引言
2024年底至2025年初,国家数据局密集发布数据政策,促进数据产业和数字经济高质量发展(详见前期文章:好风凭借力——详解国家数据局等部门密集出台数据政策)。随即1月20日当天,国家发改委、国家数据局专门就公共数据授权运营发布了三份文件。这是2022年“数据二十条”从中央层面明确公共数据授权运营后,国家首次具体部署公共数据授权运营工作,包括《公共数据资源授权运营实施规范(试行)》《公共数据资源登记管理暂行办法》《关于建立公共数据资源授权运营价格形成机制的通知》。
2022年12月,《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》从中央层面首次明确授权使用的概念,突进数据分类分级确权授权使用和市场化流通交易,相关政府规划及行业领域也探索构建授权运营制度。
*金杜网络安全与数据合规团队整理:公共数据授权运营政策脉络
一、公共数据资源授权运营实施规范
1. 什么是公共数据资源授权运营?
《国家发展改革委 国家数据局关于印发<公共数据资源授权运营实施规范(试行)>的通知》(发改数据规〔2025〕27号,下称《实施规范》)中明确,授权运营是指将县级以上地方各级人民政府、国家行业主管部门持有的公共数据资源,按照法律法规和相关要求,授权符合条件的运营机构进行治理、开发,并面向市场公平提供数据产品和技术服务的活动。
值得注意的是,《数据领域常用名词解释(第一批)》中将公共数据定义为各级党政机关、企事业单位依法履职或提供公共服务过程中产生的数据。而《实施规范》中不包括企事业单位主体。从概念上来看,公共数据包括政务数据,《实施规范》仅针对政务数据实施授权运营,而不包括政务数据以外的其他公共数据。政务数据以外的公共数据是指企事业单位依法履职或提供公共服务过程中产生的数据。对此,《实施规范》明确,中央党群机关、县级以上各级地方党委持有的公共数据资源,以及供水、供气、供热、供电、公共交通等公用企业持有的公共数据资源,可以参照《实施规范》的有关程序要求授权使用。鉴于企事业单位主体可以开展商业活动,因此对其所掌握的公共数据资源可以通过授权使用(如数据共享、数据交易等方式)。不过,《实施规范》相对还是将参照适用的主体范围限定于“供水、供热、供电、公共交通等公用企业”,而非所有的企事业单位。
此外,《实施规范》也明确了开展授权运营活动的有关主体概念。实施机构是指由县级以上地方各级人民政府或国家行业主管部门结合授权模式确定的、具体负责组织开展授权运营活动的单位;运营机构是指按照规范程序获得授权,对授权范围内的公共数据资源进行开发运营的法人组织。
2. 公共数据资源授权运营的基本要求是什么?
《实施规范》明确,公共数据资源授权运营应遵循依法合规、公平公正、公益优先、合理收益、安全可控的原则。在此基础上,公共数据资源授权运营应当保护数据安全和防范数据垄断。一方面,应当落实数据分类分级保护制度要求,不得危害国家安全、公共利益,不得侵犯商业秘密和个人隐私、个人信息权益;另一方面,不得滥用行政权力或市场支配地位排除、限制竞争,不得利用数据和算法、技术、资本优势等从事垄断行为。
就体制机制而言,《实施规范》明确国家数据局对全国公共数据资源授权运营工作进行统筹协调管理,动态掌握全国公共数据资源授权运营情况,加强政策、业务指导;省级数据管理部门具有综合协调、监督管理等作用,应强化数据资源整合,提升数据服务能力,充分发挥公共数据资源规模化应用效应;国家行业主管部门负责推动本部门公共数据资源授权运营工作,指导本行业加强授权运营范围内的行业数据资源管理。
3. 公共数据资源如何授权运营?
