总第149期 《政务数据共享条例》深度解读与合规实务建议

编者按

《政务数据共享条例》(以下简称《条例》)近日正式发布,将自2025年8月1日起施行,作为我国首部专门规范政务数据共享的行政法规,其出台标志着政务数据治理步入更加法治化、规范化的新阶段。

《条例》明确了统筹协调、标准统一、依法共享、合理使用等基本原则,从组织制度建设、目录管理、数据收集与共享、安全保障等多个方面,对政府部门的数据管理职责作出全面规范,旨在提升政府数字化治理能力与政务服务水平。

本期热点话题将围绕《条例》的核心内容,系统梳理政务数据的法律界定、制度设计与重点条款,深入解析共享路径与安全机制的协同安排,聚焦政府部门在数据共享中的法定义务与风险防控要求,并结合实践提出可操作的合规建议,供参考。

目录

《政务数据共享条例》下政务数据的概念

根据《条例》规定,政务数据是指政府部门在依法履行职责过程中收集和产生的各类数据,但不包括属于国家秘密、工作秘密的数据。

政务数据和公共数据是相关联的两个概念,公共数据包含政务数据。《公共数据资源登记管理暂行办法》中明确,公共数据资源是指各级党政机关、企事业单位依法履职或提供公共服务过程中产生的具有利用价值的数据集合。不难发现,政务数据和公共数据的区别在于主体的性质,政务数据的主体是“政府部门”,而“公共数据”的主体是“党政机关、企事业单位”。但是,并非政府部门和党政机关、企事业单位所掌握的所有数据都是政务数据或公共数据。因此,还需要对数据的性质进行限定,即“依法履行职责过程中”或“依法履职或提供公共服务过程中”所产生的数据。

概念明确了数据的性质但没有确定数据的权属。《条例》显然也没有在这个问题上作出相关规定,而是仅对共享行为进行规范。政务数据共享是指政府部门因依法履行职责需要,使用其他政府部门的政务数据或者为其他政府部门提供政务数据的行为。由此可见,《条例》所要解决的问题仅限于比较有限的范围,而不涉及政府、企业、个人等之间的数据活动,且仅限于共享这一场景,而并不涉及收集、加工、公开等其他是数据处理活动。

严格来说,“共享”的概念第一次出现在行政法规之中。根据现有的法律规定,共享可能包括三种情形:共同处理、委托处理和向他人提供(参见《个人信息保护法》第二十条、第二十一条和第二十三条)。《条例》中的“共享”更接近于“向他人提供”的场景——政府部门向其他政府部门提供政务数据。而《个人信息保护法》对提供个人信息的相关活动规定了特定义务,需要在处理时注意并遵守。

《条例》关键制度设计概览

《条例》系统构建了我国政务数据共享的制度体系,主要内容包括政务数据共享的管理体制、政务数据目录管理及共享使用管理、平台支撑、保障措施、法律责任等。《条例》在规范化政务数据共享工作、建立政务数据共享统一管理体制的同时,也将对政务数据共享起到促进作用,推动数字政府效能和政府公共服务水平的提升。

一、定义及适用范围

《条例》首次通过行政法规明确政务数据的概念:政务数据是指政府部门依法履行职责过程中收集和产生的各类数据,但不包括属于国家秘密、工作秘密的数据。且《条例》仅适用于政府部门之间因依法履行职责需要进行的政务数据共享行为。

值得注意的是,今年初国家发改委、国家数据局发布《公共数据资源登记管理暂行办法》《公共数据资源授权运营实施规范(试行)》,其中明确公共数据资源是指各级党政机关、企事业单位依法履职或提供公共服务过程中产生的具有利用价值的数据集合;授权运营,是指公共数据资源授权符合条件的运营机构进行治理、开发,并面向市场公平提供数据产品和技术服务的活动。从前述定义来看,政务数据范畴应小于公共数据资源范畴;且结合适用范围、出台背景等因素可以看出,同在促进数据开发利用的目标下,公共数据资源登记及授权运营应主要指向公共数据资源的对外共享,侧重商业价值挖掘等市场化的活动,通过加强公共数据资源供给盘活数据要素市场;而政务数据共享则主要指向政府部门内部共享,通过打破信息壁垒提升行政治理活动的效能。

二、共享管理机制

《条例》所确定的政务数据共享机制以目录管理为基础,由供需对接和审核、校核纠错、争议解决处理、安全管理等部分组成。

根据《条例》,政务数据将实行统一目录管理,明确数据目录名称、数据项、提供单位、数据格式、数据更新频率以及共享属性、共享方式、使用条件、数据分类分级等信息,且要求动态更新。目录管理的重要意义之一是将政务数据按共享属性分为三类:无条件共享、有条件共享、不予共享。其中有条件共享应列明共享范围、使用用途等共享使用条件,不予共享应列明理由。

