公共数据开放与开发利用是政务部门、公共服务企事业单位释放公共数据价值的关键一环,保障其合规性的意义不言而喻。从2020年至今,国务院先后发布多项政策推进公共数据资源开放和开发利用,2022年12月发布的《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“数据二十条”)明确提出“鼓励公共数据在保护个人隐私和确保公共安全的前提下,按照‘原始数据不出域、数据可用不可见’的要求,以模型、核验等产品和服务等形式向社会提供。对不承载个人信息和不影响公共安全的公共数据,推动按用途加大供给使用范围”、“推动用于公共治理、公益事业的公共数据有条件无偿使用,探索用于产业发展、行业发展的公共数据有条件有偿使用”。为促进公共数据资源实现有序流通、高效配置,数据安全保障体系进一步完善,有必要对相关规范和标准加以解读。
早在2016年《网络安全法》、2018年《电子商务法》等法律法规中便提到公共数据这一表述,并明确提出要“鼓励促进公共数据资源开放”、“采取措施推动建立公共数据共享机制”等,但并未进一步界定公共数据的概念和范围。此后,《政务信息系统整合共享实施方案》、《促进大数据发展行动纲要》等多部行政规划以及《关于加强数据资产管理的指导意见》、《政务信息系统政府采购管理暂行办法》等部委规章也采用了公共数据的称谓,但无一例外均未从国家层面就公共数据的概念作出规定。
综合《数据二十条》和已出台的《山东省大数据促进条例》、《山东省公共数据开放办法》、《山东省公共数据开放工作细则》等办法规定,“公共数据”可被概括为:国家机关,法律法规授权的具有管理公共事务职能的组织,具有公共服务职能的企业事业单位,人民团体等(以下统称“公共数据提供单位”)在依法履行公共管理职责、提供公共服务过程中,收集和产生的各类数据。
1.持有主体
(1)国家机关、法律法规授权的具有管理公共事务职能的组织:包括国家和地方各级行政机关,以及税务、海关、金融监督监管等国家有关部门派驻地方的分支机构。
(2)法律法规授权的具有公共服务职能的企事业单位:例如供水、供电、供气、公共交通等提供公共服务的单位。
(3)法律法规授权的具有公共服务职能的人民团体:例如工会、妇联、共青团、科协、侨联、台联、青联、工商联等单位。
2.数据属性
(1)公共管理数据(政务数据):来源于政府部门、事业单位、社会组织等的信息资源。
(2)公共服务数据:来源于供水、供电、燃气、通信、民航、铁路、道路客运等民用和商用信息资源。
《数据二十条》中明确界定了公共数据、企业数据、个人数据三种类型,全文有16处提到公共数据,对公共数据开发利用做出系统部署,并在诸多方面进行了突破。其中,第四条、第八条、第十二条、第十三条等强调要加强公共数据的汇聚共享和开放开发,强化统筹授权使用和管理,推进互联互通,打破“数据孤岛”,充分尊重数据要素的价值属性和资产,鼓励公共数据提供单位探索增值性、商业性的需求场景,形成更加丰富、高质量的公共数据服务。与此同时,《数据二十条》也肯定了公共数据提供单位的劳动,允许并鼓励各类企业依法依规依托公共数据提供公益服务,探索个人、企业、公共数据分享价值收益的方式,建立健全更加合理的市场评价机制,促进劳动者贡献和劳动报酬相匹配。
批准/实施日期 | 标准号 | 标准名称 | 发布单位 |
2019-03-21/ 2019-04-21 | DB37/T 3523.1-2019 | 公共数据开放 第1部分:基本要求 | 山东省市场监督管理局 |
2019-03-21/ 2019-04-21 | DB37/T 3523.2-2019 | 公共数据开放 第2部分:数据脱敏指南 | 山东省市场监督管理局 |
2019-03-21/ 2019-04-21 | DB37/T 3523.3-2019 | 公共数据开放 第3部分:开放评价指标体系 | 山东省市场监督管理局 |
