引言
随着数字经济成为国家战略,公共数据资源作为关键生产要素的价值日益凸显。2024年9月21日,中共中央办公厅、国务院办公厅发布《关于加快公共数据资源开发利用的意见》;2025年1月,国家发展改革委、国家数据局相继印发《公共数据资源授权运营实施规范(试行)》《公共数据资源登记管理暂行办法》及《关于建立公共数据资源授权运营价格形成机制的通知》,标志着我国已形成公共数据资源领域"1+3"政策体系。此前,在《数据安全法》《个人信息保护法》"数据二十条"《关于构建数据基础制度的意见》等法律法规和政策框架下,各地方政府相继出台公共数据授权运营管理办法。目前,一套旨在促进公共数据合规高效流通利用的制度体系正在形成。然而,公共数据资源授权运营在实践过程中仍面临诸多法律挑战。本文通过梳理运营机制,探析相关法律问题与合规要点。
一、核心概念与法律框架
1
(一)核心概念界定
公共数据资源,是指各级党政机关、企事业单位依法履职或提供公共服务过程中产生的具有利用价值的数据集合。授权运营,是指将县级以上地方各级人民政府、国家行业主管部门持有的公共数据资源,按照法律法规和相关要求,授权符合条件的运营机构进行治理、开发,并面向市场公平提供数据产品和技术服务的活动。
根据《公共数据资源授权运营实施规范(试行)》及《陕西省公共数据资源授权运营实施细则》(征求意见稿)规定,授权运营数据范围为:县级以上地方各级人民政府、省级行业主管部门可将依法持有或管理的公共数据资源,在落实数据分类分级保护制度要求,不危害国家安全、公共利益,不侵犯商业秘密和个人隐私、个人信息权益等合法权益的前提下,纳入授权运营范围。以政务数据共享方式获得的其他地区或部门的公共数据,用于授权运营的,应征得共享数据提供单位同意。纳入授权运营范围内的公共数据资源和已交付的公共数据产品和服务,应按照公共数据资源登记管理要求进行登记。
2
(二)授权运营模式
为兼顾经济和社会效应,满足不同场景下数据开发利用和地域特点的需求,公共数据资源授权模式包括整体授权、分领域授权或依场景授权等。其中,分领域授权主要聚焦医疗、交通及金融等特定行业;依场景授权则针对个性化开发需要,面向特定应用场景,数据整合度较高。
陕西省明确以整体授权为主,由数据管理部门在公共数据汇集共享和业务协同基础上进行授权,也可结合实际,由数据管理部门会同行业主管部门开展分领域、依场景授权。省数据和政务服务中心为省级综合性实施机构,分领域、依场景授权的实施机构由数据管理部门会同行业主管部门确定。市级人民政府结合本地实际确定本区域公共数据授权运营模式。
3
(三)运营机构选择机制
运营机构应当通过公开招标、邀请招标、竞争性谈判等公平竞争方式择优确定。选择条件包括资金实力、管理能力、技术能力、服务能力和安全保障能力。运营机构的主要职责是负责数据治理、开发,并面向市场公平提供数据产品和技术服务。运营机构的选择是整个运营体系安全及效率的核心环节。
4
(四)收益分配机制
运营机构收益来源主要包括:运营服务费用(由发展改革部门会同数据管理部门核定最高范围,并建立定期评估调整制度)、数据产品销售和增值服务收益,以及政府补贴。参与收益分配的主体包括数据持有方、参与开发方和其他合作方。
收益分配遵循"公益优先、合理收益"原则,由各方通过协议约定。鉴于公共数据资源授权运营机制的核心目标是提升公共服务和治理能力,分配机制需在保障公共利益的同时,充分激励运营方的持续创新投入。
5
(五)数据安全与隐私保护
安全与隐私保护是公共数据资源授权运营机制的核心基石。运营机构作为数据安全的责任主体,应加强内控管理、技术管理和人员管理,不得超授权范围使用公共数据资源,严防数据加工、处理、运营、服务等环节的数据安全风险。实施机构应建立健全管理制度,强化数据治理,提升数据质量,落实数据分类分级保护制度要求,加强技术支撑保障和数据安全管理,严格管控未依法依规公开的原始公共数据资源直接进入市场,强化对运营机构涉及公共数据资源授权运营的内控审计。
二、法律问题与合规要点剖析
(一)授权主体的合法性与权限问题
· 问题界定
公共数据授权运营的实施主体应当是数据原持有单位,如某局委,还是本级政府的政务数据主管部门,如大数据局?
· 法理分析
根据《公共数据资源授权运营实施规范(试行)》及地方实践,确立本级政府的公共数据主管部门(通常为大数据管理局)作为统一授权主体,对公共数据进行统筹管理和授权。这一做法符合"统一授权"原则,有利于实现规模化、规范化运营,亦符合《数据安全法》第三十条关于"国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护"的规定。若由原持有单位授权,可能导致"数据孤岛"和授权标准不一。
· 合规建议
运营机构在参与授权运营前,应核查授权主体是否符合《公共数据资源授权运营实施规范(试行)》规定的实施机构范围,确保授权主体具有法定权限。
(二)授权法律关系的性质与合规风险
· 问题界定
授权运营协议属于行政协议还是民事合同?
