作者:李玲(实习生许嘉嘉、丁澎绪对本文亦有贡献)
审校:孟洁
引言
《数字中国发展报告(2022年)》显示,2022年我国数字经济规模已超过50万亿元,数字经济占GDP比重达到41.5%,位居世界第二位。数据资产,作为经济社会数字化转型进程中的新兴资产类型,正日益成为推动数字中国建设和加快数字经济发展的重要战略资源。党中央高度重视数字中国建设和数字经济发展,并已经作出一系列重要决策部署。2022年,中共中央、国务院印发《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“《数据二十条》”),对构建数据基础制度作了全面部署,明确提出推进数据资产合规化、标准化、增值化,有序培育数据资产评估等第三方专业服务机构,依法依规维护数据资源资产权益,探索数据资产入表新模式等要求。
在十四届全国人民代表大会第二次会议中所作的《2024政府行政机关工作报告》和《关于2023年国民经济和社会发展计划执行情况与2024年国民经济和社会发展计划草案的报告》(以下简称“《报告》”)等重要文件,以及习近平总书记提出的发展“新质生产力”的要求,不仅指明了新发展阶段激发新动能的决定力量,更明确了重塑全球竞争新优势的关键着力点。上述重要文件和关键论述均体现了国家鼓励发展数字经济,盘活数字资产,发挥数据资产的价值,推进数据资产合规化、标准化、增值化,推动数据资本化的积极态度。
在国家政策支持发展数字经济、盘活数字资产的背景下,企业需要对数据进行治理,并对数据资产进行管理。在进行数据资产管理的过程中,必须注意合规与安全两大要求,防范数据资产泄露、损毁、丢失等安全风险,尽到合规管理义务,降低承担法律责任的风险,并避免虚增数据资产价值。
就数据资产管理的对象数据而言,根据《数据二十条》可以分为公共数据、企业数据、个人数据[1]。公共数据作为数据要素中权威性、通用性、基础性、可控性、公益性较强的数据类型,对于赋能政务治理、赋能经济发展、赋能共同富裕具有十分重要的意义,是推进数据基础制度的有机组成部分和有力落地抓手之一[2]。此前发布的多份中央文件中,已经指明了推进公共数据运营的要求,并强调了将公共数据作为数据资产管理的重要性。例如,《报告》中明确提出,推动数据要素市场化配置改革,强化公共数据资源开发利用,深化数据管理体制机制改革。此外,《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》亦提出要加强公共数据开放共享,建立健全国家公共数据资源体系,确保公共数据安全,并鼓励第三方深化对公共数据的挖掘利用。
本系列文章将分上下两篇,从公共数据的开发利用政策和行业实践案例观察入手,在讨论公共数据的定义范围的基础上,对于实务中客户经常关注的以下法律合规问题进行探讨:
公共数据授权治理机制的法律起点和法律性质
公共数据、公共数据授权运营的定义和法律影响
公共数据授权运营中主要参与主体以及主体间的法律关系
公共数据授权运营的性质和授权运营协议应关注的法律合规要点
授权运营企业将公共数据转变成自身可合法持有的企业数据的法律渠道
公共数据在授权运营和使用链条上脱离“原始公共数据”范畴节点的识别
数据授权到期或失效后的公共数据处理和归还等法律合规问题
提供公共服务的企业所持有的公共数据与企业数据区分的法律基础
以公共数据授权链为导向的法律合规问题要点梳理列表
本部分为下篇,将着重于从实操层面,探讨公共数据授权运营企业在实务中所遇到的下述法律合规问题:
一、公共数据授权运营中的法律合规问题
(一)公共数据的授权政府行政机关与授权运营主体之间的法律关系
1. 授权运营企业如何将公共数据转变成自身可合法持有的企业数据
因授权运营企业对于经授权获取的公共数据所通常进行的数据清洗、治理、加工等经营活动涉及一定的企业成本,因此对于授权运营企业来说,会关注这类数据能否形成企业自身合法所有的数据的问题。就上述问题,也涉及两个延伸性的法律问题,包括:1)授权运营企业需要进行何种程度的数据清洗、治理和加工等活动,才能够形成“自有”的公共数据?2)既然企业希望将公共数据转变形成“自有资产”,那么企业如何将公共数据与形成的自有数据“分清你我”,以便未来可以开展数据资源入表等活动?
