张效科
(中央财经大学 法学院,北京 100098)
充分发挥数据要素在高质量发展中的作用与价值,必须加强数据流动和数据共享,使数据、数据产品在经济市场中被使用、被交易。而现实情况是,我国各级行政机关持有大量数据信息仍未被充分挖掘,即便是在全国多地试点建设公共数据开放平台的背景下,公共数据价值的使用价值依然无法满足数据市场的高质量需求。为此,2021年“十四五”规划纲要首次提出以公共数据授权运营提升公共数据开放和利用的实践设想,随后各地相继开展了富有探索性的公共数据授权运营实践工作。而对于如何在法律框架下实施公共数据授权运营行为的问题,学界也从制度建设的基本框架层面展开了丰富的讨论[2,10]。
与此同时,为了满足数据安全治理的需要,不同层级的公共数据对应不同开放策略的观点逐渐成为公共数据开放制度建设的主流。2022年12月,中共中央、国务院印发《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称《数据二十条》)提出了建立公共数据分类分级授权制度的要求,这在另一层面为公共数据授权运营制度构建增添了新的要求,对此产生的问题是分级授权制度应当如何展开,具体表现为分级授权标准的界定问题以及基于分级授权标准的分级授权行为在授权运营制度中的具体适用问题,这是本文研究的重点所在。
通过查询各地“公共数据授权运营管理办法”及其征求意见稿,选取浙江省、北京市、济南市、上海市四地代表公共数据授权运营制度设计的不同类型。由此看出:目前,无论是建设授权运营域还是建设数据专区授权运营,大都是基于统一数据平台由数据授权运营单位加工后向市场提供数据产品和服务。在这些规定或征求意见稿中,除济南特别提到了分级授权的方式之外,其他省市都仅规定了基于统一的公共数据平台(数据域)提供授权运营的规则,这可被视为一种默认的综合授权模式,即满足公共数据可开放的前提下,授权运营单位可对授权范围内的所有公共数据进行开发,对外可以无差别地行使授权市场主体使用、开发公共数据的权利。
而造成各地尚无分级授权实践的原因主要有两点:(1)授权运营制度推行阶段,综合授权能将尽可能多的公共数据高效率投入市场,但这种“以量取胜”的授权方式很难否认其中存在的各地以满足考核指标为导向的授权动机。(2)分级授权目前只有政策指引,而没有制度规范,各地数据开放机关难以把握政策导向当中分级授权的具体标准以及由分级授权而展开的具体制度适用,或者把分级授权与数据分类分级开放直接等同,忽视了其二者之间制度基础不同。
因欠缺公共数据分级授权开放的具体标准与规范,而就各地政府现阶段广泛采取的综合授权方式而言,其主要存在三点缺陷:首先,公共数据授权运营行为虽然依据“原始数据不出域”的原则开展,一定程度上保证了数据开放机关对公共数据流动的可控性,但随着后期依托公共数据开发的数据产品、API接口的市场规模扩大,持有机关难以对市场流通的众多公共数据以同等级别实施监管。综合授权将监管责任落在了授权运营单位之上,但出于公共数据“公共性”特点,这不应视为持有机关对数据需求方的具体使用行为可以置之不问,那么对于二者如何明确各自监管责任以及对于不同的公共数据怎么管,管哪些方面仍有待具体化规定。其次,就公共数据市场价值而言,不同的公共数据可利用价值不同,将平台所有数据统一供给授权运营单位进行开发利用,不利于衡量不同数据集、数据产品产生的经济利益,高价值收益的数据可能被裹挟在低价值数据中被投放于数据市场,降低数据开放授权的整体质量。再次,综合授权这种将数据平台中可开放数据集中授权的方式,因授权数据的范围不发生变动,多数情况下只能授予一家单位开展数据产品开发、运营,数据授权运营单位对地方数据开发权的过度集中将会产生垄断该地公共数据市场的可能,同时因为综合授权“一平台一授权”的形式,使得目前地方公共数据授权运营单位大多是地方政府控股的数据公司[7],有损公共数据流动交易市场化竞争。
已有学者注意到了公共数据分级授权制度建设的必要性,但多是在研究公共数据开放中偶有涉及,系统性规范展开稍显薄弱,不能为公共数据分级授权制度建设提供充分的理论依据[1,12]。从上述公共数据授权运营规定中不难看出,偶有地方详细说明分级授权的行为规范,但也是直接按照公共数据分类分级开放的标准照搬而来。虽然大多数省份已制定并公布了地方公共数据分级标准,但是这种数据分级标准是针对公共数据开放行为而产生的。公共数据开放与公共数据授权运营在基本逻辑、行为属性、运行框架等方面有所差异[11],而分级开放和分级授权在制度基础上差异更为显著。参照分级开放标准适用分级授权行为,二者在制度具体逻辑上无法融通,分级开放的最终目的是为了保障政府充分满足公共数据供社会使用的同时避免损害公共利益,行为客体直接指向公共数据,其分级标准考量的是公共数据客体背后的数据安全等级,而不论数据是否被使用以及如何使用。但是分级授权不只是对公共数据对外公开还是不公开的二元回应,其目的在于以公共数据持有者身份对公共数据使用权的合法、有效分配,除了关注公共数据授权是否安全外,还应当关注公共数据之市场需要和公共数据能被使用的方式和权限,行为客体应为公共数据的使用权。总而言之,公共数据开放分级标准并不能满足公共数据授权行为本质——从公共数据使用权的权利分配角度对不同等级数据应赋予何种权利的需要。由此产生的问题是:照搬公共数据分级开放标准无法有效应对分级授权实践,分级授权标准和规范缺失又将使公共数据授权运营只能采用综合授权这种授权模式而展开。分级授权沦为“分类分级”政策导向的宣示性词语而无法落于实际,进而导致公共数据授权运营无法充分满足公共数据合法、有效流通的需求,背离制度目的。
