進一步探索與規范公共數據授權運營

近日，中共中央辦公廳、國務院辦公廳正式發布了《關于加快公共數據資源開發利用的意見》（以下簡稱《意見》）。緊接著，國家發展改革委和國家數據局發布了《公共數據資源登記管理暫行辦法（公開征求意見稿）》（以下簡稱《辦法》）和《公共數據資源授權運營實施規范（試行）》（公開征求意見稿）（以下簡稱《規范》）。

三個文件響應了二十屆三中全會“加快構建促進數字經濟發展體制機制”的精神，是國家首次在中央層面對公共數據資源進行體系化部署，填補了頂層文件長期缺失的制度空白，為公共數據資源開發利用提供了明確的政策指引。

雙重困境

所謂公共數據資源，是指各級黨政機關、企事業單位依法履職或提供公共服務過程中產生的具有利用價值的數據集合，涵蓋了社會、經濟、文化、衛生等多個領域，比如全國人口普查數據、金融貿易數據、農業生產數據、氣象數據等。

《全國數據資源調查報告（2023年）》顯示，全年數據生產總量僅有2.9％的數據被保存，存儲數據中一年未使用的數據約占四成。在公共數據開放過程中，大量資源長期處于沉睡狀態，價值潛能尚未被喚醒。

不過，值得注意的是，一些潛在價值高的公共數據恰恰具有較高敏感性，直接開放存在較大安全風險。為了紓解市場需求與交易安全的矛盾，破除數據流通使用的體制性障礙，再加上政府部門數據處理能力的限制，公共數據授權運營方式應運而生。

從多省市公共數據授權運營的制度實踐來看，目前，公共數據授權運營實效不彰，直接抑制了公共數據資源的有效開發利用，影響了數字經濟的創新發展和政府治理效能的提升。

當前公共數據授權運營主要面臨著雙重困境：一方面，各地授權運營探索規則不明確，且法律層級較低，哪些公共數據可以被授權，應當具備何種條件，采取何種運營模式等問題要么模糊處理，要么標準不一，體制性障礙加大了區域數據向全國統一數據市場推廣的壁壘；另一方面，公共數據授權運營管理失范，全國一體化數據資源登記制度尚付闕如，授權運營監管機制治理效能不佳，安全責任承擔規則難以發揮規制作用，機制性梗阻阻礙了規范有序的數據要素市場形成。

如何探索

《意見》提出了“鼓勵探索公共數據授權運營”，《規范》要求由縣級以上地方政府、國家行業主管部門將持有的公共數據資源授權給運營機構治理、開發。為了構建全方位的授權運營規則，應對授權范圍、授權條件、運營模式和運營期限等要素進行逐一解讀。

授權范圍，即可納入授權運營的公共數據類型。公共數據按照開放屬性，分為無條件開放、有條件開放和不予開放三類。顯然，無條件開放的公共數據當然可以被授權運營，有條件開放的公共數據只要有符合授權要求的運營機構亦可納入授權范圍。問題在于，不予開放的數據是否一概緊閉授權運營的大門呢？對此，可參考廣州市做法，由數據資源持有者向運營機構提供經技術處理后的密文“計算因子”，運營機構再對該“計算因子”加以開發利用。也就是說，此類數據經脫敏和匿名化等技術處理后，也可授權至擁有較高安全要求和技術標準的運營機構。

對于授權條件，北京、上海、河北、浙江、貴州等地均提出了復合要求。總體來看，運營機構應當具備三項條件：一是基本條件，在符合國家和本地區公共數據授權運營規定的前提下，具備相應的行業資質和良好的經營狀況、信用狀況；二是運營服務能力，運營機構應具備對公共數據資源加工，并向市場提供產品和服務的基礎和軟硬件環境；三是技術安全要求，運營機構應建立成熟的數據安全保障系統和完善的數據安全應急預案，近3年內未發生網絡安全、數據安全事件。滿足上述條件的運營機構，向實施機構（指由縣級以上地方各級人民政府或國家行業主管部門結合授權模式確定的、具體負責組織開展授權運營活動的單位）提交申請并接受嚴格核查。核查通過的，雙方簽訂書面的公共數據資源授權運營協議。