对于上述问题1),我们理解从法律角度可能没有简单直接且万能的一种法律解决方案。因此,我们建议授权运营企业对授权获取的公共数据(包括原始数据)加工成数据产品,并且该数据产品并不是简单的将数据堆砌,而是开展类似于知识产权的再研发/再开发程度的治理和加工,形成企业自己的智力成果和劳动加成的数据。对于上述问题2),我们初步建议,授权运营企业可考虑对于从政府行政机关获取的公共数据(主要是原始数据和经过初步清洗、治理和加工的公共数据)与通过自身治理和加工形成的自有的数据(主要是深度加工处理后形成的数据产品、数据服务、数据集等)分仓分层存储,同时也建议授权运营企业在数据授权运营协议中就本问题涉及的数据权属进行明确的约定。
2. 公共数据在授权运营和使用链条中脱离“原始公共数据”的节点识别问题
在实务中,我们也遇到有些客户关注“在公用数据授权运营和使用链条哪个环节之后,其可以脱离原始公共数据或者说公共数据的范畴,而以相对市场化的方式不受限地在‘公共数据的域’外对数据进行进一步的加工、处理和运营”。对于本问题,我们初步认为,公共数据授权运营企业可以采用多方安全计算、差分隐私、同态加密等技术手段,加工或对外授权使用原始公共数据,确保这些数据在加工、使用时不被泄露。当公共数据授权运营企业或市场主体通过智力劳动形成具有独立经济价值的数据产品或服务时,这些新形态的数据产品或服务将具有独立的知识产权。在这种情况下,所加工产生的数据产品在“出域”后,在法律性质上应视为脱离了原始公共数据的范畴。对于这类数据产品和服务的进一步加工和使用、交易和实施后续入表或资产化等活动时,则可以按照非公共数据的治理机制进行,不受域的限制。
3. 公共数据授权到期或失效后的数据处理和归还所涉及的法律合规问题
在公共数据授权运营到期或失效后,公共数据的处理和交还需要遵循一定的规定和流程,以确保数据在本环节的安全性和合规性。首先,对于授权运营企业来说,从法律角度,其从政府行政机关通过授权方式获取的原始或经初步处理的公共数据,即使存储在授权运营企业所属的大数据平台上,除非另有约定外,应仍属于政府行政机关“所有”。因此,授权运营的企业将面临将数据归还或者由新的授权运营企业接手的问题。在这样的情况下,如果授权运营企业未曾对这些数据形成过任何可以“自有”的数据权利,或者尚未分仓分层存储,则有可能面临在数据归还过程中上无法将大数据平台上的数据和数据权属进行切割的问题(在这样的情况下,政府行政机关是否应提供法律补偿金则是另一个层面的问题,本文在此不做具体探讨。但是建议授权运营主体考虑在授权协议中约定相应的补偿条款)。
此外,除上述问题外,在数据归还的过程中,授权运营企业还应考虑以下法律合规问题:
(1)数据安全:在授权到期或失效之前,需要对数据进行评估,确定哪些数据需要处理和交还。评估时可能涉及到数据的类型、敏感性、用途等因素。对于需要处理的数据,需要采取适当的措施来确保数据的安全性和合规性。这可能包括数据的删除、加密、备份等操作。具体的处理方式需要根据数据的具体情况、法律法规的要求和参与方的约定来确定。
(2)数据完整性:在授权到期或失效后,应将需要交还的数据及时交还给政府行政机关或相关机构。交还的数据应该包括原始数据和经过处理的数据(这里指未形成自有权属的数据)。在交还数据之前,需要确保数据的完整性和准确性,并遵守相关的法律法规和参与方之间的其他约定。
(3)记录管理:在处理和交还数据的过程中,需要记录相关的操作和管理活动。这些记录需要合理保存,以备后续审计和检查。
另外,公共数据的具体的处理和交还流程可能因地区、行业、法律法规等因素而有所不同。因此,在处理和交还公共数据时需要遵守相关的法律法规和参与方之间的约定。因其属于复杂的数据合规事项,建议企业在开展相关工作前事先咨询专业人士的意见和建议。
(二)公共数据授权运营主体与市场主体、生态企业之间的法律关系
