摘要:当前,为了释放公共数据价值、培育数据要素市场,公共数据授权运营成为重要的破局之策。然而,公共数据授权运营立法远落后于实践需求,是否立法以及如何立法仍成为悬而未决的难题。在立法条件方面,理论依据的充分、经济条件的具备为授权运营立法提供了可行性,而数据增值、企业利用、政府治理、国家愿景等需求,均证实了立法的必要性。在立法模式方面,权衡中央立法模式和地方立法模式的利弊,应推行“地方先行先试”的立法模式。在具体制度实现方面,地方立法应秉持效率与安全并重的立法理念,采用实用性立法结构,授权主体内容应设计为统一授权模式,运营主体内容应将基本业务能力和安全保障能力设置为准入条件,以法定情形和约定情形设置退出条件,授权运营的公共数据内容应遵循以混合分类法分类、以敏感程度分级的标准,安全监督与管理内容应以安全和效益为监督考核标准。

  目  次

  一、问题的提出

  二、公共数据授权运营立法条件的考量

  (一)公共数据授权运营立法的可行性

  (二)公共数据授权运营立法的必要性

  三、公共数据授权运营立法的模式选择

  (一)冲突:中央立法模式与地方立法模式的争议

  (二)选择:确立“地方先行先试”的授权运营立法模式

  四、公共数据授权运营立法的理念与结构设计

  (一)效率与安全并重理念的设计

  (二)实用性立法结构的安排

  五、公共数据授权运营制度的主要内容

  (一)授权主体:统一授权模式

  (二)运营主体:准入条件和退出条件

  (三)授权运营的公共数据:公共数据分类分级标准

  (四)安全与监督管理:安全和效益的双重监督考核标准

  六、结论

  一、问题的提出

  2022年12月,中共中央、国务院发布《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“数据二十条”),明确提出探索制定保障权益、合规使用的公共数据授权运营制度,以培育数据要素市场,改善政府管理和服务。公共数据资源兼具“治理要素”与“生产要素”双重属性,公共数据的非排他性决定了其可满足不同群体的使用需求,不会对第三方使用产生影响。公共数据的丰富性(abundance)与非消耗性(non-deteriorating)决定了开展授权运营并不会减损公共数据价值,反而会在开放利用中不断实现增值,因此,公共数据具有极大的公共效用和市场价值。授权运营作为公共数据的主要利用方式,在提升政府治理能力、改善民生服务、培育经济发展新动能等方面都发挥着不可或缺的作用。

  当前,我国尚未制定公共数据授权运营法律,绝大多数省市区对公共数据授权运营立法与实践探索仍“畏手畏脚”,对于是否立法以及如何立法难以抉择。在立法条件方面,公共数据授权运营立法的可行性和必要性是否充分犹未可知;在立法模式方面,是由中央统一立法抑或地方探索立法有待商榷;在具体制度构建方面,设计何种立法理念、立法结构以及主要内容尚无定论。可见,公共数据授权运营是否立法以及如何立法成为久悬未决的难题。同时,学界对公共数据授权运营立法的系统性与专门性研究寥寥无几,关于公共数据授权运营的研究主要集中于管理学和经济学领域,法学领域的研究主要涵盖公共数据授权运营的概念、性质、特征、与数据开放的关系、实践模式等。在实践经验与理论成果匮乏的背景下,有必要对公共数据授权运营立法开展体系化研究,为公共数据授权运营专门性立法提供参考。

  基于此,本文遵循“立法条件考量—立法模式选择—具体制度实现”的研究思路,从可行性和必要性角度考量公共数据授权运营的立法条件;比较中央立法模式和地方立法模式的优劣,以寻求公共数据授权运营的立法模式;探索公共数据授权运营的立法理念、立法结构、主要内容,并提出公共数据授权运营的立法路径。

  二、公共数据授权运营立法条件的考量

  立法条件是影响立法活动起始和发展的重要因素,准确分析立法条件是保证法律的科学性和可行性的基本前提。因此,论证公共数据授权运营立法的可行性与必要性,应充分考量公共数据的立法条件。

  (一)公共数据授权运营立法的可行性

  公共数据授权运营立法是否可行,在于其是否具备充分的理论依据和充实的经济基础。本文从政策依据、权属理论两个角度考量立法的理论条件,从基础设施、企业、技术、人才等四个角度论证立法的经济条件,进而综合考量公共数据授权运营立法之可行性。

  1.理论条件

  从政策依据来看,法律是政策的具体化、条文化、定型化,政策条件成为考量是否立法的重要依据。自2016年至今,国家出台多份政策文件引导并推进公共数据授权运营,为公共数据授权运营立法提供了充分的政策依据。2016年4月,《国务院办公厅关于转发国家发展改革委等部门推进“互联网+政府服务”开展信息惠民试点实施方案的通知》倡导政企合作,合理开放利用数据资源。2021年3月,《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》首次提出要“开展政府数据授权运营试点,鼓励第三方深化对公共数据的挖掘和利用”,这为公共数据的开发利用指明了新方向。2021年12月,《“十四五”数字经济发展规划》重申“对具有经济和社会价值、允许加工利用的政务数据和公共数据,通过数据开放、特许开发、授权应用等方式,鼓励更多社会力量进行增值开发利用”,强调创新和丰富公共数据开发利用的机制。2022年1月,《要素市场化配置综合改革试点总体方案》明确提出要“探索开展政府数据授权运营”,以完善公共数据开放共享机制,促进政企数据融合应用。2022年6月,“数据二十条”提出,建立公共数据的分类分级确权授权制度,实施公共数据确权授权机制,探索个人、企业公共数据分享价值收益的方式,初步构建了公共数据基础制度体系的“四梁八柱”。2023年3月,国务院印发《数字中国建设整体布局规划》,再次强调“推动公共数据汇聚利用”,以释放公共数据要素价值,提升数字经济发展的质量效益。概言之,我国通过对公共数据授权运营的政策探索,相关政策依据已渐趋成熟,这不仅指明了以授权运营利用公共数据的主流方向,也明确了公共数据授权运营的具体立法任务,为公共数据授权运营立法营造了良好的政策环境。