根据《实施规范》,公共数据资源授权运营包括四个步骤:编制方案、签订协议、实施运营和运营管理。
(1)编制方案。公共数据资源授权运营首先应编制实施方案,编制主体为县级以上地方各级数据管理部门、国家行业主管部门数据管理机构,或在其指导下,由本地区、本部门各类实施机构编制。实施方案需包括十二方面内容,其中值得注意的是可行性论证,以及数据安全、个人信息保护措施和应急处置措施。对于可行性论证,《实施规范》要求应当至少包括授权运营数据全生命周期管理服务、社会需求、市场规模、预期成效、风险防控等。
实施方案需经本级人民政府或国家行业主管部门的部(委、局)务会审议。经审定同意的实施方案,原则上不得随意变更。
(2)签订协议。实施机构根据实施方案,应当采取公开招标、邀请投标、谈判等公平竞争方式选择运营机构。经依法选定运营机构后,实施机构应按照程序与其签订公共数据资源授权运营协议,协议的内容应包括十三方面内容。招标、采购、谈判文件有关授权运营协议内容应充分征求各方意见。
《实施规范》要求,公共数据授权运营期限原则上不超过5年,应当约定数据安全、个人信息保护要求和风险监测、应急处置措施。同时,《网络数据安全管理条例》第十五条规定,国家机关委托他人建设、运行、维护电子政务系统,存储、加工政务数据,应当按照国家有关规定经过严格的批准程序,明确受托方的网络数据处理权限、保护责任等,监督受托方履行网络数据安全保护义务。
值得注意的是,2024年12月,第十四届全国人民代表大会常务委员会第十三次会议上,审计署审计长受国务院委托作了《国务院关于2023年度中央预算执行和其他财政收支审计查出问题整改情况的报告》,其中指出“关于利用政务数据牟利成为新苗头的问题”。报告披露,3个部门已停止利用5个系统数据违规对外收费行为,涉及金额8101.29万元;2个部门修订3项数据管理制度,完善数据业务审批流程。实际上,2024年6月《国务院关于2023年度中央预算执行和其他财政收支的审计工作报告》中,就发现了“利用政务数据牟利成为新苗头”的问题,指出有4个部门所属7家运维单位未经审批自定数据内容、服务形式和收费标准,依托13个系统数据对外收费2.48亿元。由此可见,《实施规范》虽迈出重要一步,对公共数据授权运营作出具体部署,但也较为谨慎,反复强调“三重一大”决策机制等体制机制内部风险管控措施。
(3)运营实施。《实施规范》要求实施机构建立健全安全可控的开发利用环境,采用隐私计算等安全可信流通技术应用。实施机构、运营机构应当按照要求进行公共数据资源登记,公共数据产品和服务价格要按照国家有关价格政策执行。对此,可进一步参考《公共数据资源登记管理暂行办法》和《关于建立公共数据资源授权运营价格形成机制的通知》。同时,《实施规范》还要求实施机构和运营机构接受社会监督,定期向社会披露公共数据资源授权及使用相关情况。
(4)运营管理。《实施规范》要求,实施机构应建立健全管理制度,强化数据治理,提升数据质量,落实数据分类分级保护制度要求,加强技术支撑保障和数据安全管理,严格管控未依法依规公开的原始公共数据资源直接进入市场,强化对运营机构涉及公共数据资源授权运营的内控审计。《实施规范》还明确,运营机构应当履行数据安全主体责任,这与《网络数据安全管理条例》的要求一致,其中明确网络数据处理者对所处理的网络数据的安全承担主体责任。我们理解,所谓的主体责任就是一种主动证明合规的责任,相对于一般义务而言更高,需要更充分、更全面的合规自证明工作。
二、公共数据资源如何登记管理?
1月20日,国家发改委、国家数据局印发了《公共数据资源登记管理暂行办法》(下称《登记办法》),以规范公共数据资源登记工作,构建全国一体化公共数据资源登记体系,促进公共数据资源合规高效开发利用。
1. 哪些公共数据资源需要登记?
