黄 亮 中南财经政法大学法学学士,湖南金州律师事务所高级合伙人,专注于建设工程与房地产、数据与高新技术领域、国际酒店,现任湖南省律师协会信息网络与电子商务专业委员会主任,全国律师协会信息网络与高新技术专业委员会委员,上海交通大学信息内容分析技术国家工程实验室网络空间治理研究中心特邀研究员,长沙仲裁委员会仲裁员。联系方式:13873152150。
王 茜 中南财经政法大学法学学士,武汉大学法律硕士,专注于建设工程与房地产、知识产权、数据与高新技术领域,现任长沙市律师协会网络与信息技术专委会主任助理。联系方式:15273148487。 2021年3月12日,全国人民代表大会出台《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》,首次提出“开展政府数据授权运营试点”的规划部署。在这一政策指导下,地方纷纷开展公共数据授权运营探索,制定了一系列各具特色的管理办法和实施细则。2024年10月12日,在充分总结地方经验的基础上,国家数据局发布了《公共数据资源授权运营实施规范(试行)(征求意见稿)》(以下简称《实施规范》),开始从国家层面统一、规范公共数据授权运营的实施方式,其中涉及的法律风险以及律师合规审查实务要点也随之明晰,本文将结合《实施规范》的规定对此进行梳理与分析。 一、 法律风险 (一)数据安全风险 维护数据安全是《实施规范》确立的首个基本要求。公共数据事关国家安全和公共利益,也涉及商业秘密和个人信息,防范数据安全风险是开展公共数据授权运营的重中之重。在实施公共数据授权运营的过程中,所有涉及数据收集、存储、使用、加工、传输、提供、公开的行为均属于《中华人民共和国数据安全法》的规制范围,均应遵循相关法律规定,并按照国家、地方和行业制定的标准文件落实具体技术要求。 就《实施规范》规定的主体而言,实施机构的数据安全义务可分为以下四项,第一,按照《关于加强行政事业单位数据资产管理的通知》的规定在授权前先进行安全评估;第二,建立数据资产安全管理制度和监测预警、应急处置机制;第三,根据拟授权公共数据的类别、等级和使用方式,合理确定运营机构应当具备的数据安全能力;第四,监督运营机构履行数据安全保护义务。运营主体的数据安全义务亦可分为四项,第一,确保自身具备要求的数据安全能力,提供真实的证明资料;第二,始终维持自身的数据安全能力,严格按规范要求采取数据安全措施;第三,确保数据使用合规;第四,接受数据安全监督管理,配合检查评估。 (二)个人信息保护风险 保护个人信息是《实施规范》的另一项基本要求。实施公共数据授权运营涉及个人信息的,应严格遵循《中华人民共和国个人信息保护法》确立的“知情-同意”原则。如拟授权的数据中包含个人信息数据,则实施机构首先应保证该等数据的来源符合“知情-同意”原则,确保收集数据前已取得信息主体的同意,属于合法取得;同时应保证授权行为符合“知情-同意”原则,来源合法不当然等于授权合法,信息主体同意行政机关及其他具有公共管理或服务职责的单位收集其个人信息系出于法律法规的要求或办理事务的需要,并未预期该等数据日后将被授权给第三方社会主体使用。如行政机关等未经同意即将收集到的个人信息授权给第三方使用,则极有可能超出了个人信息主体最初的同意范围,需另行取得同意。 (三)垄断风险 《实施规范》的一大特点在于对防范垄断风险的明确规定和特别强调。公共数据授权运营以扩大数据开放,促进数据流通为目的,但为确保数据安全和数据供给水平,这种数据开放方式又是以“授权”这一具有一定封闭性的方式进行,二者之间似乎存在一定的矛盾错位。如未能准确理解公共数据授权运营的定位,把握实施细节以及相应法律风险,则可能会导致实施结果完全背离原定目的的局面出现。如2022年发生的“柠檬查”案件(案号:(2022)京73民初1330号)即涉及公共数据垄断问题,该案原告控诉“柠檬查”小程序的运营方利用其经授权后能独家获取全国车险信息平台公共数据形成的数据优势地位,对包括原告在内的数据需求方查询数据收取不公平高价,构成滥用市场地位。该案即属于典型的因公共数据授权引发的诉讼案件,足以敲响警钟。 《中华人民共和国反垄断法》规定的几种垄断行为具体到公共数据授权运营上一般表现为以下形式:第一,利用特定算法与计算机软件达成算法共谋,形成实质上的垄断协议,或无充分理由在授权运营协议中直接约定独家授权。第二,基于公共数据封闭式授权形成数据优势滥用市场支配地位,无正当理由拒绝开放数据或附加不合理开放条件。