  从产权理论来看,在公共数据产权路径不明的情境下,难以构建具有普适性、科学性的公共数据授权运营制度,在对数据产权理论不断探索的过程中,“三权分置”理论已逐渐成为共识,为公共数据授权运营立法提供了理论支撑。由于公共数据具有有限排他性、可复制性、非消耗性等特征,传统财产权理论难以直接适用于公共数据确权,由此引发了学界对公共数据财产权路径的探讨。学者们对公共数据财产权进行研究,提出了“行为规制路径说”和“权利保障路径说”。其中,“行为规制路径说”旨在避免陷入公共数据权属的逻辑辩驳,聚焦于公共数据流通利用的风险,主张采用合同法、反不正当竞争法等对公共数据流通利用行为进行规制;“权利保障路径说”包含传统财产权路径说和新型财产权路径说。传统财产权路径说旨在将传统财产权理论套用于公共数据,分为所有权路径说和知识产权路径说,其中,所有权路径说强调明确公共数据的归属,又分为国家所有说和分别所有说;知识产权路径说认为公共数据的特征与知识产权的客体要求相契合,可以从作品、数据库以及商业秘密等客体角度实现公共数据确权。新型财产权路径说旨在革旧图新,摆脱传统财产权理论难以适用于公共数据确权的窘境,依托权利束理论或权利块理论中权能分离的思想,以构造适用于公共数据的新型财产权路径,“数据二十条”中提出的“三权分置”理论,逐渐成为公共数据产权理论的主流观点。

  第一,“行为规制路径说”看似完美无暇,回避了公共数据确权难题,有效规制公共数据流通利用行为,实则漏洞百出。“行为规制路径说”本质上是非标准化的公共数据财产权确权,对公共数据的财产权作模糊化处理,难以形成标准化财产性权利,不利于持续推动公共数据的流通利用。合同法可以作为公共数据权利取得与行使的依据,意味着没有纳入合同之中的公共数据将被排斥在法律保护范围之外,且其只限于约束缔约双方,对第三者行为难以产生约束力,因此,合同法无法作为公共数据主要的保护手段。采用反不正当竞争法,通过事后规制约束数据竞争行为,虽然能在一定程度上弥补现有数据财产权制度的缺漏,但在规制时段和规制范围方面存在较大缺陷,其仅能提供法律层面有限的消极保护,并不能从根本上对公共数据产权难题定分止争。因此,“行为规制路径”虽然是应对公共数据财产权缺失的权宜之计,但这无异于“饮鸩止渴”,从短期来看,其可以解决公共数据授权运营的相关纠纷;从长期来看,此种逃避式应对路径无法给予公共数据充分的法律保障,也不能有效激励和保障公共数据授权运营,公共数据财产权构建的困境难以纾解。

  第二,“传统财产权路径说”也难以对公共数据授权运营形成有效保障。就“所有权路径说”而言,由于公共数据的形成及应用伴随着多主体的参与,其所有权的归属也众说纷纭、难有定论。所有权的绝对性与公共数据的有限排他性相悖,反而可能强化各主体对公共数据的争夺与控制,妨碍公共数据的充分流通和利用,甚至造成“反公地悲剧(the tragedy of the anticommons)”。就“知识产权路径说”而言,以作品认定公共数据具有较大局限性,著作权要求作品需具有独创性,尽管公共数据与著作权的客体存在一定的交叉可能性,但绝大多数公共数据以及数据产品难以满足独创性要求;以数据库认定公共数据是尝试以邻接权保障公共数据,邻接权并非保障数据本身权益,而是保护汇编者权益,也无法对公共数据形成体系化的产权路径;以商业秘密认定公共数据更不具有普遍适用性,且不说大多数公共数据及数据产品不具有秘密性特征,即便可构成商业秘密,其本身的流动特性也与秘密性相左,反而可能导致数据垄断,不利于推动公共数据的利用。概言之,“传统财产权路径”无论是从保护范围抑或保护力度,都难以对公共数据资源形成体系化的、全面的产权保护路径。

  第三,数据“三权分置”理论为公共数据授权运营立法勾勒出相对明确、清晰的产权路径,并逐渐成为理论界和实务界的共识。相较于其他产权理论,“三权分置”理论更关注公共数据的流通与利用,借助权能分离的权利范式,不仅可以摆脱传统财产权理论的窠臼,构造公共数据全生命周期的产权结构,平衡公共数据相关主体之间的利益,也可弱化特定主体基于自身利益和目的对公共数据资源的占有和控制,以便有效利用公共数据。具体而言,“三权分置”理论以持有者对数据的合法持有作为数据流通或许可使用的法律基础,即公共机构通过对公共数据的收集、整理和存储以实现公共数据资源化,获得对公共数据的数据资源持有权,并可将其授权给运营单位使用以实现公共数据资产化,运营单位因此获得数据加工使用权和数据产品经营权,通过开发和交易公共数据产品或服务以获取收益,实现公共数据资本化。总之,公共数据作为新生事物,对其财产权构建存在争议属于正常现象,建立完备的财产权制度也并非一日之功。与其争论采用何种路径,不如思考如何有效利用公共数据。而“数据二十条”所提出的“三权分置”理论,通过对数据产权的合理有序设计,已然成为公共数据财产权构建的核心理论,并为公共数据授权运营立法和实践探索奠定了良好的理论基础。

