赵 加 兵
(河南财经政法大学 民商经济法学院,河南 郑州 450046 )
公共数据开放是大数据时代无法回避的基本议题。2020年3月30日《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》明确提出,要研究推动公共数据开放和数据资源有效流动的制度规范(1)《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》(2020年3月30日)。。“十四五”规划纲要明确指出,要“开展政府数据授权运营试点,鼓励第三方深化对公共数据的挖掘利用”“加快建立数据资源产权、交易流通……等基础制度”(2)《中华人民共和国国民经济和社会发展第十四个五年规划和 2035 年远景目标纲要》第五篇第十七章第一节、第十八章第一节。。随着公共数据开放的持续推进,如何加强数据处理活动管控日益成为公共数据开放实践必须回答的重要议题,也是数据安全制度建构必须回答的基本问题。现有立法实践已然关注公共数据管控议题,并作出有针对性的制度建构。但对于公共数据开放主体管控行为的性质,实务界的认识不甚统一。有的立法实践将之界定为公共数据开放主体享有的重要权利,有的立法方案则将之视为公共数据开放主体应履行的基本义务。公共数据管控权法律属性界定层面的冲突,已经严重制约公共数据管控权的制度建构和公共数据授权运营的规范展开。有鉴于此,笔者拟以“公共数据管控权的规范建构”为题展开探讨,以期为公共数据管控权规范建构提供参考借鉴。
公共数据管控权,是指公共数据开放主体作为权利人对公共数据利用活动享有的追踪、评估和管理等权利。现有立法实践明确规定,公共数据开放主体应当对公共数据利用活动实施管控。但在规制公共数据管控行为时各地实践有所差异,主要进路有二:一是将公共数据管控视为公共数据开放主体的法定义务。如上海市在公共数据立法时规定,数据开放主体应当记录数据利用及数据开放情况并建立监管制度,对有条件开放类公共数据的利用情况进行跟踪,以判断数据利用活动是否合法正当(3)《上海市公共数据开放暂行办法》(2019)第20、27条。。二是赋予公共数据开放主体以数据管控权。如西安市在相关规范性文件中明确指出,“市政府授权市大数据产业发展管理机构行使数据资源统筹管理权,负责西安市政务数据的统筹管理、授权开发、利用增值和监督指导等工作”(4)《西安市政务数据资源共享管理办法》(市政发〔2018〕47号)第7条。。此处的管理权内含有数据管控权项。政务部门依照法定职能对政务数据享有管理权,并可在数据授权开发阶段要求授权或者合作开发对象严格遵守授权开发协议,定期报告数据利用情况(5)《西安市政务数据资源共享管理办法》(市政发〔2018〕47号)第8、29、31条。。
现有公共数据管控权规制实践的理论贡献主要表现在如下维度:第一,明确了公共数据开放主体的数据管控权人地位。第二,肯定了公共数据管控权的法律意义。公共数据开放主体对数据利用实施管控有助于其更好地为数据利用主体提供服务,维护数据安全,探寻公共数据利用的实现方案。第三,界定了公共数据管控权的义务主体范围。多数规制方案将公共数据管控权的规制对象限定为公共数据处理主体。第四,厘清了公共数据管控权的权项内容。公共数据管控权主要包括追踪、评估及管理等内容。
现有公共数据管控权规制实践的局限性主要表现在如下维度:第一,对公共数据开放主体数据管控行为的法律属性认知不统一。有的规制方案将其界定为公共数据开放主体的基本义务,并明确违反此项义务的法律责任(6)《浙江省公共数据开放与安全管理暂行办法》(2020)第42条。。有的规制实践将之视为公共数据开放主体享有的权利。第二,对公共数据管控权法律属性尚未作出清晰界定。现有公共数据管控权制度设计混杂着公权与私权元素。如西安市授予市大数据产业发展管理机构的公共数据统筹管理权以“统筹管理”“监督指导”等为核心内容,由此将该项管理权纳入政府公权力范畴。而其中的“授权开放”“利用增值”等权利内容又呈现私权意蕴。公共数据开放主体“应当将属于政府取得的授权收入作为国有资产经营收益按照规定缴入同级财政金库”(7)《西安市政务数据资源共享管理办法》(市政发〔2018〕47号)第32条。的规定,表明公共数据管控权内含等价交换元素。第三,未能规范建构公共数据管控权体系。现有规制实践未能从根本上厘清公共数据管控权的核心内容及其私权属性,多数规制方案在权利属性界定时摇摆不定。