与《实施规范》不同的是,《登记办法》又回归了“数据二十条”和《数据领域常用名词解释(第一批)》的定义,指出公共数据资源是指各级党政机关、企事业单位依法履职或提供公共服务过程中产生的具有利用价值的数据集合。相对而言,《登记办法》在主体上又将“企事业单位”覆盖其中,但是对数据类型进行了限定——“具有利用价值的数据集合”。《中共中央办公厅 国务院办公厅关于加快公共数据资源开发利用的意见》中要求,对纳入授权运营范围的公共数据资源实行登记管理。《登记办法》对此亦有所拓宽。
《登记办法》所适用的公共数据资源,宽于《实施规范》但窄于“数据二十条”。“数据二十条”和《数据领域常用名词解释(第一批)》对公共数据资源的理解一致,内涵和外延最宽。《实施规范》主要适用于授权运营的场景,因此在主体上有所限缩。《登记办法》则主要服务于资源管理,因此更强调公共数据资源的价值,促进登记工作的有效性和实用性。
2. 公共数据资源如何登记?
《登记办法》明确了两种情形,以与《中共中央办公厅 国务院办公厅关于加快公共数据资源开发利用的意见》保持一致。一种是强制性登记,即直接持有或管理公共数据资源的党政机关和事业单位,应对纳入授权运营范围的公共数据资源进行登记;另一种是鼓励性登记,鼓励对未纳入授权运营范围的公共数据资源进行登记。《登记办法》特别明确鼓励对两类数据产品和服务进行登记:利用被授权的公共数据资源加工形成的数据产品和服务;供水、供气、供热、供电、公共交通等公用企业对直接持有或管理的公共数据资源及形成的产品和服务。
公共数据资源登记包括申请、受理、形式审核、公示、赋码等程序,涉及登记主体、登记机构和登记平台等。登记主体是指根据工作职责直接持有或管理公共数据资源的单位,以及依法依规对授权范围的公共数据资源进行开发运营的法人组织;登记机构是指由国家和地方数据管理部门设立或指定的、提供公共数据资源登记服务的事业单位;登记平台是指支撑公共数据资源登记全流程服务管理的信息化系统。
(1)登记。登记包括首次登记、变更登记、更正登记和注销登记。首次登记中,登记主体在开展授权运营活动并提供数据资源或交付数据产品和服务后,在20个工作日内提交申请,而在《登记办法》施行前已开展授权运营的,应在《登记办法》施行后30个工作日内登记。登记情况发生重要更新或者重大变化的,应当及时申请变更登记。登记信息有误的,登记主体或利害关系人可以申请更正登记。《实施办法》对四种情形规定了注销登记要求,登记主体应申请办理注销登记,登记机构自受理之日起10个工作日之内完成注销。
(2)登记时限。《登记办法》规定,受理申请的时限为3个工作日,形式审核的时限为20个工作日,公示期为10个工作日,公示期满无异议的,登记机构向登记主体发放登记结果查询码,从而完成登记工作。累计时限为33个工作日,大约相当于46个自然日。
(3)有效期限。登记结果有效期原则上为三年,自赋码之日起计算。有效期届满的,登记主体可在期满前60日内续展,每次续展期最长为三年。期满未续展的,由登记机构予以注销。
三、公共数据资源授权运营如何定价?
