引言
6月3日,国务院公布《政务数据共享条例》(国务院令第809号,以下简称《条例》),将于2025年8月1日起施行。《条例》是数字政府建设的重要法律规定之一,目的是推进政务数据安全有序高效共享利用。2022年,国务院印发《关于加强数字政府建设的指导意见》,提出要充分发挥政务数据共享协调机制作用,提升数据共享统筹协调力度和服务管理水平。
这是国内首次就政务数据共享作出法律规定,且通过行政法规这样较高层级的立法形式,全面规范了政务数据共享活动,同时强调政务数据共享过程中的数据安全、个人信息保护等问题,标志着政务数据共享活动将进入法治化阶段,相关政府部门也需要及时关注和高度重视数据合规相关工作。
01 政务数据的概念
根据《条例》规定,政务数据是指政府部门在依法履行职责过程中收集和产生的各类数据,但不包括属于国家秘密、工作秘密的数据。
政务数据和公共数据是相关联的两个概念,公共数据包含政务数据。《公共数据资源登记管理暂行办法》中明确,公共数据资源是指各级党政机关、企事业单位依法履职或提供公共服务过程中产生的具有利用价值的数据集合。不难发现,政务数据和公共数据的区别在于主体的性质,政务数据的主体是“政府部门”,而“公共数据”的主体是“党政机关、企事业单位”。但是,并非政府部门和党政机关、企事业单位所掌握的所有数据都是政务数据或公共数据。因此,还需要对数据的性质进行限定,即“依法履行职责过程中”或“依法履职或提供公共服务过程中”所产生的数据。
概念明确了数据的性质但没有确定数据的权属。《条例》显然也没有在这个问题上作出相关规定,而是仅对共享行为进行规范。政务数据共享是指政府部门因依法履行职责需要,使用其他政府部门的政务数据或者为其他政府部门提供政务数据的行为。由此可见,《条例》所要解决的问题仅限于比较有限的范围,而不涉及政府、企业、个人等之间的数据活动,且仅限于共享这一场景,而并不涉及收集、加工、公开等其他是数据处理活动。
严格来说,“共享”的概念第一次出现在行政法规之中。根据现有的法律规定,共享可能包括三种情形:共同处理、委托处理和向他人提供(参见《个人信息保护法》第二十条、第二十一条和第二十三条)。《条例》中的“共享”更接近于“向他人提供”的场景——政府部门向其他政府部门提供政务数据。而《个人信息保护法》对提供个人信息的相关活动规定了特定义务,需要在处理时注意并遵守。
02 如何共享政务数据?
《条例》确定了目录管理-共享使用-平台支撑的机制,以实现政务数据共享。
1. 确定政务数据范围——目录管理
《条例》所规定的政务数据的概念较为宽泛,政府部门收集和产生大量的数据,需要经由一定的方式,来确定是否满足“依法履行职责”的要件。政府部门依据职责规定直接采集相关数据,如人口普查数据、企业注册数据等,属于政务数据的范围。政府部门非履职过程中产生的数据则不属于政务数据,例如内部人事管理数据等。但是,实践中存在很多模糊地带,不利于有关政府部门确定相关数据是否属于政务数据。对此,《条例》采取目录管理的方式来确定政务数据的范围。
(1)目录结构
国务院政务数据共享主管部门制定政务数据目录编制标准规范,并组织编制国家政务数据目录。县级以上各级人民政府需要根据标准规范编制本行政区域内的政务数据目录,从而形成“国家级+各行政区域级”政务数据目录。
(2)目录编制
政务数据目录需要包括名称、数据项、提供单位、数据格式、数据更新频率以及共享属性、共享方式、使用条件、数据分类分级等信息。其中,共享属性分为三种,无条件共享、有条件共享和不予共享。《条例》希望尽可能的促进政务数据共享,因此要求政府部门不得通过擅自增设条件等方式阻碍、影响政务数据共享,同时要求政府部门在政务数据目录中对属于不予共享类的政务数据列明理由,明确相应的法律、行政法规以及国务院决定依据。
(3)目录审核与更新
