公共数据授权运营法律研究之一——关于公共数据授权运营实践中的授权问题

编者按：笔者在为公共数据社会化开发利用提供法律服务过程中，逐步形成一些思考。在国家数据局成立后，公共数据利用的政策逐步明晰，笔者结合商业与法律实践，就公共数据授权运营相关的问题做一些初步的研究分析，求教于各方。

公共数据流通模式与公共数据授权运营

公共数据的流通一般认为包括共享、开放、授权运营等模式。其中，公共数据的共享系指公共管理及服务机构之间的内部共享，如《上海市数据条例》第三十八条规定，公共管理和服务机构之间共享公共数据，应当以共享为原则，不共享为例外，无偿共享公共数据。没有法律、法规、规章依据，公共管理和服务机构不得拒绝其他机构提出的共享要求。因此，公共数据在公共管理和服务机构之间的流通以共享为原则，一般不涉及“授权”问题。

公共数据开放，是指公共管理和服务机构在公共数据范围内，面向社会提供具备原始性、可机器读取、可供社会化再利用的数据集的公共服务。而公共数据授权运营是公共数据开发利用的新机制，是在既有的政府直接供给的基础上引入第三方机制，提升公共数据资源配置的有效性。

对于两者之间的概念及关系存在不同观点：一种观点认为依据国家《国民经济和社会发展第十四个五年规划和2035年远景目标纲要》，“开展政府数据授权运营试点”属于第十七章“提高数字政府建设水平”第一节“加强公共数据开放共享”的框架下，因此公共数据授权运营应属于公共数据开放的方式之一；另外一种观点则认为公共数据开放与公共数据授权运营属于并列概念，公共数据开放是公共管理和服务机构与数据使用主体之间的数据流通，系不涉及费用支付的“无偿”行为，而公共数据授权运营则是数据使用主体与被授权运营主体、公共管理和服务机构之间的数据流通，系“有偿”行为，两者的底层逻辑及价值导向具有差异。

笔者认为两者是在不同的维度上解决公共数据社会化利用开发的问题，公共数据授权运营与公共数据开放不宜以简单的包含隶属关系或简单的并列关系来分析。公共数据授权运营作为公共数据开发利用的新机制，不同于以往政府将数据直接提供给数据使用单位，而由政府将公共数据授权给某个主体运营，由其以公共数据产品或服务的形式向社会提供。

实践中政府部门对公共数据的把握往往是“以不公开为基准，以公开为例外”，且公共数据一般为无偿，这造成政府部门的积极性有限，从公共数据开放路径上企业难以获得有价值的数据。对公共数据资源进行价值的深度挖掘、开发，正是公共数据授权运营的初衷。公共数据开放解决“How”的问题，而公共数据授权运营解决“Who”的问题，即数据开放主要是为了解决如何从数据持有方提供数据至数据利用方，而公共数据授权运营则是解决谁具体去实施数据开放从而达成数据流通。

公共数据授权运营中的授权场景

数据的流通利用需要解决合规性的问题，合规问题的重点是权属、来源合规，近日国家数据局局长刘烈宏介绍家数据局重点工作时指出要“落实产权分置制度，明确公共数据授权运营的合规政策和管理要求，厘清数据供给、使用、管理的权责义务，探索公共数据产品和服务的价格形成机制，让公共数据“供得出”。”在公共数据授权运营的各种合规管理要求中，“授权”是个重要问题。在数据的流通利用中，流通利用的范围受限于法律的规定和数据主体（信息主体）的授权，法律规定不得流通的数据或者信息主体不同意或未授权的数据不应被流通，公共数据同样受到相应的约束。

无论公共数据授权运营与公共数据开放的两者关系为何，公共数据流通中所涉及的利益主体均可能涉及信息主体、公共管理和服务机构、公共数据运营主体、公共数据使用主体四类主体。在上述主体之间，可能存在的“授权”问题主要涉及四个场景：第一，公共管理和服务机构对于公共数据运营主体的“授权”；第二，信息主体对于公共管理和服务机构的“授权”；第三，信息主体对于公共数据运营主体的“授权”；第四，信息主体对于公共数据使用主体的“授权”。公共数据使用主体通过协议方式从公共数据运营主体处取得公共数据的，不以“授权”名义进行分析。

（一）公共管理和服务机构对于公共数据运营主体的“授权”

“数据二十条”第（四）条将公共数据表述为各级党政机关、企事业单位依法履职或提供公共服务过程中产生的数据。因此，公共管理和服务机构自公共数据产生伊始，享有对数据的合法权益，相应的财产权益虽未有法律的明确规定，但并未否定公共管理和服务机构的数据权利。其中，对于涉及个人信息和商业秘密的公共数据，需满足《个人信息保护法》《民法典》等相应法律的保护要求，而对于不关涉个人信息、商业秘密的公共数据，笔者认为法律未对公共管理和服务机构加工使用该等数据作出限制性规定。而从促进数据流通利用，发挥数据价值的角度，公共管理和服务机构有义务促进公共数据的社会化开发与利用。

《浙江省公共数据条例》第三十五条规定“县级以上人民政府可以授权符合规定安全条件的法人或者非法人组织运营公共数据，并与授权运营单位签订授权运营协议。禁止开放的公共数据不得授权运营。授权运营单位应当依托公共数据平台对授权运营的公共数据进行加工；对加工形成的数据产品和服务，可以向用户提供并获取合理收益。授权运营单位不得向第三方提供授权运营的原始公共数据。”在《浙江省公共数据条例》背景下，浙江省有权政府部门可以授权符合安全条件的社会主体组织运营公共数据，加工、形成数据产品和服务，并可获取合理收益。

