数据资产管理领域的法律问题之一：公共数据授权运营相关法律合规问题（下篇）

作者：李玲（实习生许嘉嘉、丁澎绪对本文亦有贡献）

审校：孟洁

一、公共数据授权运营中的法律合规问题

（一）公共数据的授权政府行政机关与授权运营主体之间的法律关系

1. 授权运营企业如何将公共数据转变成自身可合法持有的企业数据

因授权运营企业对于经授权获取的公共数据所通常进行的数据清洗、治理、加工等经营活动涉及一定的企业成本，因此对于授权运营企业来说，会关注这类数据能否形成企业自身合法所有的数据的问题。就上述问题，也涉及两个延伸性的法律问题，包括：1）授权运营企业需要进行何种程度的数据清洗、治理和加工等活动，才能够形成“自有”的公共数据？2）既然企业希望将公共数据转变形成“自有资产”，那么企业如何将公共数据与形成的自有数据“分清你我”，以便未来可以开展数据资源入表等活动？

对于上述问题1），我们理解从法律角度可能没有简单直接且万能的一种法律解决方案。因此，我们建议授权运营企业对授权获取的公共数据（包括原始数据）加工成数据产品，并且该数据产品并不是简单的将数据堆砌，而是开展类似于知识产权的再研发/再开发程度的治理和加工，形成企业自己的智力成果和劳动加成的数据。对于上述问题2），我们初步建议，授权运营企业可考虑对于从政府行政机关获取的公共数据(主要是原始数据和经过初步清洗、治理和加工的公共数据）与通过自身治理和加工形成的自有的数据（主要是深度加工处理后形成的数据产品、数据服务、数据集等）分仓分层存储，同时也建议授权运营企业在数据授权运营协议中就本问题涉及的数据权属进行明确的约定。

2. 公共数据在授权运营和使用链条中脱离“原始公共数据”的节点识别问题

在实务中，我们也遇到有些客户关注“在公用数据授权运营和使用链条哪个环节之后，其可以脱离原始公共数据或者说公共数据的范畴，而以相对市场化的方式不受限地在‘公共数据的域’外对数据进行进一步的加工、处理和运营”。对于本问题，我们初步认为，公共数据授权运营企业可以采用多方安全计算、差分隐私、同态加密等技术手段，加工或对外授权使用原始公共数据，确保这些数据在加工、使用时不被泄露。当公共数据授权运营企业或市场主体通过智力劳动形成具有独立经济价值的数据产品或服务时，这些新形态的数据产品或服务将具有独立的知识产权。在这种情况下，所加工产生的数据产品在“出域”后，在法律性质上应视为脱离了原始公共数据的范畴。对于这类数据产品和服务的进一步加工和使用、交易和实施后续入表或资产化等活动时，则可以按照非公共数据的治理机制进行，不受域的限制。

3. 公共数据授权到期或失效后的数据处理和归还所涉及的法律合规问题

在公共数据授权运营到期或失效后，公共数据的处理和交还需要遵循一定的规定和流程，以确保数据在本环节的安全性和合规性。首先，对于授权运营企业来说，从法律角度，其从政府行政机关通过授权方式获取的原始或经初步处理的公共数据，即使存储在授权运营企业所属的大数据平台上，除非另有约定外，应仍属于政府行政机关“所有”。因此，授权运营的企业将面临将数据归还或者由新的授权运营企业接手的问题。在这样的情况下，如果授权运营企业未曾对这些数据形成过任何可以“自有”的数据权利，或者尚未分仓分层存储，则有可能面临在数据归还过程中上无法将大数据平台上的数据和数据权属进行切割的问题（在这样的情况下，政府行政机关是否应提供法律补偿金则是另一个层面的问题，本文在此不做具体探讨。但是建议授权运营主体考虑在授权协议中约定相应的补偿条款）。