不可否认,无论是公共数据分级开放还是分级授权,分级的根本目的是更好地保护公共数据背后的公共利益,只是因为二者在保护公共利益的具体方式上差异较大,因而导致分级开放和分级授权标准可以有共通之处即考量公共数据安全等级,但同时又不能完全一致。因此,为了拓展分级授权的适用空间,规避综合授权存在的问题,同时明确分级授权与分级开放标准之不同,本文将探寻公共数据授权运营分级授权的关键制度——分级授权标准的构建,并尝试给出分级授权标准嵌入公共数据授权运营全过程的具体适用。具体而言,分级授权标准将参照公共数据安全和公共数据价值两个定级要素,以公共数据流动过程中不同层级的使用权为权利框架,结合“定级”和“权利框架”划分不同等级,为授权运营机关开展分级授权的制度实践提供指引。
分级授权制度解决的是公共数据授权行为应如何“分级”的问题,分级授权标准的构建是促进开展分级授权实践的关键所在。与之相对的,综合授权在授权运营的起步阶段可以使公共数据尽快、尽多地投入数据交易市场,但长远来看,综合授权不区分数据内容和数据权利的缺陷将会增大授权运营监管、公共数据安全保护的难度。因此,构建分级授权标准的目的在于细化公共数据授权运营之规则,以便在综合授权制度推开的同时开展分级授权实践,弥补综合授权的上述缺陷。构建分级授权标准不仅是政策需要,更有其对于授权运营制度本身的必要性。以下,将从授权运营行为的本身、授权运营行为监管以及授权运营行为目的三个方面展开论证。
构建分级授权标准为合比例行使公共数据授权运营提供了衡量尺度。对于公共数据授权运营的性质,学界仍存在争议。行政许可说认为公共数据作为国家(公共)资源,行政机关对其运营设立准入条件并准许原本处于禁止状态的特定授权运营单位实施开发、提供服务的行为,符合《行政许可法》第12条第2项规定,进而认为公共数据授权运营行为的性质属行政许可[5]。特许经营说则认为公共数据授权运营是政府出于现代化管理的目的,积极引入社会其他主体,通过协商与之达成合作,并赋予该主体数据专营权,进而由其代替履行部分公共数据服务的行为[4]。此行为在形式上以签订授权运营协议为基础,而协议实质上又体现了数据开放机关在行政协议订立、履行过程中行使优益权的公法性质。从目前公共数据授权运营实践来看,大多数地区都以订立协议的形式实施授权运营行为,故特许经营说在制度安排上似乎更具有说服力。
行政协议关系相较于行政许可关系,强调公共数据授权运营具有双方协商确定授权效力的私法性质表现。为了实现促进公共数据市场流动的目的,行政协议关系以其双方在确认授权效力过程中相对平等的协商地位而优于行政许可关系对于授权运营行为属性的识别。从公共数据授权运营行为的本质来看,将公共数据视为公共财产的前提下,持有机关实施的授权行为是凭借公权力对公共数据之上产生的使用权、收益权的有条件许可、转让,但这种有条件许可、转让并非行政机关单方意思而达成,其应具有自主协商、公平竞争的过程。故无论从授权目的亦或从授权行为本质来看,将公共数据授权运营视为以行政协议关系为内容的特许经营行为更为贴切。
分级授权作为授权运营行为的细化规范,相较于综合授权行为,能够为授权机关行使公共数据授权运营这一特许经营行为提供更符合比例性要求的授权标准。比例原则是衡量行政行为是否合理的基础,合比例性在授权运营行为中具体表现为,数据持有单位在授权运营数据时,应从多种不同选择的措施中采取尽可能实现公共数据流动目的且造成公共利益损害最小的方式实施。首先,“有条件开放” “依申请开放”这样相对局限的开放标准无法有效应对不同公共数据使用、流动的需要,限制了授权机关与授权运营单位之间可以自由协商权利范围这一市场化手段效果的充分发挥。分级授权标准通过安全和价值,为授权运营主体协商权利限度划定了界限,既给予授权运营主体自由协商的空间,也保证了协商的结果只能在不产生危害公共利益后果的权利范围内产生。其次,公共数据授权运营这一特许经营行为目的在于衡平公共服务有限性和市场需求无限性之间的矛盾。一方面授权运营行为应满足市场对于使用公共数据的需求。理性市场当中,具有更大使用价值、能产生更大经济效益且能为生产生活所使用的公共数据具有更为广泛的市场需求。在完全不考虑公共利益损害的前提下,这部分数据应当为市场无条件公开。但另一方面,公共数据本身所具有的公共利益价值约束了数据持有机关不能完全按照市场需要公开数据,还应当满足国家安全、个人信息保护的需要,也就是在价值最大与损害最小之间进行衡量。综合授权将这种衡量的权力交给授权运营平台,显然是对公共数据管理权力的不规范让渡,看似合理的综合授权方式实际上暗含了对应归属于行政机关公共数据管理权的漠视,因而在授权阶段持有机关就应将能够授予授权运营平台的公共数据使用权利加以明确,并体现于授权协议当中。构建明确权利限度的分级授权标准,并按分级授权标准提供模块式协议权利内容,从而为这种授权模式提供规范化指引。综上,相较于综合授权,构建灵活的分级授权标准更能够满足公共数据授权运营行为在具体手段、目的正当及损害最小之合比例性要求。
