数据确权:公共数据多重权责关系的辨析
全文共 2316 个字,建议阅读 6 分钟
然而,对于公共数据的概念而言,在学术界尚未给出准确定义,国家层面和地方层面就公共数据概念、范畴及其权责问题等也未达成一致的认识,这极大地制约了公共数据开发利用的深化进程。
本文将从公共数据的源头入手,以明晰各类主体权责为主线,维护各类主体权益为前提,释放公共数据价值为核心,强化公共数据分类分级治理为手段,防范安全风险为底线,分类施策、依法保护各类主体权益,促进公共数据合理合规的流通和安全可信的开发利用。
一、公共数据的内涵特征以及权责关系
(1)公共数据内涵
数据是指任何以电子或者其他方式对信息的记录。公共数据是指由国家机关和法律、行政法规授权的具有管理公共事务职能或者提供公共服务的组织,在履行公共管理职责和提供公共服务过程中收集和产生的,涉及公共利益的各类数据。公共数据不仅涉及政府机关,还涉及供水、供电、供气、公共交通、公共健康、公共教育等提供公共服务的企事业单位或社会组织,也涉及政府资金和公益基金所支撑的公益类研究机构或社会组织等,这些机构统称为公共管理服务机构。
(2)公共数据特征
公共数据具有多源性、权威性、排他性、价值性、敏感性等五个特征。
多源性:一方面,公共管理服务是由不同类型的公共管理服务机构所提供,持有公共数据的数源部门(或数据供给部门)涉及政府机关、企事业单位、社会组织和各类团体等多源主体;另一方面,被采集数据的主体(称为数据关联主体)涉及法人、自然人、各类事物及其行为等多类主体对象。因此,公共数据是多源性,从而导致其以分散、动态、多样、海量的方式存在,其权属关系也是多重复杂的。
权威性:公共管理服务机构(即公共数据持有主体)是依据相关法律法规所赋予的公共管理服务职能合法合规地获得数据关联主体的特定数据,具有法定赋予的公信力和权威性。公共数据在采集、存储、使用、加工、传输、提供和开放过程须严格遵循相关业务标准规范,以确保数据的准确性、严谨性和权威性。
排他性:公共数据是由公共管理服务机构按照职能依法依规收集并经数据关联主体核对确认,是真实、准确、有效的,具有排他性、唯一性,例如人口数据、社保数据等,因而也具有不可替代性。
价值性:公共数据涉及政治、经济、社会、文化、生活的各领域各层面,具有体量大、质量好、门类全等特点,应用场景覆盖面较广,与政治、经济、社会和文化生活息息相关,融合复用强、倍增价值高,具有巨大的开发利用价值。
敏感性:公共数据反映国家经济社会运行整体情况,数据经汇聚融合后,可用于公共决策分析,涉及国家安全和个人权益,具有较高的敏感性,需统一授权、统一管控、统一监督,确保公共数据开发利用全流程可监管、可记录、可追溯、可审计。
(3)公共数据权责关系模型
联合国发布的《2021年数字经济报告》指出,在数据驱动的数字经济的新背景下,所有权和主权等概念正受到挑战,重要的不是确定谁“拥有”数据,而是谁有权访问、控制和使用数据。数据和数据流动的治理工作至关重要。在数字空间中,数据是一串由0和1组成的比特流(即万物皆比特),可以在各类主体(即利益攸关方)间通过智能终端、网络及平台等进行传递、复制。数据被分散(布)映射到数字空间中,由各类主体共同持有(即多方共有),各类主体都能持有原始数据全部副本或部分副本以便开发利用。数据权属关系演变为复杂的多重相互依赖,同时各类主体的角色身份在数据流动过程中存在交叉重叠与相互转换,进而给数据权属确定、各类主体权责界定及权利保护等带来了全新的挑战。在由数据构造的数字空间中,数据所特有的权利实质就是对由比特流组成数据的实际掌控力或控制处理能力(即数据控制权)。表1对数据特有权利与传统权利进行了归纳分析。
从公共数据开发利用全生命周期看,公共数据涉及数据关联主体(即数据产生者)、公共管理服务机构(即数据收集者、数据供给者、数源机构)、数据中心(即数据汇聚者)、数据主管机构(即数据统管者)、数据授权运营机构(即数据专业加工者)、数据专业服务机构、数据交易机构(即数据中介)、数据使用者等多个利益攸关方。公共数据被各利益攸关方按照相关责任在不同环节分别持有,且所有持有数量规模及权责范围也各不相同。公共数据权责关系模型(参见图1)将公共数据开发利用生命周期分为三个环节(即合规可靠的数据供给环节、合规信赖的数据流通环节和合规倍增的数据利用环节),并对各个环节的权责范围进行分析。图2对各环节公共数据主体多重权责进行了归纳。