  2.经济条件

  社会客观经济条件作为立法是否可行的重要考量条件之一,以消除立法落后于实践之弊端。现实中,数据基础设施的建设、数据企业和人才的培育、数据产业的发展,为我国公共数据授权运营立法提供了坚实的经济基础。

  就数据基础设施条件而言,我国汇集的公共数据资源已颇具规模,公共数据平台建设“如火如荼”,足以支撑公共数据授权运营。公共机构作为我国“最大的数据收集者、存储者和处理者”,在履职过程中所积累的公共数据资源涉及医疗、交通、通信、教育等各生产生活领域,且大部分地方政府已初步建立了公共数据资源库,公共数据资源储备充足。同时,全国已基本建成一体化政务数据开放平台。截至2022年10月,我国很多地方政府上线了数据开放平台,其中,省级平台21个、城市平台187个,城市平台数量逐渐增加。可见,我国公共数据资源储备和数据平台建设呈现良好态势,足以满足公共数据授权运营的需求。

  就数据企业和人才而言,一方面,一大批数据龙头企业快速崛起,为公共数据授权运营培养了优质数商。我国数据企业初步形成了大企业引领、中小企业协同、创新企业不断涌现的发展格局,截至2021年12月,全国已成立了上千家政府数据资产运营企业,呈现出供不应求、蓬勃发展的态势。除华为、腾讯、阿里等传统互联网大型企业外,市场上还涌现出太极、奇安信、浪潮卓数、望海康信等新数商;另一方面,我国加快大数据、算法、网络安全等相关学科建设和人才培养,保障了公共数据授权运营的人才供给。据教育部发布的《2021年度普通高等学校本科专业备案和审批结果》和《2022年高等职业教育专科专业设置备案和审批结果》显示,自2017年至2021年,在高等教育方面,大数据本科专业备案数量超900个,全国高职院校大数据技术专业备案数量合计达数千个,且呈逐年增加趋势,这为公共数据授权运营培养了应用型、技能型、实战型人才。总之,数据企业的逐步培育与数据人才的规模化培养,足以满足公共数据授权运营的人才需要。

  就数据产业条件而言,我国大数据产业呈现稳步发展态势,为公共数据授权运营产出交易提供了良好的市场条件。据统计,我国大数据产业规模年均复合增长率超过30%,2020年首次超过1万亿元,发展取得了显著成效。此外,我国数据交易市场发展迈入新阶段,北京大数据交易服务平台、上海数据交易所等40多家数据交易机构先后成立,开启了数据交易市场建设热潮,为公共数据授权运营的产出提供了优质交易市场。

  综上,公共数据授权运营立法的理论依据已逐渐充分,公共数据授权运营的经济条件已基本具备,这为构建公共数据授权运营制度提供了可行性基础。

  (二)公共数据授权运营立法的必要性

  坚实的理论依据和成熟的经济基础,说明构建公共数据授权运营制度具备了可行性,是否紧迫要综合考量公共数据授权运营制度的必要性。

  第一,公共数据资源亟待通过加快公共数据授权运营立法以释放其价值。由于公共数据本身并不具备独立的经济价值,需要通过开放利用方能释放其价值。《中国地方政府数据开放报告(城市指标)》(2022年)显示,当前公共数据开放利用成效不尽如人意,要真正释放公共数据的潜在价值,仅开放公共数据远远不够,需要积极探索公共数据授权运营模式,以深度挖掘公共数据所形成的新的数据信息、产品或服务等附加价值。换言之,各公共机构通过物理归集形成了巨大规模的“数据湖”,所汇集的“湖水”是“静止的、沉淀的”,授权运营则是这些“湖泊”的“流通系统”,促进“百川赴海”,同时,促成“水生万物”,可见,授权运营是公共数据价值释放的关键。若缺乏恰当的制度规范,授权运营难以开展,公共数据资源也难以产生“最大化意义上的效率”。因此,要最大化地释放公共数据的价值,推进公共数据授权运营立法势在必行。

  第二,市场企业亟待公共数据授权运营立法以合法获取开发利用的资格。当前,市场企业对公共数据的利用需求与日俱增,对公共数据授权运营制度的出台翘首以待,以期按照公平、公正的程序,通过合法的渠道获取和利用公共数据,从而提供丰富、优良的数据产品或服务,实现资本效益最大化。由于我国公共数据授权运营立法已落后于实践需要,具备数字技能的市场企业难以获得符合质量与数量要求的公共数据集,即使市场企业具备数据利用能力与产品开发热情,也难逃“巧妇难为无米之炊”的困局。因此,为了回应和引导企业利用数据资源的需求,构建公共数据授权运营制度迫在眉睫。

  第三,政府亟需公共数据授权运营立法以规范公共数据利用行为。由于缺乏具体制度的指引,部分公共机构不愿共享开放公共数据,但私下非法交易公共数据行为屡禁不止,这严重影响了公共数据利用安全与效率。法律是社会秩序大厦的基石,政府迫切需要通过公共数据授权运营立法,以消除部门“数据烟囱”,推进公共数据高效安全流通,引导市场主体有序利用公共数据,改善政府治理和服务水平。因此,为服务于政府治理需求,推进公共数据授权运营立法势在必行。

