达摩克利斯之剑下的公共数据合规授权运营解构(一)
鑫诺动态2024-09-25引言
《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》(简称“《数据二十条》”)创设了数据持有权、数据加工使用权、数据产品经营权之“三权分置”权属理论,并明确提出要“推进实施公共数据确权授权机制”、“坚持共享共用,释放价值红利,合理降低市场主体获取数据的门槛,增强数据要素共享性、普惠性”,此举为公共数据授权运营奠定了政策基础。
然,鉴于公共数据授权领域顶层设计中的规范化路径尚不明晰,部分机构违规利用数据运营牟利已初现苗头。2024年6月25日,国家审计署在《国务院关于2023年度中央预算执行和其他财政收支的审计工作报告》中公布“一些部门监管不严,所属系统运维单位利用政务数据违规经营收费。4个部门所属7家运维单位未经审批自定数据内容、服务形式和收费标准,依托13个系统数据对外收费2.48亿元”。
笔者认为,国家审计署在数据要素市场发展初期即以国家部委所属单位作为公开负面示例,昭示着国家对作为数据要素市场先锋队的公共数据供给市场野蛮生长之零容忍态度。因此,各级党政机关在积极挖掘、释放数据价值的同时,尤应严守政策红线以避高悬之剑,在既有规制与政策斧拓的方向中合规探索疏航通道的授权运营路径。
本文结合笔者在公共数据授权运营领域的前沿实践与研究,通过整合、厘清散见于众多规范性文件中的合规要求与内在逻辑,将公共数据授权运营全流程分解为“授权端”和“运营端”两大版块,并将对“授权端”解构为授权运营标的、对外授权主体、对外授权方式、决策授权流程、运营资格条件、安全评估保障、协议签署流程、全程运营监管等八个覆盖全流程的重点环节,进而对各环节合规要点及实践难点浅做探析,以抛砖引玉。
正文
所谓公共数据授权运营,通常的理解是指各级党政机关、公共企事业单位将其因依法履职或提供公共服务而合法持有的公共数据,依照相应程序,授权符合条件的运营单位运营,由运营单位按照规定及约定,加工使用公共数据并有偿对外提供产品或服务。因此严格的来说,公共数据授权运营的全流程至少包括“授权端”和“运营端”,但限于篇幅,本文仅探讨“授权端”的全流程合规,对于“运营端”的合规事宜权待后续。
一、授权运营标的合规审查
【合规要点】评价拟授权运营的数据是否属于公共数据。
《数据二十条》明确公共数据授权运营的标的物为“各级党政机关、企事业单位依法履职或提供公共服务过程中产生的公共数据”。由此,笔者认为,按照主体及权利来源的不同,公共数据可以分成两大类:其一为各级党政机关依法履职的数据,其二为企事业单位提供公共服务过程中产生的数据。现浅析如下:
(一)各级党政机关依法履职的数据
对于依法履职的数据有如下两点可以探讨:
1.对于依法之“法”应作何理解?
“职权法定原则”是行政机关行使职权的基本原则,即行政主体可以行使什么职权由法律决定。通说观点下,狭义的法律一般仅指全国人大及其常委会制定的法律。但实践中对此也有广义的理解,如参照《最高人民法院关于适用〈中华人民共和国行政诉讼法〉的解释》第一百条“人民法院审理行政案件,可以在裁判文书中引用合法有效的规章及其他规范性文件”,广义理解的法律可以包含法律、行政法规、地方性法规、规章以及其他规范性文件。
前述广义理解在公共数据的定义上被各地以不同程度的采纳。例如,《山东省公共数据开放办法》第二条第二款规定“本办法所称公共数据,是指国家机关,法律法规授权的具有管理公共事务职能的组织,具有公共服务职能的企业事业单位,人民团体等在依法履行公共管理职责、提供公共服务过程中,收集和产生的各类数据”,此类规定仅将法律和法规层级的规定列入了依法履职中的“法”之渊源,《江苏省公共数据管理办法》等各地规定中亦作了类似定义。
而《浙江省公共数据条例》规定“本条例所称公共数据,是指本省国家机关、法律法规规章授权的具有管理公共事务职能的组织以及供水、供电、供气、公共交通等公共服务运营单位(以下统称公共管理和服务机构),在依法履行职责或者提供公共服务过程中收集、产生的数据”;《广东省公共数据管理办法》第三条也规定“数源部门,是指根据法律、法规、规章确定的某一类公共数据的法定采集部门”。前类规定均将规章层级授权的有关机关所涉履职数据纳入了公共数据范畴。
因此,在目前没有全国范围内的统一解释前,笔者建议实践中如何判断公共数据的范围可优先参考各地规定;若各地尚未明确,应至少将规章层级的规范性文件列为“依法履职”中“法”之渊源,进而确定公共数据的范畴,避免出现可能的公共数据监管遗漏。
2.依法履职或提供公共服务所产生的数据之外延为何?