授权运营监管是在公共数据市场化目的下守住公共数据安全的底线,而构建分级授权标准能够使授权运营监管责任分配更为清晰。从目前部分省市公布的数据授权运营条例(征求意见稿)来看,授权运营平台直接承担了监督数据需求方是否合法、合理使用数据的责任,这种责任分配方式一定程度上减轻了授权机关面对庞大的公共数据时难以有效监管每一次数据调用流程是否满足安全使用的压力,但如此简单的责任分配直接排除授权机关对数据需求方的监管责任,扩大了公共数据非安全使用的隐患。在“全管”和“不管”之间划分一条清晰的界限是合理配置授权机关监管责任的有效途径,而这条界限可以借由分级授权标准予以实现。
首先分级授权标准为授权机关、授权运营平台的数据监管范围和最低限度监管策略提供了更为具体的指引。分级授权标准将不同数据之权利按照数据风险和数据价值的二元标准进行归类,对于授权运营机关自主处理性较大的数据——一般而言是数据风险相对较低、数据量相对较小仅限为数据产品使用的数据,授权运营机关可以采用事后审查、风险警报的方式对数据使用行为予以监管,降低监管成本。而对于授权运营机关应当审慎处理的数据,尤其是一些高风险、数据量大、涉及广泛公共利益的数据,包含二次开发且对外提供数据产品直接收益的数据,授权运营机关应当采取事前监管,实质性介入授权运营平台提供数据服务至数据使用方的核心过程,如授权使用协议内容的订立、数据使用方安全标准资料的实质性审查、数据使用方使用的方式及收益、授权运营平台的监管等。如何具体衡量上述授权运营风险,合理界定授权机关的监管责任范围,就需要引入分级授权标准,对不同等级权利限度的授权行为实施差异性监管。以分级授权标准为指引,授权运营机关和授权运营平台分别基于公共利益和市场利益的两点目的来对此维度上不同级别的数据及其使用方式分别进行监管,明确各自应监管的范围的同时,也明确了授权运营机关应采取的最低限度的监管方式。而且基于分级授权二元标准划分的依据,在标准形成的权利框架中通过市场反馈和评价机制,公共数据在市场流动中的安全级别还可以进行动态调整,授权运营机关可以参照公共数据在市场中发挥的价值和风险等级相应调整安全监管策略,一定程度上化解了只能采取事后监管措施的弊端。
其次,分级授权标准通过明晰授权运营平台针对不同公共数据可以授予的权利种类提升外部监管的透明度。公众参与是行政行为的重要过程,而外部监督是公共数据授权正当合理实施的有效保障,这也是在授权机关、授权运营平台之外尚未被强调的监督主体。公共数据授权运营作为公共利益市场化的手段,不仅需要公众对涉及自身信息安全的监督,还需要市场主体对授权行为及其有偿使用收益是否存在“以公济私”“损害数据市场利益”等行为的监督。目前我国尚未形成对数据市场交易行为的第三方监管体系,因而外部监督责任必须被合理配置于公共数据授权运营行为之中。分级授权明确了某一种数据能被处理的最大权利要求,通过授权运营平台将级别公之于众,公众可以通过得知该信息可被处理的权利进而评估自身合法信息是否会受到侵害的风险,市场可以通过该权利评估数据使用方是否按照数据权利要求合法使用数据,这些都是便于外部责任主体监管的有效途径,而这种外部监管依赖于具有明确标准、内容详细的分级授权公示而存在。
公共数据要素市场化旨在增强公共数据的流动性以便公共数据发挥更大的经济效用[3]。对此,构建公共数据要素市场应至少满足以下两个条件:(1)公共数据能够在市场中自由流动而非被任一授权运营平台所垄断;(2)公共数据应便于获取,最佳场景为在一个数据池中能够尽可能多地满足市场获取、使用公共数据的需要[15]。
首先,在综合授权场景下,行政机关将所持有的、能够公开的数据统一授权给运营平台,提高了授权行为效率但却限制了公共数据通过不同类型的授权进一步扩大不同市场主体竞争运营的可能,这是因为即便将同范围的公共数据授权给不同市场主体,主体之间也没有需要市场竞争的可能。同时,即使行政机关有将不同数据分级授权的想法,囿于目前尚无分级标准,使得行政机关为了尽可能减少授权运营中存在的授权泛滥的问题退而求综合授权这一更加稳健的方式。正是为了实施将所有数据统一授予运营平台这种综合授权的方式,才导致现阶段已构建公共数据授权运营平台的地方大都是由国有(政府)独资公司运营,这种综合授权、特定运营的策略实践思路限缩了公共数据在市场中自由流动的场域,难以契合市场有序竞争的需要。
其次,为使公共数据便于获取,一种途径是依托国家建立的全国性公共数据开放平台开展授权运营行为,但这种授权运营是由国家统一行使还是由各数据持有机关各自授权仍有待讨论,更为重要的是基于目前各地已经构建或正在构建的公共数据开放平台,如何使其在授权运营体系下发挥更大的作用是当下之问。对此,分级授权提供了一种新思路:各地数据持有机关按照分级标准,将公共数据差异分配给不同准入级别的授权运营单位以使授权运营单位可以持有全国范围内相对数量的公共数据,从而在国家建立全国公共数据开放平台之前实现构建统一公共数据交易市场的过渡。这种方式通过不同级别对应不同准入条件的授权运营单位提高了安全性的同时,使得一些具备基础数据安全保障能力的授权运营单位也可以参与到公共数据市场化运作之中。