公共数据管控权规制失范的原因具有多元性。现行立法对公共数据开放行为法律属性认识不清、对公共数据开放主体权利人地位缺乏明确规定及对公共数据管控权制度价值缺乏清晰认知是造成公共数据管控权规制失范的主要原因。
现有规制实践多将公共数据管控视为公共数据开放主体的基本义务。这一规定主要基于将公共数据开放等同于政府信息公开的传统认知。事实上,公共数据开放与政府信息公开具有本质差异,因此,以政府信息公开视角界定公共数据管控行为的法律属性存在某些误差与偏颇,可能会对之作出误判。政府信息公开是行政主体依据法定职权或者行政相对人的请求,向行政相对人或者社会公众公开展示政府掌握的信息并允许查阅、摘抄和复制的活动[1]322。信息公开是政府应当履行的基本义务,其对于保障社会公众知情权,推动参与民主发展完善具有重要意义[2]。政府信息公开过程中,为防止信息公开申请权滥用[3],保护国家秘密、商业秘密及个人隐私,必须对信息公开作出必要管控[4],这是政府应当承担的基本义务。
与政府信息公开不同,公共数据开放是公共管理和服务机构面向社会提供具备原始性、可机读性、可供社会化再利用的公共数据行为(8)《上海市公共数据开放暂行办法》(2019)第3条第2款。。公共数据开放本质上属于公共数据(尤其是有条件开放类公共数据)授权开发行为。之所以认为公共数据开放属于数据授权开发行为主要基于如下理由。
第一,以授权开发界定公共数据开放法律属性符合公共数据开放实践的基本制度预设。如福建省公共数据立法明确规定,公共数据开放主体应当根据程序对符合条件的申请对象予以授权,对数据进行商业开发时应通过公开招标等竞争性方式确定授权开发对象(9)《福建省政务数据管理办法》(2016)第33条。。其他地市在公共数据开放时针对有条件开放类公共数据多要求数据开放主体与数据利用主体签订数据利用协议,明确数据利用主体的权利与义务(10)《浙江省公共数据开放与安全管理暂行办法》(2020)第17条。。由此不难推知,公共数据开放主要采用授权开发模式展开。
第二,以授权开发界定公共数据开放法律属性契合公共数据开放发展趋势。国家“十四五”规划纲要明确指出,要“开展政府数据授权运营试点,鼓励第三方深化对公共数据的挖掘利用”。因此,以授权开发为基础界定公共数据开放法律属性与我国公共数据开放基本趋势具有一致性,有助于推动公共数据开放实践深入持续展开。
第三,公共数据开放与政府提供公共服务行为具有明显差异。政府在公共数据开放时承担的义务与责任明显高于其在提供公共服务时承担的义务与责任。在公共数据开放过程中,公共数据开放主体仅能对因不可抗力导致的数据质量瑕疵免予承担法律责任(11)《浙江省公共数据开放与安全管理暂行办法》(2020)第45条。。而在公共服务提供场合,政府公共服务提供能力受多重因素影响与制约,其一般不对超出自身财政负担范围的公共服务供给不足状况承担法律责任。如有学者在研究农村基本法律公共服务供给时明确指出,政府责任边界的上限应当定位于满足农村社会成员基本法律服务需求,下限则应与政府财政负担能力相适应[5]。换言之,超出政府财政负担范围,即使其未能提供基本法律服务也无须承担法律责任。此时政府承担的义务与责任远低于公共数据开放语境下公共数据开放主体所承担的法律责任。
有鉴于公共数据开放与政府信息公开及政府提供公共服务行为的显著差异,公共数据管控权制度建构必须从公共数据开放授权开发这一本质出发,以权利为中心,明确公共数据管控行为的法律属性。笔者认为,将公共数据管控权界定为公共数据开放主体享有的权利是较为合适的制度选择。
