一、引 言
实践中,政府为履行法定公共管理职责与义务从社会个人、单位获取了庞大的数据,尤其是在近年来“互联网+政务”改革不断推进后,政府拥有的数据更是呈几何级的增长,且门类全面,其不仅对完善政府治理与促进公共监督具有重要作用,而且在助力社会经济发展上的价值也日益凸显。2020年4月发布的《中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见》明确将数据作为与土地、劳动力、资本、技术等并列的生产要素,要求推进政府数据开放共享、提升社会数据资源价值。
但是,如何充分激活政府数据,更好的发挥其要素作用,除进一步加强政府内部数据共享推动政务便利和政府数据对外分类开放外,对政府数据进行市场化开发运营,以释放其经济价值,是政府不能直接做也难以做到的事。因此,由政府授权市场主体运营政府数据的模式应运而生。对此,2021年先后施行的《数据安全法》和《个人信息保护法》均未明确涉及,事实上目前国家层面也并无统一的立法可循,但自2020年以来,北京、成都、上海、浙江、重庆等已陆续就政府数据授权运营出台地方性规定提供依据,[注1]而且北京、成都两地已有成形的探索性实践,政府数据经运营企业开发运营,已广泛应用于信贷审核、企业审计、招标审核、汽车租赁业务审核、跨境电商进出口等多种场景和领域,取得较好的效果与影响。在此背景下,2021年12月发布的《国务院办公厅关于印发要素市场化配置综合改革试点总体方案的通知》提出,要探索开展政府数据授权运营。
然而,政府数据授权运营虽已有探索改革实践,但其涉及的授权运营的依据、运营数据的范围、运营模式、数据运营安全等多方面问题,仍因缺乏国家层面统一立法、地方已有立法暂较粗疏且存在较大争议,导致大部分地方不知如何做,也不敢做。笔者认为,要实施并做好政府数据授权运营,首要需解决的就是合规问题,这也是较为前沿、亟待研究的问题。下面,笔者结合部分地方已有实践和立法,就政府数据授权运营的主要法律问题进行探讨式分析,以资参考。
二、政府数据授权运营的法律要点
参考《上海市数据条例》《浙江省公共数据条例》的规定,政府数据授权运营是指被授权运营主体在政府授权范围内,依托统一规划的数据运营平台实施政府数据开发利用,并对外提供数据产品和服务。下面,笔者就政府数据授权运营的法律要点分析如下:
(一) 授权运营的数据范围与限制
从已有立法和地方的探索实践看,《数据安全法》在规范“政务数据安全与开放”提出了“政务数据”的概念,但各地方在进行政府数据立法时却更多提出“公共数据”的概念如《上海市数据条例》。比较而言,公共数据是政务数据的上位概念,公共数据的范围除国家机关为履行法定职责收集、产生的数据外,还包括经依法授权具有管理公共事务职能的组织,以及供水、供电、供气、公共交通等提供公共服务的组织,在履行公共管理和服务职责过程中收集和产生的数据。因此,本文所探讨的政府数据授权运营也可适用于公共数据。就政府可授权运营的数据范围而言,笔者认为:
首先,依法授权具有管理公共事务职能的组织如证监局、公路管理局等作为政府直属事业单位,其在履责过程中收集和产生的数据可当然作为政务数据,适用与政务数据的规范逻辑,原则上可纳入授权运营范围。《个人信息保护法》第三十七条也规定,法律、法规授权的具有管理公共事务职能的组织为履行法定职责处理个人信息,适用本法关于国家机关处理个人信息的规定。
其次,供水、供电、供气、公共交通等提供公共服务的组织即公共服务机构,目前基本是企业,在政企已分开的背景下,其在提供服务过程中收集和产生的数据,虽具有一定公共属性,但并不在公共管理的范围,不应直接参照政务数据的逻辑进行规范。如确要将公共服务企业持有的数据纳入授权运营范围,应通过立法的方式以行政管理需要为由,要求公共服务企业将相关数据向政府提供,进而使其成为政府数据,而不是直接参照政务数据将其用于授权运营。比如,《浙江省公共数据条例》第十八条就规定,公共服务机构应当根据公共数据目录,按照应用需求将公共数据统一归集到本级公共数据平台数据库。
最后,参考政府数据开放的立法与实践,各地一般将政府数据的开放属性分为无条件开放、有条件开放和不予开放三类,参考此分类:
其一,就无条件开放类的政府数据而言,虽然任何社会主体均有权访问并获取,但就数据运营需要而言,实践中政府平台对此类数据获取方式会采取技术限制,其获取效率不高,故该部分政府数据仍有纳入授权运营的数据范围之必要。