此外，除上述问题外，在数据归还的过程中，授权运营企业还应考虑以下法律合规问题：

（1）数据安全：在授权到期或失效之前，需要对数据进行评估，确定哪些数据需要处理和交还。评估时可能涉及到数据的类型、敏感性、用途等因素。对于需要处理的数据，需要采取适当的措施来确保数据的安全性和合规性。这可能包括数据的删除、加密、备份等操作。具体的处理方式需要根据数据的具体情况、法律法规的要求和参与方的约定来确定。

（2）数据完整性：在授权到期或失效后，应将需要交还的数据及时交还给政府行政机关或相关机构。交还的数据应该包括原始数据和经过处理的数据（这里指未形成自有权属的数据）。在交还数据之前，需要确保数据的完整性和准确性，并遵守相关的法律法规和参与方之间的其他约定。

（3）记录管理：在处理和交还数据的过程中，需要记录相关的操作和管理活动。这些记录需要合理保存，以备后续审计和检查。

另外，公共数据的具体的处理和交还流程可能因地区、行业、法律法规等因素而有所不同。因此，在处理和交还公共数据时需要遵守相关的法律法规和参与方之间的约定。因其属于复杂的数据合规事项，建议企业在开展相关工作前事先咨询专业人士的意见和建议。

（二）公共数据授权运营主体与市场主体、生态企业之间的法律关系

公共数据授权运营主体与市场主体和生态企业之间存在着对公共数据进行二级/二次授权的法律关系，在这层关系中也能够形成多个数据场景，且因不同的数据场景而产生各种数据合规需求。这样的法律关系通常是通过公共数据授权运营主体与市场主体、生态企业之间签署的数据共享/使用合同或数据开发协议、数据交易协议等而实现。各方在享受权利的同时，也需要承担相应的数据合规法律义务和责任。

在涉及公共数据授权运营的过程中，法律与监管框架发挥着重要的作用。对于市场主体和生态企业而言，在使用公共数据时，必须遵守数据合规的一般性法律合规要求以及公共数据领域的特殊法律要求。这包括确保数据的合法来源、合理使用、安全存储和传输等多方面。

特别提示注意的是，实践中，出于对数据安全的考量，公共数据的二级/二次授权也可能面临要遵守“原始数据不出域，数据可用不可见”的数据安全要求。因此在这种安全要求下，市场主体或生态企业可能需要到公共数据授权运营主体的大数据平台通过隐私计算、隐私沙箱等技术方式开展公共数据的共享、使用。

综上，公共数据授权运营主体与市场主体、生态企业之间的法律关系涉及多个方面，包括合同关系、法律与监管框架以及数据权益保护等，同时不同数据场景下会涉及各种数据合规的问题。因此，建议公共数据授权运营主体与市场主体、生态企业在签署这类数据协议之前以及具体运营和合作过程中，就涉及的各种数据合规问题咨询专业的法律顾问。

（三）公共数据授权运营主体与数据交易所之间的法律关系

简单来说，公共数据授权运营主体可能会考虑将其基于公共数据开发的数据产品登记到数据交易所，并在数据交易所的平台上进行交易。对这类数据产品，数据交易所需要对其进行数据安全和合法性的审查。此外，公共数据授权运营主体与数据交易所之间的法律关系也应当受到相关监管类和经营行为类的法律法规的约束。例如，双方需要遵守数据保护法律法规，确保个人信息数据的合法合规使用；又如，交易所也需要关注数据产品交易遵守反不正当竞争法规，防止数据交易中的不正当竞争行为。

二、提供公共服务的企业所持有的公共数据与企业数据合规进行区分、利用的途径

根据本文前述公共数据的定义，除一般意义上的政务数据外，公共数据还包含水、电、气和公共交通等企业在提供公共服务中所收集、产生的数据。此外，实务中也存在政府在早些年指定了部分企业承接其相关行业领域的政府端的公共数据的收集、存储和治理工作。因此，上述情形综合形成了这类企业既受政府行政机关的委托所处理公共数据（以下称“授权公共数据”），也包括因提供公共服务而直接产生的公共数据（以下称“自有公共数据”）。