二、公共数据合规可靠的供给环节权责分析
从数据供给侧的角度看,公共数据源自数据关联主体,却由公共管理服务机构、数据中心和数据主管机构三类主体实际掌控着,涉及多层级(国家、省市、区县等)、多行业领域(行政管理、民生服务、社会保障等)、多种技能(如行政管理、数据管理等),需要重点理顺各方权责关系,逐步构建“分而自治、协同共治”的数据治理格局,形成合规可靠的高质量公共数据服务保障体系。
(1)数据关联主体
数据关联主体是数据产生者(也可称为“数据关联对象”,简称“数据主体”或“数据对象”),涉及自然人、法人、非法人组织及其各类相关行为。
根据公共管理服务的相关法律法规要求,数据关联主体应该配合公共管理服务机构,在履职尽责过程中提供所需的最小必要数据,并按照相关流程加以核对验证,确保数据真实、准确、有效。按照数据关联主体的类型不同,这些数据将会涉及不同类型的传统权利。以自然人为例,这些数据将可能涉及数据关联主体的人格权、物权及知情权等隐私信息。这些数据属于某个数据主体的特定属性及行为轨迹,个体特征凸显,但涉及范围小,在没有被某类机构利用数据虹吸效应集聚的前提下,暂不具备规模化开发价值。数据关联主体本应是这些数据的实际主人,但受限于能力和手段,却无法真正持有或管辖这些数据,如用电数据、用水数据往往被供电、供水的企业所掌握。事实是数据关联主体已将数据持有权或管辖权让渡给了公共管理服务机构。《数据安全法》明确规定,国家保护个人、组织与数据有关的权益。特别是,依法保护自然人对其个人信息享有的人格权益。
(2)公共管理服务机构
公共管理服务机构是数据收集者(或称为“数源部门”),应当遵循必要、正当、合法的原则,按照法定权限、范围、流程及标准规范收集所需数据,特别是利用数字技术将所收集数据有效管理起来,并从源头辨别数据关联主体,承担数据分类分级、数据血缘识别、元数据登记、数据质量维护、数据安全防护等相关数据责任。公共管理服务机构依据法律法规所赋予的职责,获得了与履职尽责关联的批量数据采集权、持有权及管辖权,从而事实拥有了对该类数据资源持有权和数据加工使用权。这类数据具有一定的行业领域特征,逐步形成排他性的批量数据(如人口数据、法人数据、电力数据等),具备满足特定行业领域的规模化开发利用价值。公共管理服务机构还应当遵守网络安全、数据安全、个人信息保护等法律、法规以及国家标准的强制性要求,对在履行职责中知悉的个人隐私、商业秘密等应当依法予以妥善保护,不得泄露或者非法向他人提供,即承担数据安全责任。
公共管理服务机构负责所属业务领域数据管理工作的统筹、指导、协调和监督;强化公共数据分类分级管理,建立健全本系统、本行业公共数据质量管理体系,加强数据质量管控,保障数据真实、准确、完整、及时、可用;按照数据与业务对应的原则,梳理公共数据资源,维护本系统、本行业的主数据、元数据及数据模型;根据公共数据资源目录编制规范要求,对机构的公共数据进行目录管理;按照公共数据资源体系整体规划相关制度规范要求,规划本机构的公共数据资源体系,建设并管理相关主题数据库;在各地区数据主管机构的指导下,按照应用需求配合所属区域的数据中心,将相应的公共数据统一归集、更新到公共数据管理平台的基础数据库和专题数据库;探索首席数据官或数据管理专员等专岗、专职制度创新。
(3)数据中心
数据中心是数据汇聚者,按照各地、各行业相关法规赋予的职责,获得本地区或本行业海量公共数据资源的归集权、持有权及管辖权,事实上拥有了对该地区或该行业这批规模数据资源持有权和数据加工使用权,同时要构建公共数据基础设施及公共数据资源管理平台,为本地区、本行业的海量公共数据资源实现统一、集约、安全、高效的管理,提供技术保障和服务支撑。各地数据中心应承担上传下达的数据流通枢纽作用,按照物理分散、逻辑集中的方式,归集所辖区域内各公共管理服务机构的相关数据,并将高频使用的数据引流到本地区数据湖(或数据资源池)中,为本地区公共数据开发利用提供稳定运行的数据底座。行业数据中心应负责归集本行业领域各层级的数据,为本行业领域的数据开发利用提供稳定运行的数据底座,同时还要指导各地所属机构,配合当地数据中心归集本行业的所属区域相关数据,服务于地方数字政府、数字经济及数字社会建设发展。
