内的行业数据资源管理。
第五,登记机构在登记过程中有下列行为的,由数据主管部门采取约谈、现场指导或取消登记机构资格等管理措施:(一)开展虚假登记;(二)擅自复制、篡改、损毁、伪造电子凭证;(三)私自泄露登记信息或利用登记信息进行不正当获利;(四)履职不当或拒不履职的情况;(五)其他违反法律法规的情况。