  第四,国家期待公共数据授权运营立法以培育壮大数据要素市场。在数字经济时代,数据成为各国争夺的重要战略资源,数据商业开发利用则是大国竞争的新赛道。面对世界百年未有之大变局,主要经济体正积极打造数据市场,以抢占数字经济发展的制高点,而公共数据商业利用对于数据利用发挥着引领与示范作用,对数据市场的培育和发展起到至关重要的功效。英国、韩国等国已通过公共数据授权运营立法来提升公共数据流通利用效率,激活数据要素市场。“工欲善其事,必先利其器。”我国要实现数字强国的目标,有必要开展公共数据授权运营立法探索,发挥公共数据商业运营的引领作用,在国际数据市场竞争中取得优势地位。

  礼法以时而定,制令各顺其宜。当前,公共数据授权运营已成为数据要素市场发展的重要抓手。而我国中央以及绝大多数地方政府尚未对此专门立法,更多是以概括式立法,难以对公共数据价值释放需要、市场企业意愿、政府治理需求和数字强国愿景作出回应。因此,公共数据授权运营立法已然具备了可行性和必要性,需专门构建科学有效且合乎社会实践需求的制度,以指导、规范和推动公共数据授权运营。

  三、公共数据授权运营立法的模式选择

  法律是治国之重器,良法是善治之前提。为了有效指导和规范公共数据授权运营实践,不仅需要立法,更需要立良法。立良法首先需要确立公共数据授权运营制度的立法模式,以便科学、高效地探索公共数据授权运营立法。

  (一)冲突:中央立法模式与地方立法模式的争议

  当前,学者们对于公共数据授权运营的立法模式争执不休,主要是关于中央立法模式与地方立法模式的取舍。

  大部分学者提倡中央立法模式,认为地方立法进程缓不济急,其合法性、实用性与经济性备受质疑,认为中央统一立法是必由之路。具言之,在合法性上,目前公共数据的定义、权属、分类分级等理论大多由地方立法自行规定,有限的立法权限使地方所立之法的合法性饱受争议。如,《海南省大数据开发应用条例》《福建省政务数据管理办法》等地方立法皆对公共数据的权属进行了规定,由于其涉及国家专属立法事权,地方立法无权进行规定和调整。在实用性上,地方立法相互模仿导致其实用性偏低。鉴于公共数据授权运营立法难度较大,部分地方立法部门仍持观望态度,坐待发达地区先行立法作为参考,由此出现形式性立法的怪圈,徒增法律条文的数量,却难保所立之法的质量与效用。在经济性上,地方先行立法,面临中央统一立法后的衔接问题,需对已有立法进行有效整合或推倒重来。因此,这部分学者坚持以中央统一立法为先导,以消除地方分散立法之弊端,各地方在中央立法基础上再出台详细规定,不能反其道而行之。

  少数学者推崇地方立法模式,主要从理论和实践层面论证了地方立法模式的可取之处。理论层面,公共数据授权运营作为一个新兴板块,其相关基础理论尚存争议,立法经验与实践经验尚浅,由中央立法为时过早;实践层面,目前国家公共数据的整合情况不如地方,且各地方开展公共数据授权运营的经济条件又有差异。鉴于此,这部分学者认为采用中央立法模式不切实际,尽管公共数据授权运营立法迫在眉睫,但制度构建并不能一蹴而就,而应“摸着石头过河”,按部就班地开展立法探索,为国家立法提供经验积累,从而降低中央统一立法失败的风险,提高国家立法的科学性与合理性。

  对比两种立法模式可以发现,采用中央立法模式虽然能保证形式的统一性,但难以符合地方实际需求。其一,中央立法模式难度更大。公共数据授权运营立法是一个全国性的难题,没有成熟经验可资借鉴,且公共数据的分级分类、授权运营模式、收益分配方式等基础性问题仍存在较大争议,导致中央统一立法难度极大。其二,中央立法模式实用性较低。由于各地开展公共数据授权运营的实际情况并不一致,地区间的数据市场以及经济发展程度很不平衡,统一立法可能导致地方授权运营实践“生搬硬套、削足适履”,有违市场经济多元化发展的客观规律。

  采用地方立法模式虽然更灵活多变,但也可能出现举措失当的问题。其一,地方立法针对性不强。从当前地方公共数据的相关立法可以发现,地方立法趋于保守,多为指导性和原则性规定,并未对关键问题进行具体设计,可操作性较差。《济南市公共数据授权运营办法(征求意见稿)》所设章节虽然面面俱到、包罗万象,但对公共数据如何授权运营、如何分配收益、如何监督管理等问题明显回应不足。其二,地方立法存在重复、抵触现象。从各省市公共数据相关的立法实践不难发现,地方立法具有高度的重合性,其虽然能保持形式一致,但难以保证所立之法的可操作性,遑论培育发展数据市场。

  可见,中央立法模式和地方立法模式各有利弊,有必要综合考量立法成本、立法难度、实用性等具体因素,以期选择我国公共数据授权运营最佳的立法模式。

  (二)选择:确立“地方先行先试”的授权运营立法模式

  在权衡两种模式利弊的基础上,确立“地方先行先试”的立法模式。“地方先行先试”模式具有阶段性和试验性特征,是通过检验立法的实效性而进行的自治性活动。“先行”要求地方“立法先行”,在政策指引下,地方积极推动公共数据授权运营制度构建与实践探索。“先试”则要求以“试错先行”的方式,发挥实践对理论的检验作用,通过地方授权运营的立法试验,发现错误、总结经验,中央根据地方立法得失再行立法并予以推广,确保未来中央层面的立法更具普适性。

