黃 亮 中南財經政法大學法學學士,湖南金州律師事務所高級合伙人,專注于建設工程與房地產、數據與高新技術領域、國際酒店,現任湖南省律師協會信息網絡與電子商務專業委員會主任,全國律師協會信息網絡與高新技術專業委員會委員,上海交通大學信息內容分析技術國家工程實驗室網絡空間治理研究中心特邀研究員,長沙仲裁委員會仲裁員。聯系方式:13873152150。
王 茜 中南財經政法大學法學學士,武漢大學法律碩士,專注于建設工程與房地產、知識產權、數據與高新技術領域,現任長沙市律師協會網絡與信息技術專委會主任助理。聯系方式:15273148487。 2021年3月12日,全國人民代表大會出臺《中華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》,首次提出“開展政府數據授權運營試點”的規劃部署。在這一政策指導下,地方紛紛開展公共數據授權運營探索,制定了一系列各具特色的管理辦法和實施細則。2024年10月12日,在充分總結地方經驗的基礎上,國家數據局發布了《公共數據資源授權運營實施規范(試行)(征求意見稿)》(以下簡稱《實施規范》),開始從國家層面統一、規范公共數據授權運營的實施方式,其中涉及的法律風險以及律師合規審查實務要點也隨之明晰,本文將結合《實施規范》的規定對此進行梳理與分析。 一、 法律風險 (一)數據安全風險 維護數據安全是《實施規范》確立的首個基本要求。公共數據事關國家安全和公共利益,也涉及商業秘密和個人信息,防范數據安全風險是開展公共數據授權運營的重中之重。在實施公共數據授權運營的過程中,所有涉及數據收集、存儲、使用、加工、傳輸、提供、公開的行為均屬于《中華人民共和國數據安全法》的規制范圍,均應遵循相關法律規定,并按照國家、地方和行業制定的標準文件落實具體技術要求。 就《實施規范》規定的主體而言,實施機構的數據安全義務可分為以下四項,第一,按照《關于加強行政事業單位數據資產管理的通知》的規定在授權前先進行安全評估;第二,建立數據資產安全管理制度和監測預警、應急處置機制;第三,根據擬授權公共數據的類別、等級和使用方式,合理確定運營機構應當具備的數據安全能力;第四,監督運營機構履行數據安全保護義務。運營主體的數據安全義務亦可分為四項,第一,確保自身具備要求的數據安全能力,提供真實的證明資料;第二,始終維持自身的數據安全能力,嚴格按規范要求采取數據安全措施;第三,確保數據使用合規;第四,接受數據安全監督管理,配合檢查評估。 (二)個人信息保護風險 保護個人信息是《實施規范》的另一項基本要求。實施公共數據授權運營涉及個人信息的,應嚴格遵循《中華人民共和國個人信息保護法》確立的“知情-同意”原則。如擬授權的數據中包含個人信息數據,則實施機構首先應保證該等數據的來源符合“知情-同意”原則,確保收集數據前已取得信息主體的同意,屬于合法取得;同時應保證授權行為符合“知情-同意”原則,來源合法不當然等于授權合法,信息主體同意行政機關及其他具有公共管理或服務職責的單位收集其個人信息系出于法律法規的要求或辦理事務的需要,并未預期該等數據日后將被授權給第三方社會主體使用。如行政機關等未經同意即將收集到的個人信息授權給第三方使用,則極有可能超出了個人信息主體最初的同意范圍,需另行取得同意。 (三)壟斷風險 《實施規范》的一大特點在于對防范壟斷風險的明確規定和特別強調。公共數據授權運營以擴大數據開放,促進數據流通為目的,但為確保數據安全和數據供給水平,這種數據開放方式又是以“授權”這一具有一定封閉性的方式進行,二者之間似乎存在一定的矛盾錯位。如未能準確理解公共數據授權運營的定位,把握實施細節以及相應法律風險,則可能會導致實施結果完全背離原定目的的局面出現。如2022年發生的“檸檬查”案件(案號:(2022)京73民初1330號)即涉及公共數據壟斷問題,該案原告控訴“檸檬查”小程序的運營方利用其經授權后能獨家獲取全國車險信息平臺公共數據形成的數據優勢地位,對包括原告在內的數據需求方查詢數據收取不公平高價,構成濫用市場地位。該案即屬于典型的因公共數據授權引發的訴訟案件,足以敲響警鐘。 《中華人民共和國反壟斷法》規定的幾種壟斷行為具體到公共數據授權運營上一般表現為以下形式:第一,利用特定算法與計算機軟件達成算法共謀,形成實質上的壟斷協議,或無充分理由在授權運營協議中直接約定獨家授權。第二,基于公共數據封閉式授權形成數據優勢濫用市場支配地位,無正當理由拒絕開放數據或附加不合理開放條件。