2019-03-21/ 2019-04-21 | DB37/T 3448.1-2019 | 政务服务平台 第1部分:基本功能要求 | 山东省市场监督管理局 |
2019-03-21/ 2019-04-21 | DB37/T 3448.2-2019 | 政务服务平台 第2部分:基础数据元目录 | 山东省市场监督管理局 |
2019-03-21/ 2019-04-21 | DB37/T 3448.3-2019 | 政务服务平台 第3部分:基础代码集 | 山东省市场监督管理局 |
2019-03-21/ 2019-04-21 | DB37/T 3448.4-2019 | 政务服务平台 第4部分:基础数据规范 | 山东省市场监督管理局 |
2019-03-21/ 2019-04-21 | DB37/T 3448.5-2019 | 政务服务平台 第5部分:业务办件号编码规则 | 山东省市场监督管理局 |
2019-03-21/ 2019-04-21 | DB37/T 3448.6-2019 | 政务服务平台 第6部分:事项分类 | 山东省市场监督管理局 |
2019-03-21/ 2019-04-21 | DB37/T 3520-2019 | 政务数据资源体系 总体架构 | 山东省市场监督管理局 |
2019-03-21/ 2019-04-21 | DB37/T 3521.1-2019 | 政务信息资源目录 第1部分:编码规则 | 山东省市场监督管理局 |
2019-03-21/ 2019-04-21 | DB37/T 3521.3-2019 | 政务信息资源目录 第2部分:核心元数据 | 山东省市场监督管理局 |
2019-03-21/ 2019-04-21 | DB37/T 3521.2-2019 | 政务信息资源目录 第3部分:编制指南 | 山东省市场监督管理局 |
2019-03-21/ 2019-04-21 | DB37/T 3522-2019 | 政务信息资源 数据交换规范 | 山东省市场监督管理局 |
2019-05-01/ 2019-05-01 | ZH 009 -2019 | 公共数据开放 数据管理规范 | 山东省人民政府办公厅、山东省大数据局 |
2019-05-01/ 2019-05-01 | ZH 010 -2019 | 公共数据开放 元数据规范 | 山东省人民政府办公厅、山东省大数据局 |
2019-05-01/ 2019-05-01 | ZH 011 -2019 | 公共数据开放 数据展示规范 | 山东省人民政府办公厅、山东省大数据局 |
2019-05-01/ 2019-05-01 | ZH 012—2019 | 公共数据开放 应用开发规范 | 山东省人民政府办公厅、山东省大数据局 |
2020-11-26/ 2020-12-26 | DB37/T 4225—2020 | 政务信息资源 数据服务接口规范 | 山东省市场监督管理局 |
2020-11-26/ 2020-12-26 | DB37/T 4220—2020 | 政务信息资源 数据标准 基本要求 | 山东省市场监督管理局 |
2023-08-22/ 2023-09-22 | DB37/T 4646.1—2023 | 公共数据 数据治理规范 第1部分:数据归集 | 山东省市场监督管理局 |
2023-12-28/ 2024-01-28 | DB37/T 4646.2—2023 | 公共数据 数据治理规范 第2部分:数据清洗比对 | 山东省市场监督管理局 |
2023-08-22/ 2023-09-22 | DB37/T 4646.3—2023 | 公共数据 数据治理规范 第3部分:数据返还 | 山东省市场监督管理局 |
2023-08-31/ 2023-09-30 | DB37/T 4646.4—2023 | 公共数据 数据治理规范 第4部分:资源服务目录 | 山东省市场监督管理局 |
公共数据开放和开发利用的合规要点