对于公共数据权利的归属,现有实践尚未形成统一认知。基本规制方案有三:一是回避公共数据权属争议,对公共数据权属不作规定。如上海市及浙江省的公共数据开放立法未对公共数据权属作出明确界定。二是明确规定公共数据归属国家所有。如福建省公共数据立法明确规定政务数据资源属于国家所有(12)《福建省政务数据管理办法》(2016)第3条。。三是规定公共数据归属政府所有。如广东省政府办公厅出台的规范性文件明确规定公共数据归属政府所有(13)《广东省政务数据资源共享管理办法(试行)》(粤府办〔2018〕50号)第4条。。
公共数据归属界定不清是导致公共数据管控权规制失范的重要原因。公共数据开放主体在数据开放时因对自身地位缺乏稳定预期,倾向于以政府信息公开为参考界定权责边界。但就公共数据法律属性而言,其生产要素的角色定位已然得到广泛认可(14)《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》(2020年3月30日)。。公共数据一旦被界定为生产资料,则应归全民所有和劳动群众集体所有。公共数据是行政机关及其授权的组织在实施公共管理和服务过程中收集和形成的数据,因此应将公共数据归入国家所有范畴,由国家对公共数据享有最终控制权,政府代表国家行使相应数据权利。从推动公共数据利用角度而言,将公共数据配置给政府“既有益于明晰公共数据民事权利客体的法律属性,又有利于培育规范的公共数据要素市场,还有助于明确政府作为公共数据许可主体的法律义务”[6]。
公共数据是数字政府建设、数字经济发展及数字社会治理的基础性资源,为促进公共数据充分利用、防止公共数据为私人集团垄断,应赋予公共数据开放主体对公共数据利用活动必要的管控权。从而在跟踪公共数据流动状况、评估公共数据利用效果和管理公共数据处理秩序的基础上,推动公共数据有序开放、开发和利用。赋予公共数据开放主体公共数据管控权具有积极的实践价值。
第一,有助于提高公共数据供给的质量与效率。公共数据开放主体作为授权许可实施者,对公共数据开发及流动状况进行深入了解,有助于其更好地以公共利益和市场需求为导向,精准合理地展开公共数据供给[7],推动数字政府建设、数字经济发展及数字社会治理有序展开。
第二,有利于发现和确定公共数据价值实现的有效方式。当前公共数据开发尚处于起步和探索阶段时,公共数据开放主体与社会公众均未找到公共数据价值实现的有效方案。公共数据开放主体对公共数据利用活动进行跟踪、评估和管理,有助于及时发现公共数据开发利用新的利益增长点,持续优化公共数据开放方案,提高公共数据利用质量。
第三,有益于维护公共数据安全及防止公共数据滥用。加强公共数据整合和安全保护符合构建规范的数据要素市场的基本要求。为推动公共数据利用活动有序展开,有必要探索建立统一规范的数据管理制度,制定并完善数据隐私保护制度、数据安全审查制度及数据分级分类保护制度等(15)《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》(2020年3月30日)。,为公共数据要素市场建构提供可靠保障和制度支撑。维护数据安全、禁止数据滥用既是公共数据授权开发的应有之意,也是公共数据授权许可合同的核心内容[8],但在公共数据利用过程中,基于公共数据实施的数据挖掘等行为仍会给国家安全、企业商业秘密及个人隐私等造成损害。即使已进行充分的数据清洗和脱敏脱密处理,一些看似与国家安全与秘密无关的非敏感数据经过大数据技术的聚合分析,仍可能形成涉及国家安全的衍生数据,进而产生强大破坏威力[9]。基于维护国家安全、保护商业秘密及尊重社会公众隐私等目的,应赋予公共数据开放主体对公共数据利用活动必要的管控权利,以维护公共数据相关主体的合法权益[10],促进公共数据开发朝着规范健康方向发展。
