探析公共数据授权运营模式的个人信息保护困境和解决路径——以公共数据主管部门为视角
《中央人民政府国民经济和社会发展第十四个五年规划和2035年远景目标纲要》要求“加强公共数据开放共享。”《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》对公共数据的共享开放和利用作出重要指示,要求“推进实施公共数据确权授权机制”。目前,北京、上海、广东、重庆、深圳、成都、杭州等省市先后初步构建起公共数据授权运营的基本规定,各地数据交易所也正在探索公共数据授权运营与交易领域的标准化研究,研究制定公共数据产品交易指南,探索公共数据授权运营的主体准入、资产评估、收益分配、行政监管等具体机制。

公共数据主管部门是公共数据授权运营的统筹主体,在公共数据授权运营工作中发挥至关重要作用。根据《广东省公共数据管理办法》的规定,公共数据主管部门承担的主要职责包括:统筹本行政区域内公共数据资源管理工作;对数源部门提出公共数据管理任务和要求;编制、维护本级公共数据资源目录,建立公共数据资源清单管理机制,会同标准化行政主管部门制定公共数据相关标准和技术规范,会同机构编制管理部门根据法律、法规、规章明确公共数据采集和提供的责任部门等职责。但是,授权运营涉及多类主体、公共数据组成复杂,其中的数据安全风险不容忽视,公共数据主管在公共数据授权运营工作中,应当注意在依法保障数据安全的前提下促进公共数据开放利用。其中,如何有效进行个人信息保护,更是公共数据授权运营的重点和难点。本文将根据有关规定,探析公共数据主管部门在公共数据授权运营模式中面临的个人信息保护困境和解决路径。

个人信息保护一直是数据交易过程中需要关注的重点内容,也是公共数据要素流通过程面临的重要问题。怎么样实施有效的个人信息数据保护,是立法过程中不可回避的问题,也是各个部门、数据交易所的研究重点。根据《广东省公共数据管理办法》,公共数据是指数源部门依法履行职责、提供公共服务过程中制作或者获取的,以电子或者非电子形式对信息的记录,中国软件评测中心《公共数据运营模式报告》分析认为公共数据包括五大类:第一类是政务数据;第二类是具有公共职能的公共企事业单位,在提供公共服务和公共管理过程中产生、收集、掌握的各类数据资源;第三类是由政府资金资助的专业组织在公共利益领域内收集、获取的具有公共价值的数据;第四类是具有公共管理和服务性质的社会团体掌握的与重大公共利益关切的数据;第五类是涉及公共服务领域的其他数据来源。在这些数据当中,不可避免地存在个人信息乃至个人敏感信息。根据我国个人信息保护相关规定,个人信息处理者向其他个人信息处理者提供其处理的个人信息,应当获得数据主体单独同意和依法履行其他法定义务后,方可将含有个人信息的数据提供给其他数据处理者,但实践中获得数据主体同意的难度极大。本文将探析如何解决公共数据授权运营中的个人信息保护困境。

一、技术手段处理

将含有个人信息的数据进行技术处理,主要是两个方面的措施:一是对含有个人信息的数据进行去标识化、匿名化等脱敏处理,采取可以保护个人信息、商业秘密等数据的有效技术措施后,公共数据数源部门、主管部门按照公共数据授权运营的规定将脱敏处理后的数据给授权运营主体使用;二是通过隐私计算等方式,将计算结果提供给授权运营主体使用,最大限度地保留数据价值,同时解决相关数据的个人信息保护问题。这两种做法具有较强操作性并可不同程度保留数据价值。据报道,广州市在“企业经营健康指数”交易过程中,省、市公共数据主管部门等数源单位作为数据资源持有者,负责向授权运营主体提供经安全计算技术处理后的密文“计算因子”,授权运营主体则以密文“计算因子”为基础,结合特定算法进行融合计算,获得输出计算结果的新数据持有权,该例子正是通过计算输出计算结果提供给授权运营主体的实践应用。

 