从数据需求方角度看,数据使用、开发需要以明确权利界限为指引。综合授权模式下,需求方的使用权利交由授权运营平台和数据需求方协商决定。很多情况下,数据需求方对某种公共数据的需求具有不可替代性,这导致授权运营平台在权利协商中享有更大的话语权。公共数据分级标准只约束了持有机关的数据开放行为限度,而分级授权的缺失使得这种标准难以约束到之后的数据使用过程,这可能导致授权运营平台凭借自己较大的话语权以限制需求方使用权利的方式不当提高授权费用,有损数据交易市场自由。另一方面,通过分级授权,相似价值的数据可以集约化呈现于数据平台,形成不同类型的“公共数据池”。通过“数据池”实施授权运营有效缩短了需求方数据检索和审批流程,降低数据使用成本。
公共数据授权运营是一种数据持有机关将公共数据之上权利让渡于授权运营平台予以市场化运作的行为,而在这一行为过程中,公共数据作为直接指向的客体固然重要,但更重要的是应对数据之上的各种权利进行分析,才有助于规范将公共数据这一公共财产投入市场化运作行为的合理性。分级授权标准之所以与现阶段授权运营过程中所采取的数据开放分级标准不同,也正是因为其不仅衡量了以公共数据为客体的数据安全和数据利益之价值,更考虑了公共财产属性下不同数据权利之差异和具体表现。
公共数据分级授权的基础在于财产法上所有权人可以对财产类型化权利的自由许可,即所有权人可以决定授予权利人何种权利,但又因公共数据的公有性,数据持有机关这一公主体对公共数据权利的转让同时应受到控权之约束,故应当以相对明确的标准划定权利的许可范围和条件,此为对公共数据分级授权之权力基础的概述。
具体来看,构建分级授权标准,首先应当明晰公共数据的公共财产属性,这是因为公共财产的属性是数据持有方应限制性地授予公共数据权利的基础。公共财产与国家所有权不同,前者为财产法上数据权利处分的权利基础,而后者则强调公共数据的宪法属性,一定程度上公共数据的公共财产属性是国家履行所有权管理权能的具体表现[16,18]。采用公共财产这一权利处分的视角来看待公共数据的授权运营行为,是因为相较于国家所有权,这种视角既讨论到了公共数据自身所体现的公共属性,也体现了数据持有机关在将公共数据授权过程中公共管理职能市场化的角色。公共财产并不是严格意义上的法律概念,与之相似的是法国行政法上的“公产”理论。无论是将公共财产视为私人财产依法为国家所持有的,抑或是政府基于公权力而汲取的,其强调的都是公权力机关以公共属性所获得并持有的、具有价值或利益之外在表现的一类财产统称。我国《宪法》第12条第1款规定:“社会主义的公共财产神圣不可侵犯”,这里的“公共财产”是相对于“私有财产”而形成的所有制概念,非此处强调公权力机关持有的具有财产价值的客体之概念。公共财产的来源既可以是公权力机关经事实或法律关系依法获取的私人财产,也可以是公权力机关在行使公权力行为中自身收获的具有经济价值的财产。之所以认为公共数据为公共财产,不仅因为公共数据具有贴切公共财产的“公有性”,主要表现为《数据二十条》所认定的公共数据产生于各级党政机关、企事业单位依法履职或提供公共服务过程中。还因为一方面实践中通过市场化运作,公共数据已具备经济价值或利益之财产属性;另一方面公共数据这一财产来源也主要是通过依法对行政相对人数据的收集和公共活动中对公共数据的收集而实现。因此无论从公共数据的公有性、经济属性及财产来源上看,其可以被视为一种公共财产。
公权力机关基于此类公共财产形成的是公共财产权,公共财产一定程度上属于对私人财产的集体掌握,因而行使公共财产权理应是一种需要受到控制的权力。更何况公共数据中除个人数据外还包含了国家安全这样更为广泛的公共利益,因而当数据授权机关以将公共数据视为公共财产的方式行使授权运营行为时,更需要充分而精准的规范,保护公共数据之上集中表现为数据安全的公共利益。但同时相较于民法上私人财产所有权的消极保护,公共财产权更多地体现在公权力机关积极的处分行为当中,因此具备公共财产处分行为特征的公共数据授权运营活动,应通过合理规划和安排公共财产的用益和处分,以期实现公共财产经济效益的最大化,增进社会福祉。有学者担心过分强调公共数据的财产属性可能会引发公共数据过度商业化运营进而侵蚀公共利益[8],对此,通过分级授权以公共数据安全与数据价值标准的划分可以对上述问题的解决提出新思路。综上,可以看出,要合理规范公共数据授权运营行为,仅从保护数据安全角度出发是不全面的,不考虑公共财产权应以何种限度行使的分级授权,只是对不同种类的公共数据的简单划分,不利于公共数据公益性和经济效益性的平衡。要解决这一问题,就需要引入对公共数据之上权利的拆解,并以构建分级标准对不同权利行使的限度进行合理颗粒度的界定。
以权利为客体是划定公共数据分级授权行为限度的基础。跳出公共数据的讨论限度,纵览数据要素的权利集合和分类,对进一步分析、拆解公共数据之权利大有裨益。数据权谱系中,既有以数据管理权、数据控制权组成的所有权集合(数据主权),也有以数据人格权、数据财产权组成的数据权利(狭义的数据权)。而在这复杂的数据权谱系下,数据需求方能被授予的权利主要是指公共数据要素(数据、数据产品、数据接口等)在市场交易、利用过程中体现的各类财产性权利。以民法视角观之,公共数据财产权利与数据用益权在权利内涵上相类似,具体表现为数据在市场交易、使用过程中的开发、许可、转让等权利。广泛视角下研究数据权利,难以避免地需要对不同类型数据分类讨论,但基于公共数据授权运营这一数据市场化行为的讨论前提,只需要分析数据财产权利即可为授权运营中的分级授权行为限度提供理论支撑。