相对应地,在供需对接和审核方面,《条例》要求政务数据提供部门:

 ● 无条件共享:自收到申请之日起1个工作日答复;

 ● 有条件共享:自收到申请之日起10个工作日内答复是否同意,经批准可延长不超过10个工作日。答复同意后20个工作日内共享。

三、政务数据全过程质量管理体系

《条例》要求政府部门:

  ●  数据收集:应按照法定的职权、程序和标准规范收集政务数据。通过共享获取政务数据能够满足履行职责需要的,不得向公民、法人和其他组织重复收集。收集工作涉及多个政府部门的,共享主管部门应当明确牵头收集的政府部门并将其作为数源部门。

  ●  共享数据使用:需求部门通过共享机制获得政务数据后,不得擅自扩大使用范围以及用于或者变相用于其他目的,不得擅自将获得的政务数据提供给第三方,除非经提供部门同意;应当采取措施防范政务数据汇聚、关联引发的泄密风险。

  ●  共享数据处置:需求部门共享目的已实现、无法实现或者为实现共享目的不再必要的,应按照提供部门的要求妥善处置。

  ●  数据处理记录:需求部门应对共享政务数据的使用场景、使用过程、应用成效、存储情况、销毁情况等进行记录,有关记录保存期限不少于3年。共享主管部门和提供部门可以查阅有关记录。

四、统一平台管理

《条例》规定整合构建国家政务大数据平台,政府部门已建设的政务数据平台应当纳入全国一体化政务大数据体系。除法律、行政法规另有规定外,原则上不得通过新建政务数据共享交换系统开展跨层级、跨地域、跨系统、跨部门、跨业务的政务数据共享工作。政府部门应当通过全国一体化政务大数据体系开展政务数据共享相关工作。

五、政务数据委托处理、系统建设等要求

《条例》要求建立健全政务数据共享安全制度,并衔接《网络数据安全管理条例》的规定,明确在政府信息化项目中委托他人参与政务数据处理活动(包括存储、加工等)的安全要求,包括履行批准程序,明确工作规范和标准,并采取必要技术措施,监督受托方履行相应的政务数据安全保护义务。

《条例》要求受托方应当依照法律、行政法规的规定和合同约定履行政务数据安全保护义务,不得擅自访问、获取、留存、使用、泄露或者向他人提供政务数据。此外,政务数据平台建设管理单位应当依照法律、行政法规的规定和国家标准的强制性要求,保障平台安全、稳定运行,维护政务数据安全。

《条例》重点条款解读与条文适用分析

《条例》的颁布与施行,是《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》明确提出“提高数字政府建设水平”,以及《国务院关于加强数字政府建设的指导意见(国发〔2022〕14号)》《中共中央办公厅、国务院办公厅关于加快公共数据资源开发利用的意见(2024年9月21日)》发布后,法治政府、数字政府建设进程中的重大举措,为政务数据共享提供了法规依据。

条例共8章44条,定义了政务数据与政务数据共享概念,界定了政务数据共享的主体范围,确立了政务数据共享的基本原则,规定了管理体制与方式、共享使用方式与程序、平台支撑建设、安全保障措施、法律责任等。

一、共享主体与数据范围

从主体范围角度看,根据条例第二条,政务数据共享限于两类主体,一是政府部门、二是法律法规授权的具有管理公共事务职能的组织(以下统称政府部门),即政务数据在政府部门之间、法律法规授权的具有管理公共事务职能的组织之间、政府部门与法律法规授权的具有管理公共事务职能的组织之间进行共享。

从数据范围角度看,根据条例第三条,前述主体之间共享的数据指政府部门在依法履行职责过程中收集和产生的各类数据,但不包括属于国家秘密、工作秘密的数据。

二、条件分类与申请审核

履职所需,依法申请。根据条例第三条、第二十条,政府部门之间共享数据应基于政府部门因依法履行职责需要,经本部门政务数据共享工作机构负责人同意后,依法提出政务数据共享申请,申请需明确使用依据、使用场景、使用范围、共享方式、使用时限等,并保证政务数据共享申请的真实性、合法性和必要性。

分类共享,审核答复。根据第十四条、第二十条、第二十一条、第二十二条,政务数据按照共享属性分为无条件共享、有条件共享和不予共享三类。政务数据提供部门应当根据分类并按照规定的期限对政务数据需求部门提出的政务数据共享申请进行审核,经本部门政务数据共享工作机构负责人同意后作出答复。其中,可以提供给所有政府部门共享使用的无条件共享类政务数据,提供部门应当自收到需求部门申请政务数据共享申请之日起1个工作日内作出答复。可以按照一定条件提供给有关政府部门共享使用的有条件共享类政务数据,提供部门应当自收到需求部门政务数据共享申请之日起10个工作日内作出是否同意共享的答复。因特殊原因需要延长答复期限的,提供部门应当报经同级共享主管部门同意,并告知需求部门,延长的期限最长不得超过10个工作日。需求部门提交的申请材料不全的,提供部门应当一次性告知其需要补充的材料,不得直接予以拒绝。提供部门不同意共享的,应当说明理由。提供部门应当自作出同意共享的答复之日起20个工作日内共享政务数据。

