2022年是政企数字化转型蓬勃发展的一年。在作为数字化具体应用场景的政府招采领域及作为数字化实现条件的数字基础设施建设领域,数字化转型的立法及执法回顾请见本文政府采购及招投标篇及数字基础设施篇。
随着数字化转型在公共管理、服务中的广泛应用,数据开放共享越来越成为提升政务服务能力、助力智慧城市建设、促进数据要素市场蓬勃发展的重要前提,其中又以政企数据开放共享最为关键。一般而言,政企数据开放共享主要包含如下三种数据类型及三类主体:
目前,根据各地实践,常见的公共数据开放共享模式主要为以下三种:
早在2015年,国务院出台《促进大数据发展行动纲要》,强调要将大数据作为提升政府治理能力的重要手段,通过高效采集、有效整合、深化应用政府数据和社会数据,这其中包括加快政府数据开放共享,引导企业、行业协会、科研机构、社会组织等主动采集并开放数据。随后,《网络安全法》《数据安全法》的出台从法律的高度支持公共数据资源、政务数据开放共享,《公共信息资源开放试点工作方案》《十四五规划和2035年远景目标纲要》等国家政策及顶层设计则进一步强调公共数据开放及鼓励第三方对公共数据的挖掘利用。
同时,各省市也先后开展、落地数据开放共享领域的探索与实践,如贵州省人大常委会于2016年1月15日率先发布《贵州省大数据发展应用促进条例》,提出要推动公共数据开放共享,通过全省统一大数据平台“云上贵州”汇集、存储、共享、开放全省公共数据及其他数据,通过制定公共数据开放负面清单促进公共数据依法共享,并鼓励其他数据与他人共享、向社会开放。
可见,中央及地方政府高度重视政企数据有序开放共享,全面推进政策法规建设步伐,持续促进公共数据及社会数据融合赋能、实现数据要素市场化配置。但与此同时,我们也看到政企数据开放共享仍面临着诸多困境:
- 数据主体及权责、权属不明确。政企数据开放共享场景的参与主体较多,涵盖各类公共管理与服务机构及市场主体,数据权属及各主体在数据流动过程中的权责尚不明确。从各地已经发布的相关数据立法来看,数据开放共享标准、方式也尚待明晰。
- 数据开放共享意愿不强,政企数据融合程度不高。中央及地方数据立法主要从原则性、倡导性的角度鼓励政企数据开放共享,合规边界有待探索,可操作性尚待提升,相关主体尚处于观望状态,数据开放共享意愿不强,数据融合程度较低。
- 数据质量参差不齐,误导性信息仍然存在。政企数据开放共享场景中的数据质量问题也是当前的一大困境,部分数据产品的数据来源不明、数据内容存在偏差甚至错误,因数据产品质量而引发的侵权案件频发。数据频繁流动的未来趋势也必然对数据的真实、准确及时效性提出更高要求。
- 数据开放共享安全保障措施有待加强。虽然政策、法规已经提出要对数据进行分级分类管理,但如何分级分类、采取何种安全保障措施的规定还需进一步细化,而公共数据中可能包含敏感个人信息、重要数据甚至国家秘密,安全保障措施不到位的现状极易导致恶意网络攻击、数据泄露等安全事故。
因此,我们从政企数据开放共享的角度出发,回顾2022年政企数据开放共享领域的立法动态及司法案例,展望后续立法及实践方向,以明晰政企数据开放共享时应关注的合规要点,谨供各方主体合规参与数据市场、共促数字化转型参考。
一、数字化转型领域的政企数据开放共享年度立法动态回顾
(一) 顶层规划:立法大力鼓励政企数据开放共享,确定数据开放共享的原则性要求
1. 《关于构建数据基础制度更好发挥数据要素作用的意见》
2022年12月2日,中共中央、国务院发布《关于构建数据基础制度更好发挥数据要素作用的意见》(“二十条”),指出要加速数据要素市场培育和价值释放,夯实数字中国建设和数字经济发展基础,在强调释放数据价值、倡导数据开放共享的同时明确规定如何守住数据安全底线,并清晰阐述了公共数据、企业数据及个人数据的分级分类确权授权机制:
- 针对公共数据:鼓励公共数据在保护个人隐私和确保公共安全的前提下向社会提供,根据公共数据的不同属性及使用目的确定其利用方式,例如,不承载个人信息和不影响公共安全的公共数据应加大供给,用于公共治理、公益事业的公共数据应实现有条件无偿使用,用于产业发展、行业发展的公共数据应实现有条件有偿使用,依法予以保密的公共数据则不予开放。