公共数据开放,指的是公共数据提供单位面向社会提供具备原始性、可机器读取、可进行社会化开发利用的数据集的公共服务,其强调的是公共数据提供单位所承担的依法开放公共数据的义务,保障公民、法人和其他组织享有依法获取公共数据的权利。而公共数据开发利用更强调公民、法人和其他组织就获取的公共数据可开展分析、加工活动,并基于此开发数据产品、提供数据服务,推动公共数据与非公共数据融合应用、创新发展。
(一)开放和开发利用的原则
公共数据以开放为原则,不开放为例外,除法律、法规和国家规定不予开放的外,公共数据应当依法开放,严格管控未依法依规公开的原始公共数据直接进入市场。具体而言,数据安全和处理能力要求较高或者需要按照特定条件提供的公共数据,可以有条件开放;其他公共数据,应当无条件开放。不予开放的公共数据经依法进行匿名化、去标识化等脱敏、脱密处理,或者经相关权利人同意,可以无条件开放或者有条件开放。
公共数据提供单位应当确保开放数据的真实性、完整性、准确性、时效性、可用性,平等对待各类主体,保障所有自然人、法人和其他组织都可获取和使用开放数据,用于合法活动。除需对数据进行额外增值加工、个性化加工等情况,应免费面向社会开放。
(二)可开放的公共数据范围
公共数据属于按照数据主体所划分的一类数据,主要包括政务数据,以及在供水、供电、供气等公共服务运营过程中收集和产生的数据等。为安全考虑,并非公共数据提供单位在依法履行公共管理职责、提供公共服务过程中收集的所有公共数据均可开放,而应当按照公共数据目录和公共数据开放清单,确定公共数据的开放属性、类型、条件和更新频率,并进行动态调整。根据《山东省公共数据开放办法》之规定,公共数据开放应当遵循“需求导向、创新发展、安全有序”的原则。
1.应以“需求导向”为原则
公共数据提供单位所开放的数据种类和范围应以“需求导向”为原则,根据本地区经济社会发展情况,重点和优先开放与数字经济、公共服务、公共安全、社会治理、民生保障等领域密切相关的市场监管、卫生健康、自然资源、生态环境、就业、教育、交通、气象等数据,以及行政许可、行政处罚、企业公共信用信息等数据。并且,就重点和优先开放的数据范围,应征求社会公众、行业组织、企业、行业主管部门的意见。
2.应满足“创新发展”的需要
公共数据提供单位所开放的数据种类和范围应满足“创新发展”的需要,所提供的数据集要具备原始性、可机器读取、可进行社会化开发利用的要求,能够及时回应公民、法人和其他组织对公共数据的需求,提高社会治理能力和公共服务水平,推动数字经济发展。
同时,开放范围应尽量覆盖全面,实现最大化开放。目前,我省公共数据开放属性分为无条件开放、有条件开放和不予开放三种类型,无条件开放、有条件开放公共数据应当按照工作流程,通过统一的公共数据开放平台(以下简称“开放平台”)进行开放,公共数据为有条件开放的,公共数据开放主体应当明确具体开放条件,不予开放的,公共数据开放主体应当明确有关依据。
(三)开放平台与数据提供方式的选择
1.统一的开放平台
公共数据提供单位应通过统一的开放平台开放公共数据,不得新建独立的开放渠道,已经建设完成的,应当进行整合、归并,并纳入统一的开放平台,为公民、法人和其他组织提供公共数据开发利用基础。目前,我省已开发山东省数据共享交换平台,即“山东省公共数据开放网”,提供各类公共开放数据的下载与服务,为企业和个人开展政务信息资源的社会化开发利用提供数据支撑。
2.多样的数据开放方式
公共数据提供单位可以通过提供数据下载、提供数据服务接口、以算法模型提供结果数据进行在线分析等方式开放公共数据,鼓励探索以数据沙箱、隐私计算等模式提供其他数据服务。
针对“有条件开放”的公共数据,应与同意获取申请的公民、法人和其他组织签订公共数据开放利用协议,明确公共数据利用的条件、场景、责任等具体要求,按照协议约定通过数据下载、接口访问、数据沙箱等方式开放公共数据。
(四)开放的安全合规要求
公共数据开放应遵循“安全有序”原则,应在法律允许的范围内,在能够保护隐私、具有保密性和安全性等情况下开放数据。