此问主要是进一步探讨党政机关及提供公共服务的企事业单位所持有的数据中,哪些数据应排除在公共数据之外。
首先,尽管各级党政机关的内部运行管理等所涉数据与依法履职的数据具有相关性即内部运行管理等活动均是为实现依法履职或高效履职而服务,但笔者认为,对于“依法履职”这一限定,从狭义理解上可不包含各级党政机关内部运行管理如内勤等与依法履职不直接相关的数据。当然,这并不绝对,实践中可以进一步探讨或区分。
其次,提供公共服务的企事业单位在日常运营所产生的数据中,通常的理解是只有与公共服务直接相关的数据才属于公共数据的范畴;如《广东省公共数据管理办法》就明确“电力、水务、燃气、通信、公共交通以及城市基础设施服务等公共企业、事业单位和社会团体,实施公共服务以外的数据采集、使用、管理行为,不适用本办法”。当然,至于与提供公共服务相关的企事业单位内部运行管理数据,依上文“举重明轻”,亦不宜认定为公共数据。
二、对外授权主体合规审查
【合规要点】拟对外授权的主体是否为适格的权利人——即拟对外授权的主体是否享有公共数据持有权。
探析适格的权利人将无法回避现有实践难题即“数据确权”或“数据权属”。鉴于本文所探讨的公共数据授权运营系基于“三权分置”之框架,因此,下文亦予以浅涉。但要说明的是,《数据二十条》并未明确“三权”中各个权属的内涵,绠短汲深,笔者亦无意探究“三权”的法理涵义,仅因行文逻辑所需,予以大胆假设。
参考有关专家对《数据二十条》中“三权”的相关解读,数据持有权的应然状态可为确认数据持有者对数据资源的控制权或管理权,以构建全面数据流通利用的秩序。循此逻辑,笔者在本文中假设数据持有权的权能在“三权”中最为丰富,即其包含了在法定权限内控制和使用数据资源的权利。类比传统物权之所有权包含了占有、使用、收益、处分等四项权能,本文进一步假设数据加工使用权与数据产品经营权亦包含在持有权的权能之中,同时亦能够与数据持有权相分离。
综上,在没有统一和权威的解读前,为便于讨论和行文指代,本文中对公共数据授权运营中涉及的数据权属理论假设为:各级党政机关、企事业单位依法履职或提供公共服务过程中就其依法履职或直接提供公共服务而获得的公共数据资源享有数据持有权;在此前提下,可对外授权的数据权属仅为能够与之分离的数据加工使用权或/及数据产品经营权之权能。
今年2月,财政部在《关于加强行政事业单位数据资产管理的通知》(财资〔2024〕1号)中亦提出“可将数据加工使用权、数据产品经营权授权运营主体进行运营”的概念。
在此理论假设下,在确认拟对外授权的主体是否为适格的权利人时有如下三个问题值得进一步关注:
(一)享有数据持有权的公共服务企业范围包含哪些?