那么,在个人数据及企业数据等授权利用时,自然人及数据企业是否也应享有数据管控权呢?笔者以为不宜赋予自然人及数据企业数据管控权。首先,这不符合数据管控权设置的初衷。赋予公共数据开放主体数据管控权是为了维护其他主体合法权益,而不是保护公共数据开放主体的自身权益。公共数据管控权的设置是为了维护国家安全与利益、商业秘密及个人隐私等公共利益。就这一角度而言,公共数据管控权具有“他益权”属性。自然人及数据企业获得数据管控权是为了维护自身权益,这与数据管控权设置初衷不相契合。其次,自然人及数据企业享有的权益中内含数据管控元素。自然人及数据企业对其控制的数据享有正当权益,这些权益已得到立法及司法的认可。未经自然人同意,社会公众一般不得直接处理个人数据,这为自然人实施个人数据管控奠定了法律基础。数据企业在数据授权利用时可以合同形式对数据利用行为实施管控,因此无须再以数据管控权形式予以特别强化。即便在非合同场合,数据企业也可以不正当竞争为由提请法院保护其对数据享有的管控利益(16)《北京知识产权法院民事判决书》(〔2016〕京73民终588号。)。最后,无论是个人数据还是企业数据,在授权开发时一般不涉及数据安全问题,数据利用主体只需严格遵循相应法律法规及合同约定便不至引发数据安全风险。而公共数据几乎涉及社会生活的各个领域,其与国家安全与利益、社会公共利益密切相关,赋予公共数据开放主体以数据管控权,有助于其在追踪、评估及管控数据利用活动的基础上维护国家安全及社会公共利益。
参照民事权利设置的基本方案,结合公共数据管控权的基本特点,可以考虑从权利性质、权利主体、权利客体、义务主体及权利限制等维度展开公共数据管控权制度建构。公共数据管控权的客体是“数据集合”。就“数据集合”作为包括公共数据管控权在内的数据权益客体的正当性,笔者已专门撰文予以探讨,在此不再赘述[11]。接下来主要从法律属性、权利主体、义务主体及权利限制等角度探讨公共数据管控权建构的制度方案。
公共数据管控权是公共数据开放主体享有的民事权利。对于公共数据管控权的民事权利性质定位,可从如下维度得到合理解释。
第一,公共数据管控权是基本权利而非法定义务。公共数据管控权源于公共数据授权运营行为,是公共数据开放主体基于对公共数据利用活动管控衍生的权利。通过前文对公共数据开放与政府信息公开差异的归纳概括,可以得出公共数据开放主体对数据利用活动实施管控是其享有的基本权利而非法定义务的基本判断。
第二,从权利性质看,公共数据开放主体对公共数据享有的权利是民事权利。公共数据开放主体对公共数据享有民事权利契合公共数据授权开发行为的基本性质定位。“十四五”规划纲要明确指出,要开展政府数据授权运营试点,鼓励社会公众深化公共数据挖掘利用。由此可以得出如下判断:一方面,政府应对公共数据享有权利,这是公共数据授权开发的逻辑起点。公共数据由政府收集和生成,基于劳动财产理论等理论模型可知,政府对之享有权利具有内在合理性(17)有关公共数据归属政府的合理性,笔者已专门撰文予以探讨,参见赵加兵《公共数据归属政府的合理性及法律意义》,载于《河南财经政法大学学报》2021年第1期。。另一方面,政府对外授予的应当是民事权利。政府基于自身需要可以授权其他主体从事特定行为,此时政府既可能授予其行政权力也可能授予其民事权利。而在公共数据授权开发场合,政府只可能授予社会公众以民事权利。现行公共数据开放立法肯定数据利用主体可因数据利用获取正当权益,并可依法交易该项数据权益(18)《上海市数据条例》(2021)第12条;《浙江省公共数据开放与安全管理暂行办法》(2020)第24条。。这些权利已然超出行政授权的范围。政府授权其他主体行使行政权力,因行政权力行使产生的后果应当归于政府而不应由被授权主体承担(19)《中华人民共和国行政许可法》(2019)第24条。。既然政府可在公共数据授权开发时授予数据利用主体以民事权利,由此不难得出政府对公共数据享有民事权利的结论。公共数据管控权是公共数据开放主体在数据开放过程中衍生的基本权利,因此公共数据开放主体享有的数据管控权应属民事权利范畴。