数据以利用为主,数据价值只有在市场使用中才能发挥经济效用。数据权利研究是伴随大数据、大模型时代,数据财产价值不断被挖掘而兴起的。数据权利具有浓郁财产属性,因而,在公共数据权利研究中聚焦数据的使用价值和交换价值,是公共数据作为新型公共财产的应有之义[13]。之所以参考私法数据用益权之概念分析公共数据财产权利,正是考虑到所有数据本身所体现的极强的目的性和实用色彩。但数据用益权的研究范围仅聚焦于数据客体之上,难以有效概括数据要素中的数据产品、数据接口等具有更大经济价值的数据类型,故公共数据财产权利需要在数据用益权基础上进行适当扩展。
回归公共数据授权运营分级授权的权利限度基础之上,为了将私法视角下的数据用益权融入公共数据授权运营活动之中,同时充分体现公共数据作为公共财产的使用和流动性,可以借用抽象化的公共数据使用和流动过程对公共数据之上产生的具体权利内容加以分析。只有结合具体使用场景和使用方式的数据分级制度的构建,才有利于数据使用和流转,同时只有结合具体使用行为的权利分析才有利于分级授权制度中权利限度的讨论。仅在理论上探讨公共服务机关对公共数据的权利是一种公法保护主义的体现,如果任何公共数据都不在市场主体之间的流转,就没有产生法律问题的可能,更不需要讨论公共数据授权运营的权利配置问题。即使明确赋予公共数据持有机关数据持有权,其目的也在于促进公共数据持有机关深度参与数据要素市场,合法分配公共数据使用权,推进公共数据共享和开放利用[6]。因而研究公共数据分级授权之权利应将视角对准授权运营平台、数据需求方等市场主体之间产生的数据流转行为。公共数据由数据持有机关授权给运营平台对数据进行加工处理之后,会形成以公共数据集、公共数据API接口等形式的“预制数据产品”供给需求方进一步使用。公共数据需求方基于策略对公共数据进行不同程度的开发和利用,实际上就是使用公共数据权利的过程。公共数据持有机关应明确不同等级公共数据可利用权利的最大限度,这种对公共数据流转过程中权利配置的决定权应直接作用在公共数据授权运营阶段,这就构成了分级授权制度中权利限度的基础。
在数据用益权基础上辅以公共数据的利用阶段加以分析,可以将公共数据权利拆解为以下几类不同程度的权利。
(1)公共数据直接使用权
直接使用是指数据需求方对授权运营平台加工、处理后的公共数据集、公共数据API接口直接利用于应用服务或其他公共服务之中,不得再对数据集、API接口等数据要素进行开发的行为。基于此行为产生的直接使用权利是公共数据授权运营中最基础的权利。直接使用不代表数据需求方可以获得原始公共数据或可以通过技术手段获得原始数据信息,其应当在公共数据授权运营平台开发的基础上对公共数据加以商业化或公共服务使用。以上述使用流程举例,主要表现为数据解析、大模型训练和提供应用核心服务的活动。数据解析是指通过技术对公共数据加以统计并形成对应报告,但不直接体现公共数据原始信息;大模型训练即公共数据可以作为模型训练的数据来源“投喂”于机器化学习、预测当中,例如:华为盘古大模型通过机器学习湿度、气压、位置等公共气象数据信息,从而实现精妙级预测气象活动,为农林牧渔提供精准预报。提供应用核心服务是指将公共数据作用于产品某一模块核心服务之中,例如:地图应用中集成的停车指引功能就是基于开放停车场、全时段停车量等公共数据而提供的核心服务之一。可见,直接使用一定程度上维持了公共数据的封闭性,安全系数相对较高。
图1 公共数据使用流转的应用场景示意图
(2)公共数据应用开发权
用益权体系下,数据开发权体现在利用技术和应用提高数据经济效益的活动当中,是一种为数据增值的权利。公共数据授权运营全流程都是行使数据开发权的行为,因而参照公共数据使用流程,在公共数据直接使用权之下为公共数据应用的开发权。区别于公共数据授权运营平台的一次开发处理,此处所提及的应用开发权是针对授权运营平台的“预制数据产品”进行二次开发的权利。与直接使用权不同,公共数据二次开发的产品或服务是全部依赖公共数据而开展,开发行为直接作用于公共数据之上,这一行为对公共数据使用有较强的持续性,其可以获得某项或某类公共数据的持续授权或可以对外通过技术手段为数据开发者之外的第三人提供一定量、安全的公共数据信息,故行使公共数据应用开发权更易侵害公共数据安全,但随之其对于公共数据经济效益的增值作用也更为突出。例如:余杭农村商业银行就通过企业工商信息、信用记录、税收与市场监管记录等公共数据开发了“全域小微科创企业智能授信系统”,其基于以上数据进行二次开发,使银行在办理企业授信业务时可以充分、全面获知企业的信用数据。这一应用体现了公共数据应用开发权对公共数据持续依赖的特定,而对银行职工、授信企业而言,其存在直接接触部分公共数据信息的可能,或者说部分公共数据有直接暴露的风险。同时,数据需求方行使产品开发权,完全基于公共数据开发数据产品,还会因该公共数据处理行为产生新的数据财产权,其他市场主体行使此类数据财产权的行为可不受公共数据财产权限制[19],因此应该对此类权利加以更高的安全性约束。
(3)公共数据应用可转让权
企业对自身采集或处理的数据享有转让、许可权是行使数据财产权的体现[14]。对于公共数据而言,其作为公共财产除数据持有机关和经过法定授权的授权运营平台外,一般不得由数据使用方进行转让或再许可。但是,随着公共数据市场蓬勃发展,专业化的数据开发主体或有机会成为市场主体之一,此类主体专业化程度高,属于深度参与公共数据市场的一员,故应当在一定限度内允许此类专业化数据开发主体将开发的公共数据应用转让给第三方或流转至授权运营平台公开交易的权利。但此类权利的行使应当明确转让的条件、转让程序,在分级授权体系下属于需要明确标注允许的权利限度。