根据目前的实践,提供公共服务的企业主体通常有两类:
第一类为基于《基础设施和公用事业特许经营管理办法》《市政公用事业特许经营管理办法》等规定获得政府特许经营权的企业。此类特许经营涉及到的项目主要有交通运输、市政工程、生态保护、环境治理、水利、能源、体育、旅游等基础设施和公用事业领域等。同时,根据《市政公用事业特许经营管理办法》,市政公用设施中何种类别的项目应采用特许经营方式由各省、自治区、直辖市规定。如《北京市城市基础设施特许经营条例》第三条第二款规定:下列城市基础设施项目可以实施特许经营:(一)供水、供气、供热;(二)污水和固体废物处理;(三)城市轨道交通和其他公共交通;(四)市人民政府确定的其他城市基础设施。
第二类则是根据地方有关规定由各级地方政府通过非特许经营的方式就相关公共服务选定的公共服务企业。如《哈尔滨市城市道路机动车停车泊位管理规定》第十三条规定“市人民政府可以依法委托有关单位对收费道路停车泊位进行日常管理和设施维护。”
通常情况下,笔者认为前述两类主体均可确认其享有对应的公共数据持有权。
需要注意的是,鉴于实践中并未按照民事法律的严格内涵使用“委托”一词,因此,同样是以“委托”加以表述,不同情况下的“受托主体”是否享有相应的公共数据持有权仍需要进一步区分。笔者认为,从实操的角度来说,区分的关键在于“受托主体”是否以自身名义直接对外提供公共服务并独立承担相应的民事法律责任。如在政府购买服务的情形下,若服务商系以政府的名义对外提供服务,此种情况即不宜认定其享有数据持有权。
(二)何种类型的事业单位享有公共数据持有权?
在普遍的社会认知下,事业单位的基本属性是其公共或公益属性,但现有事业单位却因各种原因而存有多种繁杂类别。2011年,《中共中央、国务院关于分类推进事业单位改革的指导意见》(以下简称“《改革指导意见》”)依据社会功能将现有事业单位统一划分为承担行政职能、从事生产经营、从事公益服务的事业单位。由此,下文亦借此对不同类别事业单位的数据持有权进行探讨。
第一,承担行政职能的事业单位,是指依据国家法律法规、中央政策规定承担行政决策、行政执行、行政监督等职能的事业单位。如原中国证券监督管理委员会(以下简称“证监会”)为国务院直属事业单位(已于2023年调整为国务院直属行政机构),依照《中华人民共和国证券法》第七条的授权性条款及《国务院办公厅关于印发中国证券监督管理委员会机构编制方案的通知》(国办发〔1995〕12号)的授权,统一监督管理全国证券期货市场。因该类事业单位行政职能的职责来源于法律规定和法定机构的依法授权,笔者认为可参照行政机构依法履职方式认定其享有数据持有权。
第二,从事生产经营的事业单位,是指所提供的产品和服务由市场配置,不承担公益服务职责的事业单位。笔者认为,此类事业单位与企业并无实质差异,如果其经营业务中存在公共服务,则可按一般的公共服务企业逻辑确认其是否享有公共数据持有权。
第三,需要重点探讨的是从事公益服务的事业单位。按照《改革指导意见》,从事公益服务的事业单位包括面向社会提供公益服务和为机关行使职能提供支撑保障的事业单位。其中:
1.面向社会提供公益服务的事业单位主要有两种,笔者倾向于认为二者就对外提供公益服务而产生的数据均享有相应的数据持有权。
第一种为公益一类事业单位,即承担义务教育、基础性科研、公共文化、公共卫生及基层的基本医疗服务等基本公益服务,不能或不宜由市场配置资源的事业单位。这类单位不得从事经营活动,其宗旨、业务范围和服务规范由国家确定。如图书馆、博物馆就是《中华人民共和国公共文化服务保障法》明确规定的公共文化服务提供主体,笔者倾向性认为此类事业单位在其公共服务领域享有相应数据的持有权。如2024年5月24日国家数据局公布的首批20个“数据要素X”典型案例载明,湖南省博物院通过其馆藏文物数据授权运营实现文物保护与价值增值的效果,亦可印证此类事业单位享有对应数据的持有权。