第三,公共数据授权许可协议民事合同的定位,决定了公共数据管控权民事权利的法律属性。从合同性质看,公共数据开放主体与社会公众签订的公共数据授权许可协议属于民事合同。对于公共资源授权开发合同的法律属性,理论及实务界的认知不甚统一。但随着对公共资源授权开发合同性质认识的不断深化,特别是经由对其合同性质认定影响的持续反思,越来越多的观点认为应当将公共资源授权开发合同界定为民事合同。如此既符合此类合同权利义务对等性的基本特征及该类合同遵循平等、自愿及有偿原则的本质属性,又体现出法律平等保护各类社会主体产权、维护社会公平正义及长治久安的基本精神[12]。反之,如果将公共资源授权开发合同界定为行政协议,则将不可避免地导致行政权力膨胀,违背“法无授权不可为”的基本精神,背离国家完善产权保护的基本立场[12]。公共数据作为新型公共资源,其在授权开发时也应当以民事合同形式展开,作为公共数据管控者的公共数据开放主体有权对公共数据利用活动实施管控,该项权利应被归入民事权利范畴。
公共数据管控权利主体是公共数据开放主体。赋予公共数据开放主体公共数据管控权既符合权责一致法律原则的基本精神,又契合公共数据管控的实践需要,还具有明确的法律依据。
第一,公共数据开放主体享有公共数据管控权符合权责一致的基本要求。公共数据由公共数据开放主体对外授权许可,由其享有公共数据管控权是保障数据安全的现实需要。公共数据开放主体掌握的公共数据可能涉及国家利益、公共安全、军工科研生产机密、商业秘密及个人隐私等,为维护公共数据安全、社会公共利益及相关主体合法权益,有必要允许其对公共数据利用活动进行监督和管控。
第二,公共数据开放主体享有公共数据管控权有助于提高公共数据的利用效率。公共数据开放主体对公共数据较为熟悉,能够对数据利用行为是否符合公共数据许可协议的基本要求作出客观明确的判断,从而推动公共数据利用活动有序发展和公共数据开放的持续展开。
第三,公共数据开放主体享有公共数据管控权具有实践基础和法律依据。西安市出台的相关规范性文件明确规定公共数据开放主体对公共数据享有管理权。上海、广东及浙江等省市在公共数据开放时也规定公共数据开放主体应对公共数据利用活动实施监管,这表明公共数据开放主体对数据利用活动实施监管具有正当性。
公共数据管控权的权利内容主要包括追踪、评估及管理等权项。这些权项之间既密切关联又各有侧重点。一方面,追踪、评估及管理等权项间关系密切。对公共数据利用活动追踪是对之进行评估和管理的基础,唯有及时全面记录公共数据利用活动,才能对之作出有效评估与管理;而对公共数据利用活动评估与管理是追踪公共数据利用活动的目的与归宿,对数据利用活动实施评估与管理,可以发现公共数据价值实现的有效方式,推动公共数据开放有序展开。
另一方面,追踪、评估与管理等权项间又各有侧重点。第一,对公共数据利用活动进行追踪意在记录并了解数据利用主体的数据利用活动,以便核实数据利用的真实情况,为判断数据利用主体是否依法依约利用公共数据奠定基础(20)《上海市公共数据开放暂行办法》(2019)第27条第1款。。第二,对公共数据利用活动进行评估意在判断数据利用活动是否合法适当,同时探寻和确定公共数据价值实现的最佳方式。数据利用主体是否遵照公共数据开放许可协议要求利用公共数据,对公共数据授权利用的规范展开意义重大。数据利用主体作为被许可人有义务遵守公共数据授权利用协议的规定保护数据安全且不滥用数据。具体而言,“被许可人应实名签署许可协议,真实上报数据使用目的和场景,接受开放政府数据管理部门对数据去向的追踪、监管和问责。不在任何场景滥用开放政府数据”[8]。此外,公共数据开放主体对数据利用活动进行全程跟踪与评估能够及时发现公共数据开发利用新的利益增长点,优化公共数据开放方案,提高公共数据利用质量与效率。