1.开放前:定级处理、审查评估
(1)按照数据分类分级标准确定公共数据级别
根据数据在经济社会发展中的重要程度,以及一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益造成的危害程度,将数据从高到低分为核心数据、重要数据、一般数据三个级别。就识别公共数据的重要性而言,需要重点考虑其开放和开发利用在数字政府和政治建设中的重要程度。被识别为核心数据和重要数据的公共数据,因可能危害国家安全或者严重危害、特别严重危害经济运行、社会秩序和公共利益,而不予开放和开发利用。被识别为一般数据的公共数据,需分情况讨论,具体考量因素参考《数据安全技术 数据分类分级规则(GB T 43697-2024)》,一般数据分级后应对个人信息、公共数据等特定类型数据设置合理的数据级别。
一般数据 分级框架 | 考量因素 | 评价标准及特性 | 特定类型一般数据的最低参考级别 |
一般数据 4级框架 | 考量数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,对经济运行、社会秩序、公共利益或个人、组织合法权益等造成的危害程度 | 1级数据:具有公共传播属性,可对外公开发布、转发传播,但也需考虑公开的数据量及类别,避免由于类别较多或者数量过大被用于关联分析 | 有条件开放/共享的公共数据级别不低于2级,禁止开放/共享的公共数据不低于4级 |
2级数据:通常在组织内部、关联方共享和使用,相关方授权后可向组织外部共享 | |||
3级数据:仅可由授权的内部机构或人员访问,如果要将数据共享到外部,需要满足相关条件并获得相关方的授权 | |||
4级数据:按照批准的授权列表严格管理,仅能在受控范围内经过严格审批、评估后才可共享或传播 | |||
一般数据 3级框架 | 1级数据:对个人权益、组织权益造成一般危害或无危害 | 有条件开放/共享的公共数据级别不低于2级,禁止开放/共享的公共数据不低于3级 | |
2级数据:对个人权益、组织权益造成严重危害 | |||
3级数据:对个人权益、组织合法权益造成特别严重危害,或者对经济运行、社会秩序、公共利益造成一般危害 | |||
一般数据 2级框架 | 1级数据:对个人权益、组织权益造成一般、严重危害或无危害 | 禁止开放/共享的公共数据不低于2级 | |
2级数据:对个人权益、组织权益造成特别严重危害,或者对经济运行、社会秩序、公共利益造成一般危害。 |
①公共数据提供单位应当按照国家、省有关标准和要求,确认开放数据的敏感信息项、脱敏规则,对开放的公共数据进行清洗、脱敏、脱密、格式转换等处理,并通过公共数据开放平台执行脱敏操作。具体清洗及脱敏标准见《公共数据开放 第2部分:数据脱敏指南(DB37/T 3523.2-2019)》《公共数据 数据治理规范 第2部分:数据清洗比对(DB37/T 4646.2-2023)》。
②开放数据不应涉及个人信息。根据《数据二十条》之规定,“对不承载个人信息和不影响公共安全的公共数据,推动按用途加大供给使用范围”。由此可见,可开放的公共数据不可承载个人信息。比如,个人姓名、年龄、性别、家庭住址等数据属于个人隐私范畴,明确归个人所有,不能开放。按照数据加工程度不同,数据通常可分为原始数据、脱敏数据、标签数据、统计数据、融合数据,其中脱敏数据、标签数据、统计数据、融合数据均属于衍生数据。具体分类见《数据安全技术 数据分类分级规则(GB T 43697-2024)》附录B个人信息分类示例。
③开放数据不应涉及商业秘密以及专利、著作权、版权等知识产权。
(3)开展数据开放安全审查和风险评估
按照“谁主管、谁负责、谁开放、谁审查”的原则,县级以上公共数据开放主管部门对本行政区域内的公共数据开放工作进行风险评估,可组织第三方评估机构开展,保证公共数据开放安全有序进行。公共数据提供单位则应当贯彻落实公共数据开放安全保护制度,对公共数据开放活动进行绩效评价、风险评估。具体评价指标参考《公共数据开放 第3部分:开放评价指标体系(DB37/T 3523.3-2019)》。