但是无论公共数据来源为何，就这类企业而言，实践中因需要开展数据资产管理（例如数据治理、数据资源入表、数据产品开发等数据管理经营活动）而面临着如何区分其持有的授权公共数据、自有公共数据的范畴以及企业自身形成的经营数据的范畴（“企业数据”）等法律问题。上述不同数据，在涉及数据开放和共享使用、数据来源合法性、数据分类分级管理、数据资源入表、数据合规和安全要求等事项上所适用的法律法规和机制均存在着一定区别。因此，实务中这类企业比较关注其持有的公共数据和企业数据该如何区分或者说是否能够区分利用的问题。

对于这类企业的“授权公共数据”，我们建议可以适用公共数据授权的法律逻辑进行判断，即如果上述数据授权合法有效存在，则这类数据可参照一般的数据授权运营来进行利用。但是如果实践中，这类数据与企业数据没有做好数据存储的分仓分层隔离等数据治理措施，则实践中确实可能导致面临本文所阐述的法律问题及挑战，例如数据归还、数据资源入表中对数据来源合法性和权属判断的问题。

对于企业“自有公共数据”，从法律角度来看，无论目前的立法表述，还是政府行政机关或立法者本意都不是要将这类企业在提供公共服务中所持有的全部数据纳入类似于政府端公共数据的范畴，而是以支撑开展数字时代的各类公共服务为根本目的^[3]。总体来说，这些企业在提供公共服务过程中收集、产生的数据并不一定都是公共数据，更不是可供全社会主体自由使用意义上的公共数据^[4]。例如，为了更准确定义这类企业持有的公共数据，《重庆市数据条例》以“涉及公共利益”来框定这类企业生产的公共数据。《厦门经济特区数据条例》甚至将“其他公共机构”生产的数据直接分为公共数据和非公共数据两类。即，在性质划分中，数据是否涉及“公共利益”“公共服务”可以作为区分的基本参考原则。

因此，在目前没有明确法律规定或者具有指导性的权威实践案例的情况下，建议企业以“公共利益”“公共服务”等“公共性质”作为基本原则进行区分；同时，也建议企业可以参考以下判断方法进行识别：如果数据属于通常需要提交或者共享到相应的监管机构或行政部门的数据，或者当地的公共数据目录明确规定这类数据属于公共数据的，则建议这类企业将数据参考政府端公共数据进行分类（特别是针对原始公共数据）。反之，对于不属于公共性质的数据，可以视为企业数据。实践中，存在某类数据比较难以明确区分的或者该类数据产生的目的和原因本身就具有双重性而导致难以判断（即有些数据既属于公共数据也属于企业数据，例如，供水企业的每日供水量数据）的情形，对于这类数据我们建议遵从谨慎原则按照公共数据分类进行数据治理和利用。

此外，对于上述公共服务企业，一旦数据被识别为公共数据，应注意对公共数据进行标注并分仓分层存储。同时，也建议这类企业在其自有公共数据的基础上以合法合规的方式结合数据场景开发具有其智力成果和劳动加成的数据产品和服务。对于这类新产生的数据产品和服务，则可按照企业数据对外进行共享、使用、交易和入表。但仍要注意的是，如果数据产品本身含有个人信息，则仍需要判断个人信息来源的合法性以及拟共享使用的场景下的数据合规性。

退一步说，对于此类企业掌握的数据，从拟开展数据交易或者数据资源入表的角度来分析，如果产品本身融合了确实无法明确区分类别的数据，建议则可以依照公共数据或采用“公共数据加企业数据”的双重标准来对这类数据来源的合法合规性进行判断和分析。即，当面对难以明确区分为公共数据或企业数据的情形时，企业可以采取一种综合的、多维度的双重标准来评估和处理这些数据。这种方法需要企业在合法性和合规性的基础上，进一步考虑数据的公共性和企业性特征，以及它们在不同情境下的应用。