第三,对公共数据利用活动进行管理是公共数据开放主体监督数据利用活动及处罚不当数据利用行为的必然选择(21)需要特别说明的是,这里的管理权是私法意义上的管控权利,而非公法意义上的行政管理职能。。公共数据开放主体作为公共数据开放的实施者,应当对公共数据利用活动实施有效监管,确保数据利用活动依法依约展开,保障数据安全。《中华人民共和国数据安全法》(以下简称《数据安全法》)明确要求国家机关建立数据安全管理制度,落实数据安全保护责任,保障政务数据安全(22)《中华人民共和国数据安全法》(2021)第39条。。因而处罚不当的公共数据利用行为既是公共数据开放主体实施数据开放监管的有效手段,也是公共数据管控权的应有之意。在传统民法中,为加强公共资源利用和保护也会赋予权利人以管控权,如在土地承包经营中,法律明确规定发包人享有监督权,以监督承包人按照承包合同约定的用途合理利用与保护土地(23)《中华人民共和国农村土地承包法》(2018)第14条第2款。。
公共数据管控权的义务主体是公共数据利用主体。一方面,这符合现行法律对数据利用主体的基本界定。数据利用主体是公共数据利用的主要实施者,因此以数据利用主体作为公共数据管控权的义务人符合《数据安全法》对数据处理主体认定的基本精神。另一方面,这契合现行公共数据开放立法的基本制度预设。现行公共数据开放立法明确将公共数据管控的主体范围限定为数据利用主体,并明确数据利用主体负有主动记录公共数据利用情况及接受公共数据开放主体监管的义务(24)《上海市公共数据开放暂行办法》(2019)第20、27、28条。。
综合考虑数据利用主体的行为范围及现行公共数据开放立法的基本实践,可对数据利用主体的义务范围界定如下:第一,认真规范记录公共数据利用活动,为公共数据开放主体实施公共数据管控提供数据支撑和参考依据;第二,自觉接受公共数据开放主体的监督与管控,客观真实地向公共数据开放主体反馈数据处理情况;第三,依法依约采取数据安全保护措施,保障数据安全;第四,承担因数据利用不当引发的法律责任。
公共数据管控权的实现应受到必要限制:一方面,公共数据管控权实现应遵循区分原则。公共数据开放主体在行使公共数据管控权时应对被监管数据资源进行必要区分,既要切实加强对涉及国家利益、公共安全、商业秘密、个人隐私、军工科研生产等信息的保护和监管(25)《促进大数据发展行动纲要》(国发〔2015〕50号)。,完善适用于大数据环境下的数据分类分级保护制度,维护数据安全;又要对自然、交通、地理、环境、气象、海洋等非重点或非敏感领域的数据利用行为施加较小的监管要求,积极推动该类数据的商业开发利用,释放数据红利,激发大众创业、万众创新活力(26)《促进大数据发展行动纲要》(国发〔2015〕50号)。。另一方面,公共数据管控权实现应遵循权责统一原则。公共数据开放主体在行使公共数据管控权时不得干涉正常的数据利用行为,不得泄露数据利用主体的商业秘密,不得采集、存储或传播数据利用主体自主收集或存储的非由政府提供的数据集合或与公共数据相同或相似的数据集合。
随着公共数据开放的持续深入展开,加强数据利用管控已成为公共数据开放主体必须关注的重要议题。但对于公共数据管控行为的法律属性,理论及实务界并未形成统一认知。归纳现有公共数据管控行为规制实践,结合当前公共数据授权开发最新政策精神,可以认为公共数据管控权是公共数据开放主体享有的一项重要权利。赋予公共数据开放主体数据管控权既有助于促使其及时了解公共数据利用情况,确保公共数据开放健康有序展开,又有利于提高公共数据供给的质量与效率,探寻公共数据价值实现的最佳方式,还有益于维护公共数据安全,防止公共数据滥用。公共数据授权开发的民事行为性质及公共数据授权许可协议的民事合同法律属性,能够为公共数据管控权确立提供理论支撑。公共数据管控权建构可以考虑从明确公共数据管控权民事权利法律属性、确立公共数据开放主体权利人地位、厘清公共数据管控权权利内容、界定公共数据管控权义务主体及确定公共数据管控权权利限制范围等维度展开。