三、体制目录与平台支撑

共享主管部门统筹。根据条例第八条、第九条、第十一条、第十二条、第十六条,政府部门应当明确本部门政务数据共享工作机构,国务院政务数据共享主管部门负责统筹推进全国政务数据共享工作,县级以上地方人民政府政务数据共享主管部门负责统筹推进本行政区域内政务数据共享工作,国务院各部门负责本部门政务数据共享工作,协调指导本行业、本领域政务数据共享工作。政务数据共享主管部门应当会同其他政府部门研究政务数据共享中的重大事项和重要工作,总结、推广政务数据共享的典型案例和经验做法,协调推进跨层级、跨地域、跨系统、跨部门、跨业务政务数据安全有序高效共享利用。政务数据共享工作机构负责本部门政务数据共享具体工作,按照条例规定履行职责。

实行统一目录管理。根据条例第十二条、第十六条、第十七条,政务数据实行统一目录管理。国务院政务数据共享主管部门制定政务数据目录编制标准规范,组织编制国家政务数据目录;县级以上地方人民政府政务数据共享主管部门组织编制本行政区域内的政务数据目录;政府部门应当依照本部门职责,按照政务数据目录编制标准规范,编制本部门政务数据目录。政府部门应当将编制的政务数据目录报送同级政务数据共享主管部门审核,政务数据共享主管部门审核通过后统一向政府部门通告;政府部门应当对照统一发布的政务数据目录,丰富政务数据资源,保障政务数据质量,依法共享政务数据。政务数据目录实行动态更新。

建设平台构建体系。根据条例第三十条、第三十一条、第三十二条、第三十三条,国家统筹数据基础设施建设,提高政务数据安全防护能力,整合构建标准统一、布局合理、管理协同、安全可靠的全国一体化政务大数据体系。其中,国务院政务数据共享主管部门统筹全国一体化政务大数据体系的建设和管理工作,负责整合构建国家政务大数据平台,实现与国务院有关部门政务数据平台、各地区政务数据平台互联互通,为政务数据共享提供平台支撑;县级以上地方人民政府政务数据共享主管部门负责本行政区域政务数据平台建设和管理工作,按需向乡镇(街道)、村(社区)共享政务数据;国务院有关部门负责建设、优化本部门政务数据平台,可以支撑本行业、本领域的政务数据共享工作。未建设政务数据平台的,可以通过国家政务大数据平台开展本部门政务数据共享工作。政府部门已建设的政务数据平台应当纳入全国一体化政务大数据体系。除法律、行政法规另有规定外,原则上不得通过新建政务数据共享交换系统开展跨层级、跨地域、跨系统、跨部门、跨业务的政务数据共享工作。政府部门应当通过全国一体化政务大数据体系开展政务数据共享相关工作。

四、保证质量与合规共享

保障质量,校核纠错。根据条例第十八条、第十九条、第二十六条,政府部门应当建立健全政务数据全过程质量管理体系,提高政务数据质量管理能力,加强政务数据收集、存储、加工、传输、共享、使用、销毁等标准化管理。政务数据收集工作涉及多个政府部门的,政务数据共享主管部门应当明确牵头收集的政府部门并将其作为数源部门;数源部门应当加强与其他有关政府部门的协同配合、信息沟通,及时完善更新政务数据,保障政务数据的完整性、准确性和可用性,并统一提供政务数据共享服务。国务院政务数据共享主管部门应当统筹建立政务数据校核纠错制度;政府部门应当依照本部门职责,建立政务数据校核纠错规则,提供纠错渠道;政务数据需求部门应当记录政务数据使用状态,发现政务数据不准确或者不完整的,应当及时向政务数据提供部门提出政务数据校核申请;政务数据提供部门应当自收到政务数据校核申请之日起10个工作日内予以核实、更正并反馈校核处理结果。