  “地方先行先试”并不是完美的立法模式,却是当下公共数据授权运营立法模式的最优选择。一方面,鉴于公共数据相关基础理论并未统一,地方的客观实践情形又各有不同,且立法部门对公共数据利用的认识还不深入,统一立法的时机并不成熟,转而由地方因地制宜,各自探索公共数据授权运营立法更符合科学立法原则。因此,通过地方先行探索公共数据授权运营立法,并深入实践调研以发现公共数据授权运营中的真实问题,测评所立之法的合理性与实用性,从而形成一批可复制、可推广的经验做法和制度性成果。随着地方立法与实践经验的逐渐积累,由国家对地方立法进行取长避短,制定更高层次的制度规范,从而确保国家层面的制度构建更加包容、科学、合理。另一方面,放弃“中央立法模式”并不是摒弃中央立法,而是循序渐进,更注重立法的规律性和合理性。当前,公共数据的相关基础理论尚存争议,有必要由国家在宏观层面对公共数据的概念、范围、分类分级等重要事项进行整体把握,通过立法保持在重要事项上的统一性,以便公共数据在全国范围内流通利用。同时,中央应通过政策文件对公共数据授权运营作出政策性指导,以鼓励开发利用公共数据,推进地方公共数据授权运营立法与实践。

  总之,中央立法与地方立法是一体两面、相辅相成的关系,“地方先行先试”立法模式要求以公共数据授权运营立法为目标导向,由中央对公共数据基础问题和地方实践作出政策性指导,由地方开展公共数据授权运营立法探索,为中央层面立法总结可复制、可推广的制度经验,最终形成“现实问题导向—政策原则指导—地方立法探索—总结上升为法律”的立法探索路径。

  四、公共数据授权运营立法的理念与结构设计

  科学合理的立法理念和清晰严谨的立法结构是公共数据授权运营立法质量的重要保证,也是指导和实施公共数据授权运营的重要保障。在“地方立法先行先试”的立法模式基础上,地方公共数据授权运营立法应以效率与安全并重作为立法理念,以实用性立法结构设计来构建公共数据授权运营制度。

  (一)效率与安全并重理念的设计

  “立法不依法之理念,则为恶法,窒碍难行。解释法律不依此指导原理,则为死法,无以适当(应)社会之进展。”统一的公共数据授权运营立法理念,对于公共数据授权运营制度的构建与应用有着重要的指导与规范作用,因而,有必要研究公共数据授权运营的立法理念,并解释其如何指导地方探索公共数据授权运营立法。

  公共数据授权运营立法的理念应是对其本质及发展规律的一种宏观的、整体的理性认知、把握和建构,是立法实然和应然的统一,也是其本质与价值追求的统一。为了释放公共数据价值,培育数据要素市场,推动数字经济高质量发展,在初始阶段采用公共数据开放的方式,却面临数据可用性低、利用效率低、安全风险大等窘迫局面。在此背景下,政府欲推行公共数据授权运营可以引入市场机制,授权专业、可信赖的第三方负责公共数据产品与服务运营,以提升公共数据利用效率。同时,开展公共数据授权运营可能诱发一定程度的安全风险,且云环境中数据安全保护更为复杂,稍有不慎,可能造成公共数据泄密、非法扩散或破坏,损害国家安全、公共利益以及公民、社会组织的合法权益。而《数据安全法》《网络安全法》《个人信息保护法》等皆强调在确保安全的前提下开展数据利用。因此,推行公共数据授权运营立法的根本目的,是在保障公共数据安全的前提下,提升公共数据利用效率,而非只要效率或只顾安全。因此,在立法理念设计时,应以效率与安全并重为立法理念,当效率理念与安全理念发生冲突时,则应以安全理念为先。

  效率与安全并重的立法理念不仅是公共数据授权运营立法实然和应然的统一,也是其本质与价值追求的统一。就法的实然与应然而言,效率与安全并重理念既是制度规范下授权运营效率得以提高与安全得以保障的理性认识,也是制度规定对实现授权运营效率与安全目标的主观追求,从而实现立法实然与应然的统一。就法的本质与价值追求而言,公共数据授权运营立法的本质即政企合作利用公共数据的行为,其目的是发挥制度的指引作用以推动公共数据授权运营,发挥制度的约束作用以规范授权运营行为,从而实现对效率价值和安全价值的追求。安全与效率并重理念既是对公共数据授权运营立法本质特征的高度概括,也反映了制度制定与实施所期望实现的价值追求,是公共数据授权运营立法本质与价值追求的统一。

  在效率与安全并重理念的指引下,公共数据授权运营制度内容的设计需要注意以下几个方面:一是在授权主体方面,其立法需要明确授权主体,以统一管理、指导、协调和监督公共数据授权运营,从而兼顾授权运营安全和效率;二是在运营主体方面,其立法需要从效率和安全两方面设计运营主体的准入和退出条件,以满足公共数据授权运营所需;三是在授权运营的数据范围方面,其立法需要明确公共数据授权运营的分类分级标准,设计合理的分类标准以提升授权运营效率,制定合理的分级标准以保障授权运营安全;四是在监督管理方面,其立法需要明确各主体对效益的保障义务以及授权主体对效益的监督考核职责,以督促并激励各主体提升授权运营效率。同时,需要明确各主体的安全保障义务和授权主体的安全监管职责,实现对授权运营全方位、全流程、全覆盖的安全监管。