第二种为公益二类事业单位,即承担高等教育、非营利医疗等公益服务,可部分由市场配置资源的事业单位。这类单位按照国家确定的公益目标和相关标准开展活动,在确保公益目标的前提下,可依据相关法律法规提供与主业相关的服务,收益的使用按国家有关规定执行。同样,笔者举例而言,医疗机构作为事业单位其提供医疗服务过程中获得的医疗数据,原则上可以认定其享有数据持有权。不过医疗数据因包含大量个人敏感信息,在实际加工使用中往往伴有合规障碍。
需要注意的是,因目前各地对于公共服务的定义主要包含的是“公用”事业而非“公益”事业,因此,前述公益服务类数据是否一概会被纳入公共数据的范畴可能仍存在区分空间。
2.为机关行使职能提供支撑保障的事业单位应审慎认定相应的数据持有权。
为机关行使职能提供支撑保障的事业单位可称之为政府支持机构,笔者对此类数据机构是否享有数据持有权持保守态度。首先,此类机构的职能往往由政府部门决定而非法定,即便政府部门将涉及公共数据的具体事务交由此类事业单位进行处理,其处理过程亦缺乏意志的独立性。其次,既为支撑保障机构,职能均依附于相应政府机关的职能而存在,不具备职能的独立性。基于此,若一个机构对数据的处理既没有独立职能亦缺乏独立意志,笔者团队偏向于认为此类事业单位不宜享有公共数据持有权。
综上所述,从实践来看,各类事业单位是否享有相应的数据持有权属于当下的实践难点,尤其是作为政府支持机构的事业单位是否享有数据持有权具有更强的迷惑性。当然,未来究竟应当如何认定此种情况下的数据持有权,有待顶层设计的进一步确认。
总之,只有对拟授权的公共数据享有相应数据持有权的主体,才能成为公共数据授权运营中适格的对外授权权利人;但需要特别强调的是,企事业单位尽管在一定条件下享有公共数据的持有权,但绝不意味着其可以如同利用其他企业数据般具有较为广泛的自主权和选择权,而是应当在严格满足国家对公共数据运营的基本原则和安全要求下开展(如若国家要求公共数据只能以“可用不可见”的方式运营的,企事业单位亦应遵此规定),尤其可能还需承担相应的公共数据开放、共享等义务,限于篇幅,此处不再展开。
三、对外授权方式合规审查
【合规要点】审查对外授权的方式是否采取公开征集或招投标等公开方式,若不是,是否存在其他法定事由等。
如前所述,本文系基于“三权分置”的语境下探讨公共数据的授权运营,并由此假设享有公共数据持有权的主体对外授权的数据权属仅为能够与数据持有权相分离的数据加工使用权或/及数据产品经营权之权能。由此,下文的讨论亦以此作为基点。
结合笔者的实践,在现阶段缺乏统一授权方式规范指引的情况下,地方政府在拟定授权方式的过程中通常会面临两方面的价值博弈:
其一为尽可能保障数据安全,由政府依一定程序选定更具可控性的属地国企,并与相关国企以协议方式进行公共数据加工使用权和/或数据产品经营权的授权/转让。此举确有利于政府监管,但在依财政部发布的《关于加强行政事业单位数据资产管理的通知》(财资〔2024〕1号)之精神而将公共数据的有关权属类比为行政事业性国有资产的情形下,直接采用非竞争性方式可能存在违反《地方行政资产处置管理办法》第二十条“有偿转让原则上应当以拍卖、公开招标等方式处置”之规定的合规风险。
其二为侧重维护公平竞争秩序,即重点突出市场驱动下的公平竞争,通过公开征集或招投标等方式对外开展公共数据加工使用权和/或数据产品经营权的授权/转让,避免行政垄断。但鉴于目前各地政府对公共数据授权运营并无成熟监管模式和经验,贸然放开市场容易引发公众对公共数据安全的质疑,如2023年衡阳和怀化的公开招标项目就在一定程度上引发了舆情。
考虑到目前各地政府倾向于采用第一种保障数据安全的运营路径,笔者以为,在无顶层设计明确前,可尝试的合规路径为:
在实体上,可参考《中华人民共和国招标投标法》第六十六条“涉及国家安全、国家秘密、抢险救灾或者属于利用扶贫资金实行以工代赈、需要使用农民工等特殊情况,不适宜进行招标的项目,按照国家有关规定可以不进行招标”的规定,结合拟授权运营的数据是否可能涉及国家安全,尤其是拟实施授权的机构是否具备成熟的数据安全运营监管经验等相关因素就授权运营项目是否不适宜招标进行论证。若能够论证通过,则可考虑按照《地方行政资产处置管理办法》第二十条“不适合拍卖、公开招标或经公开征集只有一个意向受让方的,经批准,可以以协议转让等方式进行处置”的规定,论证得出以协议方式向属地国企就公共数据加工使用权和/或数据产品经营权进行授权/转让之合规性。
在程序上,宜按照《公平竞争审查条例》第二条“起草涉及经营者经济活动的法律、行政法规、地方性法规、规章、规范性文件以及具体政策措施(以下统称政策措施),行政机关和法律、法规授权的具有管理公共事务职能的组织(以下统称起草单位)应当依照本条例规定开展公平竞争审查”的规定,履行“公平竞争审查”义务,以尽可能排除授权运营具体方式存在行政垄断或限制竞争等情况的不合规风险。
需要注意的是,前种方式受制于具体公共数据授权项目实际情况往往需要进一步具体论证,限于文章篇幅,本文不做展开分析。
四、运营资格条件合规审查
【合规要点】评价设定的被授权运营主体条件是否合理、必要,是否存在可能违反公平竞争的情况。
如前文授权方式所考虑的价值因素一样,审查所设定的被授权运营主体资格条件应至少从两方面进行评价:
1.数据安全保护能力条件
《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律法规对相关主体应具备的基础性条件如网络安全等级保护能力、数据安全保护能力等进行了制度性规定,而这些就是设定相关被授权运营主体资格条件的法定依据。
从目前实践来看,各地在制定本地公共数据授权运营相关管理办法及政策时亦将前述条件纳入到了所设定的资格要求中。例如:
《北京市公共数据专区授权运营管理办法(试行)》第十六条“专区运营单位应符合以下技术管理要求:(五)具备符合网络安全等级保护三级标准和商用密码应用安全性评估要求的系统开发和运维实践经验”
《浙江省公共数据授权运营管理办法(试行)》明确了相关管理和技术条件“(二)技术安全要求。1.落实数据安全负责人和管理部门,建立公共数据授权运营内部管理和安全保障制度。2.具有符合网络安全等级保护三级标准和商用密码安全性评估要求的系统开发和运维实践经验。3.具备成熟的数据管理能力和数据安全保障能力。4.近3年未发生网络安全或数据安全事件。”
由此不难发现,在对公共数据被授权主体的选择条件上,数据安全保护能力是运营资格条件设置合规审查的重点。
2.所设条件不得违反公平竞争
《公平竞争审查条例》第二条规定:起草涉及经营者经济活动的法律、行政法规、地方性法规、规章、规范性文件以及具体政策措施,行政机关和法律、法规授权的具有管理公共事务职能的组织应当依照本条例规定开展公平竞争审查。
如前所述,公共数据授权运营存在“授权端”和“运营端”两个环节,先看“授权端”,多有涉及到公共数据持有主体对外有偿授权或享受收益分配;再看“运营端”,则涉及被授权主体通过数据加工并对外向市场提供数据产品。由此,有关公共数据授权运营的具体政策措施(即便是“一事一议”的政策措施)明显会涉及经营者经济活动,在此维度下,包括设定被授权主体条件在内的诸多环节将会受到《公平竞争审查条例》的规制,由此应特别注意。
如《公平竞争审查条例》第九条第(五)款规定不得在资质标准、监管执法等方面对外地经营者在本地投资经营设置歧视性要求。由此,若某地方政府或公共数据持有部门采取的是公开征集的方式,而在征集条件中要求申报人为当地企业或须在当地设置项目公司等就可能涉嫌违反公平竞争审查标准。
五、决策授权流程合规审查
【合规要点】审查具体实施部门的确定是否合法或是否履行了必要程序等。
此部分内容需要结合具体的对外授权主体和各地有关规定进行进一步判断,本文不再展开。以各地级市政府的对外授权为例,实践中一般由市政府成立的专班或市政府指定的牵头部门起草相应的授权运营方案、通过相应论证后,按照各省市规定的相关流程提请市政府决议。