风险类型 | 评估标准 |
数据泄露风险 | 公共数据开放后被窃取、未授权访问、违规导出等破坏数据保密性风险 |
数据篡改风险 | 公共数据开放后被未授权修改、注入、仿冒、伪造数据等破坏数据完整性的风险 |
数据损毁风险 | 公共数据开放后被损毁、质量下降、访问或使用中断等破坏数据可用性的风险 |
非法获取风险 | 违反法律、行政法规等有关规定,超范围收集、强制授权、非法获取公民个人信息等违法违规收集数据风险 |
非法利用风险 | 违反法律、行政法规等有关规定,使用、加工、委托处理数据。 |
非法共享风险 | 违反法律、行政法规等有关规定,向他人提供、交换、转移、交易、出境、公开数据 |
(1)无条件开放:及时更新、维护开放数据
公共数据提供单位负责开放数据的注册、登记、审核、发布,应当及时更新、维护开放数据,并提供与公共数据相关联的数据资源定位。
公共数据提供单位因法律、法规修改或者职能职责变更,申请调整公共数据开放清单的,应当通过开放平台提出申请,经市级以上公共数据开放主管部门审核同意后,进行调整。
(2)有条件开放:数据流动的追踪溯源
针对“有条件开放”的数据,公民、法人和其他组织需要通过开放平台提交《有条件开放数据申请表》《公共数据安全承诺书》等相关证明材料。
首先由县级以上公共数据开放主管部门进行规范性审查,负担审查义务,应当在收到申请后5个工作日内完成,未通过的应当通过开放平台反馈并告知理由。由公共数据提供单位进行实质审查。应当平等对待各类申请主体,审查公民、法人和其他组织的申请是否符合单位确定的开放条件,以及开展安全评估审核所需的资质和能力要求等,是否存在被列入失信被执行人名单、严重违法失信企业名单等严重失信情形。原则上应当在10个工作日内完成审核。
审核通过后,公共数据提供单位与申请主体签订公共数据开放利用协议,向其说明其承担的义务责任,如公共数据用途应当符合有关法律法规及公共数据开放利用协议要求、所开发的数据产品和数据服务应当注明公共数据的来源和获取日期、应当采取必要防护措施保障公共数据安全、定期告知公共数据提供单位公共数据开发利用情况等。签订协议后为其开通有条件开放数据使用权限,根据协议提供服务。
数据开放后,公共数据提供单位要及时了解公共数据开发利用活动是否符合公共数据安全管理规定和协议要求。及时追踪公开数据的利用情况,检查公民、法人和其他组织开发的数据产品和数据服务有无注明公共数据的来源和获取日期,有无采取必要的防护措施,保障公共数据安全。并且,针对其开发的数据产品和服务进行应用绩效评估,并将相关情况向县级以上人民政府大数据工作主管部门反馈。
张雪 19511602573 文康网络安全与数据合规专业委员会
专栏文章
-
数据合规
跨境可信数据空间的法律风险与防范
2024-12-18 -
数据合规
建筑行业的数据资产开发与合规管理(下)
专业解读2024-09-24 -
数据合规
建筑行业的数据资产开发与合规管理(上)
专业解读2024-09-19 -
数据合规
如何起草数据“三权分置”合同条款——基于数据共享、数据运营、数据授权、数据合作、委托处理、数据交易场景
专业解读2024-09-11 -
数据合规
数据资产确权的法律路径探析
本文将从法律服务层面浅析数据资产及其权属认定的实践路径。2024-09-10 -
数据合规
城投公司开发数据资产的策略与实施
专业解读2024-06-06 -
数据合规
数据要素背景下的公共数据合规解读
为促进公共数据资源实现有序流通、高效配置,数据安全保障体系进一步完善,有必要对相关规范和标准加以解读。2024-05-13 -
数据合规
探析日本个人信息保护制度
本文将对日本个人信息保护的法律适用以及实务要点进行梳理和说明,以期为开展对日跨境投资的中国企业提供参考。2024-04-16