- 针对企业数据:明确企业对其在生产经营活动中采集加工的不涉及个人信息和公共利益的数据依法享有权益,有权依法依规持有、使用及获取收益。同时确定政府部门基于履职的需要可以依法获取企业数据,但双方应约定使用数据的要求及限制性条件。
- 针对个人数据:进一步强调加大个人信息保护力度,规范政府部门及企业使用个人信息的行为,并通过技术创新推动个人信息匿名化处理。
2. 《关于深圳建设中国特色社会主义先行示范区放宽市场准入若干特别措施的意见》
2022年1月24日,商务部、国家发改委发布《关于深圳建设中国特色社会主义先行示范区放宽市场准入若干特别措施的意见》,将数据要素的流动视为放宽市场准入措施之一,强调要放宽数据要素交易和跨境数据业务等相关领域市场准入,鼓励深圳在国家法律法规框架下,开展地方性政策研究探索,建立数据资源产权、交易流通、跨境传输、信息权益和数据安全保护等基础制度和技术标准,在探索个人信息保护与分享利用机制的同时支持加快推动公共数据开放。
3. 《关于加强数字政府建设的指导意见》
2022年6月6日,国务院发布《关于加强数字政府建设的指导意见》,在要求构建开放共享的数据资源体系的同时,突出强调了要构建数字政府全方位安全保障体系,通过强化安全管理责任、落实安全制度要求、提升安全保障能力、提高自主可控水平等措施,确保数据安全、有序地流动。
(二) 细化治理:各省市持续推动政企数据立法,积极创新数据治理模式
1. 各省市持续推动政企数据开放共享立法,明确可共享的数据类型及安全保障要求
在国家出台一系列对于发展数字经济产业、规范数据要素流动的政策指导下,众多省市制定了相关实施细则,对数字经济产业发展中的政企数据开放共享做出明确的规制。经公开检索,共有20个省市在2022年新出台34部地方数据立法(包含7部将于2023年生效的立法及3部立法草案),其中12个省市是首次出台与政企数据开放共享相关的地方立法。
各地数据立法对获取、使用公共数据及政企数据开放共享提出了许多共性合规要求,具体地方立法特点及要点归纳如下:
- 提供更为具体明确的地方性法规、政府规章及各类实施细则等:各地方数据立法名称主要为“条例”和“办法”,发布主体一般是各地人大常委会及人民政府,性质上以地方性法规和地方政府规章为主,将国家政策对数据开放共享的原则性指导转化为更为精细化、更具可操作性及指导性的地方立法要求,为数据开放共享提供更为明确的法律依据。
- 确立公共数据资源目录管理机制:大部分地方数据立法不仅界定了公共数据、个人数据等数据类型的概念,规定公共数据管理部门、责任主体及相应职责,还明确提出对公共数据资源实行目录管理,目录一般包含数据的范围、共享和开放的类型、条件等内容,并指定责任部门推进公共数据资源目录编制工作。
- 明确公共数据分级分类开放要求:各地方数据立法较为统一地将公共数据按照共享和开放的类型分为无条件共享、开放,有条件共享、开放,及不予共享、开放三种类型,并以开放共享为原则、不开放共享为例外。部分地方立法(如深圳)直接列明或列举哪些数据应有条件开放或不予开放,而部分地方立法(如重庆)则要求将公共数据列为有条件开放和不予开放时应具备法律法规或国家政策依据,否则仍为无条件开放、共享的公共数据。
- 建设公共数据开放平台:各地均提出建立大数据平台或公共数据开放平台,通过该平台向社会开放共享公共数据,并要求根据公共数据的开放类型提供数据下载等数据开放服务。
- 建立公共数据授权运营机制:上海、浙江、深圳、北京等地方数据立法提到要实现公共数据授权运营,即由有权政府部门授权符合安全条件的社会主体(包括法人或非法人主体)组织运营公共数据,由该等社会主体对公共数据进行加工、形成数据产品和服务。在授权运营模式上,浙江提到应签订授权运营协议,上海提到应制定公共数据授权运营管理办法,在具体操作层面,各地数据立法均留有一定的完善空间。
- 完善数据要素市场建设:除了对公共数据开放共享要求进行回应,各地方数据立法还通过建设数据要素市场促进社会数据有序流动,主要包括确定市场主体依法收集、使用、加工数据及获得收益的权利,明确不得进行数据交易的禁止性情形(如侵犯个人隐私、未经权利人授权同意等),设立数据交易场所等。部分地方数据立法还提出要建立数据交易管理制度、管理数据交易中介服务机构。