各地数据中心具体承担本区域公共数据的集中统一管理,根据公共数据的通用性、基础性、重要性和数据来源属性等组织制定公共数据分类规则和标准,明确不同类别公共数据的管理要求,在公共数据全生命周期采取差异化管理措施;指导各机构编制公共数据目录,并提供技术支撑和服务保障;在数据主管机构的指导下,组织开展公共数据的质量监督,对数据质量进行实时监测和定期评估,并建立异议与更正管理制度。
各地数据中心如同每个区域的水库,汇聚并流淌着区域经济社会发展的全量公共数据(即块数据);行业数据中心如同运河贯穿全国各地,汇聚并流淌着行业领域的全量数据(即条数据);全国一体化数据中心体系建设将各地数据中心和各行业数据中心有效贯通,进而形成服务全国数字经济发展的新型数据基础设施。
(4)数据主管机构
数据主管机构是数据统管者,按照各地、各行业相关法规赋予的职责,获得本地区、本行业海量公共数据资源的综合统筹管理权(即统管权),是代表本地区、本行业行使海量公共数据资源持有权、数据加工使用和数据产品经营权等综合管理的机构,负责统筹规划、综合协调本地区、本行业的公共数据发展和管理工作,促进公共数据综合治理和流通利用。特别是,各地数据主管机构是区域公共数据统筹管理工作的指挥中枢,如同看护区域水库的管理员,负责建立健全公共数据资源管理体系,组织开展公共数据资源调查,绘制完整的地区公共数据资源地图,强化对所辖地区数据中心的指导和监督,推进、指导、协调、监督本地区各公共管理与服务机构的公共数据共享、开放和利用,充分发挥公共数据资源对优化公共管理和服务、提升城市治理现代化水平、促进经济社会发展的积极作用。
数据主管机构是各地、各行业公共数据治理体系的总策划、总指挥,是全面主导地区、行业公共数据有效供给的责任主体,需要不断提高系统思维意识、统筹协调能力、数据治理技巧,做到抓大局、抓共性、抓平台、抓成效。组织建立健全数据全流程质量管控体系,加强数据质量事前、事中和事后的监督检查,及时更新已变更、失效数据,实现问题数据可追溯、可定责,保证数据的及时性、准确性、完整性。
三、公共数据合规信赖的流通环节权责分析
公共数据流通的形式可以是公共数据体制内循环共享,也可以是从供给侧流向数据消费者,是从供给到实现利用的必经阶段。公共数据流通环节的相关权责主体包含数据关联主体、公共管理服务机构、数据中心、数据主管机构以及数据授权运营机构等各类主体。高效、安全、合规的公共数据流通需要相关数据主体各自承担起监督、运维、管控等相应责任。
(1)数据关联主体
Europrivacy认证
文前扫码咨询 详细介绍
CAIM报名
CAIL报名
公共数据在流通过程中,在涉及自然人、法人和非自然人组织的数据关联主体时,应当注意保护数据关联主体知情权、决定权等合法权益。数据关联主体提高维护合法权益的意识,依据《个人信息保护法》等法律法规,明确知晓个人信息或者法人信息流向、用途,避免人身、人格、财产安全受到侵害。
(2)公共管理服务机构
公共数据按照共享属性分为无条件共享、受限共享和不共享数据。公共管理服务机构应根据法定职责,对其收集、产生的公共数据进行评估,科学合理地确定共享属性,形成数据共享清单,并定期更新;列入受限共享数据的,应当说明理由并明确共享条件;列入不共享数据的,应当提供明确的法律、法规、规章或者国家有关规定依据。
公共管理服务机构应根据履职尽责需要,提出公共数据共享申请,明确数据使用的依据、目的、范围、方式及相关需求,并按照本级数据主管机构和数源部门的要求,加强共享数据使用管理,不得超出使用范围或者用于其他目的。
公共管理服务机构在收到其他公共管理服务机构或社会团体提出的数据使用需求申请后,应在规定时间内做出回应,并提供必要的数据使用指导和技术支持。
(3)数据中心