  (二)实用性立法结构的安排

  制度设计除了需要明确的立法理念,还需要设计科学合理的立法结构,以保证立法内容设计的针对性、全面性与系统性,以期为地方公共数据授权运营立法探索提供参考。

  从现有地方公共数据授权运营立法来看,《北京市数据特区管理办法(征求意见稿)》的结构包括总则、授权运营管理机制、授权运营工作流程、运营单位管理要求、数据管理要求、安全管理与考核评估、附则等内容;《成都市公共数据运营服务管理办法》的框架主要包括总则、平台建设、数据授权和利用、监督安全管理和附则等内容;《浙江省公共数据授权运营管理暂行办法》包括基本原则和工作机制、授权程序和条件、授权运营单位的行为规范、数据安全与监督管理、其他事项等主要章节;《济南市公共数据授权运营办法(征求意见稿)》包括总则、授权运营的公共数据、运营单位管理、授权运营平台、附则的立法结构等内容;《长春市公共数据授权运营管理办法》的立法结构包括总则、授权程序和条件、数据申请与开发利用、数据安全与监督管理、附则等内容。总结上述各种立法结构不难发现,现有地方立法除在总则、附则、监督与安全管理,不同的章节主要包括职责分工、运营单位、平台建设、授权程序、授权运营的公共数据等部分,反映了立法结构的不同设计。一是原则性立法结构设计,对公共数据授权运营进行宏观指导,给地方公共数据授权运营实践探索留足了空间,如济南市、成都市立法均包容多种授权运营模式,只对授权运营核心内容作出规范,因而条文数量较少,以待市场自行探索;二是规范性立法结构设计,即按照公共数据授权运营的法律关系进行结构设计,如浙江省以全面规范和指引公共数据授权运营;三是实用性立法结构设计,即注重从授权运营的实践需要出发,按照数据授权运营应用的需要来设计立法结构,如北京市、长春市。

  对比以上几种不同的立法结构,原则性立法结构虽然给地方市场探索留足了空间,但多种授权运营模式的存在可能并不利于数据授权运营的统一管理,也不利于授权运营的安全保障;规范性立法结构尽管可以保证立法的形式合理性,但在理论与实践经验缺乏的情况下忽略了立法难度,且规定过细反而可能限制公共数据授权运营的发展。因此,本文倾向于实用性立法结构。一方面,当前公共数据授权运营的相关理论与实践仍有诸多争议,立法规定过细可能限制授权运营模式的多元化,甚至可能束缚或者误导授权运营实践探索;另一方面,立法的作用在于服务和指导授权运营的实践探索,在不违反上位法的前提下,着眼于公共数据授权运营的规范需要,不过分拘泥于制度的形式规范性,以公共数据授权运营的具体流程和核心内容形成兼具逻辑性和实用性的立法结构,可设计为总则、授权运营的公共数据、授权程序和条件、监督和安全管理、附则等部分。

  五、公共数据授权运营制度的主要内容

  立法并非是随心所欲的,在对立法理念和立法结构合理设计后,需对立法内容进行科学、规范,以保证所立之法的实用性,保障公共数据授权运营的效率与安全。尽管地方公共数据授权运营模式各不相同,但鉴于未来中央统一立法的制度需要和数据统一大市场的发展趋势,地方公共数据授权运营立法应尽量在主要内容上趋于一致,包括授权主体、运营主体、授权运营的数据范围、监督和安全管理等。

  (一)授权主体:统一授权模式

  基于现有“三权分置”的产权机制,实践中具有授权资格的主体包括地方政府、公共数据主管部门和行业主管部门等,由此,地方实践也形成了统一授权与分散授权两种授权模式。统一授权模式是指在某一行政区域内,由地区政府或公共数据主管部门统一对外授权运营公共数据的模式,如北京市、成都市、贵阳市、淮北市等省、市采用统一授权模式。分散授权模式是指由各公共管理和服务机构对本系统内的公共数据开展授权运营,如济南市采用分散授权模式。分散授权模式可调动各授权单位的积极性,快速培育公共数据要素市场,但易造成各行其是的混乱状态,导致某一行政区域内授权运营标准不一,不利于统一市场的形成和授权运营安全保障,且易导致重复建设,造成巨大的“沉没成本”。相对而言,统一授权模式更有利于授权部门对授权运营的统一管理,且其所提供的公共数据更为综合、全面,因而市场规模更易壮大,但统一授权模式无形之中可能会降低部分公共管理和服务机构的积极性,从而不利于公共数据授权运营的开展。

  权衡两种模式的利弊,本文建议公共数据授权运营立法采用统一授权的主体模式,由公共数据主管部门统一管理、协调、指导和监督公共数据授权运营工作,在保障授权运营安全的同时,可避免重复建设,扩大公共数据市场规模,从而提高公共数据授权运营效率。统一授权可通过构建合理的收益分配方式,平衡各公共管理和服务机构的利益,以激励其开展公共数据汇集与利用。但这并非是完全否定分散授权方式,各省市立法可根据地方实际情况选择统一授权模式、分散授权模式或多元模式,以兼顾公共数据授权运营效率和安全。

  (二)运营主体:准入条件和退出条件

  考察各地授权运营实践可以发现,运营主体主要包括国有企业和非国有企业,从而形成了国有资本运营和市场化运营两种模式。如贵阳市、成都市等授权国有企业独家运营公共数据,而北京市、济南市、淮北市等地方政府正在探索市场化授权运营模式。国有资本运营模式更有利于保证授权运营安全,但由于公共机构在资金、技术、人才等方面“捉襟见肘”,可能并不了解市场真实需求,因而较难提供高质量的产品与服务。市场化运营方式虽然能充分吸纳市场资金、技术、数据等要素参与运营,推进商业模式和产品服务创新,但是基于参与主体的多元化和数据流通过程的复杂化,公共数据安全未必能够得到有效保障。这两种模式仅是从运营主体的所有制形式进行考察,单一的考察条件并不能满足选择适合的运营主体,从而兼顾运营效率和安全的要求。换言之,采用国有资本运营模式也并非没有效率,而采用市场化运营模式也不代表不安全。因此,地方立法不必对运营主体的所有制形式进行限制,应当设立被授权主体的准入条件和退出条件,对运营主体的资质、能力等进行实质考察。