《上海市数据条例》第四十四条规定“本市建立公共数据授权运营机制，提高公共数据社会化开发利用水平。”第四十五条规定“被授权运营主体应当在授权范围内，依托统一规划的公共数据运营平台提供的安全可信环境，实施数据开发利用，并提供数据产品和服务。” 实践中，被授权运营主体例如上海数据集团经上海市政府授权负责上海市公共数据的运营，数据集团再与第三方公共数据使用主体签署公共数据的开发利用协议，第三方公共数据使用主体根据协议授权，对根据协议获得的公共数据以及自身通过合法方式采集的其他数据进行加工处理，开发形成数据产品并向社会提供有偿数据服务。

公共管理和服务机构对公共数据授权运营的授权，包括公共数据授权运营范围的授权、授权运营主体的授权、公共数据加工处理行为的授权及对外提供产品和服务的授权。如《上海市数据条例》第四十四条规定“市政府办公厅应当组织制定公共数据授权运营管理办法，明确授权主体，授权条件、程序、数据范围，运营平台的服务和使用机制，运营行为规范，以及运营评价和退出情形等内容。”《浙江省公共数据条例》第三十五条规定“授权运营协议应当明确授权运营范围、运营期限、合理收益的测算方法、数据安全要求、期限届满后资产处置等内容。”

（二）信息主体对于公共管理和服务机构的“授权”

对于关涉个人、企事业单位等信息主体的数据，信息主体在出于法律法规或行政事项要求，向公共管理和服务机构提供自身信息时，系基于相关事项办理或法律要求的目的，并未持有公共管理和服务机构对包含其个人信息或商业秘密的数据进行后续流通利用的期待。公共管理和服务机构作为行政机关对公共数据的处理应当受依法行政原则的约束，一方面公共管理和服务机构对公共数据的处理行为应符合法律的要求；另一方面公共管理和服务机构在处理关涉个人、企事业单位利益的公共数据时，应当避免损害信息主体的合法利益。

如税务部门基于履行法定职责或法定义务所必需持有个人信息主体的税务数据，具备《个人信息保护法》第十三条的合法性基础，无需取得个人的授权同意，但如当个人向银行申请贷款时，税务部门向银行提供其税务数据以作为贷款审核评价指标的行为，实际变更了税务部门处理个人信息主体相关信息的原先处理目的及处理方式，应当取得个人的单独授权同意。

以上海市为例，《上海市公共数据开放暂行办法》第十一条规定：“对涉及商业秘密、个人隐私，或者法律法规规定不得开放的公共数据，列入非开放类；对数据安全和处理能力要求较高、时效性较强或者需要持续获取的公共数据，列入有条件开放类；其他公共数据列入无条件开放类。非开放类公共数据依法进行脱密、脱敏处理，或者相关权利人同意开放的，可以列入无条件开放类或者有条件开放类。”对涉及商业秘密、个人信息的非开放公共数据，经授权同意后，可以进行流通。但实践中，政府部门在公共数据流通中追溯信息主体，并取得信息主体的单独同意存在操作困难，即难以触达信息主体或者触达成本较高。

（三）信息主体对于公共数据运营主体的“授权”及信息主体对于公共数据使用主体的“授权”

对于涉及商业秘密、个人信息的非开放公共数据，尽管经授权同意后可以进行流通，但同时需考量流通范围、流通中的数据接收方是否超出信息主体原先的授权同意范围，是否可能侵犯信息主体的合法权益。

以监管更为严格的个人信息为例，依据《个人信息保护法》第二十三条的规定“个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意。”因此，取得个人信息主体知情同意下的授权是涉及个人信息的公共数据合法合规授权运营的法律要求之一。

从法律角度而言，公共管理和服务机构向授权运营主体提供个人信息主体的个人信息、公共数据授权运营主体向使用主体提供个人信息主体的个人信息，均实际改变了个人信息原先的处理目的、变更了实际接收方，需取得个人信息主体的单独同意。

但如上所述，公共管理和服务机构在公共数据流通中，追溯个人信息主体并取得授权同意存在困难，且授权同意成本过高，可能给政府带来额外的财政负担。同时，公共数据授权运营主体在实际业务场景中亦不直接接触信息主体，难以取得个人同意。

公共数据使用主体作为直接接触信息主体的业务方，个人信息主体一般具有向其提供自身个人信息以通过相关业务办理或达成合作的意愿，取得信息主体授权同意的成本相对较低，效率相对较高。因此，公共管理和服务机构、公共数据授权运营主体在实践中均一般通过最终触达信息主体的公共数据使用主体取得相关授权同意。

例如在征信场景下，征信机构采集、加工信息主体信息形成的信用报告，由于可能涉及信息主体的非公开信息，需遵循法律法规的约束，取得信息主体的同意。而征信机构由于不直接面对客户，往往难以取得客户单独的授权同意或者为了取得信息主体的授权同意会产生大量的成本，造成人力、物力、时间成本的增加，只能通过金融机构间接获取信息主体的授权。

作者简介：江翔宇，上海市协力律师事务所高级合伙人，兼任上海市法学会金融法研究会副秘书长、上海市国资委法律咨询专家、上海市地方金融监督管理局法律顾问；协力律师事务所管心竹律师亦参与了本文的研究。