前言
2021年9月1日,经历三次审议的《中华人民共和国数据安全法》(以下简称《数据安全法》)正式施行。《数据安全法》是我国第一部专门针对数据安全制定的法律,在《中华人民共和国国家安全法》和《中华人民共和国网络安全法》的框架下,从宏观角度着眼于数据安全,与即将于2021年11月1日正式施行的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)一同构建我国信息和数据安全保护领域的法律体系。
《数据安全法》中有诸多值得关注的热点问题,其中公共数据开放问题自在《中华人民共和国网络安全法》中被正式提及后,相关研究在学术界依然兴起;而随着2020年《数据安全法(草案)》对于“政务数据安全与开放”专章规定后,政府数据和公共数据的开放更成为热点,并在地方立法层面先一步得到实践。本文旨在《数据安全法》的体系下,结合部分地方政府的探索和尝试,为读者介绍公共数据开放、利用、合规等的现行规定,并分析其中要点,以抛砖引玉。
一、《数据安全法》下的政务数据和公共数据
《数据安全法》将“政务数据安全与开放”单独成第五章,并在第四十一条中明确规定:国家机关应当遵循公正、公平、便民的原则,按照规定及时、准确地公开政务数据。结合此前上海、浙江、深圳、山东、广东、江西等涉及政府层面对数据开放和保护的地方性立法,其中均不同程度地涉及“公共数据”、“政务数据”这两个概念。以下将《数据安全法》和相关地方立法中的概念罗列对比:
事实上,《数据安全法》或相关国家层级的立法均未对“公共数据”、“政务数据”进行统一的定义,也没有任何一部法律法规明确“公共数据”和“政务数据”的区别和联系。在公共数据和政务数据确有交叉和区别的情况下,我们是否有必要对这两个概念进行区分和明确呢?结合上述法律法规及其他地方性立法对公共数据开放管理的规定,可以得出两个结论:
第一,立法层面已从早期的“政务信息资源”转变为采用“公共数据”、“政务数据”等内涵存在一定交叉却又不完全相同的概念;
第二,《数据安全法》对“政务数据”的处理主体、处理原则和规则等与地方相关立法中对“公共数据”的规定类似。
由此可见,按照现行立法的界定,各级行政机关、具有公共管理和服务职能的事业单位、以及具有公共管理和服务职能的企业的数据,都有可能是“公共数据”的范畴。结合浙江省首创的“GPS”分域管理(将公共数据平台分为G(Government)共享域——面向政府内部共享的公共数据,S(Social)开放域——面向社会开放的数据,P(Public)公共基础数据域——为前两个域提供数据的公共数据基础平台)。从浙江省的这一做法可以看出,公共数据的范围要大于政务数据,即公共数据不仅包括着重于政府内部共享的政务数据,还包括着重于对社会开放的公共性社会数据;政务数据与公共数据在范围上存在一定的包含关系,但在数据治理和利用上又可以基于同一个公共数据基础平台。因此,在数据开放层面,《数据安全法》更加关注对数据内容、责任主体和具体义务的规定,也未对政务数据和公共数据进行明确的定义和区分。
二、公共数据开放的安全保护
《数据安全法》不仅规定了公共数据的开放,更着重于公共数据的安全保护问题。那么,在开放层面的安全保护措施具体有哪些?各地立法在结合当地政治、经济、文化和社会需求的背景下,针对不同类别的公共数据,差异化的设置了不同安全保护措施。
针对无条件开放的数据。该类数据在开放前仍须满足前置要求,例如:报同级公共数据主管部门审查同意;属于当地公共数据资源开放目录(清单)中的数据。
针对有条件开放的数据。以浙江省为例,《浙江省公共数据开放与安全管理暂行办法》首先针对有条件开放数据的开放主体设置了自我评估机制,并规定该类数据的开放应由公共数据利用主体向公共数据开放主体提出开放申请,而公共数据开放主体需在审查利用主体是否具备数据存储、数据处理、数据安全保护能力等条件并达到相应的信用等级后,与公共数据利用主体签订公共数据开放利用协议,并报同级公共数据主管部门备案后方可对公共数据利用主体开放。
三、公共数据开放的方式
(一)目录管理
《数据安全法》第四十二条规定,国家制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用。结合各地区、部门、业务领域的相关立法和实践经验,公共数据的开放已多实行目录管理。