第三,通過投資并購等方式實施經營者集中,不斷聚合優質數據,擴大數據規模效應。第四,濫用行政權力排除、限制競爭,如要求運營機構必須系本行政區域內的注冊主體等。 (四)不正當競爭風險 隨著數據要素的生產力價值越來越高,市場主體圍繞數據資源的爭奪愈發激烈,不正當競爭行為的形式也愈發多樣。2017年修正的《中華人民共和國反不正當競爭法》在混淆、虛假宣傳、侵犯商業秘密等基本不正當競爭類型外,增設了利用網絡技術實施不正當競爭的專門條款。在公眾期待監管,《實施規范》亦規定了監管職責的情況下,實施機構應持續關注運營機構可能出現的不正當競爭行為。 值得注意的是,實施機構提供數據的行為亦可能引發不正當競爭問題,類似情形已在螞蟻金服訴企查查商業詆毀一案(案號:(2019)浙8601民初1594號)中有所體現,企查查在該案中因對國家企業信用信息公示系統的數據抓取錯誤,將螞蟻金服已然終止的清算信息作為新信息向用戶推送,導致螞蟻金服商業信譽受損,最終被判賠60萬元。雖然該案的數據錯誤來源于企查查自身的抓取和披露錯誤,而非公共數據本身錯誤,但也提醒了實施機構應對提供的公共數據保持審慎態度,及時核實、更新、維護數據,與運營機構建立數據報錯反饋機制和數據聯動更新機制,避免數據錯誤的后果經市場流通后成幾何倍放大,扭曲正常競爭秩序。 (五)招標投標風險 不同于地方文件規定的綜合審定方式,《實施規范》明確規定實施機構應當以公開招標、邀請招標、談判等方式選擇運營機構。雖然從嚴格意義上看,運營機構的選擇并未落入《中華人民共和國招標投標法》規定的必須進行招標的范疇,與《中華人民共和國政府采購法》規定的政府采購行為亦有一定區別,但通過公開程序選定運營機構仍是必要的。一方面,作為一個由政府主導實施的環節,應當遵循程序正當這一行政法領域的基本原則。另一方面,遴選結果的正當性也需要通過程序的正當性來證成,從源頭防止壟斷行為的發生。基于上述考慮,建議實施機構在確定運營機構時參照適用《中華人民共和國政府采購法》,原則上通過公開招標的方式進行。 二、律師合規審查要點 由上述分析可知,公共數據授權運營的法律風險具有法律與技術交織、不同領域法律交織的特點,開展法律合規審查的專業性較強,不同環節有不同的審查重點。律師參與合規審查,一方面可作為第三方增強審查結果的可信度和客觀性,另一方面也可結合訴訟實務經驗為公共數據授權運營降低訴訟和輿情風險。 (一)授權前的律師合規審查要點 授權前的合規審查主要是一種程序審查,審查重點在于實施機構的行為是否符合程序正當的要求,具體包括以下幾點: 1、編制實施方案。實施機構在開展具體授權活動前應先行開展必要性和可行性論證,編制實施方案,內容應包括運營機構的選擇條件及方式(根據《實施規范》第十二條第二款的規定,運營機構應具備數據資源加工、運營所需的管理和技術服務能力,經營狀況和信用狀況良好,符合國家數據安全保護要求)、授權運營的公共數據范圍、擬形成的公共數據產品和服務清單、成本核算及收益分配機制、數據安全應急處置方式、監督管理和考核評價方式等,力求涵蓋從初始需求到后續監管的全過程,為后續具體工作開展提供指引和依據。 2、履行審批手續。完成編制后,實施機構應按照“三重一大”的決策機制要求將實施方案報送有權部門審批,通過后方可具體開展授權活動。 3、通過公開招標等公平競爭方式確定運營機構。遴選運營機構原則上應通過公開招標的方式進行,如需采取邀請招標或談判的方式,應具體說明理由、依據,并經審批通過。無論采取何種方式,實施機構均應發布遴選公告,告知授權運營事項、遴選方式及審批過程,接受社會公眾監督。 (二)授權中的律師合規審查要點 授權中的合規審查主要圍繞授權運營協議展開,此為界定雙方權利義務最主要的依據,應包括以下內容: 1、授權運營的公共數據范圍及明確的數據目錄。《實施規范》第二十一條明確規定,實施機構應當嚴格防控納入授權運營范圍的原始公共數據資源直接進入市場,運營機構不得超授權范圍使用公共數據資源,此為《實施規范》為數不多的禁止性規范之一。確定授權運營的公共數據范圍既是為了明確授權運營的客體,也是為了明確數據安全保護義務的起點。授權運營協議對公共數據授權范圍的約定應盡量清晰明確,嚴謹周延。除此之外,協議還應以附件形式編制詳細的數據目錄,并在公共數據運營管理平臺上通過區塊鏈等技術對提供給運營機構使用的初始數據包進行留存,以便可以隨時還原、查閱授權的公共數據范圍。 2、公共數據的授權使用方式。