政府部门编制政务数据目录后需要报送同级政务数据共享主管部门审核,审核通过后将统一向政府部门通告。可见,政务数据共享目录并不对社会公开。这也符合政府数据共享的性质,它是在政府部门内部进行数据流转的一种活动。政务数据目录实行动态更新,当法律、行政法规、国务院决定调整或者政府部门职责变化导致政务数据目录需要更新时,政府部门应当在调整、变化发生之日起10个工作日内完成更新(特殊情况下可以延长5个工作日)。这在一定程度也是对数据质量进行管控的措施,防止政务数据目录中的数据不够及时、不够规范。
2. 明确共享使用要求
(1)管理体制
《条例》对政务数据共享的目标是“五跨”——跨层级、跨地域、跨系统、跨部门、跨业务。数据的价值在于流通和使用,只有打破地域、打破体系,深度释放和流转数据,才能取得最大的数据价值。对于政务数据而言,必须尽可能地让每一个政府部门最大化运用数据价值,才能更好地实现数字政府的目标。为了确保“五跨”目标,构建政务数据共享的体制基础,《条例》重点确定了“条”“块”管理体制。从纵向来看,也就是“条”的部分,各级人民政府应当加强政务数据共享工作的组织领导,国务院政务数据共享主管部门和县级以上地方人民政府政务数据共享主管部门统筹推进各自职责范围内的政务数据共享工作;从领域来看,也就是“块”的部分,国务院各部门负责本部门政务数据共享工作,协调指导本行业、本领域政务数据共享工作。
《条例》在确定管理体制的基础上,要求政府部门明确本部门政务数据共享工作机构,也就是说县级以上人民政府或者国务院各部门,需要确定一个机构来负责本部门政务数据共享工作机构。该工作机构负责本部门政务数据共享具体工作,《条例》对其规定了六方面的职责。值得注意的是,其中一项职责是:建立健全本部门政务数据共享中数据安全和个人信息保护制度,组织开展本部门政务数据共享安全性评估。这意味着政务数据共享过程中,数据安全和个人信息保护是非常重要的内容。而该项职责中的“安全性评估”,可以理解为保密风险评估和个人信息保护影响评估。
(2)共享机制
《条例》专门使用一章规定了如何共享使用政务数据,主要包括几个步骤:
①质量控制。《条例》首先要求政府部门建立健全政务数据全过程质量管理体系,以保证政务数据的质量,避免共享过程中因为数据质量不够而导致的偏差等问题,影响政务数据共享的效果。
②确定数源部门。提供政务数据的部门是数源部门,但如果政务数据收集工作涉及多个政府部门,政务数据共享主管部门就需要明确一个部门作为牵头收集部门,也就是数源部门。
③共享申请。政务数据需求部门可以根据职责需要,按照政务数据目录,提出政务数据共享申请。提出申请的,应当经本部门政务数据共享工作机构负责人同意,并明确使用依据、使用场景、使用范围、共享方式、使用时限等。
④答复申请。政务数据提供部门收到申请后,应该根据政务数据的共享属性作出答复:属于无条件共享类的,应当1个工作日内作出答复;属于有条件共享类的,应当10个工作日内作出是否同意共享的答复(特殊情况下可以延长10个工作日)。可以理解为,如果是无条件共享类的政务数据,必须同意共享,而如果是有条件共享的政务数据,则可以根据实际情况决定是否共享。不过,从《条例》的措辞来看,也并不鼓励政务数据提供部门拒绝有条件共享类政务数据的共享申请。
⑤共享方式。政务数据提供部门可以通过服务接口、批量交换、文件下载等方式共享政务数据。
⑥数据回流。《条例》专门规定了上级政府部门向下级政府部门回流业务信息系统收集和产生的下级政府行政区域内的政务数据,这就解决了实践中下级政府部门向上级政府部门报送数据,但限于技术等原因不能使用本行政区域报送数据的问题。
(3)共享平台