二、公共数据分类分级

《中华人民共和国数据安全法》第四十二条规定“市政务数据主管部门应当明确数据采集、存储、共享、开放和利用等各环节网络安全的范围边界、责任主体和具体要求,实施分级分类管理。各级政务数据主管部门应指定不同人员分别负责安全管理、数据操作、审计核查等工作,建立安全应用规则,防止越权使用数据,定期进行安全评估,建立日常检查、风险控制、应急处理、安全报告和灾难恢复机制,完善事故应急响应和支援处理等措施。”《广东省公共数据管理办法》第九条第二款规定“地级以上市公共数据主管部门应当根据国家和省公共数据分类分级相关规定,增补本地公共数据的分类分级规则。”对数据分类分级,是实施数据依法开放利用的前提,也是对个人信息数据进行有效保护的方法,公共数据主管部门应依法制定公共数据分类分级规则。目前我国或相关机构尚未出台公共数据分类分级指南,公共数据主管部门可以结合现有的数据分类分级指南、标准制定符合本级、本地实际情况的公共数据分类分级规则。在数据分类流程上,可以考虑按照分类规划、分类准备、分类实施、结果评估、维护改进等流程进行;在数据分级上,可以考虑数据安全性遭受破坏后的影响对象和所造成的影响程度等因素对数据安全级别进行分级。此外,行业标准如《基础电信企业数据分类分级方法》提出数据分类分级可参照以下流程开展:建立数据分类分级组织保障、全面梳理数据资源、收集整理全部数据资源、对数据资源分类、对数据资源分级、数据分类分级标识、建立数据分类分级清单、实施数据分类分级安全管控;《信息安全技术 网络数据分类分级要求》(征求意见稿)提出数据处理者进行数据分类时,应遵守国家和行业数据分类规则,数据分类流程主要包括以下步骤:确定数据处理者业务涉及的行业领域;按照业务所属行业领域的数据分类规则,对该业务运营过程中收集和产生的数据进行分类;识别是否存在法律法规或主管监管部门有专门管理要求的数据类别(如个人信息),对个人信息、敏感个人信息进行区分标识;如果存在行业领域数据分类规则未覆盖的数据类型,可以从组织经营角度结合自身数据管理和使用需要对数据进行分类。公共数据主管部门在制定公共数据分类分级规则可以相关行业标准为参考。

三、确定授权运营数据范围

公共数据主管部门无法掌握数源部门采集、上传的全部公共数据数据情况,为保障数据安全,避免含有个人信息的不予开放数据流入授权运营环节,在公共数据授权运营之前,公共数据主管部门与数源部门有必要沟通确定可用于授权运营的公共数据目录,在目录内的公共数据方可纳入授权运营使用,在目录外的涉及个人信息、商业秘密等不予开放的数据,未达到受限开放条件的,不予授权使用。且该目录内数据也应当是公共数据开放资源目录中规定的可开放数据。公共数据主管部门在厘清授权运营工作所涉及的全部数源部门部门后,提出如何确定可授权运营数据的规定和方法,由数源部门结合其收集的数据实际情况确定可纳入授权运营的数据,并与公共数据主管部门最终商定可授权运营的公共数据目录。在数源部门确认同意数据授权申请后,公共数据主管部门亦应对相关数据是否属于可授权运营数据目录内数据进行审查。

 

四、公共数据产品合规审查

目前,为了确保数据交易的安全,数据产品在数据交易所上架交易之前通常需进行合规性审查。在授权运营主体提交公共数据产品到数据交易所之前,公共数据主管部门应先对拟交易的数据产品合规性进行初步审查,避免发生个人信息泄露、数据产品违法、违规问题,否则,数据产品交易之后若是发生数据安全问题,会导致极大风险和公共数据主管部门的重大法律责任。公共数据主管部门在数据交易合规审查可以遵循合法合规、数据安全防护、个人信息保护、交易过程可控等原则,审查数据产品的场景合理性、技术有效性、卖方交易动因、产品主体权益、数据来源等方面,并结合数据产品上架的相应数据交易所的具体要求对数据产品进行审查,实行“一交易一审查”。

公共数据汇集海量电子政务、公共服务数据,涉及个人信息数据、商业秘密等,甚至关系国家安全,公共数据若在授权运营过程中被违法利用,会产生巨大危害。公共数据主管部门务必做好公共数据授权运营每个环节的制度设计,严格按照法律规定以及法定程序做好数据安全审查和监督工作,落实个人信息保护要求和其他数据安全保护义务。同时,公共数据授权运营工作中应厘清各主体责任,在每个环节要求相应主体对标责任要求履行相应义务,切实保障公共数据安全,促进公共数据的开发利用。

 

 

本文作者

胡嘉雯

·广东天商律师事务所业务培训工作委员会主任、行政法律业务部副主任

胡嘉雯律师具有5年以上的担任地方政府部门、企业法律顾问服务经验、曾代理多起行政诉讼、行政复议案件,代理国有企业多起建设工程合同纠纷案件和多起民商事案件。善于从多角度提供法律意见和办理案件,为政府部门、企业提供可行有效的法律服务方案和合规意见,并可提供数据合规法律服务、涉外法律服务。