数据中心应在数据主管机构的指导下,持续完善公共数据资源管理平台的共享交换服务功能,确保各机构之间公共数据能够及时、准确地共享;负责维护本地区、本行业公共数据共享目录;在数据主管机构的指导下,组织实施本地区自然人、法人、自然资源和空间地理等基础数据库建设;根据公共数据分类管理要求对相关数据实施统一归集,保障数据向大数据资源平台归集的实时性、完整性和准确性;协助数据主管机构和公共管理与服务机构解决跨部门、跨省份的数据流通、共享技术问题;配合数据授权运营机构搭建安全可信的数据开发利用环境,指导数据授权运营机构开发针对公共数据流通、共享的相关数据产品和数据服务;监测公共数据应用情况,当发现超范围情况,及时通知数据主管机构及相关机构,并立即停止相关服务。
(4)数据主管机构
数据主管机构应当建立以共享需求清单、责任清单和负面清单为基础的公共数据流通机制;会同有关机构在公共管理数据平台上,不断健全完善人口、法人、信用、电子证照、自然资源空间地理等基础数据库,以及跨地域、跨部门专题数据库;负责统筹采购那些公共数据管理平台无法提供但履职尽责中确有必要的其他社会数据;会同有关机构,指导所属区域数据中心建设和完善公共数据管理平台,统筹推进本地区公共数据目录一体化建设,组织制定统一的目录编制标准,组织编制本区域的公共数据目录;建立健全公共数据流通供需对接协调处理机制,当发生异议时负责协调处理;指导所属大数据中心动态更新公共数据流通目录、需求清单及负面清单;依托公共数据管理平台建立统一的数据共享、开放通道;建立日常公共数据管理工作监督检查机制,组织对公共管理和服务机构的公共数据目录编制工作、质量管理、共享、开放、流通等情况开展监督检查;对公共数据工作的成效情况定期组织考核评价。
(4)数据授权运营机构
数据授权运营机构是具有专业技能的数据开发利用者,按照相关要求及流程,从数据主管机构获得特定范围及限定数量的公共数据开发权,在安全可信的数据开发环境中持有相关数据,从事数据清洗、标注、分析、挖掘、脱敏、算法训练、机器学习等数据处理活动,形成数据产品和数据服务(如高价值开放数据集、算法模型、API服务等)。
数据授权运营机构应在数据主管机构指导下,在数据中心配合下,搭建安全可信的数据开发利用环境,保证公共数据安全、可靠、高效流通。在保障国家安全、社会公共利益,保护公民、法人和其他组织合法权益的前提下,开展本区公共数据授权运营活动,并在任何情况下,不得以任何形式将原始数据提供给第三方,也不得用于其他任何目的,确保数据不出域、数据可用不可见。
四、公共数据合规倍增的利用环节权责分析
公共数据蕴含着巨大的经济价值,是推动数字经济发展的基础性战略资源,应当推进公共数据向全社会更广泛地开放,促进市场化配置下公共数据与社会数据之间的外部大循环。鼓励、支持公民、法人和其他组织利用开放的公共数据开展科学研究、咨询服务、应用开发、创新创业等活动,促进公共数据与非公共数据融合发展。公共数据开放应当遵循分类分级、需求导向、安全可控的原则,在法律、法规允许的范围内最大限度地开发利用。公共数据利用环节的相关权责主体包含公共管理服务机构、数据中心、数据主管机构、数据授权运营机构、数据交易机构、数据使用者等。
(1)公共管理服务机构
公共管理服务机构应按照职责范围,明确本机构公共数据的开放范围、开放类型、开放条件和更新频率等,并动态调整;负责通过公共数据开放平台发布本机构的公共数据开放目录;有条件开放的公共数据,应当在编制公共数据开放目录时明确开放方式、使用要求及安全保障措施等。
(2)数据中心
数据中心依托公共数据资源管理平台建设和维护公共数据开放平台,根据公共数据开放类型,提供数据下载、应用程序接口,并搭建安全可信的数据综合开发利用环境等;在数据主管机构的指导、监督下,根据数据授权运营机构管理办法,组织对提交数据授权运营机构申请的机构进行资质审查和能力评估;与数据授权运营机构签订授权运营协议,授权运营协议应当明确授权运营范围、运营期限、合理收益的测算方法、数据安全要求、期限届满后资产处置等内容;负责对数据授权运营机构实施日常监督管理。
(3)数据主管机构