以浙江省为例,《浙江省公共数据开放与安全管理暂行办法》中对目录管理的具体实施方式是:由数据管理部门对公共数据进行梳理,制定数据共享目录和开放目录的编制指南,并定期发布政府数据共享、开放责任清单;数据开放的主管部门具体编制公共数据开放目录并向社会公布,后续则需动态调整目录;其中,与民生紧密相关、社会迫切需要、行业增值潜力显著和产业战略意义重大的公共数据,优先纳入开放目录。
(二)分类分级
《数据安全法》在第二十一条规定:国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护......各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。前述规定虽然主要针对数据安全保护方面,但结合各地方关于公共数据开放的立法,各级政府机构在公共数据开放上均会根据具体情况和需求制定类似但不尽相同的分类分级规则。
四、涉公共数据的企业合规性建议
针对一般企业,在公共数据的获取、使用上可以更加积极。公共数据作为促进经济发展的重要生产要素,应当被积极利用并深入挖掘其价值。由于政府部门在收集相关公共数据的同时,可以有更高的权限和更多样的方式对数据的来源进行合规性审核,因此,这些数据来源的可信度和合规性将大大提升。如果企业能直接接入公共数据,则可以减轻数据合规的审核压力,提升企业数据利用效率。
针对具有公共管理和服务职能的企业,应首先明确当地地方法规是否规定将本企业的数据作为公共数据并开放。如本企业根据法律法规属于“具有公共管理和服务职能的企业”,且地方立法已直接将“具有公共管理和服务职能的企业的数据”直接纳入“公共数据”范畴,则该企业应及时梳理企业内部数据,并按规定的开放方式、开放程序开展公共数据的开放工作。对于“参照适用”的地方,例如《浙江省公共数据开放与安全管理暂行办法》规定“水务、电力、燃气、通信、公共交通、民航、铁路等公用事业运营单位涉及公共属性的数据开放”,前述领域的企业仍可考虑继续关注主管机关的实施细则、工作计划或指令,进而启动数据开放工作。
针对其数据本身具备一定公共属性的企业,在注重个人信息保护的同时,如何与公共数据接轨以协助政府更好的履行其社会职能,则是一个更高维度的问题。但数据并非当然归属于公共数据,需要依据一定的法律法规或监管要求进而转化为公共数据,且是否可以作为公共数据开放也需要严格依据法律规定进行判断,这其中不仅涉及到数据的权属、性质问题,更涉及到企业对数据的控制和权益问题,以及个人数据保护与公共数据开放的平衡问题。因此,涉及前述情况的企业在将此类数据提交给监管机构时须谨慎对待,需要明确监管部门为履行职责可查阅使用相关数据的权力,和基于公共数据开放而向公共数据开放平台或监管部门提供数据在目的、权限、前置条件等的区别,以避免个人信息和商业秘密的泄露。
五、结语
值此《个人信息保护法》通过、《数据安全法》正式施行之际,在国家和社会越来越重视对个人信息保护的同时,公共数据的开放管理也应受到重视和规范,这不仅是由于公共数据的开放是推动经济社会发展的必然选择,也让数据得以更好地服务经济、服务社会、服务群众。为了适应这一发展需要,未来关于公共数据开放和管理的讨论将更加广泛和深入,数据合规的工作任重而道远。
2021年9月1日,经历三次审议的《中华人民共和国数据安全法》(以下简称《数据安全法》)正式施行。《数据安全法》是我国第一部专门针对数据安全制定的法律,在《中华人民共和国国家安全法》和《中华人民共和国网络安全法》的框架下,从宏观角度着眼于数据安全,与即将于2021年11月1日正式施行的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)一同构建我国信息和数据安全保护领域的法律体系。
《数据安全法》中有诸多值得关注的热点问题,其中公共数据开放问题自在《中华人民共和国网络安全法》中被正式提及后,相关研究在学术界依然兴起;而随着2020年《数据安全法(草案)》对于“政务数据安全与开放”专章规定后,政府数据和公共数据的开放更成为热点,并在地方立法层面先一步得到实践。本文旨在《数据安全法》的体系下,结合部分地方政府的探索和尝试,为读者介绍公共数据开放、利用、合规等的现行规定,并分析其中要点,以抛砖引玉。