《条例》明确了服务接口、批量交换、文件下载等方式共享政务数据,但同时也强调采取信息化的方式推进政务数据共享工作,明确建立全国一体化政务大数据体系,构建国家政务大数据平台,并与国务院有关部门政务数据平台、各地区政务数据平台互联互通,同时要求政府部门已建设的政务数据平台纳入全国一体化政务大数据体系。政府部门也应当通过全国一体化政务大数据体系开展政务数据共享相关工作。通过构建一体化的大数据平台,能够进一步打破政务数据孤岛,促进政务数据的有效利用。例如,《条例》要求,通过共享获取政务数据能够满足履行职责需要的,政府部门不得向公民、法人和其他组织重复收集。国家政务大数据平台的功能可以很好地协助相关政府部门满足这一要求,高效、便捷地通过平台获取数据,而不必反复向公民、法人和其他组织提出数据要求。
03 数据安全保障
自2016年以来,我国陆续出台了《网络安全法》《数据安全法》《个人信息保护法》及相应配套法规,构建完善了网络安全、数据安全、个人信息保护法律体系。今年1月1日起,《网络数据安全管理条例》正式施行,这是作为《网络安全法》《数据安全法》《个人信息保护法》重要配套的行政法规,具体规定了数据安全、个人信息保护的相关要求。值得注意的是,《条例》的立法依据正是《网络安全法》《数据安全法》《个人信息保护法》这三部法律,可以体现出数据安全在政务数据共享中的重要性。
1. 总体要求
《条例》要求,开展政务数据共享,应当遵守法律法规,履行政务数据安全保护义务,不得危害国家安全、公共利益,不得损害公民、法人和其他组织的合法权益。同时,《条例》还要求政府部门应当建立健全政务数据共享安全管理制度,落实政务数据共享安全管理主体责任和政务数据分类分级管理要求,保障政务数据共享安全。《条例》明确,政务数据需求部门在使用依法共享的政务数据过程中发生政务数据篡改、破坏、泄露或者非法利用等情形的,应当承担安全管理责任。根据法律规定,安全管理责任可能是行政处分的责任,也可能涉及《网络安全法》《数据安全法》《个人信息保护法》等法律责任。特别是,根据《个人信息保护法》,违反个人信息保护规定的,可能对主要责任人员和直接责任人员进行罚款等处罚。
2. 数据安全要求
数据安全的核心内容是保证数据的保密性、完整性和有效性。《条例》对此作了三个方面的规定:(1)技术措施。根据《数据安全法》等规定,要求政府部门采取技术措施和其他必要措施,防止政务数据被篡改、破坏、泄露或者非法获取、非法利用。(2)应急响应。数据安全的主要隐患之一是数据安全事件,《数据安全法》《个人信息保护法》等对此都有明确规定,《条例》按照上位法的规定,要求政府部门加强政务数据安全风险监测,妥善处置政务数据安全事件。(3)委托处理。很多政府部门的信息化项目采取外包的方式委托第三方建设,因此第三方可能掌握相关政务数据,从而产生数据安全隐患。《数据安全法》首次对国家机关委托他人建设维护电子政务系统的数据安全问题作出了规定,要求履行严格的批准程序,并监督受托方履行相应的数据安全保护义务,还要求受托方依法依约履行数据安全保护义务。《条例》重申了这一要求,同时还需要注意的是,《网络数据安全管理条例》中明确,网络数据处理者向其他网络数据处理者提供、委托处理个人信息和重要数据的,应当通过合同等与网络数据接收方约定处理目的、方式、范围以及安全保护义务等,并对网络数据接收方履行义务的情况进行监督。该规定同样应该适用于政府部门委托他人建设信息化项目的场景,因此也需要通过数据保护协议等方式约定双方义务及监督手段。
3. 个人信息保护要求
个人信息保护涉及多场景、多维度的保护义务,《个人信息保护法》详细规定了个人信息处理者的保护义务,《网络数据安全管理条例》对相关义务作了进一步细化的规定。《条例》对个人信息保护直接作出了转致规定,要求政府部门及其工作人员在开展涉及个人信息的政务数据共享活动时遵守《个人信息保护法》《网络数据安全管理条例》等法律、行政法规的规定。同时,《条例》还专门要求政府部门受理和及时处理公民、法人和其他组织对政务数据共享过程中侵犯合法权益行为的举报、投诉。这意味着相关政府部门有必要建立个人信息保护投诉、举报机制,或者在现有的投诉、举报机制中增加有关个人信息保护的内容。
04 合规启示
