完善公共数据授权运营制度 保障个人信息安全
数据是数字经济的核心要素,被称为数字时代的“石油”。随着社会治理的数字化程度不断深入,公共数据体量不断增长,国家机关,法律、法规授权的具有管理公共事务职能的事业单位和社会组织,以及医疗、教育、供水、供电、供热、公共交通、文化旅游等公共事业运营单位,采集和产生的各类数据资源蔚为大观。整合、盘活公共数据资源,有助于提升管理效能、释放公共数据的要素价值。
授权运营即为重要的公共数据社会化开发机制。公共数据授权运营是指特定层级的政府按照程序依法授权法人或者非法人组织,对经授权的公共数据进行加工和开发,以形成数据产品和服务并向社会开放。中共中央、国务院发布的关于构建更加完善的要素市场化配置体制机制的意见和关于构建数据基础制度更好发挥数据要素作用的意见(即“数据二十条”),为公共数据授权运营提供了依据。目前,北京、上海等20多个省区市已出台规范性文件,积极开展公共数据授权运营相关工作。
公共数据涉及个人信息、个人隐私等个人权益。公共数据的授权运营应在保障公民个人信息权利和公共信息安全的前提下开展,追求效能与安全的双赢。充分的制度准备可以消弭对公共数据授权运营的顾虑,调动数据供给层的积极性,同时获得更广泛的公众支持,其中下述制度环节的完善尤为关键。
合理界定授权运营的公共数据范围。应对公共数据进行适当分类,以最具有赋能效果同时也更具有安全保障的数据作为授权运营的先行试点,在此基础上逐步扩大范围。亦可将数据进行类型设定,如北京将数据分为领域类、区域类和综合基础类,便于归口管理、分类施策;也可参考广东的做法,对公共数据进行安全性分级,针对不同安全等级类型实施不同的安全标准,编制数据目录,突出重点和优先发展的数据领域。
在信息安全方面,可以将教育数据、卫生数据、金融数据等高度关联个人信息的数据类型设置为较高的风险管理级别。在这些公共数据进入授权运营环节之前,必须进行脱敏、匿名化处理和加密处理,并对其授权范围和运营设置特定限制,坚持更为严格的“数据可用不可见”、“数据可算不可识”原则。对于法律法规明确禁止开放的,承载个人信息、影响公共安全的,以及无法实现匿名化和脱敏处理、达不到安全处理标准的公共数据,应禁止进入授权运营范围。
把好授权环节入口关,规范授权运营流程。一方面,应进一步明确授权主体,对行政管理过程中产生的公共管理数据,应明确由特定层级的数据管理部门统一授权。而对于公共服务机构,如医疗、教育等事业单位、国有企业和公共服务机构产生的公共服务数据,应在通过数据管理部门的安全审查并备案后授权运营。另一方面,应明确授权运营单位的资质要求。合格的授权运营单位应具备充分的技术条件和人力资源条件,有效保障公共信息和个人信息安全,保证“数据不可见”运营。在对授权运营单位的资格审查中,应建立个人信息安全保护的黑名单否决机制,将具有泄露和不当利用个人信息记录的单位排除在外。通过授权运营合同设定严格的个人信息保护义务和责任。目前的公共数据运营授权对象多是本地数据企业,缺乏充分的市场竞争机制。应着力细化授权运营的流程规范,加强合规监控。确保数据来源可溯、去向可查、行为留痕、责任可究。数据授权运营的出口是各种数据产品,如数据分析报告、指数报告等,不得向第三方提供原始数据,不得进行原始数据交易。
建立预防、预警和应急处理机制。公共数据授权涉及体量巨大、关涉公众利益的相关信息和数据。这些数据经由各种技术还原和互联,可能生成具有识别性的个人信息。有效的风险预防、预警机制和公共数据、个人信息安全事件应急处置机制尤为必须。各级政府应高度重视,建立由数据管理部门、网信、公安、国家安全等部门相关人员组成的,具有技术专家支持的预警和应急处理机制。各监管部门形成合力,充分发挥政府首席数据官和数据专员的作用,通过数据运营年度报告、数据风险评估等手段进行监督。鼓励授权运营单位从收益中提取风险基金,用于完善风险防控技术与制度、处置应急事件。
笔者以为,只有将个人信息保护的安全考量建立在扎实有效的制度保障基础上,技术、市场和公共管理才能有效联动,才能实现公共数据安全、合规、高效开发利用,满足数据要素产业持续健康发展的需求。
(作者:李晓辉,系中国政法大学比较法学研究院教授)
(编辑:户静凝)