依法收集,依规使用。根据条例第十九条、第二十条、第二十五条、第二十六条、第二十七条,政府部门应当按照法定的职权、程序和标准规范收集政务数据;通过共享获取政务数据能够满足履行职责需要的,政府部门不得向公民、法人和其他组织重复收集。政府部门通过共享获得政务数据的,不得擅自扩大使用范围以及用于或者变相用于其他目的,不得擅自将获得的政务数据提供给第三方。确需扩大使用范围、用于其他目的或者提供给第三方的,应当经提供部门同意。需求部门存在擅自超出使用范围、共享目的使用政务数据,或者擅自将政务数据提供给第三方的,共享主管部门或者提供部门应当暂停其政务数据共享权限,并督促限期整改,对拒不整改或者整改不到位的,可以终止共享。提供部门无正当理由,不得终止或者变更已提供的政务数据共享服务。确需终止或者变更服务的,提供部门应当与需求部门协商,并报同级政务数据共享主管部门备案。需求部门通过共享获取的政务数据,共享目的已实现、无法实现或者为实现共享目的不再必要的,应当按照提供部门的要求妥善处置。

五、安全保密与法律责任

安全保密,分类分级。根据条例第二十五条、第三十四条、第三十五条、第三十六条,政务数据共享主管部门以及其他政府部门应当采取措施防范政务数据汇聚、关联引发的泄密风险。政务数据共享主管部门应当会同同级网信、公安、国家安全、保密行政管理、密码管理等部门,根据数据分类分级保护制度,推进政务数据共享安全管理制度建设。政府部门应当建立健全政务数据共享安全管理制度,落实政务数据共享安全管理主体责任和政务数据分类分级管理要求,保障政务数据共享安全。政府部门应当采取技术措施和其他必要措施,防止政务数据被篡改、破坏、泄露或者非法获取、非法利用。政府部门委托他人参与建设、运行、维护政府信息化项目,存储、加工政务数据,应当按照国家有关规定履行批准程序,明确工作规范和标准,并采取必要技术措施,监督受托方履行相应的政务数据安全保护义务。受托方应当依照法律、行政法规的规定和合同约定履行政务数据安全保护义务,不得擅自访问、获取、留存、使用、泄露或者向他人提供政务数据。政府部门通过共享获得政务数据的,不得擅自将获得的政务数据提供给第三方,确需提供给第三方的,应当经政务数据提供部门同意。

违规情形,责任形式。根据条例第三十九条、第四十条、第四十一条,条例按照政务数据提供、需求、共享主管三类部门的违规责任适用情形分别做了列举式规定。其中提供部门违规行为追究责任的适用情形主要包括:未按照要求编制或者更新政务数据目录;通过擅自增设条件等方式阻碍、影响政务数据共享;未配合数源部门及时完善更新政务数据;未按时答复政务数据共享申请或者未按时共享政务数据,且无正当理由;未按照规定将业务信息系统收集和产生的下级政府行政区域内的政务数据回流至下级政府部门;收到政务数据校核申请后,未按时核实、更正;擅自终止或者变更已提供的政务数据共享服务;未按照规定将已建设的政务数据平台纳入全国一体化政务大数据体系。需求部门违规行为追究责任的适用情形主要包括:重复收集可以通过共享获取的政务数据;擅自超出使用范围、共享目的使用通过共享获取的政务数据;擅自将通过共享获取的政务数据提供给第三方;共享目的已实现、无法实现或者为实现共享目的不再必要,未按照要求妥善处置通过共享获取的政务数据;未按照规定保存通过共享获取的政务数据有关记录;未对通过共享获取的政务数据履行安全管理责任。共享主管部门违规行为追究责任适用情形主要包括:未按照规定明确数源部门;未按照规定对政务数据共享争议进行协调处理。违反条例责任主体包括政府部门、负有责任的领导人员、直接责任人员;责任形式责令改正、处分,构成犯罪的,依法追究刑事责任。相关政府部门一般违规情形适用责令改正,政府部门违反条例且拒不改正或者情节严重的才对负有责任的领导人员和直接责任人员给予处分。对于政府部门及其工作人员泄露、出售或者非法向他人提供政务数据共享工作过程中知悉的个人隐私、个人信息、商业秘密、保密商务信息的,或者在政务数据共享工作中玩忽职守、滥用职权、徇私舞弊的,依法给予处分;构成犯罪的,依法追究刑事责任。

六、做好衔接与厘清关系

条例规范的是政府部门之间的政务数据共享行为,做好政务数据共享工作,同时需要厘清并衔接好与其它法律法规的关系。

信息公开与政务数据共享。根据《中华人民共和国政府信息公开条例(2019修订)》(以下简称“信息公开条例”)第二条、《中华人民共和国数据安全法》(以下简称“数据安全法”)第三条《网络数据安全管理条例》第六十二条,政府信息是指行政机关在履行行政管理职能过程中制作或者获取的,以一定形式记录、保存的信息;数据是指任何以电子或者其他方式对信息的记录,网络数据是指通过网络处理和产生的各种电子数据。从逻辑上看,政务数据作为数据或网络数据的一种,属于政府信息范畴。条例虽然未规定政务数据是否可以公开以及公开的类型,但根据数据安全法第四十一条、第四十二条以及信息公开条例第五条、第六条并结合第十三条规定,除依法不予公开的除外,国家机关应当遵循公正、公平、便民的原则,按照规定及时、准确地公开政务数据。作为政府信息形式之一的政务数据应遵循以公开为常态、不公开为例外的原则,除第十四条、第十五条、第十六条规定的政府信息外,政务数据应当公开。至于有关政务数据属于主动公开还是依申请公开的范围,则应适用信息公开条例第三章、第四章的规定。政务数据依法公开不仅符合前述法律法规规定,也符合《中共中央办公厅、国务院办公厅关于加快公共数据资源开发利用的意见(2024年9月21日)》文件精神。