- 强调数据开放共享过程中的安全保障要求:各地方数据立法强调数据安全及个人信息保护,对公共管理部门获取数据以形成公共数据的行为进行规制,对公共数据如何向企业、个人等主体提供提出了分级分类、脱密脱敏、合法合规等要求。
- 落实数据开放共享激励保障措施,激发区域协同效应:一些地方政企数据立法尤其强调技术创新与人才培养,回应了数据开放共享实践中技术创新水平有待提升、人才储备仍存在缺口的现实困境;上海、深圳、重庆等地还特别提到区域数据共享,例如《深圳经济特区数据条例》提出推动粤港澳大湾区数字经济协同发展。
2. 地方政企数据立法的创新成果及亮点分析
(1) 深圳
a. 发布首个针对公共数据分级安全管理的地方标准
2022年11月14日,深圳市市场监督管理局发布地方标准《公共数据安全要求》,并于2022年12月1日起正式实施,该标准不仅结合《深圳经济特区数据条例》对公共数据、公共管理和服务机构等概念进行定义,明确公共数据的总体安全原则及处理要求,还着重针对《深圳经济特区数据条例》中“公共数据分类管理制度”及“相关主题数据库”的具体安全管理工作给出了操作方案:
- 公共数据安全管理的总体原则:公共管理和服务机构在处理公共数据的过程中应遵循合法正当、权责明确、目的明确、明示同意、最小必要、公开透明、动态调整、全程可控的原则。
- 公共数据的分类分级:公共数据整体分为数据库、数据子类及数据字段,应基于受到破坏或非法利用相应数据导致对国家安全、社会秩序和公共利益或者个人信息主体、公共管理和服务机构合法权益造成的损害程度(一般损害、严重损害或特别严重损害)将数据分为一至四级。
- 公共数据的安全管理:安全管理措施分为管理安全要求、技术安全要求及数据处理活动安全要求。其中,根据管理安全要求,数据处理者应制定总体安全策略及安全管理制度,并配备安全管理机构及人员;根据技术安全要求,数据处理者应对数据分级分类保护,开展数据安全评估、风险监测、安全管控、安全审计及应急处置;数据处理活动安全要求则覆盖了公共数据收集、存储、传输、使用、加工、开放共享、交易、出境、销毁与删除的全流程。在安全管理过程中,如数据为三级或四级数据的,数据处理者除采取上述安全管理措施,还应进行增强安全管理。
b. 针对数据交易及开放共享行为提供行政裁量标准
2022年1月5日,深圳市市场监督管理局发布并实施《深圳经济特区数据条例行政处罚裁量权实施标准》(“《裁量标准》”),对《深圳经济特区数据条例》第九十四条、第九十五条规定的行政处罚实施标准进行细化,在条例规定的罚款额度内,进一步确定在数据交易的场景下如何确定罚款金额:
- 针对违法开展数据交易的行为:该类违法行为包括交易数据包含个人数据未依法获得授权、包含未经依法开放的公共数据、数据依法禁止交易等情形。《裁量标准》对违法情形进一步细化,根据过往受处罚情况、是否存在暴力威胁阻碍执法人员、逃避检查、销毁或伪造证据、拒不改正等情形最终确定违法开展数据交易行为的处罚额度。
- 针对侵害其他市场主体、消费者权益的行为:该类违法行为包含违反公平竞争原则及差别待遇等情形,《裁量标准》同样根据过往受处罚情况、是否存在干扰执法、拒不改正等情形确定处罚额度。
(2) 浙江
2022年4月26日,浙江省市场监督管理局发布《公共数据安全体系建设指南》,从体系建设的角度出发指导公共数据处理者如何保障公共数据安全。具体而言,该指南认为,公共数据安全体系架构包括公共数据安全制度规范子体系、公共数据安全技术防护子体系和公共数据安全运行管理子体系三个部分。
- 制度规范体系:可按照战略纲领、标准规范、流程细则的三级架构搭建,具体可包括数据分级分类管理制度、访问权限管理制度、脱敏管理制度、共享和开放安全管理制度、安全销毁管理制度、供应方安全管理制度、安全监督检查制度、安全日志审计制度及安全事件管理与应急响应制度。
- 技术防护体系:主要包括公共数据生命周期安全管理技术、访问权限管理技术、共享和开放安全技术及安全监测和预警技术。