以上是结合公共数据安全性与利用程度提出的三个层级的数据使用权利。在域外公共数据开放协议中还有署名、相同许可共享、商业利用等数据权利,这些数据权利是将公共数据视为知识产权推演而来的,但知识产权这一属性没能涵盖对公共数据公共性和财产性的分析,因而在此不将其纳入界定权利限度的范围。最终,以三层权益为主干的公共数据分级授权的权利限度框架基本形成,在权利框架内数据授权机关可以详细约定或规定不同级别公共数据所对应的最大开发行为。
公共数据的来源主要是公共服务机关在履行公务活动中对个人、商业信息以及国家自然、地理信息的收集和整理。这分别对应了数据安全中个人信息保护、商业秘密和国家安全三个维度的安全性指标。强公共属性使保护数据安全成为公共数据开发利用的焦点问题。目前,依赖不同数据所包含的信息敏感程度,各地实践大都采用三层级的方式划分公共数据安全等级。但这三层级标准就公共数据本身而言,裁量空间较大,更多是为了激励以提供服务为导向的公共数据开放的需要。虽然公共数据运营和公共数据开放在数据要素流动上的目的具有相似性,但公共数据授权运营通过引入授权运营平台,使得这种数据要素流动的目标由公共活动转向商业活动,强化了公共数据财产性特征,因此在公共数据分级授权中讨论分级标准必须引入商业价值维度辅以参考。由此,以公共数据安全和公共数据价值二维度形成了划分公共数据分级授权标准的二象限。
公共数据安全等级以实践中适用较为普遍的L1~L4标准表示安全等级由低到高,主要考察因素包括:数据对象、影响程度、影响规模、影响可控性等。从影响对象来看,基本规则为:公共利益如影响国家安全、社会安全的数据保护程度大于个人信息和其他机构信息的安全保护。从数据共享规则来看,L1-L2/L3-L4三层级分别对应了无条件共享、有条件共享、严格条件共享或不予共享的策略。对此,有学者指出只有一些高风险数据才可以适用公共数据授权运营,其他等级数据应当维持公共性即通过公共数据开放的方式予以共享[12]。但事实上公共数据开放与公共数据授权运营并非对立的数据共享策略,对于风险较低的数据如果其仍具有经济价值可以同时采取数据开放和数据授权运营两种模式,由市场主体自主选择是自主开发还是使用授权运营平台的“预制数据”。因而为了避免这种安全唯一标准带来授权运营利用深度不足的问题,就应当引入经济价值这一维度的判断标准。
公共数据经济价值是单纯从成本、收益以及交付质量角度衡量数据经济价值大小的指标,其反映了公共数据本身财产属性的高低。因目前尚无明确计算公共数据经济价值的方法,为了避免对公共数据授权运营制度的开展造成不必要的困扰,经济价值的衡量不宜划分过细,否则不仅可能降低授权运营开展的效率,也可能使授权机关产生“唯价值论”的观念。在数据分级授权中,经济价值能够区分数据开放并为数据分级授权标准提供参照即可,不作为数据定价的依据,因而也无需将其等级划分过于复杂,所以此处采用了颗粒度相对较粗的二级标准区别不同数据经济价值,分别表示为V1(价值较弱)、V2(价值较强)。大体上,一个公共数据的经济价值主要表现在:数据可用度、数据成本(机器成本、人工成本)和商业价值(预期使用度、数据唯一性)。为了便于计算,体现公共数据经济价值的三个要素均简化为指标分数,只要在一定程度上对应得分区间即可,数据成本和商业价值是衡量公共数据价值的关键,二者得分相加即可得出数据价值的大体分数,同时为了避免冗余和不可用数据的干扰,价值得分与数据可用度指数的乘积即为公共数据经济价值所处区间的依据,对此可以将上述因素量化以衡量经济价值指数:
V=(数据成本+商业价值)*数据可用度指数
公共数据经济价值的最高指标分为1,以此为基准划分两段经济价值衡量指标。当V≥0.5时,可以认为该公共数据已具有较强的经济价值;反之,则认为公共数据经济价值相对较弱。而引入公共数据的经济价值维度,可以评估分级授权行为的合理性。具体而言,经济价值相对较高的数据,应当更多地采取主动授权的方式予以市场化运作,并且给予相对充分产品开发权供市场主体开发;而经济价值相对较低的数据,则应当以市场需求为导向,对于市场有需求的数据由授权运营单位提交需求清单审核后进行授权开发。
综上,分级授权标准是以公共数据安全等级和经济价值为框架,以权利限度为内容而构建起来的授权机关公共数据权利分配的指引。数据要素分级授权的思路是从数据的具体适用场景出发,对其内容和程度进行标准化分级。基于此,为了实现不同场景下数据产权的协商,按照数据使用权利是否完整,有学者提出了5L数据要素分级体系:无授权、最小必要授权、内部授权、再交易授权及完全授权。5L数据要素分级体系通过不同级别的授权确定了数据使用方对数据产权的控制力[9]。对公共数据授权运营而言,这种“产权控制”被具象为“公共财产的有限利用”,因而参照5L数据要素分级体系并结合公共数据特性加以界定,可以提出构建公共数据分级授权标准的一种思路。以此理论为参照,在数据安全和数据价值为划定依据的情况下,可以将上述不同层级的公共数据使用权利嵌入其中,对应转让权、开发权和直接使用权形成按可分配权利大小划分的分级授权标准——完全授权、可转让授权、开发授权和直接使用授权。针对风险等级较低但具有一定经济价值的公共数据,持有机关可以将公共数据使用权配置的权力委托公共数据授权运营单位行使,由其根据数据需求方使用方式和需求决定公共数据可被处理、开发和使用的权利,即此种分级授权标准限度为完整的公共数据使用权利。