公共数据授权运营主体与市场主体和生态企业之间存在着对公共数据进行二级/二次授权的法律关系,在这层关系中也能够形成多个数据场景,且因不同的数据场景而产生各种数据合规需求。这样的法律关系通常是通过公共数据授权运营主体与市场主体、生态企业之间签署的数据共享/使用合同或数据开发协议、数据交易协议等而实现。各方在享受权利的同时,也需要承担相应的数据合规法律义务和责任。
在涉及公共数据授权运营的过程中,法律与监管框架发挥着重要的作用。对于市场主体和生态企业而言,在使用公共数据时,必须遵守数据合规的一般性法律合规要求以及公共数据领域的特殊法律要求。这包括确保数据的合法来源、合理使用、安全存储和传输等多方面。
特别提示注意的是,实践中,出于对数据安全的考量,公共数据的二级/二次授权也可能面临要遵守“原始数据不出域,数据可用不可见”的数据安全要求。因此在这种安全要求下,市场主体或生态企业可能需要到公共数据授权运营主体的大数据平台通过隐私计算、隐私沙箱等技术方式开展公共数据的共享、使用。
综上,公共数据授权运营主体与市场主体、生态企业之间的法律关系涉及多个方面,包括合同关系、法律与监管框架以及数据权益保护等,同时不同数据场景下会涉及各种数据合规的问题。因此,建议公共数据授权运营主体与市场主体、生态企业在签署这类数据协议之前以及具体运营和合作过程中,就涉及的各种数据合规问题咨询专业的法律顾问。
(三)公共数据授权运营主体与数据交易所之间的法律关系
简单来说,公共数据授权运营主体可能会考虑将其基于公共数据开发的数据产品登记到数据交易所,并在数据交易所的平台上进行交易。对这类数据产品,数据交易所需要对其进行数据安全和合法性的审查。此外,公共数据授权运营主体与数据交易所之间的法律关系也应当受到相关监管类和经营行为类的法律法规的约束。例如,双方需要遵守数据保护法律法规,确保个人信息数据的合法合规使用;又如,交易所也需要关注数据产品交易遵守反不正当竞争法规,防止数据交易中的不正当竞争行为。
二、提供公共服务的企业所持有的公共数据与企业数据合规进行区分、利用的途径
根据本文前述公共数据的定义,除一般意义上的政务数据外,公共数据还包含水、电、气和公共交通等企业在提供公共服务中所收集、产生的数据。此外,实务中也存在政府在早些年指定了部分企业承接其相关行业领域的政府端的公共数据的收集、存储和治理工作。因此,上述情形综合形成了这类企业既受政府行政机关的委托所处理公共数据(以下称“授权公共数据”),也包括因提供公共服务而直接产生的公共数据(以下称“自有公共数据”)。
但是无论公共数据来源为何,就这类企业而言,实践中因需要开展数据资产管理(例如数据治理、数据资源入表、数据产品开发等数据管理经营活动)而面临着如何区分其持有的授权公共数据、自有公共数据的范畴以及企业自身形成的经营数据的范畴(“企业数据”)等法律问题。上述不同数据,在涉及数据开放和共享使用、数据来源合法性、数据分类分级管理、数据资源入表、数据合规和安全要求等事项上所适用的法律法规和机制均存在着一定区别。因此,实务中这类企业比较关注其持有的公共数据和企业数据该如何区分或者说是否能够区分利用的问题。
对于这类企业的“授权公共数据”,我们建议可以适用公共数据授权的法律逻辑进行判断,即如果上述数据授权合法有效存在,则这类数据可参照一般的数据授权运营来进行利用。但是如果实践中,这类数据与企业数据没有做好数据存储的分仓分层隔离等数据治理措施,则实践中确实可能导致面临本文所阐述的法律问题及挑战,例如数据归还、数据资源入表中对数据来源合法性和权属判断的问题。
对于企业“自有公共数据”,从法律角度来看,无论目前的立法表述,还是政府行政机关或立法者本意都不是要将这类企业在提供公共服务中所持有的全部数据纳入类似于政府端公共数据的范畴,而是以支撑开展数字时代的各类公共服务为根本目的[3]。总体来说,这些企业在提供公共服务过程中收集、产生的数据并不一定都是公共数据,更不是可供全社会主体自由使用意义上的公共数据[4]。例如,为了更准确定义这类企业持有的公共数据,《重庆市数据条例》以“涉及公共利益”来框定这类企业生产的公共数据。《厦门经济特区数据条例》甚至将“其他公共机构”生产的数据直接分为公共数据和非公共数据两类。即,在性质划分中,数据是否涉及“公共利益”“公共服务”可以作为区分的基本参考原则。