1月20日,国家发改委、国家数据局引发了《关于建立公共数据资源授权运营价格形成机制的通知》(下称《价格通知》),明确建立公共数据资源授权运营价格形成机制,促进公共数据资源合规高效流通使用。
1. 定价管理
授权主体(开展公共数据资源授权运营的有关地区、部门和单位)指导运营机构建立各类应用场景下可提供的数据产品和服务项目清单,区分不同场景确定是否收费。对用于公共治理、公益事业的,免费提供;对用于产业发展、行业发展的,可收取公共数据运营服务费。
公共数据资源授权运营采取政府指导价管理,即按照《价格法》规定,由发改委数据管理部门,按照定价权限和范围规定基准价及其浮动幅度,指导制定数据产品和服务价格。《价格通知》确立了中央归中央、地方归地方的定价指导机制,国家数据局设立或指定登记机构登记的数据产品和服务,按程序纳入中央定价目录;地方数据管理部门设立或指定登记机构登记的数据产品和服务,按程序纳入地方定价目录。
2. 定价程序
定价程序包括三个层次,涉及政府机构、授权主体和运营机构。发展改革部门会同数据管理部门按照“补偿成本、合理盈利”的原则,核定运营机构最高准许收入。授权主体在最高准许收入范围内,进一步制定各类产品和服务的上限收费标准。运营机构在不高于上限收费标准的范围内,确定具体收费标准。
3. 定价标准
《价格通知》明确,最高准许收入包括经营成本、准许利润和税金。其中,经营成本指运营机构在提供用于产业发展、行业发展的数据产品和服务过程中发生的,扣除政府补助后的合理费用支出,主要包括授权运营相关平台建设和运维成本,数据传输、汇聚、存储、治理等成本,人力资源成本,获取公共数据资源的相关支出,以及期间费用等,具体通过成本调查确定;准许利润按照经营成本乘以准许利润率确定,而准许利润率按照成本调查前一年10年期国债平均收益率加不超过6个百分点确定,具体由有定价权限的发展改革部门会同数据管理部门明确;税金按照国家现行相关规定执行。
授权主体制定上限收费标准时,应统筹考虑不同应用场景下各类产品和服务的数据、算力、存储等资源使用,人力资源投入,以及销售规模等因素制定上限收费标准。具体可按产品数量、服务次数、服务时间、数据调用量等形式收费。
4. 定期评估和指导监督
《价格通知》明确了定期评估调整制度和指导监督要求,具体包括:①最长不超过3年评估一次,并根据情况调整最高准许收入和收费标准;②回应社会关注并提升透明度,及时调整定价过高、社会反应强烈的收费,及时向社会公示数据产品和服务项目清单及相关收费标准,防范违反价格规定或规范的行为;③每年3月底前,授权主体需要向发展改革部门、数据管理部门报送上一年度运营机构经营情况报告。报告应包括运营机构整体经营状况,开展授权运营的成本开支、实际收入及利润、具体产品和服务的销售规模及收入、实际收入与最高准许收入的偏离和收费标准调整等情况。
结语
公共数据授权运营与数据合规紧密相关,需在确保数据安全、个人信息保护和数据开发利用的平衡基础上进行,明确权责关系,建立健全全流程数据安全管理机制,完善收益分配与合规监管机制。国家发改委、国家数据局在同一天发布三份有关公共数据资源授权运营的文件,系统部署了相关具体工作,公共数据资源授权运营将进入实质性开展阶段。鉴于这是一项开创性、探索性的任务,且公共数据资源势必涉及重要数据、个人信息等,合规任务新且角度发生了变化。我们建议从以下几个方面布局好数据合规工作,有效防范数据安全风险。
1.做好基础数据合规。数据合规是开展所有数据处理活动的基础,建议对标《网络安全法》《数据安全法》《个人信息保护法》《网络数据安全管理条例》等法律规定,以及两办《关于加快公共数据资源开发利用的意见》等政策要求,按照分类分级的原则,识别重要数据、个人信息等数据类型,并做好基础性合规动作,留存合规记录,依法保护重要数据安全和个人信息权益。
2.妥善防控安全风险。根据上述法律规定,公共数据资源授权运营中涉及特定场景的,应当依法履行合规要求,防范合规风险。例如,涉及个人信息向第三方提供等场景时,需要依法进行个人信息保护影响评估;涉及重要数据转移的,需要依法开展风险评估。
3.构建危机应对机制。公共数据资源授权运营涉及数据处理,也需要格外重视数据泄露等安全事件,依法建立数据安全事件应急预案,定期演练复盘。意外发生数据安全事件时,依法履行报告义务。
扫码订阅“金杜律师事务所”,了解更多业务资讯
