數據是數字經濟的核心要素,被稱為數字時代的“石油”。隨著社會治理的數字化程度不斷深入,公共數據體量不斷增長,國傢機關,法律、法規授權的具有管理公共事務職能的事業單位和社會組織,以及醫療、教育、供水、供電、供熱、公共交通、文化旅遊等公共事業運營單位,采集和產生的各類數據資源蔚為大觀。整合、盤活公共數據資源,有助於提升管理效能、釋放公共數據的要素價值。
授權運營即為重要的公共數據社會化開發機制。公共數據授權運營是指特定層級的政府按照程序依法授權法人或者非法人組織,對經授權的公共數據進行加工和開發,以形成數據產品和服務並向社會開放。中共中央、國務院發佈的關於構建更加完善的要素市場化配置體制機制的意見和關於構建數據基礎制度更好發揮數據要素作用的意見(即“數據二十條”),為公共數據授權運營提供了依據。目前,北京、上海等20多個省區市已出臺規范性文件,積極開展公共數據授權運營相關工作。
公共數據涉及個人信息、個人隱私等個人權益。公共數據的授權運營應在保障公民個人信息權利和公共信息安全的前提下開展,追求效能與安全的雙贏。充分的制度準備可以消弭對公共數據授權運營的顧慮,調動數據供給層的積極性,同時獲得更廣泛的公眾支持,其中下述制度環節的完善尤為關鍵。
合理界定授權運營的公共數據范圍。應對公共數據進行適當分類,以最具有賦能效果同時也更具有安全保障的數據作為授權運營的先行試點,在此基礎上逐步擴大范圍。亦可將數據進行類型設定,如北京將數據分為領域類、區域類和綜合基礎類,便於歸口管理、分類施策;也可參考廣東的做法,對公共數據進行安全性分級,針對不同安全等級類型實施不同的安全標準,編制數據目錄,突出重點和優先發展的數據領域。
在信息安全方面,可以將教育數據、衛生數據、金融數據等高度關聯個人信息的數據類型設置為較高的風險管理級別。在這些公共數據進入授權運營環節之前,必須進行脫敏、匿名化處理和加密處理,並對其授權范圍和運營設置特定限制,堅持更為嚴格的“數據可用不可見”、“數據可算不可識”原則。對於法律法規明確禁止開放的,承載個人信息、影響公共安全的,以及無法實現匿名化和脫敏處理、達不到安全處理標準的公共數據,應禁止進入授權運營范圍。
把好授權環節入口關,規范授權運營流程。一方面,應進一步明確授權主體,對行政管理過程中產生的公共管理數據,應明確由特定層級的數據管理部門統一授權。而對於公共服務機構,如醫療、教育等事業單位、國有企業和公共服務機構產生的公共服務數據,應在通過數據管理部門的安全審查並備案後授權運營。另一方面,應明確授權運營單位的資質要求。合格的授權運營單位應具備充分的技術條件和人力資源條件,有效保障公共信息和個人信息安全,保證“數據不可見”運營。在對授權運營單位的資格審查中,應建立個人信息安全保護的黑名單否決機制,將具有泄露和不當利用個人信息記錄的單位排除在外。通過授權運營合同設定嚴格的個人信息保護義務和責任。目前的公共數據運營授權對象多是本地數據企業,缺乏充分的市場競爭機制。應著力細化授權運營的流程規范,加強合規監控。確保數據來源可溯、去向可查、行為留痕、責任可究。數據授權運營的出口是各種數據產品,如數據分析報告、指數報告等,不得向第三方提供原始數據,不得進行原始數據交易。
建立預防、預警和應急處理機制。公共數據授權涉及體量巨大、關涉公眾利益的相關信息和數據。這些數據經由各種技術還原和互聯,可能生成具有識別性的個人信息。有效的風險預防、預警機制和公共數據、個人信息安全事件應急處置機制尤為必須。各級政府應高度重視,建立由數據管理部門、網信、公安、國傢安全等部門相關人員組成的,具有技術專傢支持的預警和應急處理機制。各監管部門形成合力,充分發揮政府首席數據官和數據專員的作用,通過數據運營年度報告、數據風險評估等手段進行監督。鼓勵授權運營單位從收益中提取風險基金,用於完善風險防控技術與制度、處置應急事件。
筆者以為,隻有將個人信息保護的安全考量建立在紮實有效的制度保障基礎上,技術、市場和公共管理才能有效聯動,才能實現公共數據安全、合規、高效開發利用,滿足數據要素產業持續健康發展的需求。
(作者:李曉輝,系中國政法大學比較法學研究院教授)
來源:光明日報