  就准入条件而言,公共数据授权运营立法应以安全保障能力和基础业务能力作为运营单位的资格要求。运营主体不仅需要具有相应的安全保障能力,如健全的安全管理制度与应急方案、相应数量的数据合规人员配置,以此考量运营单位能否保障运营安全;运营主体也需具备相应的基础业务能力,如良好的财务状况和信用状况、过往从业经验或业务范围、切实可行的经营方案、相应数量的数据技术人员等条件。就退出条件而言,运营主体的退出条件应当包括法定情形和约定情形。对于约定情形,公共数据授权运营立法应规定,授权主体和运营主体可在授权协议中约定解除情形,当约定情形满足时才可解除合同。法定情形则是由授权运营管理办法以及其他法律法规规定的情形,在不违反上位法的原则下,公共数据授权运营立法可从安全和效率两方面规定退出情形。其相应规定包括以下内容:擅自转让、出租运营权;年度绩效考核未达到合格标准;擅自留存、使用、泄露或者向他人提供公共数据;因运营管理不善发生重大安全事故;年度数据安全检测评估、认证未达到能力与资质要求等情形。

  概言之,公共数据授权运营立法应设立运营主体的准入条件和退出条件,以基础业务能力和安全保障能力作为准入条件,以法定情形和约定情形作为退出条件,从而保障授权运营安全和效率。

  (三)授权运营的公共数据:公共数据分类分级标准

  在公共数据尚未厘清或难以厘清的情况下,明确公共数据授权运营的数据范围,对提升授权运营效率、保障授权运营安全尤为重要。大部分学者认为非开放类公共数据不得授权运营,无条件开放类公共数据也无需纳入授权运营的范围,可授权运营的数据范围应是受限开放的公共数据。尽管授权运营的数据范围与开放的数据范围存在重合,但由于公共数据授权运营引入了市场机制,与开放存在本质区别,授权运营并不可直接适用开放数据的分类标准。对此,公共数据授权运营立法有必要明确授权运营的数据范围,同时,确立公共数据授权运营的分类分级标准,以统一规定公共数据标准和授权运营的数据范围。当前,绝大多数省、市地方政府仍未确立公共数据授权运营的分类分级标准,且从这些地方已出台的相关文件来看,已有的分类分级标准各不相同。

  公共数据分类是分级的基础,即根据公共数据的属性或特征按照一定的原则和方法对公共数据进行归类,以服务于管理和应用活动。目前,已有的分类方法主要包括线分类法、面分类法和混合分类法,如浙江省、江苏省、重庆市主要采用混合分类法,福建省采用线分类法,上海市采用面分类法。面分类法是并行化分类方式,同一层级可包含多个分类维度,易于添加和修改,但所列维度不一定能满足实际需要;线分类法是纵向化分类方式,可厘清不同类别公共数据之间的逻辑关系,但不易改动结构,当分类层次较多时效率较低;混合分类法以一种分类方法为主,另一种为补充,可弥补上述两者的不足。换言之,面分类法适用于多维度分类的场景,线分类法适用于单一维度分类的场景,混合分类法适用于以面分类法划分大类、线分类法划分小类的场景。高质量的公共数据供给是分析使用公共数据、释放公共数据价值的前提,对于公共数据授权运营分类,更推荐采用混合分类法,以保证分类的多元化和精准化,满足授权运营效率的需要。具体而言,在科学性、扩展性、系统性分类原则指导下,可根据公共数据授权运营的具体需要,并结合公共数据的来源、内容、属性和特点,在一级维度方面,采用面分类法构建分类,如以主题、场景、部门等维度展开分类;在每个维度之下,根据授权运营需要,采用线分类法进行小类之后的细分,以提升公共数据授权运营效率。

  公共数据分级是依据公共数据的重要性或影响程度进行定级,旨在保护相关主体权益和公共数据安全。常见的公共数据分级方法包括以下两种:根据敏感程度分级和根据影响程度分级,如贵州省、福建省、重庆市、江苏省、浙江省大部分省市均以敏感程度或被违规操作后的影响程度为划分依据。公共数据依据敏感程度可分为非敏感数据、低敏感数据、较敏感数据和敏感数据四级,按照影响程度可分为无影响数据、一般影响数据、严重影响数据和特别严重影响数据四级。对于公共数据授权运营的分级方法,建议以公共数据敏感程度为分级方法,以数据价值、重要性、影响程度等为参考要素,将公共数据分级为可授权运营(非敏感数据)、限制授权运营(低敏感数据、较敏感数据)和禁止授权运营(敏感数据)三种安全等级。由于公共数据的基础理论尚未成熟,地方立法可根据敏感程度分级明确禁止授权运营的数据,以保障公共数据授权运营安全。