数据主管机构应当建立以公共数据资源目录体系为基础的公共数据开放管理制度,组织各相关机构编制公共数据开放目录并及时调整;应当依托公共数据资源管理平台建设公共数据开放平台,并组织公共管理和服务机构通过该平台向社会开放公共数据;组织制定公共数据授权运营管理办法,明确授权方式、授权数据运营机构的安全条件和运营行为规范等内容;会同网信等相关部门和专家,对授权数据运营机构规划的应用场景进行合规性和安全风险等评估;组织开展公共数据开放和开发利用的创新试点;组织各公共管理和服务机构制定年度公共数据开放重点清单,以便社会广泛利用。
(4)数据授权运营机构
数据授权运营机构应按照公共数据授权运营管理办法的相关要求及程序,提交授权公共数据运营机构的申请及相关配套资料;在数据主管机构指导下,与数据主管机构或数据中心或公共管理与服务机构商定委托数据开发利用任务,确定数据开发用途、数据应用场景等,并签订委托授权协议;接受数据主管机构和数据中心组织资质审查与能力评估;依托公共数据平台对构建安全可信的数据开发利用环境,按照原始数据不出域的原则,对授权运营的公共数据进行加工;对加工形成的数据产品和服务,可以向用户提供并获取合理收益。
(5)数据交易机构
数据交易机构作为数据开放平台统一服务门户,负责建设数据交易规则、数据交易平台,制定交易流程、监督数据交易行为,并负责将数据产品或数据服务向社会推广,促进数据开发利用主体生态体系建设。
(6)数据使用者
数据使用者有权对公共数据资源开发利用形成的数据产品和服务进行合法获取并按照相关约定合规使用。鼓励自然人、法人和非法人组织对公共数据进行深度加工和增值使用,激活数据乘数效应,通过积极打造多个公共数据应用场景释放公共数据价值,优化资源配置、提高生产效率,为新质生产力注入新动力,最大限度地发挥公共数据的经济社会价值。
五、打造公共数据价值倍增的服务体系
联合国在《2021年数字经济报告》中提出,将数据视为一种全球的公共品。公共数据作为公共管理和公共服务过程中的产物,涉及全社会的公共利益和公共福祉,如同水资源一样滋润着数字政府、数字经济及数字社会的协同发展,属于全社会共有的公共资源,需要取之于民、用之于民。
综上,公共数据权责关系模型将公共数据开发利用生命周期分为数据供给环节、数据流通环节和数据利用环节。公共数据的多重权责关系是一个从量变到质变的发展过程,如同水滴变成溪流,溪流汇成江河,江河聚于水库,水库转化为水厂或水电站;还是一个能量转化的过程,从势能到动能,从动能到势能,根据能量需要实现势能和动能之间的相互转化,如同随着水的流动汇集力量形成势能,势能集聚爆发更大的动能,循环往复、不断迭代产出更大的能量。
公共数据汇溪流为江河大海,集聚势能而迸发更强动能,进而创造更大更强的数据价值来造福社会、造福人类。
在此基础上,公共数据开发利用应当紧紧围绕构建纵深分域数据要素市场运营体系的总体思路(见图3),打造“一座”(数据底座)、“两场”(资源供给市场和产品流通市场)、“三域”(即内部管控域、中间加工域、外部流通域)、“四链”(即供给链、加工链、价值链和监管链)。
夯实安全健壮的数据底座,推动公共数据资源供给一级市场和公共数据产品服务流通二级市场的构建和发展;打造“内部管控域+中间加工域+外部流通域”三域纵深分域的数据流通多方协同治理体系;打造以合规可靠的供给链、合规信赖的加工链、合规倍增的价值链和合规溯源的监管链等四链有机组成的数据合规可信保障机制,统筹健全数据持有权、管理权、运营权、加工使用权及产品经营权等多维权限的权责设定、授权及监督体系,明晰数据提供方、汇聚方、运营方、开发方、使用方、监管方等各方权责,保障数据高效合规的流通利用,让公共数据“供得出”“流得动”“用得好”“管得住”,发挥公共数据的社会效益,释放公共数据的经济价值,让数字中国乘势而上。
AITrust聚焦AI治理及安全的高端开放共享平台
AITrust整合法律、技术及管理的AI治理共同体
AITrust持续举办沙龙、读书会、论坛、年度大会
AITrust社群招募“AI Trust×”共建单位及大咖
加群请备注:姓名+单位+职务
不备注不通过
微信扫码关注该文公众号作者