對于運營模式，實踐呈現出整體授權、分領域授權和依場景授權等樣態。比如，福建成立大數據集團有限公司，統一對全省的公共數據開發利用，此類整體授權多為國有資本運營。北京設立多類公共數據專區，如金融領域由北京金融控股集團運營，貴州則按照“一場景一審核”原則，基于特定應用場景授權至運營機構，此兩類分領域和場景的授權多為特許經營方式，即由政府和社會資本開展合作。鑒于我國數據要素市場水平各異，各地公共數據資源稟賦不一，《意見》明確應結合實際選擇運營模式，不宜一概而論。

對于運營期限，由實施機構與運營機構雙方協商確定，并記載于授權運營協議之中。《規范》提出運營期限原則上最長不超過5年，這與北京、南京的規定相一致，安徽、湖北、浙江、江蘇等地將最長期限設定為3年。考慮到數字技術領域更新迭代快，數據市場需求變化大，期限不宜過長；而期限過短亦會消解運營機構持續投入和創新的熱情，阻礙優質運營平臺建設。綜合考量，運營期限上限應設定為5年為宜。

怎樣規范

公共數據授權運營，大眾最為關注的是數據安全問題。相較于《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《網絡數據安全管理條例》等規范性文本，近期發布的三個文件聚焦公共數據，強調健全資源管理制度，完善運營監督，加強安全管理，進一步豐富了公共數據安全領域的制度供給。在筆者看來，確保公共數據合規利用，需要從以下三個方面出發：

一是建立資源登記制度。通過國家公信力予以背書，有利于促進供需對接以節省交易成本，助力全國一體化數據市場的培育。《辦法》劃定了登記主體的范圍，即授權運營公共數據的直接持有者、管理者和開發運營者。登記客體不僅包含被授權運營的公共數據本身，還應涵蓋運營機構經加工利用后形成的數據產品和服務，以及經登記編制形成的資源目錄。經運營機構申請，公共數據資源登記服務機構開展審查，審查通過的予以公示并發放國家統一電子憑證。納入授權運營范圍的公共數據通常關涉國家安全和重大公共利益，應歸入數據分級中的國家核心數據和重要數據，理應審慎對待，采取更為嚴格的登記模式，即采取“登記生效主義”，未經登記不發生效力。

二是實現多方主體協同監督。在保障授權運營情況動態披露的前提下，充分發揮數據管理機構的監督主導作用，構建多方主體合力聯動監管機制。管理機構應提升風險防范能力，嚴格把控授權準入門檻，對運營機構的履約情況和技術安全處理能力實施定期評估，落實問題整改與優化管理，做好事前、事中和事后的全過程監督；運營機構應加強行業自律，自覺接受審計監督，并定期向數據管理部門報告運營工作；網信、公安、國家安全、保密等部門應建立系統的數據安全評估、報告、信息共享、監測預警機制，必要時對運營機構進行風險約談，并責令整改；社會公眾發揮評價性監督效能，對運營情況有異議的，可向數據管理部門提請申訴；引入第三方專業評審機制，設立專家委員會，對運營機構的數據處理行為以及安全情況開展評估和認證。

三是落實安全管理責任。公共數據實行“誰授權誰負責、誰運營誰負責”的責任制。實施機構應強化數據治理，提升數據質量，建立數據安全常態化運行管理機制。若原始數據存在侵權內容，實施機構未盡到公共數據的安全審查義務，導致運營機構生成的產品或服務侵權的，實施機構應承擔相應責任。運營機構應提升自身技術安全保障能力，在授權范圍內規范開發利用行為，確保數據來源可溯、去向可查、行為留痕、責任可究。若原始數據不存在侵權內容，但運營機構自身原因導致產品或服務侵權的，理應由運營機構承擔相應責任。若原始數據存在侵權內容，實施機構和運營機構均未盡到合理安全審查義務的，則出現責任競合，由雙方承擔比例連帶責任。