其二,就有条件开放类的政府数据而言,主要是依申请开放。由于该类数据具有对申请人数据安全和处理能力要求较高、时效性较强或者需要持续获取等特点,原则上也可纳入授权运营的数据范围,是开发的重点。
其三,就不予开放类的数据而言,主要是由于涉及国家安全、商业秘密和个人隐私,原则上不能开放,自然也不能进行授权运营,但如相应数据如经脱密、脱敏或匿名化处理,或者相关权利人同意开放的,笔者认为也应可以授权运营。
当然,前述分类是基于政府数据开放分类的分析,由于政府数据本身的敏感性、数据与其他数据结合后会产生新的数据等特性,未来国家进行政府数据授权运营立法需考虑要求制定授权运营数据分类的目录,指导各地操作,在保障政府数据安全的同时,也能提高政府向运营主体提供数据的效率。
(二) 授权运营的法律关系
政府授权市场主体运营政府数据,构成何种法律关系?这将决定如何规范政府数据授权运营行为,十分重要。对此,实务中有一定争议,鉴于现行规定并未明确界定其法律关系,笔者从应然角度分析如下:
首先,政府数据授权运营是否构成数据委托处理?参考《个人信息保护法》的规定,个人信息处理者可以委托他人处理个人信息。不过,在政府数据授权运营模式下,运营方除有权对授权运营的政府数据加工处理外,还可以自己名义对外提供数据产品和服务,其在授权范围内具有较强自主性,故政府与运营方的法律关系与数据委托处理有所不同。
其次,政府数据授权运营是否构成行政许可?按《行政许可法》相关规定,行政许可是行政机关根据相对人的申请,经依法审查,准予其从事特定活动的行为,其中“有限自然资源开发利用、公共资源配置以及直接关系公共利益的特定行业的市场准入等需要赋予特定权利的事项”可以设定行政许可。据此,政府数据可认为是一种特殊公共资源,且数据安全风险防控要求较高,应由符合特定条件的主体从事运营,故政府数据授权运营具有行政许可的一些特点。不过,行政许可虽能解决准入资格问题,但并不能解释政府还要将自身持有的数据交予运营主体运营的情况,因为行政许可中不存在政府提供资源给被许可人使用的情况。从目前实践和部分地方立法来看,政府数据授权运营往往是政府主导并直接授予特定主体,往往还需要签署授权运营协议,[注2]甚至运营主体可能需向政府交纳授权费用,这与行政许可的单方性、免费性等特点并不一致。
最后,政府数据授权运营是否构成特许经营?从现行《基础设施和公用事业特许经营管理办法》《市政公用事业特许经营管理办法》看,特许经营是指政府采用竞争方式依法授权境内外的法人或者其他组织,通过协议明确权利义务和风险分担,约定其在一定期限和范围内投资建设运营基础设施和公用事业并获得收益,提供公共产品或者公共服务。然而,政府数据运营作为一种新生事物,并不在前述规定的可特许经营范围之列,但从政府仅允许特定主体从事、需签署协议和向政府付费等特点看,政府数据授权运营也具有特许经营的一些特点。[注3]更为重要的是,从政府数据安全防控和促进资源充分有效利用的角度,授权终止后运营主体所建设的数据运营平台理应移交给政府,这也是特许经营的重要特点。当然,政府数据授权运营与基础设施、公用事业特许经营也有不同,因为其运营主体提供的不全是公共产品或服务,而更多是具有较强市场化属性的产品或服务,且数据产品定价机制复杂难以统一指导,这意味着,政府数据授权运营在特许经营费用设定、产品定价、用户付费以及与之紧密相关的特许经营期限测算等机制上可能会有一些不同,但笔者认为这些都不实质影响政府数据授权运营参照特许经营制度进行设计。
综上,政府授权运营的法律关系具有多重性,需结合行政许可和特许经营两种法律关系进行考量。笔者认为,对政府数据授权运营规范的基本思路如下:
其一,基于政府数据安全的重要性、专业性,从事政府数据运营的主体均应符合一定的资格条件,并取得相应行政许可,接受主管部门的常态化监管。在资格条件设置上,可参照《关于推进北京市金融公共数据专区建设的意见》的要求,即运营主体应取得信息系统的安全等级保护三级或以上备案,并建立完善的数据管理制度和操作规程。除此之外,基于数据合规责任和建设运营平台巨大的投入需要,对公司的注册资本或资产规模、数据技术人员和数据合规人员配置等方面也应作出要求。