因此,在目前没有明确法律规定或者具有指导性的权威实践案例的情况下,建议企业以“公共利益”“公共服务”等“公共性质”作为基本原则进行区分;同时,也建议企业可以参考以下判断方法进行识别:如果数据属于通常需要提交或者共享到相应的监管机构或行政部门的数据,或者当地的公共数据目录明确规定这类数据属于公共数据的,则建议这类企业将数据参考政府端公共数据进行分类(特别是针对原始公共数据)。反之,对于不属于公共性质的数据,可以视为企业数据。实践中,存在某类数据比较难以明确区分的或者该类数据产生的目的和原因本身就具有双重性而导致难以判断(即有些数据既属于公共数据也属于企业数据,例如,供水企业的每日供水量数据)的情形,对于这类数据我们建议遵从谨慎原则按照公共数据分类进行数据治理和利用。
此外,对于上述公共服务企业,一旦数据被识别为公共数据,应注意对公共数据进行标注并分仓分层存储。同时,也建议这类企业在其自有公共数据的基础上以合法合规的方式结合数据场景开发具有其智力成果和劳动加成的数据产品和服务。对于这类新产生的数据产品和服务,则可按照企业数据对外进行共享、使用、交易和入表。但仍要注意的是,如果数据产品本身含有个人信息,则仍需要判断个人信息来源的合法性以及拟共享使用的场景下的数据合规性。
退一步说,对于此类企业掌握的数据,从拟开展数据交易或者数据资源入表的角度来分析,如果产品本身融合了确实无法明确区分类别的数据,建议则可以依照公共数据或采用“公共数据加企业数据”的双重标准来对这类数据来源的合法合规性进行判断和分析。即,当面对难以明确区分为公共数据或企业数据的情形时,企业可以采取一种综合的、多维度的双重标准来评估和处理这些数据。这种方法需要企业在合法性和合规性的基础上,进一步考虑数据的公共性和企业性特征,以及它们在不同情境下的应用。
三、以公共数据授权链为导向的法律合规问题要点梳理
(一)公共数据授权运营链条中的静态法律问题与合规要点
公共数据授权运营的授权链条中所涉及的静态法律问题与合规要点主要是指在链条中从点到面的法律合规问题。因此,对于公共数据授权过程中所涉及的静态法律问题可以从数据来源和采集、数据授权机制、个人信息保护、网络安全和数据安全、国家安全、数据技术这些角度进行考虑,我们仅做要点梳理:
数据来源和采集方面:政府行政机关职能范围、公共数据范围、分类分级管理、授权开放等级、政府行政机关与行业部门数据的流转路径等。
数据授权机制方面:数据平台所有权、数据治理授权、数据运营授权、数据运营主体的资质问题、运营开放登记等。
个人信息保护方面:与采集模式相关的数据合规问题、个人的授权和同意、去标识化和匿名化等。
网络安全和数据安全、国家安全方面:所处理的公共数据是否涉及核心数据、重要数据,以及是否需要遵守国家安全和保密的要求等。
数据技术方面:原始数据可用不可见、原始数据不出域的法律要求,以及沙箱、AI监管、隐私计算等方面的法律问题。
(二)公共数据授权运营链条中的动态法律问题与合规要点
公共数据授权运营授权链条中所涉及的动态法律问题与合规要点,是指公共数据从授权运营到交易的过程中,所涉及的数据主体的权利和数据权属变化和转变相关的法律合规问题,主要涉及的要点如下:
数据产权确权的问题,即涉及有或无数据产权、权属是否清楚、产权权利类型等。
权利授予或转让的问题,即数据权利转让、数据权利授予的具体内容以及主体资质、内容是否合规等。
权利转变和获得的问题,即数据权利转变、数据权利获得、数据权利转授等。
权利保护的问题,即侵权和合同违约的风险、知识产权保护的问题、个人信息保护、不正当竞争等问题。