  综上,在保障公共数据安全的同时,尽可能提供高价值的公共数据源,地方公共数据授权运营立法可探索以混合分类法分类、敏感程度分级对公共数据授权运营制定分类分级标准,规定由授权单位制定并及时更新公共数据授权运营目录;同时,涉及国家秘密、商业秘密、个人隐私、国家安全,以及法律、法规、规章规定涉密的公共数据,属于禁止授权运营的公共数据,且公共数据只有经脱密、脱敏或匿名化处理后方可被纳入授权运营范围,以明确公共数据授权运营的数据范围。

  (四)安全与监督管理:安全和效益的双重监督考核标准

  公共数据授权运营强调在安全可控的前提下提升公共数据利用效率,技术应用效果的未知性以及各主体对安全义务的漠视或懈怠履行,均可能带来数据滥用、数据泄密、数据损毁等风险,且数据提供不充分、数据运营不积极、数据定价不合理、收益分配不公平等,也将严重影响公共数据的运营效益。因此,公共数据授权运营立法有必要明确对安全与效益的监督考核标准,以保证授权运营安全与效率。

  1.对安全的监督考核标准

  第一,公共数据授权运营立法需明确数源单位、运营主体、授权主体的安全保障义务。数源单位应按照分类分级标准收集整理公共数据,并将公共数据安全传输至公共数据平台。授权主体需加强授权运营平台的安全建设和管理,建立健全授权运营安全管理制度和工作规范,制定安全应急处理和灾难备份恢复方案,完善身份认证、访问控制、电子签章、数据审计追踪等技术防控措施,以保障公共数据安全和平台安全。运营主体需制订安全审查、风险评估、监测预警等管理方案,完善接入授权运营平台的安全防护设施,需经授权单位审核同意后方可使用公共数据,不得泄露、篡改或者毁损公共数据,确保数据使用过程安全可控、可溯源。运营主体应确立安全管理机构和安全管理责任人,并定期开展安全培训与安全演练,定期向授权主体报送风险评估报告,接受相关单位的监督和检查。

  第二,公共数据授权运营立法需规定授权主体的安全监管职责。授权主体可采用现场检查、询问调查等方式,不定期对运营情况、应用场景等进行安全监督,也可推行非现场监管、信用监管、风险预警等新型监管模式,创新授权运营安全的多元监管方式。同时,授权主体可委托第三方机构对运营单位开展安全检测评估,并积极处理自然人、法人或非法人组织对授权运营安全问题的投诉与举报,实现对授权运营安全的多主体协同监管。运营主体若存在违反安全保障义务的情况,主管部门可约谈运营主体的法定代表人或者主要负责人,责令其予以整改;未按要求改正的,授权主体可终止授权,相关不良信息依法记入其信用档案,以督促运营主体积极落实安全保障义务。

  2.对效益的监督考核标准

  第一,公共数据授权运营立法有必要明确各主体对授权运营效益的保障义务。数源单位需及时提供、维护和更新数据,保障数据的准确性、完整性、可用性和时效性。运营主体应定期报告运营情况,接受主管部门的监督考核。

  第二,公共数据授权运营立法需明确授权主体对效益的监督管理职责。在授权运营过程中若发现公共数据质量问题,授权主体应督促数源单位在规定期限内改善数据质量。授权主体需对运营主体的服务提供状况、服务满意度等开展定期评估,组织有关单位、专家或者委托第三方专业机构,对公共数据授权运营工作开展评估。授权主体根据评估结果,对运营单位的失范行为,可视情节轻重采取约谈、责令整改、暂停运营等措施,严重的可以采取处罚、终止授权等措施,以保障授权运营的高效。

  概言之,地方公共数据授权运营立法需明确相关主体的安全保障义务和运营主体的安全监管职责,建立“谁提供谁负责、谁授权谁负责、谁运营谁负责”的安全责任制,确保数据来源可溯、去向可查、行为留痕、责任可究,实现对公共数据授权运营安全的监管。同时,地方立法需明确各主体对效益的保障义务以及运营主体对效益的监管职责,督促各主体积极投身公共数据授权运营,保证数据供给充足、数据运营高效。

  六、结  论

  公共数据授权运营立法对规范和指引公共数据授权运营、释放公共数据价值和培育数据要素市场的重要性不言而喻。无论是理论条件还是经济条件,抑或立法的必要性,加快公共数据授权运营立法正当其时。公共数据授权运营立法可采用“地方先行先试”的立法模式,探索“现实问题导向—政策原则指导—地方立法探索—总结上升为法律”的立法路径。在具体制度构建上,地方公共数据授权运营立法应遵循安全与效率并重的立法理念,采用实用性立法结构,授权主体采用统一授权的模式,运营主体应以基本业务能力和安全保障能力设置准入条件,以法定情形和约定情形设置退出条件,授权运营的公共数据范围应遵循以混合分类法分类、敏感程度分级的标准,并设置以安全和效益为对象的双重监督考核标准。公共数据授权运营制度不可或缺,其立法难度也决定了立法过程不可能一蹴而就,具体制度构建仍有较大理论空间和进一步深入研究的必要。

更多精彩,请关注“官方微信”

11.jpg

 关于国脉 

国脉,是大数据治理、数字政府、营商环境、数字经济、政务服务、产业服务等领域的专业提供商。创新提出“软件+咨询+数据+平台+创新业务”五位一体服务模型,拥有营商环境流程再造系统、营商环境督查与考核系统、政策智能服务系统、数据基因、数据母体、产业协作平台等几十项软件产品,长期为中国智慧城市、智慧政府和智慧企业提供专业咨询规划和数据服务,运营国脉电子政务网、国脉数字智库、营商环境智库等系列行业专业平台,广泛服务于发改委、营商环境局、考核办、大数据局、行政审批局、优化办等政府客户和中央企业。


责任编辑:ouruijia