而针对数据开放安全等级位于L2的公共数据,这种公共数据的负面影响具有一定的可控性,故持有机关可以在可转让权利限度内赋予数据需求方转让、开发和直接使用公共数据产品的权利,相较于完全授权,可转让授权标准非完全委托授权运营平台行使权利配置,数据持有机关应保留一定的审查权。而对于数据开放安全等级处于L3、L4,且经济价值较强的数据,持有机关可以依据数据安全等级采取开发授权、直接使用授权标准分配公共数据使用权,突出公共数据只能在数据平台之上按照“数据不出域”的方式进行开发或直接使用。而在开发授权和直接使用授权标准下,授权机关可以在授权给运营平台时保留批准的权利,针对数据需求方的申请持有机关可以依职权或听取授权运营平台意见选择具体授予的权利限度。除此之外,对于数据开放安全等级低、经济价值低的公共数据,应选择数据开放途径予以直接公开,不应投入数据市场。同时,针对风险等级较高,经济价值较弱的数据,持有机关应当限制授权转让,采取由数据需求方提交申请的方式“一事一议”审查并决定是否授权以及具体使用权利。上述以使用权为视角的数据分级授权标准,是基于“授权运营”这一使用权分配制度,合理结合保护数据安全,实现数据价值,促进数据流通目的而提出的,是一种相对原则性和引导性的规定,避免数据持有机关在授权时对数据使用权利的无限让渡,同时也避免了过度保护数据安全贬损公共数据财产价值。美国在数据安全实践中曾提出“合理性标准(reasonableness)”以界定安全保护应当处于合理限度之内。而通过将安全标准结合数据价值标准,并重新回到数据使用的具体场景中探讨公共数据使用的权利限度,是达成以数据保护为目的合理性标准的途径。
在明晰分级授权标准和对应的权利限度之上,可以将上述讨论嵌入公共数据授权运营的全过程,以确定分级授权在授权运营制度中的具体适用逻辑。
4.2.1 规定不同分级的准入条件
将公共数据授权行为视为协议行为而非行政许可,是因为公共数据财产权非具有完全的排他权。公共数据授权行为不会对公共数据本身价值造成贬损,同时公共数据的非实体性也允许同一时间多个主体同时处理。因而对于同种数据来说,不同授权运营平台可以根据数据需求或市场动向进行不同方式的处理,这是交给市场端自由决定的权利。在准入阶段,持有机关通常以审查授权运营平台数据安全等级的方式决定是否予以授权,但这一准入门槛难以兼顾到不同规模的授权运营平台。准入门槛高,具备基础安全保障的专业化机构就难以参与公共数据授权运营市场,导致市场化程度降低,只能有个别政府投资设立的公司以政策要求为目的参与市场运营,不利于满足公共数据要素流动的要求;准入标准低,则不利于数据安全保护。故在分级授权标准的基础上,数据授权运营也可以针对不同等级的权利限度设定不同高度的准入标准。对于限制授权、开发授权和直接使用授权的公共数据,数据使用活动只能在数据授权运营平台之上开展,不能通过产品、接口或其他形式出域处理,故对授权运营平台本身的安全等级要求较高,准入更为严格。而针对完全授权和可转让授权的数据,数据处理的安全性需要相对较弱,部分领域的专业数据还可以允许数据需求方做二次开发和转让,故此类数据可以授权给专业化程度高但安全等级适中的授权运营机构予以处理,使相同类型的资源集中于专业化平台。例如:多地公共数据授权运营办法要求授权运营平台网络安全保护等级至少为三级以上(对标银行官网),但对于完全授权或者可转让授权的数据运营平台可将准入标准降为使用更加广泛的二级安全保护(对标地方政务服务网站),这也有助于解决目前公共授权运营只有政府背景的企业参与,从而形成数据垄断的困境。
4.2.2 明确授权运营协议的权利范围
授权运营协议是持有机关和授权运营平台权利授予的载体,分级授权运营协议决定了授权运营平台可以对外授予的公共数据权利。数据持有机关实施分级授权时应对授权公共数据的权利和等级有初步评估,以对应不同等级分级授权运营协议的基本内容。而在与授权运营平台协商过程中,数据运营平台可以针对数据持有机关的评估以提供相似类型数据使用量或其他机关评级资料形式主张扩大或缩小对外可以授予的权利种类,数据持有机关经协商认为应当修改等级和权利限度的可以在对应等级分级授权协议的基本内容的权利限度模块进行适当调整,同时列明可以行使的权利类型,以明确授权运营平台对外可授权的权利类型。如采用完全授权的公共数据虽然其权利限度包括完整的数据使用权,但不代表授权运营平台对外授权时可以把所有的权利统统打包给数据需求方,而是应当根据数据需求方的使用目的,在授权运营协议中明确具体的权利范围。对于要求更高的可转让、开发和直接使用授权应当将分级授权运营协议列明的权利类型公布于平台之上,便于数据需求方清楚获知该数据经分级后可以行使的具体权利,进而在使用过程中以公布的权利为限度加以使用。有学者按照我国目前“无条件开放” “有条件开放”的类型设计了两种约定权利和豁免不同的协议模式。参照此种设计,在通用授权运营协议其他模块保持基本不变的情况下,在具备更加细化的分级授权标准后,可以根据不同等级数据设计对应的数据权利模块,为分级授权协议的权利范围提供范本参考,避免数据持有机关订立授权协议时权利分配不加控制或过于随意。
4.2.3 分层级实施授权运营监管