国家秘密与政务数据共享。根据《中华人民共和国保守国家秘密法》(以下简称“国家保密法”)第三条、第十三条、第二十一条,国家秘密是关系国家安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项。下列涉及国家安全和利益的事项,泄露后可能损害国家在政治、经济、国防、外交等领域的安全和利益的,应当确定为国家秘密:国家事务重大决策中的秘密事项,国防建设和武装力量活动中的秘密事项,外交和外事活动中的秘密事项以及对外承担保密义务的秘密事项;国民经济和社会发展中的秘密事项,科学技术中的秘密事项,维护国家安全活动和追查刑事犯罪中的秘密事项,经国家保密行政管理部门确定的其他秘密事项;政党的秘密事项中符合前款规定的,属于国家秘密。国家秘密的知悉范围,应当根据工作需要限定在最小范围。国家秘密的知悉范围能够限定到具体人员的,限定到具体人员;不能限定到具体人员的,限定到机关、单位,由该机关、单位限定到具体人员。国家秘密的知悉范围以外的人员,因工作需要知悉国家秘密的,应当经过机关、单位主要负责人或者其指定的人员批准。原定密机关、单位对扩大国家秘密的知悉范围有明确规定的,应当遵守其规定。政务数据共享应当遵守国家保密法的规定,严格遵守保密制度。

数据安全与政务数据共享。政务数据共享作为数据开发利用的一种形式,应当遵守数据安全法的规定。政府部门共享政务数据应当采取必要措施,确保数据处于有效保护和合法利用的状态、具备保障持续安全状态的能力,健全数据安全治理体系,建立并实行数据分类分级保护制度,建立并实行数据安全风险评估、报告、信息共享、监测预警、安全应急处置机制,提高数据安全保障能力。政府部门按照谁管理谁负责、谁使用谁负责的原则,明确政务数据共享各环节安全责任主体,督促落实政务数据共享安全管理责任。

民事权利与政务数据共享。政务数据中包括了大量民事主体信息,政府部门在对民事主体信息、数据采集以及传输、交换、共享中,应当遵守《中华人民共和国民法典》《中华人民共和国个人信息保护法》的规定,收集信息应当限于实现处理目的的最小范围,不得过度收集信息,并确保个人隐私、个人信息、商业秘密、保密商务信息等的安全。从民事权利救济角度看,政府部门违法违规采集、使用、共享民事主体信息,相关法律法规主要是赋予民事主体举报、投诉权利,但并未列入《中华人民共和国国家赔偿法》第四条、第五条规定的国家赔偿范围。

数据共享与行政人员责任。如前所述,政务数据共享条例对于政府部门在政务数据共享中发生的违法违规行为的处理,包括责令改正和处分、构成犯罪的承担刑事责任。根据《中华人民共和国公务员法》第五十七条、第六十二条,行政机关对公务员监督发现问题的,应当区分不同情况,予以谈话提醒、批评教育、责令检查、诫勉、组织调整、处分;处分分为警告、记过、记大过、降级、撤职、开除。公务员范围依据该法第二条规定,指依法履行公职、纳入国家行政编制、由国家财政负担工资福利的工作人员。

政务数据共享路径与数据安全保障解析

一、如何共享政务数据?

《条例》确定了目录管理-共享使用-平台支撑的机制,以实现政务数据共享。

1. 确定政务数据范围——目录管理

《条例》所规定的政务数据的概念较为宽泛,政府部门收集和产生大量的数据,需要经由一定的方式,来确定是否满足“依法履行职责”的要件。政府部门依据职责规定直接采集相关数据,如人口普查数据、企业注册数据等,属于政务数据的范围。政府部门非履职过程中产生的数据则不属于政务数据,例如内部人事管理数据等。但是,实践中存在很多模糊地带,不利于有关政府部门确定相关数据是否属于政务数据。对此,《条例》采取目录管理的方式来确定政务数据的范围。

(1)目录结构

国务院政务数据共享主管部门制定政务数据目录编制标准规范,并组织编制国家政务数据目录。县级以上各级人民政府需要根据标准规范编制本行政区域内的政务数据目录,从而形成“国家级+各行政区域级”政务数据目录。

