专业文章

公共数据运营合规的要点

2024-03-08

《数据二十条》提出建立数据资源持有权、数据加工使用权、数据产品经营权等权能分置的数据运行机制,推进实施公共数据确权授权。在这一政策的指引下,我国一些省市建立了地方性的公共数据运营主体,承担平台建设运营、数据加工处理、数据产品提供等各项工作。


尽管“公共数据”商业潜力巨大,但由于既有法律对隐私权、个人信息、商业秘密、国家安全等利益的保护,公共数据运营主体面临较大的合规压力。


本文总结其中的几个要点,供读者参考。


一、关于公共数据的基础知识


1.何为公共数据?


综合已出台公共数据管理办法的地方性法规和规章,“公共数据”可被概括为:国家机关、事业单位等提供公共服务的组织在履行职责过程中收集和产生的数据。


公共数据的收集主体:

• 国家机关

• 事业单位

• 具有管理公共事务职能的组织

• 水、电、气、公共交通等提供公共服务的组织


公共数据的特征:

• 由国家机关直接收集

• 数据准确性高

• 具有公共使用价值


2.使用公共数据的合法性基础


• 政策基础:我国“十四五”规划中指出,要建立健全国家公共数据资源体系,推进数据跨部门、跨层级、跨地区汇聚融合和深度利用。规划还要求“开展政府数据授权运营试点,鼓励第三方深化对公共数据的挖掘利用。”

• 地方性法规:例如《上海数据条例》、《江苏省公共数据管理办法》等。这些法规对公共数据的授权运营单位、工作流程、公共数据的流转模式等内容进行了规定。


3.常见的公共数据产品


• 普惠金融:中小微企业、个体工商户的普惠金融数据

• 反电诈反洗钱:基于个人数据的反电信诈骗反洗钱数据集

• 保险风控:基于医保数据的智能医保核验数据

• 商业决策:市政交通数据、气象数据、工业数据、企业行政处罚数据、企业运营情况数据等


二、公共数据运营的合规要点


1.明确数据授权链条


在设计公共数据产品之前,必须先明确数据权属关系。这也是公共数据运营合规的第一步。公共数据运营公司需要聘请数据合规专家,完成如下工作:


• 梳理公共数据的权属关系:确认谁是数据授权方

• 检查数据确权法律文件,确认公共数据具有明确的来源

• 审查数据流转的法律文件是否与事实流转方式一致,是否具有明晰、合法的链条

• 起草对外的隐私权政策、用户条款和配套协议,确保他们与实际的数据流转和利用方式相一致


2.完善公共数据授权协议


在公共数据形成产品的过程中,数据律师可以协助公共数据运营公司审阅数据授权协议或软件技术服务协议。审阅的要点包括:


• 被授权公共数据的内容

• 数据流转模式

• 公共数据的使用期限

• 是否允许转授权第三方使用

• 与数据提供者、数据分析者等上下游机构之间的收益分配模式


3.符合行业监管规范


公共数据的种类繁多,在不同使用场景下,还可能不断衍生出新的公共数据产品。因此,除了符合《个人信息保护法》、《数据安全法》等全国人大制订的法律外,还需要注重对行业法规的遵守。例如,银行、金融或其它行业的法规或强制性标准。


4.建立配套的数据合规体系


除了对具体的公共数据产品进行合规审计外,公共数据运营公司还应当投入资源,建立整体数据合规体系,包括:


• 设计企业的数据合规组织体系和相应的预算安排

• 建立企业内的数据管理政策,如数据存储政策、数据分类分级政策、员工接触数据的政策等

• 明确公共数据的信息安全、网络安全方案

• 建立企业内部的数据合规流程,例如“同意”的获取和保存、个人信息去标识、跨境数据评估、隐私影响评估、工业数据分享的合法性评估等工作的流程

• 设计并实施员工的数据合规培训方案



综上,对公共数据进行合理利用既是顶层设计,也是市场需要。如何利用公共数据才能既发挥其价值、又不损害相关主体的利益,是一个需要细致工作、投入足够资源的课题。本文总结的数据合规要点可以作为公共数据运营企业建立合规体系的起点。进一步的工作,可以联系我们,根据不同单位、不同种类的公共数据产品作出针对性的规划。