三、以公共数据授权链为导向的法律合规问题要点梳理

（一）公共数据授权运营链条中的静态法律问题与合规要点

公共数据授权运营的授权链条中所涉及的静态法律问题与合规要点主要是指在链条中从点到面的法律合规问题。因此，对于公共数据授权过程中所涉及的静态法律问题可以从数据来源和采集、数据授权机制、个人信息保护、网络安全和数据安全、国家安全、数据技术这些角度进行考虑，我们仅做要点梳理：

1. 数据来源和采集方面：政府行政机关职能范围、公共数据范围、分类分级管理、授权开放等级、政府行政机关与行业部门数据的流转路径等。
   
   

2. 数据授权机制方面：数据平台所有权、数据治理授权、数据运营授权、数据运营主体的资质问题、运营开放登记等。
   
   

3. 个人信息保护方面：与采集模式相关的数据合规问题、个人的授权和同意、去标识化和匿名化等。
   
   

4. 网络安全和数据安全、国家安全方面：所处理的公共数据是否涉及核心数据、重要数据，以及是否需要遵守国家安全和保密的要求等。
   
   

5. 数据技术方面：原始数据可用不可见、原始数据不出域的法律要求，以及沙箱、AI监管、隐私计算等方面的法律问题。

（二）公共数据授权运营链条中的动态法律问题与合规要点

公共数据授权运营授权链条中所涉及的动态法律问题与合规要点，是指公共数据从授权运营到交易的过程中，所涉及的数据主体的权利和数据权属变化和转变相关的法律合规问题，主要涉及的要点如下：

1. 数据产权确权的问题，即涉及有或无数据产权、权属是否清楚、产权权利类型等。
   
   

2. 权利授予或转让的问题，即数据权利转让、数据权利授予的具体内容以及主体资质、内容是否合规等。
   
   

3. 权利转变和获得的问题，即数据权利转变、数据权利获得、数据权利转授等。
   
   

4. 权利保护的问题，即侵权和合同违约的风险、知识产权保护的问题、个人信息保护、不正当竞争等问题。
   
   

5. 数据交易中的数据安全方面的问题，即需要关注数据安全、数据治理合规性、拟交易数据类型的限制和禁止（负面清单）。

四、对公共数据授权运营与数据资产化的进一步思考

2023年，中共中央、国务院印发《数字中国建设整体布局规划》，进一步指出要加快建立数据产权制度，开展数据资产计价研究等。数据资产作为经济社会数字化转型中的新兴资产类型，已在社会上形成广泛共识。财政部制定《关于加强数据资产管理的指导意见》，明确了数据的资产类别，提出依法合规推动数据资产化。

公共数据授权运营和数据资产化，这两个概念在数据驱动的社会中越来越受关注。从宏观角度来说，公共数据的资产化推动着公共数据的有效利用，提高决策效率和透明度，并带动数字经济的发展。从微观角度来说，公共数据作为授权运营企业的重要数据资源，通过授权运营企业形成自有的公共数据产品和服务交易，而为企业产生价值和利润；同时通过公共数据资源入表还可实现公共数据的资产化，进而打开了公共数据资本化和数据金融化的道路，更大地释放公共数据的价值。

但是，在公共数据资产化的过程也应注意合法合规方面的要求。公共数据涉及大量的个人信息、重要数据，因此对其进行数据资产入表需要遵守相关的法律法规，确保数据的合法性和合规性。通过开展公共数据治理及资产入表工作，可以规范公共数据的共享和开放行为，提升数据的安全性和合规性，促进数据的有效利用和共享，同时可以明确公共数据的来源、流向和使用情况，及时发现和解决数据问题，提高公共数据的质量和可靠性。