第三,通过投资并购等方式实施经营者集中,不断聚合优质数据,扩大数据规模效应。第四,滥用行政权力排除、限制竞争,如要求运营机构必须系本行政区域内的注册主体等。 (四)不正当竞争风险 随着数据要素的生产力价值越来越高,市场主体围绕数据资源的争夺愈发激烈,不正当竞争行为的形式也愈发多样。2017年修正的《中华人民共和国反不正当竞争法》在混淆、虚假宣传、侵犯商业秘密等基本不正当竞争类型外,增设了利用网络技术实施不正当竞争的专门条款。在公众期待监管,《实施规范》亦规定了监管职责的情况下,实施机构应持续关注运营机构可能出现的不正当竞争行为。 值得注意的是,实施机构提供数据的行为亦可能引发不正当竞争问题,类似情形已在蚂蚁金服诉企查查商业诋毁一案(案号:(2019)浙8601民初1594号)中有所体现,企查查在该案中因对国家企业信用信息公示系统的数据抓取错误,将蚂蚁金服已然终止的清算信息作为新信息向用户推送,导致蚂蚁金服商业信誉受损,最终被判赔60万元。虽然该案的数据错误来源于企查查自身的抓取和披露错误,而非公共数据本身错误,但也提醒了实施机构应对提供的公共数据保持审慎态度,及时核实、更新、维护数据,与运营机构建立数据报错反馈机制和数据联动更新机制,避免数据错误的后果经市场流通后成几何倍放大,扭曲正常竞争秩序。 (五)招标投标风险 不同于地方文件规定的综合审定方式,《实施规范》明确规定实施机构应当以公开招标、邀请招标、谈判等方式选择运营机构。虽然从严格意义上看,运营机构的选择并未落入《中华人民共和国招标投标法》规定的必须进行招标的范畴,与《中华人民共和国政府采购法》规定的政府采购行为亦有一定区别,但通过公开程序选定运营机构仍是必要的。一方面,作为一个由政府主导实施的环节,应当遵循程序正当这一行政法领域的基本原则。另一方面,遴选结果的正当性也需要通过程序的正当性来证成,从源头防止垄断行为的发生。基于上述考虑,建议实施机构在确定运营机构时参照适用《中华人民共和国政府采购法》,原则上通过公开招标的方式进行。 二、律师合规审查要点 由上述分析可知,公共数据授权运营的法律风险具有法律与技术交织、不同领域法律交织的特点,开展法律合规审查的专业性较强,不同环节有不同的审查重点。律师参与合规审查,一方面可作为第三方增强审查结果的可信度和客观性,另一方面也可结合诉讼实务经验为公共数据授权运营降低诉讼和舆情风险。 (一)授权前的律师合规审查要点 授权前的合规审查主要是一种程序审查,审查重点在于实施机构的行为是否符合程序正当的要求,具体包括以下几点: 1、编制实施方案。实施机构在开展具体授权活动前应先行开展必要性和可行性论证,编制实施方案,内容应包括运营机构的选择条件及方式(根据《实施规范》第十二条第二款的规定,运营机构应具备数据资源加工、运营所需的管理和技术服务能力,经营状况和信用状况良好,符合国家数据安全保护要求)、授权运营的公共数据范围、拟形成的公共数据产品和服务清单、成本核算及收益分配机制、数据安全应急处置方式、监督管理和考核评价方式等,力求涵盖从初始需求到后续监管的全过程,为后续具体工作开展提供指引和依据。 2、履行审批手续。完成编制后,实施机构应按照“三重一大”的决策机制要求将实施方案报送有权部门审批,通过后方可具体开展授权活动。 3、通过公开招标等公平竞争方式确定运营机构。遴选运营机构原则上应通过公开招标的方式进行,如需采取邀请招标或谈判的方式,应具体说明理由、依据,并经审批通过。无论采取何种方式,实施机构均应发布遴选公告,告知授权运营事项、遴选方式及审批过程,接受社会公众监督。 (二)授权中的律师合规审查要点 授权中的合规审查主要围绕授权运营协议展开,此为界定双方权利义务最主要的依据,应包括以下内容: 1、授权运营的公共数据范围及明确的数据目录。《实施规范》第二十一条明确规定,实施机构应当严格防控纳入授权运营范围的原始公共数据资源直接进入市场,运营机构不得超授权范围使用公共数据资源,此为《实施规范》为数不多的禁止性规范之一。确定授权运营的公共数据范围既是为了明确授权运营的客体,也是为了明确数据安全保护义务的起点。授权运营协议对公共数据授权范围的约定应尽量清晰明确,严谨周延。除此之外,协议还应以附件形式编制详细的数据目录,并在公共数据运营管理平台上通过区块链等技术对提供给运营机构使用的初始数据包进行留存,以便可以随时还原、查阅授权的公共数据范围。 2、公共数据的授权使用方式。