其二,由于数据具有可简单复制的技术特点,一旦外溢,政府数据安全风险难以控制,故运营主体的确定必须慎重。目前北京、成都均选择将政府数据授权给特定国有全资企业运营,且未见支付对价,但国有企业的收益也是国有资产,利润需上交政府,故这种谨慎操作在目前情况下具有较强合理性。但是,鉴于数据运营也具有较强市场化属性,经过试点实践后在时机成熟时,除涉及国家安全或具有其他特殊原因外,可在合理限定授权政府数据范围、应用场景的前提下,参照特许经营的竞争程序确定运营主体,但运营主体须取得前述的行政许可。
(三) 授权运营的的数据服务与产品形式
政府授权市场主体运营政府数据,运营主体可以如何处理数据并对外提供哪些数据产品和服务呢?结合相关实践和地方立法,主要有两大类:
首先,是数据“可用不可见”的服务。也就是说,运营主体不会将政府数据提供给数据客户,而是利用和加工政府数据为客户提供数据产品服务,客户并不能取得并储存数据。对此,参照成都市的做法,主要包括三种细分服务[注4]:第一种是数据核检服务,由运营主体根据客户的数据核检需求反馈核检结果。第二种是数据报告服务,由运营主体为客户提供数据统计、分析服务,其提供的成果是数据报告而不是授权运营的政府原始数据。第三种是“数据沙箱”服务,运营主体为客户提供数据运行环境即虚拟的“数据沙箱”,客户可将自己设计好的算法提供给运营主体,运营主体依托数据运营服务平台在运行相应算法后,将数据计算结果反馈给客户。显然,这类做法能做到最大程度保障政府数据安全,并确保政府数据运营收益的可持续性,是目前国家鼓励的方式,如《国务院办公厅关于印发要素市场化配置综合改革试点总体方案的通知》就明确提出探索“原始数据不出域、数据可用不可见”的交易范式。
其次,是数据的提供(交易)服务。也就是说,运营主体将政府原始数据直接提供给客户,但出于数据安全风险的可控性等因素考虑,在未有较成熟合理的安全技术和模式安排的情况下,该等做法暂未见付诸实践。同时,在已有的地方立法中,其多数明确对运营主体开展数据提供(交易)服务持否定意见,如《关于推进北京市金融公共数据专区建设的意见》《重庆市数据条例》《浙江省公共数据条例》,但《上海市数据条例》未对此作出明确禁止规定,有待未来出台具体实施办法解决。值得讨论的是,运营主体将个人信息进行匿名化处理后能否对外提供?目前实操要看授权政府的态度,但《个人信息保护法》其实已明确匿名化处理后的信息不属于个人信息,故对外提供似不存在法律障碍,另一方面,匿名化处理后的个人信息价值将严重下降,其市场需求可能有限。
此外,值得注意的是,2022年1月1日施行的《征信业务管理办法》明确规定,从事个人征信业务的,应当依法取得中国人民银行个人征信机构许可,从事企业征信业务的,应当依法办理企业征信机构备案,并要求金融机构不得与未取得合法征信业务资质的市场机构开展商业合作获取征信服务。自此,未取得征信牌照的数据服务公司不得直接为金融机构提供征信有关的数据服务,包括信用信息查询、信用评价、信用反欺诈产品和服务。目前数据服务的业务场景在金融领域尤其是个人信贷审核环节已较为成熟,市场化程度也较高,但该新规出台后,由于实践中个人征信牌照稀缺且难以取得,对政府数据运营的业务场景将是一个较大限制。
综上,运营主体提供数据“可用不可见”服务是在目前法律和安全技术条件下可行的方案,而数据的提供(交易)服务因面临较大的安全和合规挑战,还需要未来谨慎探索合理路径。
(四) 授权运营中数据提供的合规
从政府数据授权运营的模式看,其运作模式中涉及的主体主要包括四个:个人与单位信息主体、政府、运营主体、数据客户。如运营主体可开展数据的提供(交易)服务,在这个过程中就将涉及到三次数据提供行为,以及相对应的三次数据收集行为,考虑到政府数据运营的核心与重点是个人信息,故笔者以个人信息为例分析。从合规角度,这三次数据提供和收集行为的核心是取得个人同意或符合豁免个人同意的条件:
首先,个人向政府提供个人信息数据。按照《个人信息保护法》第四条、第十三条规定:为履行法定职责或者法定义务需要,不需取得个人同意就可处理个人信息,其中“处理”包括收集、存储、使用、加工、传输、提供、公开、删除等行为。因此,即使未取得明示的个人同意,政府为履行法定职责或者法定义务可直接对个人信息进行处理。