数据交易中的数据安全方面的问题,即需要关注数据安全、数据治理合规性、拟交易数据类型的限制和禁止(负面清单)。
四、对公共数据授权运营与数据资产化的进一步思考
2023年,中共中央、国务院印发《数字中国建设整体布局规划》,进一步指出要加快建立数据产权制度,开展数据资产计价研究等。数据资产作为经济社会数字化转型中的新兴资产类型,已在社会上形成广泛共识。财政部制定《关于加强数据资产管理的指导意见》,明确了数据的资产类别,提出依法合规推动数据资产化。
公共数据授权运营和数据资产化,这两个概念在数据驱动的社会中越来越受关注。从宏观角度来说,公共数据的资产化推动着公共数据的有效利用,提高决策效率和透明度,并带动数字经济的发展。从微观角度来说,公共数据作为授权运营企业的重要数据资源,通过授权运营企业形成自有的公共数据产品和服务交易,而为企业产生价值和利润;同时通过公共数据资源入表还可实现公共数据的资产化,进而打开了公共数据资本化和数据金融化的道路,更大地释放公共数据的价值。
但是,在公共数据资产化的过程也应注意合法合规方面的要求。公共数据涉及大量的个人信息、重要数据,因此对其进行数据资产入表需要遵守相关的法律法规,确保数据的合法性和合规性。通过开展公共数据治理及资产入表工作,可以规范公共数据的共享和开放行为,提升数据的安全性和合规性,促进数据的有效利用和共享,同时可以明确公共数据的来源、流向和使用情况,及时发现和解决数据问题,提高公共数据的质量和可靠性。
注释:
[1] 《关于构建数据基础制度更好发挥数据要素作用的意见》(www.gov.cn)。
[2] 《落实<数据二十条>精神 高质量推进公共数据开发利用》(https://www.ndrc.gov.cn/xxgk/jd/jd/202303/t20230317_1351339.html)。
[3] 同上。
[4] 参考《公共机构的数据持有者权——多元数据开放体系的基础制度》,(http://www.dataprotection.cn/news/142.html)。
李玲
李玲主要业务领域为公司与并购、合规与风控、境外投资、生命科学及医疗、环境、社会与治理(ESG)等。李玲已主办了多个境内、境外投资并购项目、企业合规体系搭建、数据合规专项、外商投资、争议解决等项目。李玲也提供一般公司业务和业务合规的咨询服务。她的客户涵盖内资企业和机构(含国有企业、上市公司、初创公司)、外资企业和境外企业,涉及的行业主要包括数据和人工智能、医药健康、新能源以及ESG投资和合规等。加入环球前,李玲曾在一家中资所及一家外资所从事公司与并购、企业合规咨询、外商投资及争议解决等法律业务。她也曾担任路易达孚中国(LDC China)的法律顾问、VFS Global中国的大中华区高级法务总经理和数据合规官(DPO),以及中国电子集团(CEC)下属大数据企业的法律合规负责人,全面负责企业的法律、合规和内控工作。李玲具有中国及美国纽约州律师从业资格,同时也获得了欧盟和中国的隐私保护和个人信息保护专家的认证资质。
扫码直通官网简历
往期文章推荐
"AI助理“解读新法规系列
美国数据监管新规观察
“数据+” 各专题年度回顾与未来展望
网络数据安全和个人信息保护:构建安全屏障,筑牢合规之基
数据跨境流动:探索安全、合规的传输机制
算法与人工智能:紧追时代,拥抱重塑未来的力量
数据要素市场建设:释放数据价值,驱动经济发展
未成年人保护:守护祖国花朵,共建清朗网络空间
网络暴力防范:倡导文明上网,共建和谐网络社区
汽车及出行行业合规:识别、评估与应对,打好合规持久战
金融行业合规:把握关键法律动向,构建合规金融圈
企业 ESG 体系构建:塑造可持续竞争力的关键路径
想要获得更多资讯内容
请扫码关注我们
M姐 数据合规评论
微信号|M_DigitalLawandLife
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...