- 运行管理体系:包含人、数据、场景等维度,具体包括安全管理团队建设、数据分级分类运行管理、数据访问权限运行管理、共享和开放安全运行管理、安全日志审计、安全监督检查、安全事件应急响应及安全培训等层面。
(图片来源:《公共数据安全体系建设指南》)
(3) 上海
2022年12月31日,上海市经济和信息化委员会及互联网信息办公室发布《上海市公共数据开放实施细则》(“《实施细则》”),在《上海市公共数据和一网通办管理办法》的基础上优化公共数据管理,创新亮点主要如下:
- 编制公共数据开放清单:《实施细则》要求数据开放主体(即公共管理与服务机构)在公共数据目录范围内编制公共数据开放清单,要求清单注明数据领域、摘要、数据项及格式等信息,明确开放类型、开放条件及更新频率等具体要求,并根据公众需求等情况动态调整开放清单。
- 明确公共数据分级分类开放机制:《实施细则》在将公共数据划为无条件开放、有条件开放等类别的同时,明确规定对涉及个人隐私、个人信息、商业秘密和保密商务信息,或者法律法规规定不得开放的公共数据,列入非开放类。非开放类公共数据依法进行脱密、脱敏处理,或者相关权利人同意开放的,可以列入无条件开放类或者有条件开放类,对数据安全和处理能力要求较高、时效性较强或者需要持续获取的公共数据,列入有条件开放类,使得公共数据分类更具可操作性。
- 确定不同类公共数据的获取方式:针对无条件开放的公共数据,需求主体可直接下载获取;而针对有条件开放的公共数据,《实施细则》规定了申请开放及相应的审核流程,并要求申请者与数据开放主体通过开放平台签署数据利用协议,约定应用场景、利用情况报送、安全保障措施及违约责任等内容。
- 规定原始数据主体的救济途径:如自然人、法人等原始数据主体认为公共数据开放及利用侵犯个人隐私、商业秘密等合法权益,有权通过开放平台告知开放主体,数据开放主体有义务进行审核、核实及处理。
二、数字化转型领域的政企数据开放共享年度司法动态回顾
数字化转型领域往往涉及公共数据共享与开放、社会数据交易与共享、个人数据的获取与共享等数据处理活动,而这些数据处理活动中常见违规行为包括:未履行个人信息保护义务、利用公共数据获取非法利益、信息呈现不真实不准确、未按照规定采取安全保障措施导致发生危害公共数据安全的事件等。经公开渠道信息查询,在政企数据开放共享过程中,合规风险较高的情形为利用公共数据或参与数据交易的企业,因数据的真实性、完整性、时效性、准确性和来源合法性等问题,涉及侵犯他人商业秘密、个人信息及隐私权、名誉权等合法权益,从而引发侵权责任纠纷、人格权纠纷、不正当竞争纠纷等民事纠纷案件。
(一) 不当利用公共数据可能损害数据原主体的合法权益
企业在利用、加工公共数据时,即使处理数据的行为本身是合法的,也可能因技术、算法的误差导致数据显示错误,从而对原始数据主体的名誉权等合法权益造成侵害。
在(2021)京0491民初6163号案件中,被告某企业信用平台公示原告为失信被执行人,并链接相关裁判文书,而实际上相关失信被执行人系与原告同名同姓的另一人,原告主张被告的错误公示导致其所在公司资质不符、丧失多项中标机会,造成公司经济损失3682余万元,且错误信息进一步被公示、传播,给原告本人造成名誉损失。被告辩称相关信息系由计算机从大量公开信息中获取,是大数据主动关联、后台匹配得出,并非人为造成,而是技术手段上存在的过错。
本案中,法院认为“失信执行人”标记是一种失信惩戒,会对被惩戒人的名誉产生消极影响,而被告作为具有资质的企业征信机构,应对“失信被执行人”标识等信息的处理承担更高的审慎注意义务,但被告对原告同名同姓主体的身份识别、匹配出现错误,错误类型较为明显,未能尽到与其能力、义务相匹配的注意义务。因此,法院认为被告的错误关联行为造成对原告名誉权的损害,应承担民事责任,并判令被告承担赔礼道歉、消除影响、恢复原告名誉的责任,向原告赔偿精神损失费。
虽然本案被告以技术手段存在合理误差为由进行抗辩,但法院倾向于警示数据处理者大数据技术手段的失误并不能完全成为免责的理由,尤其是对“失信执行人”等可能对个人权益造成严重消极影响的信息更应尽到审慎注意义务,将数据主体的权益放在首位,避免损害数据主体合法权益。
(二) 信息不真实、存在误导性可能被认定为构成不正当竞争,损害其他经营者与消费者合法权益