一、《数据安全法》下的政务数据和公共数据
《数据安全法》将“政务数据安全与开放”单独成第五章,并在第四十一条中明确规定:国家机关应当遵循公正、公平、便民的原则,按照规定及时、准确地公开政务数据。结合此前上海、浙江、深圳、山东、广东、江西等涉及政府层面对数据开放和保护的地方性立法,其中均不同程度地涉及“公共数据”、“政务数据”这两个概念。以下将《数据安全法》和相关地方立法中的概念罗列对比:
文件名 | 概念 |
《数据安全法》 | 明确了政务数据的的义务主体为“国家机关”和为履行法定职责开展数据处理活动的“法律、法规授权的具有管理公共事务职能的组织”,但并未对政务数据的内涵和外延作出明确规定,仅在第三十八条提到“国家机关为履行法定职责的需要收集、使用数据”受到本章规制。 |
“政务信息资源”是指各级政务部门在依法履行职能过程中制作或获取的,以一定形式记录、保存的文件、资料、图表和数据等各类信息资源,包括政务部门直接或通过第三方依法采集的、依法授权管理的和因履行职责需要依托政务信息系统形成的数据资源等。 | |
“公共数据”是指公共机构、公共服务企业为履行职责收集、制作、适用的数据。 | |
“公共数据”是指本市各级行政机关以及履行公共管理和服务职能的事业单位(以下统称“公共管理和服务机构”)在依法履职过程中,采集和产生的各类数据资源。 | |
“政务数据”是指各级行政机关在依法履行职责过程中制作或者获取的,以一定形式记录、保存的文件、资料、图表等各类数据,包括行政机关直接或者通过第三方依法采集的、依法经授权管理的和因履行职责需要依托政务信息系统形成的数据等。 | |
“公共数据”是指各级行政机关以及具有公共管理和服务职能的事业单位,在依法履行职责过程中获得的各类数据资源。 | |
“公共数据”是指本市各级行政机关以及履行公共管理和服务职能的事业单位(以下统称“公共管理和服务机构”)在依法履职过程中,采集和产生的各类数据资源。 | |
未对相关概念做明确规定,但将“公共数据”与“社会数据”作为一对概念,并规定“政务数据”全省政府内部共享的规定。 |
事实上,《数据安全法》或相关国家层级的立法均未对“公共数据”、“政务数据”进行统一的定义,也没有任何一部法律法规明确“公共数据”和“政务数据”的区别和联系。在公共数据和政务数据确有交叉和区别的情况下,我们是否有必要对这两个概念进行区分和明确呢?结合上述法律法规及其他地方性立法对公共数据开放管理的规定,可以得出两个结论:
第一,立法层面已从早期的“政务信息资源”转变为采用“公共数据”、“政务数据”等内涵存在一定交叉却又不完全相同的概念;
第二,《数据安全法》对“政务数据”的处理主体、处理原则和规则等与地方相关立法中对“公共数据”的规定类似。
由此可见,按照现行立法的界定,各级行政机关、具有公共管理和服务职能的事业单位、以及具有公共管理和服务职能的企业的数据,都有可能是“公共数据”的范畴。结合浙江省首创的“GPS”分域管理(将公共数据平台分为G(Government)共享域——面向政府内部共享的公共数据,S(Social)开放域——面向社会开放的数据,P(Public)公共基础数据域——为前两个域提供数据的公共数据基础平台)。从浙江省的这一做法可以看出,公共数据的范围要大于政务数据,即公共数据不仅包括着重于政府内部共享的政务数据,还包括着重于对社会开放的公共性社会数据;政务数据与公共数据在范围上存在一定的包含关系,但在数据治理和利用上又可以基于同一个公共数据基础平台。因此,在数据开放层面,《数据安全法》更加关注对数据内容、责任主体和具体义务的规定,也未对政务数据和公共数据进行明确的定义和区分。
二、公共数据开放的安全保护
《数据安全法》不仅规定了公共数据的开放,更着重于公共数据的安全保护问题。那么,在开放层面的安全保护措施具体有哪些?各地立法在结合当地政治、经济、文化和社会需求的背景下,针对不同类别的公共数据,差异化的设置了不同安全保护措施。