其次,政府向运营主体提供个人信息数据。《个人信息保护法》第二十三条规定,个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。但是,在政府数据授权运营实践中,政府在审核运营主体提出的数据需求清单后,会将可提供的数据向运营主体提供,并不会也难以取得个人的单独同意,但该提供行为并不属于政府履行法定职责或者法定义务之所需。退一步而言,即使符合《个人信息保护法》第十三条关于概括豁免取得个人同意的条件,在实务上的理解也有第十三条的概括豁免不包括豁免第二十三条需取得个人单独同意义务的观点。不过,如严格照此要求政府向运营主体提供个人信息数据时履行取得个人的单独同意程序,将对实操和效率均形成较大挑战,不利于政府数据的授权运营开展。笔者认为,鉴于《个人信息保护法》第十三条第一款第(七)项明确豁免个人同意应由法律、行政法规进行规定,故可考虑由国家统一立法豁免解决。当然,如未来运营主体将通过市场化方式选定,出于数据安全角度,也可考虑政府不向该运营主体提供数据,而也采用数据“可用不可见”的模式。
最后,运营主体向客户提供个人信息数据。显然,这里面临的问题与政府向运营主体提供数据类似,但解决思路应不同,因为运营主体是市场主体,并不因其个人信息数据系从政府取得而具有任何特权,故仍应在《个人信息保护法》框架内解决,即要求运营主体在向客户提供个人信息数据时取得个人的单独同意。要做到这一点,就需要在运营主体向客户提供时嵌入个人信息主体参与的环节,进而就可将运营主体向客户提供个人信息数据的业务场景进行合理限制,避免频繁的大规模、一次性的提供个人信息数据。
此外,政府数据的授权运营实践如北京、成都是以市为范围,较为有限,但从长远看,把政府数据进行横向、纵向整合后进行运营,将更大的激发政府数据的能量,使其发挥更大的作用。从数据提供的路径看,既可以由省或跨省、跨市进行数据归集、整合后授权运营,也可以由垂直管理部门(如税务、交通、水利部门)进行归集、整合后授权运营,或者由各地的运营主体之间进行交易。当然,这样就会形成掌握更为庞大的政府数据资源巨头,如有不慎,可能会对国家安全、商业秘密和个人隐私造成广泛而重大的风险,故在数据安全技术成熟的前提下,如何设计准入条件与监管机制,将是未来需要面临的重要课题。对此,笔者认为,政府数据运营应认定为关系国家安全与经济命脉的行业,市及以下的政府数据运营可考虑有条件的逐步市场化,但前述市以上或跨区域的政府数据运营应由具备相应能力的国有全资企业实施,更为妥当。
三、小 结
综上,政府数据涉及国家安全、商业秘密和个人隐私,关系重大,我国通过多年的努力已逐渐形成了相对完善的数据安全责任法律体系,违法者轻则承担民事责任,重则承担行政处罚甚至刑事责任。另一方面,国家鼓励探索政府授权市场化主体运营政府数据,要求运营主体充分开发利用政府数据,挖掘其要素作用,助力社会经济发展,但这一类的法律法规依据却暂并不完善。因此,一方面,在相关法律法规完善之前,运营主体要做好运营的法律风险管理,并合规开展数据运营业务,原则上应以数据“可用不可见”的模式进行,并加强安全技术研发、合作和内部管理制度建设;另一方面,要实现政府数据授权运营的推广,就需要加强立法供给,鉴于政府数据授权运营涉及重大,需参考行政许可和特许经营并结合运用进行制度设计。由于对政府数据授权运营的规范共性远大于地域性,未来可在地方已有先行先试实践的基础上通过国家统一立法进行监管。
注释及参考文献:
[1] 见《北京市大数据工作推进小组办公室印发<关于推进北京市金融公共数据专区建设的意见>的通知》《成都市公共数据运营服务管理办法》《上海市数据条例》《浙江省公共数据条例》《重庆市数据条例》。此外,《四川省大数据发展条例(草案征求意见稿)》也提出要求建立公共数据授权运营机制。
[2] 如《浙江省公共数据条例》第三十五条规定:县级以上人民政府可以授权符合规定安全条件的法人或者非法人组织运营公共数据,并与授权运营单位签订授权运营协议。授权运营协议应当明确授权运营范围、运营期限、合理收益的测算方法、数据安全要求、期限届满后资产处置等内容。
[3] 见常江、张震,论公共数据授权运营的特点、性质及法律规制,载于《法治研究》2022年第2期。
[4] 见张会平、顾勤、徐忠波,政府数据授权运营的实现机制与内在机理研究——以成都市为例,载于《电子政务》2021年第5期。