六、安全评估保障合规审查
【合规要点】审查对外授权主体是否已就授权运营所可能带来的安全风险进行评估。
今年2月,财政部发文《关于加强行政事业单位数据资产管理的通知》要求 “规范数据资产授权,经安全评估并按资产管理权限审批后,可将数据加工使用权、数据产品经营权授权运营主体进行运营”。此规定首次提出公共数据授权运营要履行事前安全评估程序。但纵观现有的法律体系,尚无明确的事前安全评估之规定——《数据安全法》第三十条对重要数据处理者的风险评估要求并非事前程序,《个保法》第五十五条规定的事前个人信息保护影响评估亦非此“安全评估”。由此,在国家数据局年内即将出台的公共数据授权运营管理办法中, “安全评估”的具体要求想必会进一步明确。
笔者认为,在相关规定尚未出台前,此类安全评估的重点应包括重要数据的识别和保护,以及对个人信息尤其是敏感个人信息的利用评估。当然,由于除个别行业外,我国目前对于重要数据的识别尚无成熟实践,安全评估必然会是今后一段时间内授权运营的实践难点。
七、协议签署流程合规审查
【合规要点】审查协议内容是否完备、是否存在与法律法规相抵触的条款等。
实践中,从法律合规服务角度,在协议签署流程中一般将涉及如下几个方面:
1.协助起草或修订授权运营协议,结合项目当地公共数据授权运营相关规定中对授权运营协议内容的要求对内容完整性进行审核。如《北京市公共数据专区授权运营管理办法(试行)》明确授权运营协议应当包括但不限于以下内容:授权主体和对象、授权内容、授权流程、授权应用范围、授权期限、责任机制、监督机制、终止和撤销机制等”,同时“授权运营协议的有效期一般为5年”。
2.审查协议中是否存在违反法律法规的约定尤其是可能违反法律法规的强制性规定的条款,避免合同或任一条款存在无效可能。如政府部门对外授权的协议中是否存在可能违反公平竞争原则的相关条款等。
3.参与协议签订谈判环节,协助授权主体(通常是协议条款制定方)向相对方释明条款含义,协助把握授权主体的权利义务退让底线等等。
八、全程运营监管合规审查
【合规要点】审查政府等授权部门是否在协议等文件中明确有权机关对被授权主体的运营过程行使监管职权的具体方式等。
在《“数据要素×”三年行动计划(2024—2026年)》确定和倡导的“强化场景需求牵引”的背景下,各地实践中一般要求公共数据授权运营需基于特定的场景需求提出申请,践行“无场景不授权”的原则。
由此,笔者认为在实际运营中贯彻落实“一场景、一方案、一评估、一备案”应为公共数据全流程监管的应有之意。具体来说,即指公共数据的被授权运营方在实际运营过程中,需结合其设计开发的数据产品之应用场景,拟定相关数据处理方案和数据安全保护方案,并就相关数据安全保护和处理合规性进行评估(自评或委托第三方机构进行评估),通过评估后再向有关主体备案。
从不少已不同程度的开展了公共数据授权运营活动的地方实践来看,当地政府在此前授权时大多对于所涉数据的应用场景约定模糊,且对于授权的标的数据范围亦较为笼统。笔者认为,此种情形下的前述原则对于公共授权运营之安全风险把控尤显重要。当然,年内可能出台的相关规定将作何要求,我们拭目以待。
结语
本文通过解构拆分的方法,旨在明晰公共数据授权运营全流程合规审查要点,以期在顶层制度尚未落地之时,为现阶段合规审查实务贡献经验与参考。当然,数据产业探索发展日新月异,本文的观点与探讨意见远远不具有结论性,笔者在此抛砖引玉,谨期与行业先行者们一道书写与见证我国数据要素市场的健康、蓬勃发展。
作者:林野丽 北京市鑫诺律师事务所
李远哲 清华大学五道口金融学院
本文章为相关议题的交流或探讨,仅代表作者本人观点,不得视为鑫诺律师事务所或其律师出具的正式法律意见或建议。如需转载或引用该文章的任何内容,请注明出处。未经本所书面同意,不得转载或使用该文章中包含的任何图片或影像。如您有意进一步交流或探讨,欢迎与本所联系。