针对无条件开放的数据。该类数据在开放前仍须满足前置要求,例如:报同级公共数据主管部门审查同意;属于当地公共数据资源开放目录(清单)中的数据。
针对有条件开放的数据。以浙江省为例,《浙江省公共数据开放与安全管理暂行办法》首先针对有条件开放数据的开放主体设置了自我评估机制,并规定该类数据的开放应由公共数据利用主体向公共数据开放主体提出开放申请,而公共数据开放主体需在审查利用主体是否具备数据存储、数据处理、数据安全保护能力等条件并达到相应的信用等级后,与公共数据利用主体签订公共数据开放利用协议,并报同级公共数据主管部门备案后方可对公共数据利用主体开放。
三、公共数据开放的方式
(一)目录管理
《数据安全法》第四十二条规定,国家制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用。结合各地区、部门、业务领域的相关立法和实践经验,公共数据的开放已多实行目录管理。
以浙江省为例,《浙江省公共数据开放与安全管理暂行办法》中对目录管理的具体实施方式是:由数据管理部门对公共数据进行梳理,制定数据共享目录和开放目录的编制指南,并定期发布政府数据共享、开放责任清单;数据开放的主管部门具体编制公共数据开放目录并向社会公布,后续则需动态调整目录;其中,与民生紧密相关、社会迫切需要、行业增值潜力显著和产业战略意义重大的公共数据,优先纳入开放目录。
(二)分类分级
《数据安全法》在第二十一条规定:国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护......各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。前述规定虽然主要针对数据安全保护方面,但结合各地方关于公共数据开放的立法,各级政府机构在公共数据开放上均会根据具体情况和需求制定类似但不尽相同的分类分级规则。
四、涉公共数据的企业合规性建议
针对一般企业,在公共数据的获取、使用上可以更加积极。公共数据作为促进经济发展的重要生产要素,应当被积极利用并深入挖掘其价值。由于政府部门在收集相关公共数据的同时,可以有更高的权限和更多样的方式对数据的来源进行合规性审核,因此,这些数据来源的可信度和合规性将大大提升。如果企业能直接接入公共数据,则可以减轻数据合规的审核压力,提升企业数据利用效率。
针对具有公共管理和服务职能的企业,应首先明确当地地方法规是否规定将本企业的数据作为公共数据并开放。如本企业根据法律法规属于“具有公共管理和服务职能的企业”,且地方立法已直接将“具有公共管理和服务职能的企业的数据”直接纳入“公共数据”范畴,则该企业应及时梳理企业内部数据,并按规定的开放方式、开放程序开展公共数据的开放工作。对于“参照适用”的地方,例如《浙江省公共数据开放与安全管理暂行办法》规定“水务、电力、燃气、通信、公共交通、民航、铁路等公用事业运营单位涉及公共属性的数据开放”,前述领域的企业仍可考虑继续关注主管机关的实施细则、工作计划或指令,进而启动数据开放工作。
针对其数据本身具备一定公共属性的企业,在注重个人信息保护的同时,如何与公共数据接轨以协助政府更好的履行其社会职能,则是一个更高维度的问题。但数据并非当然归属于公共数据,需要依据一定的法律法规或监管要求进而转化为公共数据,且是否可以作为公共数据开放也需要严格依据法律规定进行判断,这其中不仅涉及到数据的权属、性质问题,更涉及到企业对数据的控制和权益问题,以及个人数据保护与公共数据开放的平衡问题。因此,涉及前述情况的企业在将此类数据提交给监管机构时须谨慎对待,需要明确监管部门为履行职责可查阅使用相关数据的权力,和基于公共数据开放而向公共数据开放平台或监管部门提供数据在目的、权限、前置条件等的区别,以避免个人信息和商业秘密的泄露。
五、结语
值此《个人信息保护法》通过、《数据安全法》正式施行之际,在国家和社会越来越重视对个人信息保护的同时,公共数据的开放管理也应受到重视和规范,这不仅是由于公共数据的开放是推动经济社会发展的必然选择,也让数据得以更好地服务经济、服务社会、服务群众。为了适应这一发展需要,未来关于公共数据开放和管理的讨论将更加广泛和深入,数据合规的工作任重而道远。