为了保障数据安全,运营机构对公共数据的使用应尽量通过各地搭建的公共数据运营管理平台进行,如确需在公共数据平台域外使用,应在授权运营协议中逐一罗列具体情形、申请流程,并对使用人员及软硬件范围进行限定,以确保运营机构有能力保障该公共数据的安全性,同时能对无论是域内还是域外的数据处理行为均全程可追溯、可管控。 3、运营期限及续约方式。运营期限是指运营机构在平台运营域的授权使用期限,根据《实施规范》的规定一般不能超过五年。运营期限到期后,平台应当关闭运营机构的使用权限或停止数据供应,如需保留权限,则需办理续约或重新签订协议。 4、公共数据产品和服务的交付时间及验收标准。公共数据产品和服务的验收标准分为三个方面,一是技术标准,即是否具备预期功能,能否满足预期需求;二是安全标准,即是否符合相应的安全技术标准或取得了相应认证;三是合法标准,即是否遵循了个人信息保护方面的规定,运营方式是否涉嫌垄断或不正当竞争情形,是否存在侵权或违背公序良俗的情形等。以上三方面均需作出指向明确、可适用性强的约定,以作为公共数据产品和服务出域的审核标准。 5、公共数据产品和服务的权属。此处所称权属分为两种情况,一种是已为法律明确规定的权利,如公共数据产品和服务的知识产权;另一种是尚未被法律确认但已然开展登记管理的权益,在国家数据局发布《实施规范》的同时,国家发展和改革委员会也发布了《公共数据资源登记管理暂行办法(征求意见稿)》,要求实施机构、运营机构应分别对授权运营的公共数据资源、公共数据产品和服务进行登记,但并未对登记形式作出规定。按照《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》的部署,登记形式应包括数据资源持有权、数据加工使用权、数据产品经营权三种,但各地具体实践不一,有资产登记、资源登记、产权登记等多种形式,需结合当地规定加以判断。 6、经营成本核算和收益分配机制。包括两项内容,一是运营机构是否需向实施机构支付费用,如何计取。实施机构在建设、运营、维护公共数据运营管理平台的过程中需支出一定成本,收取费用具有一定的合理性,但需明确其中的核算方式或定价依据;二是公共数据产品和服务的价格如何计取,各方如何分配收益。合理的定价是防止公共数据授权运营偏离原有定位,抬高数据使用成本的重要手段,根据《国家数据局加快制定公共数据资源开发利用配套政策》的内容,公共数据产品和服务的相关价格政策文件也即将于近期出台,届时将有据可依。 7、数据安全及个人信息保护要求。同样的,对数据安全及个人信息保护要求的约定也应当指向明确,具有较强的可适用性,如此方可明确要求的具体内容和操作方式。现国家和地方已就数据安全规范及网络安全事件应急处置出台了一系列标准文件,可为引用或提供参考。 8、运营情况报告及监督检查。授权运营协议应对运营机构报告运营情况的周期及内容作出约定,并明确运营机构有配合检查的义务。 9、违约责任。违约责任的约定可主要围绕数据安全保护义务与产品服务交付义务两方面展开,根据违反程度的不同设置相应的违约责任或协议解约权。 10、其他。包括争议解决方式,协议生效、变更及终止的条件,以及其他需要明确的事项。 (三)授权后的律师合规审查要点 授权后的合规审查主要分为以下两个阶段: 1、公共数据产品和服务出域前的合规审查。此阶段的合规审查主要通过运营机构自行报告和实施机构监督检查两种方式进行,围绕数据安全和个人信息保护义务展开,包括数据处理方式、操作方式、存储方式是否符合数据安全保护要求,是否存在违反协议约定的情形等。实施机构应定期将审查结果汇总并向社会公开。 2、公共数据产品和服务出域后的合规审查。当公共数据产品和服务被投入市场后,运营机构可能会为了获得竞争优势而产生垄断或不正当竞争风险,这就需要实施机构在产品和服务出域后仍对其保持一定强度的监督检查,并畅通公众投诉渠道。此阶段的合规审查更多的是针对某一具体行为展开的专题审查,在认定上具有一定的复杂性和挑战性,需结合立法价值导向综合判定。 综上所述,公共数据授权运营作为一项行政机关借助社会力量实施数据开放的制度,与行政法、民商法、数据法等法律领域均存在交织关系,对法律风险的把控直接关系到制度实施效果的评价,在公共数据授权运营中引入律师审查机制,明确行为边界十分必要。虽然《实施规范》尚未最终颁布,但作为一项在我国现行法律框架下运行的制度,开展公共数据授权运营应遵循的合规要点是可以被归纳和明确的,律师开展合规审查已然具备可操作性,必然会给数字经济中的公共数据授权使用提供相应法律保障。