公共数据持有机关通过数据授权的同时也将一定监管责任置于授权运营平台之上,但这并不代表数据持有机关可以不参与授权运营平台对外的监管活动。从监管过程来看,事前监管主要涉及数据持有机关对运营平台授权行为的审核,在具体实践中,这种事前监管主要作用于对运营平台与数据需求方订立的授权协议之上,依监管参与度不同分别为备案和审查批准两种行为。备案主要针对完全授权的数据,根据授权运营平台提供的资料形式上审查权利限度及安全标准是否合理即可;审查批准则针对更高安全等级的公共数据,需要实质上审查包括数据需求方的使用目的、安全等级和人员配置等内容,进而做出具有最终批准权的审查决定;在事中监管上,数据持有机关囿于技术限制和业务范围,只能对数据授权运营机关对外授权的过程加以监管,而无法完全触及数据需求方的数据使用环节。因此对于需要严监管的公共数据,可以在分级授权阶段就约定加强授权运营平台的监管责任和注意义务,同时数据持有机关内部也可以就不同层级的数据设定不同层级的分级授权责任,如直接使用授权的公数据需要持续性监管的,可以由持有机关的上级部门或同级数据专业化机构实施事中过程性监管;事后监管主要表现为数据授权情况的定期抽查监督以及触发风险预警后,公共数据授权使用的监管。这种事后监管为保障公共数据安全的最后一道防线,因而无论对于何种等级的数据,数据持有机关都应负完全的事后监管责任,只是对于限制授权、直接使用授权的数据,数据持有机关应做好更加积极和及时的预警方案加以应对。
4.2.4 加强数据评价与反馈机制
无论是数据安全还是数据价值,这都包含了外部相对人和市场层面对公共数据是否安全、是否应当以此方式授权等问题的审视结果,因而对于单独的公共数据持有机关而言,要求其在授权时就应作出完全符合市场预期的分级授权行为是对持有机关的过度苛责。公共数据要素的流动离不开持有机关主观能动性的发挥,因而应当采取激励优先,限制追责的方式鼓励公共数据机关积极向市场开放数据。公共数据流动的分级标准不能停留于静态式的宣告,而是应当结合公共数据授权使用的具体场景,根据数据持续性评价和反馈体系动态化调整分级思路[17]。在数据分级实践层面,欧盟已经认识到数据静态区分无法有效适应数据流通的多变性,因而欧盟也在不断探索以动态监管方式满足数据保护和发展的具体思路。在分级授权的权利限度框架下,授权时只要按照分级标准仔细评估了公共数据的层级,只要授权权利未超过对应等级的必要限度,就应当认为公共数据持有机关的授权行为具有合法性。这种仔细评估只要是通过复看审查资料、复验公共数据评级流程,满足同级别公共数据持有机关的一般评级要求即可。当然,这并不代表公共数据授权后数据持有机关可以一劳永逸,其还应当在授权后一定周期,结合授权运营平台的评价系统和数据使用率,适时调整公共数据的等级并根据等级扩大或缩小准予授权运营平台对外授权的具体权利,同时持有机关还可以在数据授权过程中合法履行其在行政协议行为中具有的优益权,当遇到同类型信息泄露风险预警或者根据政策需要调整数据安全等级的,也应当重新调整授权运营平台对外开放的公共数据的等级和权利限度,满足公共数据分级授权正反向流动的需要。对于调整后的公共数据等级,应当由授权运营平台结合数据需求方具体使用情况判断是否重新签订授权协议或收回使用权,而持有机关应对调整后的协议予以备案或审查。
公共数据授权运营是突破公共数据要素流动困境的钥匙,虽尚处于起步阶段,但反思实践中已经存在的如数据运营平台被垄断、公共数据授权标准过于笼统、公共数据持有机关监管乏力等问题,需要引入数据市场化的思维对目前授权运营实践和规则加以改善,才能使其向促进公共数据市场化的目的不断迈进。公共数据分类分级不仅是公共数据开放的要求,也是开展授权运营活动的要求,因而在以政策为导向的前提下,这种市场化思维可以借分级授权制度的构建弥补综合授权在行为实施、行为监管、行为目的方面的不足。
分级授权的理论基础建立在公共数据作为公共财产的属性之上,即数据持有机关作为财产持有机关既要达成维护财产公共性的目的,同时也要满足财产的经济价值追求以及增进社会福祉。同样,作为公共财产的持有机关,其可以在法定权利限度内对外授予财产使用权以履行法定职责,实现财产之目的,而这种法定权利限度就是“分级”的具体表现。明确了公共数据财产属性,在市场化思维下,以公共数据的市场使用和开发过程为参考,拆解除了权利限度内可能包含的三个层级的权利类型分别是:数据的直接使用权、数据的开发权以及数据的转让权,同时还包括署名权、相同共享权等其他权利,构成了权利限度的框架,而这一框架圈定了分级授权对于不同等级数据授予权利的范围,也为数据持有机关实施分级授权提供了指引。
在划定权利范围的基础之上,最为核心的问题就是分级授权应当参考的分级标准。在此之前公共数据开放的分类分级多以数据安全为考量,契合数据开放行为的公益性但不完全适用于授权运营这一部分市场运营手段,以市场化思维为指引,在安全标准之外引入数据经济价值,进而形成公共数据分级授权标准的二维坐标系。以坐标系为参考加入权利限度构成了数据持有机关实施分级授权时应予以参照的标准。从分级授权标准为出发点,在分级授权的具体适用中可以按照授予权利范围的等级划定不同的准入条件;以分级授权标准为参照,明确分级授权协议约定的具体权利范围;对不同层级的数据授权行为实施有差异的授权运营监管行为;加强数据评价和反馈体系,以市场反应为导向动态调整数据分级策略,进而实现分级授权在公共数据授权运营过程中的全过程适用。