為了保障數據安全,運營機構對公共數據的使用應盡量通過各地搭建的公共數據運營管理平臺進行,如確需在公共數據平臺域外使用,應在授權運營協議中逐一羅列具體情形、申請流程,并對使用人員及軟硬件范圍進行限定,以確保運營機構有能力保障該公共數據的安全性,同時能對無論是域內還是域外的數據處理行為均全程可追溯、可管控。 3、運營期限及續約方式。運營期限是指運營機構在平臺運營域的授權使用期限,根據《實施規范》的規定一般不能超過五年。運營期限到期后,平臺應當關閉運營機構的使用權限或停止數據供應,如需保留權限,則需辦理續約或重新簽訂協議。 4、公共數據產品和服務的交付時間及驗收標準。公共數據產品和服務的驗收標準分為三個方面,一是技術標準,即是否具備預期功能,能否滿足預期需求;二是安全標準,即是否符合相應的安全技術標準或取得了相應認證;三是合法標準,即是否遵循了個人信息保護方面的規定,運營方式是否涉嫌壟斷或不正當競爭情形,是否存在侵權或違背公序良俗的情形等。以上三方面均需作出指向明確、可適用性強的約定,以作為公共數據產品和服務出域的審核標準。 5、公共數據產品和服務的權屬。此處所稱權屬分為兩種情況,一種是已為法律明確規定的權利,如公共數據產品和服務的知識產權;另一種是尚未被法律確認但已然開展登記管理的權益,在國家數據局發布《實施規范》的同時,國家發展和改革委員會也發布了《公共數據資源登記管理暫行辦法(征求意見稿)》,要求實施機構、運營機構應分別對授權運營的公共數據資源、公共數據產品和服務進行登記,但并未對登記形式作出規定。按照《中共中央 國務院關于構建數據基礎制度更好發揮數據要素作用的意見》的部署,登記形式應包括數據資源持有權、數據加工使用權、數據產品經營權三種,但各地具體實踐不一,有資產登記、資源登記、產權登記等多種形式,需結合當地規定加以判斷。 6、經營成本核算和收益分配機制。包括兩項內容,一是運營機構是否需向實施機構支付費用,如何計取。實施機構在建設、運營、維護公共數據運營管理平臺的過程中需支出一定成本,收取費用具有一定的合理性,但需明確其中的核算方式或定價依據;二是公共數據產品和服務的價格如何計取,各方如何分配收益。合理的定價是防止公共數據授權運營偏離原有定位,抬高數據使用成本的重要手段,根據《國家數據局加快制定公共數據資源開發利用配套政策》的內容,公共數據產品和服務的相關價格政策文件也即將于近期出臺,屆時將有據可依。 7、數據安全及個人信息保護要求。同樣的,對數據安全及個人信息保護要求的約定也應當指向明確,具有較強的可適用性,如此方可明確要求的具體內容和操作方式。現國家和地方已就數據安全規范及網絡安全事件應急處置出臺了一系列標準文件,可為引用或提供參考。 8、運營情況報告及監督檢查。授權運營協議應對運營機構報告運營情況的周期及內容作出約定,并明確運營機構有配合檢查的義務。 9、違約責任。違約責任的約定可主要圍繞數據安全保護義務與產品服務交付義務兩方面展開,根據違反程度的不同設置相應的違約責任或協議解約權。 10、其他。包括爭議解決方式,協議生效、變更及終止的條件,以及其他需要明確的事項。 (三)授權后的律師合規審查要點 授權后的合規審查主要分為以下兩個階段: 1、公共數據產品和服務出域前的合規審查。此階段的合規審查主要通過運營機構自行報告和實施機構監督檢查兩種方式進行,圍繞數據安全和個人信息保護義務展開,包括數據處理方式、操作方式、存儲方式是否符合數據安全保護要求,是否存在違反協議約定的情形等。實施機構應定期將審查結果匯總并向社會公開。 2、公共數據產品和服務出域后的合規審查。當公共數據產品和服務被投入市場后,運營機構可能會為了獲得競爭優勢而產生壟斷或不正當競爭風險,這就需要實施機構在產品和服務出域后仍對其保持一定強度的監督檢查,并暢通公眾投訴渠道。此階段的合規審查更多的是針對某一具體行為展開的專題審查,在認定上具有一定的復雜性和挑戰性,需結合立法價值導向綜合判定。 綜上所述,公共數據授權運營作為一項行政機關借助社會力量實施數據開放的制度,與行政法、民商法、數據法等法律領域均存在交織關系,對法律風險的把控直接關系到制度實施效果的評價,在公共數據授權運營中引入律師審查機制,明確行為邊界十分必要。雖然《實施規范》尚未最終頒布,但作為一項在我國現行法律框架下運行的制度,開展公共數據授權運營應遵循的合規要點是可以被歸納和明確的,律師開展合規審查已然具備可操作性,必然會給數字經濟中的公共數據授權使用提供相應法律保障。