· 法理分析
该定性直接影响争议解决方式(行政诉讼vs.民事诉讼)、责任承担等法律后果。目前存在两种观点:行政协议说认为授权行为带有公权力色彩,目的是实现公共利益,政府享有单方监督和终止权;民事合同说则认为双方在法律地位上趋于平等,通过协议约定权利义务,更符合市场化运营特征。
· 合规启示
根据《最高人民法院关于审理行政协议案件若干问题的规定》及实践,公共数据授权运营协议应认定为兼具行政与民事特征的混合合同。协议起草时,应明确政府的监管权限、公共利益条款,同时细化运营方的商业权利、服务标准、违约责任等,使协议既能保障公共利益,又能尊重市场规律。
(三)数据来源的合法性与授权链条完整性
· 问题界定
公共管理和服务机构在履职中收集的数据,其原始收集行为是否合法?运营机构如何确保上游数据来源的合法性?
· 法理分析
《个人信息保护法》第十三条明确,处理个人信息需有明确、合法的依据。政府履职可能基于"履行法定职责所必需",但将数据授权给第三方进行商业化运营,是否超出原始收集目的,构成法律风险。根据《个人信息保护法》第十七条,个人信息的处理目的、方式、种类等应向个人明确告知,但授权运营模式下难以获取海量个人的同意。
· 合规启示
运营机构应建立数据来源合法性审查机制,要求授权方提供数据收集的法律依据说明。对于涉及个人信息的数据,必须通过技术手段实现不可逆的匿名化处理,使个人信息无法识别到特定个人且不能复原,方能符合《个人信息保护法》对匿名化数据的豁免规定。
(四)个人信息与隐私保护的合规风险
· 问题界定
公共数据中大量包含个人信息,如社保、医疗、交通出行数据等,如何在开发利用中严守个人信息保护红线?
· 法理分析
直接使用或简单脱敏后使用个人信息,极易构成侵权甚至违法犯罪。《个人信息保护法》第七条明确"处理个人信息应当遵循合法、正当、必要和诚信原则",第二十四条要求"向个人提供便捷的撤回同意的方式",但授权运营模式下难以实现。
· 合规启示
必须严格区分"去标识化"与"匿名化"的法律意义。去标识化仍存在重标识风险,不属于法律意义上的匿名化,其使用仍需满足个人信息处理的一般规则。《个人信息保护法》第七十三条明确,匿名化是指"个人信息经过处理无法识别特定自然人且不能复原"。因此,技术上的彻底匿名化是唯一可行且合规的路径。
(五)数据安全与分类分级管理义务
· 问题界定
运营机构如何履行数据安全保护义务?不同级别的数据应如何区别对待?
· 法理分析
《数据安全法》第二十一条确立了数据分类分级保护制度。公共数据可能包含重要数据甚至核心数据,运营方若未履行分类分级义务,将面临《数据安全法》第四十五条规定的行政处罚。
· 合规启示
运营机构应严格按照《数据安全法》第二十一条及《公共数据资源授权运营实施规范(试行)》开展数据分类分级,采取与之相匹配的安全保护措施。建立健全安全管理制度,包括访问控制、加密传输存储、安全审计、应急响应预案等。若涉及数据出境,必须严格遵守《数据出境安全评估办法》规定的安全评估、认证等要求。
(六)数据产品的权属与收益分配
· 问题界定
运营机构投入技术和资本开发的数据产品/服务,其知识产权或财产权益归谁所有?收益如何在政府、运营机构和原始数据持有方之间分配?
· 法理分析
"数据二十条"提出"推动数据产权结构性分置",但具体规则尚待细化。《关于构建数据基础制度的意见》提出"探索建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制",但未明确数据产品权属规则。
· 合规启示
在授权协议中,必须清晰约定数据产品的权益归属、使用范围、许可方式以及收益分配模型,如一次性授权费、收入分成等。分配机制应兼顾公共利益与商业激励,确保政府获得合理回报用于公共服务,同时保障运营方的创新投入回报。
三、面向运营机构的关键合规要点
(一)主体资质合规
确保自身符合地方政府对运营方在技术能力、资金实力、安全保障、信誉等方面的准入要求。
(二)协议审查与谈判
聘请专业法律团队对授权运营协议进行全方位审查,重点关注授权范围、数据来源合法性保证、知识产权归属、收益分配、数据安全责任、违约责任、退出机制等条款。
(三)全生命周期数据治理
1. 输入环节:建立数据接收合规审查流程,确保上游授权链条完整;
2. 加工环节:建立严格的数据处理规范,对个人信息采用可靠的匿名化技术,建议由第三方测评认证;
3. 输出环节:对形成的数据产品进行合规性评估,确保不包含个人信息、商业秘密、国家秘密等敏感内容,明确数据产品的使用条款和许可协议。
(四)安全保障体系化
应取得网络安全等级保护备案证明,建立专门的数据安全管理团队和制度,定期进行安全风险评估和渗透测试。
(五)全程审计与溯源
建立数据操作日志系统,实现所有数据访问和处理行为的可追溯,配合监管部门的监督检查。
结语
公共数据授权运营是释放数据价值、赋能数字经济的关键一环,但其道路并非坦途。它要求参与方,尤其是运营机构,必须具备极高的法律合规意识和风险管控能力。当前的法律环境是"边发展边规范",机遇与风险并存。成功的运营方,必然是那些能够深刻理解并恪守《网络安全法》《数据安全法》《个人信息保护法》底线要求,同时灵活运用"数据二十条"政策精神,在授权协议框架内进行创新的市场主体。合规不是创新的枷锁,而是其行稳致远的基石。随着国家层面更细化的法律法规出台,公共数据授权运营的法治轨道将愈发清晰,为其健康、可持续发展提供坚实保障。
-
2026
01-13
-
2026
01-12
-
2026
01-09