(2)目录编制

政务数据目录需要包括名称、数据项、提供单位、数据格式、数据更新频率以及共享属性、共享方式、使用条件、数据分类分级等信息。其中,共享属性分为三种,无条件共享、有条件共享和不予共享。《条例》希望尽可能的促进政务数据共享,因此要求政府部门不得通过擅自增设条件等方式阻碍、影响政务数据共享,同时要求政府部门在政务数据目录中对属于不予共享类的政务数据列明理由,明确相应的法律、行政法规以及国务院决定依据。

(3)目录审核与更新

政府部门编制政务数据目录后需要报送同级政务数据共享主管部门审核,审核通过后将统一向政府部门通告。可见,政务数据共享目录并不对社会公开。这也符合政府数据共享的性质,它是在政府部门内部进行数据流转的一种活动。政务数据目录实行动态更新,当法律、行政法规、国务院决定调整或者政府部门职责变化导致政务数据目录需要更新时,政府部门应当在调整、变化发生之日起10个工作日内完成更新(特殊情况下可以延长5个工作日)。这在一定程度也是对数据质量进行管控的措施,防止政务数据目录中的数据不够及时、不够规范。

2. 明确共享使用要求

(1)管理体制

《条例》对政务数据共享的目标是“五跨”——跨层级、跨地域、跨系统、跨部门、跨业务。数据的价值在于流通和使用,只有打破地域、打破体系,深度释放和流转数据,才能取得最大的数据价值。对于政务数据而言,必须尽可能地让每一个政府部门最大化运用数据价值,才能更好地实现数字政府的目标。为了确保“五跨”目标,构建政务数据共享的体制基础,《条例》重点确定了“条”“块”管理体制。从纵向来看,也就是“条”的部分,各级人民政府应当加强政务数据共享工作的组织领导,国务院政务数据共享主管部门和县级以上地方人民政府政务数据共享主管部门统筹推进各自职责范围内的政务数据共享工作;从领域来看,也就是“块”的部分,国务院各部门负责本部门政务数据共享工作,协调指导本行业、本领域政务数据共享工作。

《条例》在确定管理体制的基础上,要求政府部门明确本部门政务数据共享工作机构,也就是说县级以上人民政府或者国务院各部门,需要确定一个机构来负责本部门政务数据共享工作机构。该工作机构负责本部门政务数据共享具体工作,《条例》对其规定了六方面的职责。值得注意的是,其中一项职责是:建立健全本部门政务数据共享中数据安全和个人信息保护制度,组织开展本部门政务数据共享安全性评估。这意味着政务数据共享过程中,数据安全和个人信息保护是非常重要的内容。而该项职责中的“安全性评估”,可以理解为保密风险评估和个人信息保护影响评估。

(2)共享机制

《条例》专门使用一章规定了如何共享使用政务数据,主要包括几个步骤:

  ①  质量控制。《条例》首先要求政府部门建立健全政务数据全过程质量管理体系,以保证政务数据的质量,避免共享过程中因为数据质量不够而导致的偏差等问题,影响政务数据共享的效果。

  ②  确定数源部门。提供政务数据的部门是数源部门,但如果政务数据收集工作涉及多个政府部门,政务数据共享主管部门就需要明确一个部门作为牵头收集部门,也就是数源部门。

  ③  共享申请。政务数据需求部门可以根据职责需要,按照政务数据目录,提出政务数据共享申请。提出申请的,应当经本部门政务数据共享工作机构负责人同意,并明确使用依据、使用场景、使用范围、共享方式、使用时限等。

  ④  答复申请。政务数据提供部门收到申请后,应该根据政务数据的共享属性作出答复:属于无条件共享类的,应当1个工作日内作出答复;属于有条件共享类的,应当10个工作日内作出是否同意共享的答复(特殊情况下可以延长10个工作日)。可以理解为,如果是无条件共享类的政务数据,必须同意共享,而如果是有条件共享的政务数据,则可以根据实际情况决定是否共享。不过,从《条例》的措辞来看,也并不鼓励政务数据提供部门拒绝有条件共享类政务数据的共享申请。

  ⑤  共享方式。政务数据提供部门可以通过服务接口、批量交换、文件下载等方式共享政务数据。

  ⑥  数据回流。《条例》专门规定了上级政府部门向下级政府部门回流业务信息系统收集和产生的下级政府行政区域内的政务数据,这就解决了实践中下级政府部门向上级政府部门报送数据,但限于技术等原因不能使用本行政区域报送数据的问题。