除因损害原始数据主体权益引发名誉权等人格权纠纷外,数据处理者还可能因信息不真实、存在误导性被认定为存在不正当竞争行为,引发相应侵权纠纷。
杭州互联网法院于2022年8月发布数据和算法十大典型案例,在第二起案例中,原告某金融公司因被告某企业信息查询平台案例所载债务及清算信息有误诉至法院。被告向会员用户发送原告进行清算的警示信息,直接引发多家媒体关注及报道。被告辩称用户协议中已经载明免责条款,告知用户“您可能会看到不准确、不完整、过时、有误导性的、非法的内容或信息……平台返回的数据结果不构成对任何人明示或暗示的观点或保证……不对第三方(包括其他用户)提供的内容或信息负责”。
法院认为被告在大数据企业征信领域市场占有份额高、行业地位领先,在享有数据带来经济利益的同时,更应对数据质量负有一定的注意义务,在征信数据利用的合法性、时效性、数据质量方面起到表率作用。而被告的推送存在误导性行为,不具备正当性,同时损害了其他经营者和消费者的合法利益,该等信息发布行为造成的认识错误将导致用户企业或个人在交易时对其他经营者的经营状况、关联关系等产生错误的认识,无故减少其他经营者的交易机会,或增加经营者的交易成本和负担。因此,被告的行为已构成不正当竞争,应当承担相应民事责任。
在本案中,被告抗辩的主要理由为已经在用户协议中载明免责条款且采取了事后“通知+删除”的补救措施。然而本案审理法院并未采信前述理由,而是明确提出该等数据处理者应对数据质量负有注意义务,不认可仅提供事后补救的数据质量保障措施,要求数据处理者对公示的数据进行事前审核。
三、对2023年数字化转型领域政企数据开放共享相关立法与实践的展望
(一) 数据价值逐渐明晰,数据开放共享的积极性增强
基于前文对数字化转型领域中数据开放共享的立法及司法情况的回望,2022年国家及地方积极推进政企数据开放共享工作,在促进数据要素流动的同时强化数据安全保护责任,各地为规范数字化转型中的数据开放共享制定了相关细则,进一步明确了政府部门公共数据的共享和开放、社会数据交易和共享、个人数据加工和使用的相关规范;同时,随着对企业数据资源进行会计处理的尝试,国家将进一步促进数据要素的流动和市场配置,促进数据经济产业的高质量发展。
(二) 数据开放共享通过地方性立法及行业细则、标准得以明确
目前,各地广泛开展地方性数字化转型过程中的数据开放共享立法,其中不乏针对公共数据安全管理的地方标准,如深圳市《公共数据安全要求》、浙江省《公共数据安全体系建设指南》,或是在相应立法中提及某归口责任部门应制定相应具体规则。可以预见,2023年度,各地在推动政企数据开放共享的同时,将依据政企数据开放共享立法的原则性要求,对数据开放共享的模式、平台、数据处理规则、安全保障要求等通过行业标准或地方标准等操作细则的形式进一步明确。
(三) 公共管理与服务机构及企业的数据合规义务更为清晰,政企数据开放共享不合规行为将成为未来重点规制对象
鉴于数据开放共享合规要求及相应的处罚裁量在2022年得到进一步明确,公共管理与服务机构及企业等数据处理主体的不合规行为可能会面临更为严格的规制,因此,政企数据处理主体应注意如下合规要点,避免踏入“雷区”:
- 依法获取:根据不同开放类别,以合法手段获取公共数据,根据各地要求履行必要的申请及协议签署程序,不得获取未依法开放的公共数据;
- 合法利用:依法依规依约定利用公共数据,不得利用公共数据从事不正当竞争、差别待遇等违法活动、获取非法收益,也不得侵害商业秘密、损害原始数据主体的合法权益;
- 保障数据安全:应高度关注履行数据安全保障义务,按照法律规定或相关数据协议约定采取安全保障措施,避免造成网络安全、数据安全事件,引发相应法律责任;
- 保证数据真实、准确、及时:积极履行事前审核及审慎注意义务,避免因技术误差造成数据不真实、不准确或产生误导性而引发侵权责任;
- 建立公共数据合规管理体系:在政企数据开放共享立法及实践趋于标准化、规范化的背景下,数据处理主体更应未雨绸缪,搭建公共数据合规管理体系,站在合规管理体系的高度全面完善数据安全组织体系、制度体系、运行管理体系及技术体系。
扫码下载文章