(3)共享平台

《条例》明确了服务接口、批量交换、文件下载等方式共享政务数据,但同时也强调采取信息化的方式推进政务数据共享工作,明确建立全国一体化政务大数据体系,构建国家政务大数据平台,并与国务院有关部门政务数据平台、各地区政务数据平台互联互通,同时要求政府部门已建设的政务数据平台纳入全国一体化政务大数据体系。政府部门也应当通过全国一体化政务大数据体系开展政务数据共享相关工作。通过构建一体化的大数据平台,能够进一步打破政务数据孤岛,促进政务数据的有效利用。例如,《条例》要求,通过共享获取政务数据能够满足履行职责需要的,政府部门不得向公民、法人和其他组织重复收集。国家政务大数据平台的功能可以很好地协助相关政府部门满足这一要求,高效、便捷地通过平台获取数据,而不必反复向公民、法人和其他组织提出数据要求。

二、数据安全保障

自2016年以来,我国陆续出台了《网络安全法》《数据安全法》《个人信息保护法》及相应配套法规,构建完善了网络安全、数据安全、个人信息保护法律体系。今年1月1日起,《网络数据安全管理条例》正式施行,这是作为《网络安全法》《数据安全法》《个人信息保护法》重要配套的行政法规,具体规定了数据安全、个人信息保护的相关要求。值得注意的是,《条例》的立法依据正是《网络安全法》《数据安全法》《个人信息保护法》这三部法律,可以体现出数据安全在政务数据共享中的重要性。

1. 总体要求

《条例》要求,开展政务数据共享,应当遵守法律法规,履行政务数据安全保护义务,不得危害国家安全、公共利益,不得损害公民、法人和其他组织的合法权益。同时,《条例》还要求政府部门应当建立健全政务数据共享安全管理制度,落实政务数据共享安全管理主体责任和政务数据分类分级管理要求,保障政务数据共享安全。《条例》明确,政务数据需求部门在使用依法共享的政务数据过程中发生政务数据篡改、破坏、泄露或者非法利用等情形的,应当承担安全管理责任。根据法律规定,安全管理责任可能是行政处分的责任,也可能涉及《网络安全法》《数据安全法》《个人信息保护法》等法律责任。特别是,根据《个人信息保护法》,违反个人信息保护规定的,可能对主要责任人员和直接责任人员进行罚款等处罚。

2. 数据安全要求

数据安全的核心内容是保证数据的保密性、完整性和有效性。《条例》对此作了三个方面的规定:(1)技术措施。根据《数据安全法》等规定,要求政府部门采取技术措施和其他必要措施,防止政务数据被篡改、破坏、泄露或者非法获取、非法利用。(2)应急响应。数据安全的主要隐患之一是数据安全事件,《数据安全法》《个人信息保护法》等对此都有明确规定,《条例》按照上位法的规定,要求政府部门加强政务数据安全风险监测,妥善处置政务数据安全事件。(3)委托处理。很多政府部门的信息化项目采取外包的方式委托第三方建设,因此第三方可能掌握相关政务数据,从而产生数据安全隐患。《数据安全法》首次对国家机关委托他人建设维护电子政务系统的数据安全问题作出了规定,要求履行严格的批准程序,并监督受托方履行相应的数据安全保护义务,还要求受托方依法依约履行数据安全保护义务。《条例》重申了这一要求,同时还需要注意的是,《网络数据安全管理条例》中明确,网络数据处理者向其他网络数据处理者提供、委托处理个人信息和重要数据的,应当通过合同等与网络数据接收方约定处理目的、方式、范围以及安全保护义务等,并对网络数据接收方履行义务的情况进行监督。该规定同样应该适用于政府部门委托他人建设信息化项目的场景,因此也需要通过数据保护协议等方式约定双方义务及监督手段。

3. 个人信息保护要求

个人信息保护涉及多场景、多维度的保护义务,《个人信息保护法》详细规定了个人信息处理者的保护义务,《网络数据安全管理条例》对相关义务作了进一步细化的规定。《条例》对个人信息保护直接作出了转致规定,要求政府部门及其工作人员在开展涉及个人信息的政务数据共享活动时遵守《个人信息保护法》《网络数据安全管理条例》等法律、行政法规的规定。同时,《条例》还专门要求政府部门受理和及时处理公民、法人和其他组织对政务数据共享过程中侵犯合法权益行为的举报、投诉。这意味着相关政府部门有必要建立个人信息保护投诉、举报机制,或者在现有的投诉、举报机制中增加有关个人信息保护的内容。

数据共享中政府部门的法定义务梳理

《条例》的出台,旨在破解长期以来困扰政务数据共享的体制机制障碍,打破“数据孤岛”,提升政府数字化治理能力和政务服务效能。《条例》明确了政务数据共享遵循统筹协调、标准统一、依法共享、合理使用的原则,并从组织制度建设、目录管理、数据收集与共享、安全保障等多个维度,为各级政府部门划定了清晰的义务和责任边界。

我们以表格的形式梳理了政府部门在数据共享中的主要义务,并对照《网络安全法》《个人信息保护法》《数据安全法》等上位法,列出了额外的数据合规要求,供各政府部门参考。




《条例》的颁布,为构建高效、安全、规范的政务数据共享体系提供了坚实的法律支撑。各级政府部门应以此为契机,切实履行数据共享的主体责任,推动政务数据资源的高效配置与高水平应用,从而提升行政效能,优化政务服务,让数据更好地服务于经济社会发展和民生改善。未来,随着《条例》的深入实施,以及相关配套制度的不断完善,政务数据作为国家基础性战略资源的价值将得到进一步释放,为数字中国建设和国家治理现代化注入强劲动力。

政务数据处理中的合规风险与应对路径

《条例》聚焦政务数据共享问题,既是对政务数据共享活动的规范,也是将实践中政务数据共享的经验做法确定为行政法规。总体而言,《条例》所针对的是政府部门之间对政务数据共享的活动,政府部门是数据合规的主体。规范的共享活动有利于更好地促进政务数据的利用,实现数字中国建设宏伟目标。与此同时,数据安全与数据利用相辅相成,数据共享能够释放数据价值,但是数据共享同样会加大数据安全风险。对此,建议相关部门按照《条例》相关规定,做好相关数据合规工作。

一、遵守《条例》规定落实政务数据共享要求

《条例》以行政法规的形式对政务数据共享活动进行了规范,全面、具体地明确了政务数据共享的范围、机制和保障措施等内容。事实上,《条例》出台以前,政务数据已经在共享了,相关政府部门已经建立了一些政务数据共享的机制。《条例》出台后,对于已经建立政务数据共享机制的政务部门,建议按照《条例》的要求,梳理现有的政务数据共享机制是否符合规定;对于尚未建立政务数据共享机制的政府部门,则需要按照要求启动共享工作,着手编制本部门的政务数据共享目录。

二、开展保密风险评估

《条例》明确国家秘密、工作秘密不属于政务数据范围。国家秘密和工作秘密具有一定的范围,但是实践中需要遵循一定的程序和要求予以确定。政务数据具有规模大、覆盖广、类型多的特点,政府履职过程中势必产生相关的国家秘密或工作秘密,而国家秘密和工作秘密关系国家安全和利益,只限一定范围的人员知悉。一旦共享过程中涉及国家秘密和工作秘密,就会导致超范围的人员知悉,从而构成泄密,需要承担相应的法律责任和行政责任。《数据安全法》中明确,开展涉及国家秘密的数据处理活动,适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定。

三、开展个人信息保护影响评估

政务数据涉及大量个人信息,与个人生活、工作密切相关,且包括敏感个人信息。《个人信息保护法》认为向他人提供个人信息,属于高风险场景,应当事先进行个人信息保护影响评估。《条例》根据《个人信息保护法》的规定,要求政府部门编制政务数据目录时应当开展个人信息保护影响评估。政务数据共享以提供个人信息为主要场景,个人信息保护影响评估工作尤为重要,有利于全面、及时发现个人信息保护风险并采取相应的控制措施。个人信息保护具有高专业性的特点,个人信息保护影响评估也涉及很多专业性内容,同时按照《个人信息保护法》的要求,个人信息保护影响评估报告和处理情况记录应当至少保存三年。因此,建议政府部门高度重视个人信息保护影响评估工作,在保密风险评估的基础上,可以考虑引入第三方专业团队协助开展影响评估,以保证评估工作的有效性,切实防范政务数据共享过程中的个人信息保护风险。

四、制定数据安全事件应急预案并定期演练

数据安全事件通常涉及数据泄露、滥用等,长期以来都是数据监管中的重点问题,相关法律规定中均涉及数据安全事件应对的规定。根据相关法律规定和业务实践,合规工作包括三个方面:(1)制定预案。制定数据安全应急预案是应急处置的前提条件,需要相关主体明确数据安全事件发生后的报告机制(内部+外部)、处理流程和应急措施。(2)应急演练。应急预案并不能代表实际效果,在制定应急预案的基础上还需要进一步开展相应的演练演习,从而能够评估和发现预案中的不足及薄弱环节,调整和完善应急预案,以有效应对真正发生的数据安全事件。(3)报告机制。几乎所有的网络安全、数据安全法律规定中都包括数据安全事件报告制度,这是一项强制性的要求,《条例》亦要求发生政务数据安全事件时按照规定向有关主管部门报告。对此,建议相关政府部门在应急预案中明确报告机制、内部流程、报告内容等相关要素,以在发生政务数据安全事件时能够及时、有效履行报告义务。

相关法律规定

参考资料



Copyright © LexisNexis, a division of Reed Elsevier Inc. All rights reserved.