《条例》聚焦政务数据共享问题,既是对政务数据共享活动的规范,也是将实践中政务数据共享的经验做法确定为行政法规。总体而言,《条例》所针对的是政府部门之间对政务数据共享的活动,政府部门是数据合规的主体。规范的共享活动有利于更好地促进政务数据的利用,实现数字中国建设宏伟目标。与此同时,数据安全与数据利用相辅相成,数据共享能够释放数据价值,但是数据共享同样会加大数据安全风险。对此,建议相关部门按照《条例》相关规定,做好相关数据合规工作。
1. 遵守《条例》规定落实政务数据共享要求
《条例》以行政法规的形式对政务数据共享活动进行了规范,全面、具体地明确了政务数据共享的范围、机制和保障措施等内容。事实上,《条例》出台以前,政务数据已经在共享了,相关政府部门已经建立了一些政务数据共享的机制。《条例》出台后,对于已经建立政务数据共享机制的政务部门,建议按照《条例》的要求,梳理现有的政务数据共享机制是否符合规定;对于尚未建立政务数据共享机制的政府部门,则需要按照要求启动共享工作,着手编制本部门的政务数据共享目录。
2. 开展保密风险评估
《条例》明确国家秘密、工作秘密不属于政务数据范围。国家秘密和工作秘密具有一定的范围,但是实践中需要遵循一定的程序和要求予以确定。政务数据具有规模大、覆盖广、类型多的特点,政府履职过程中势必产生相关的国家秘密或工作秘密,而国家秘密和工作秘密关系国家安全和利益,只限一定范围的人员知悉。一旦共享过程中涉及国家秘密和工作秘密,就会导致超范围的人员知悉,从而构成泄密,需要承担相应的法律责任和行政责任。《数据安全法》中明确,开展涉及国家秘密的数据处理活动,适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定。
3. 开展个人信息保护影响评估
政务数据涉及大量个人信息,与个人生活、工作密切相关,且包括敏感个人信息。《个人信息保护法》认为向他人提供个人信息,属于高风险场景,应当事先进行个人信息保护影响评估。《条例》根据《个人信息保护法》的规定,要求政府部门编制政务数据目录时应当开展个人信息保护影响评估。政务数据共享以提供个人信息为主要场景,个人信息保护影响评估工作尤为重要,有利于全面、及时发现个人信息保护风险并采取相应的控制措施。个人信息保护具有高专业性的特点,个人信息保护影响评估也涉及很多专业性内容,同时按照《个人信息保护法》的要求,个人信息保护影响评估报告和处理情况记录应当至少保存三年。因此,建议政府部门高度重视个人信息保护影响评估工作,在保密风险评估的基础上,可以考虑引入第三方专业团队协助开展影响评估,以保证评估工作的有效性,切实防范政务数据共享过程中的个人信息保护风险。
4. 制定数据安全事件应急预案并定期演练
数据安全事件通常涉及数据泄露、滥用等,长期以来都是数据监管中的重点问题,相关法律规定中均涉及数据安全事件应对的规定。根据相关法律规定和业务实践,合规工作包括三个方面:(1)制定预案。制定数据安全应急预案是应急处置的前提条件,需要相关主体明确数据安全事件发生后的报告机制(内部+外部)、处理流程和应急措施。(2)应急演练。应急预案并不能代表实际效果,在制定应急预案的基础上还需要进一步开展相应的演练演习,从而能够评估和发现预案中的不足及薄弱环节,调整和完善应急预案,以有效应对真正发生的数据安全事件。(3)报告机制。几乎所有的网络安全、数据安全法律规定中都包括数据安全事件报告制度,这是一项强制性的要求,《条例》亦要求发生政务数据安全事件时按照规定向有关主管部门报告。对此,建议相关政府部门在应急预案中明确报告机制、内部流程、报告内容等相关要素,以在发生政务数据安全事件时能够及时、有效履行报告义务。
本文作者
宁宣凤
合伙人
合规业务部
susan.ning@cn.kwm.com
业务领域:反垄断与反不正当竞争,以及网络安全与数据合规
在反垄断领域,宁律师所提供的法律服务内容主要包括经营者集中反垄断申报、应对反垄断行政调查、反垄断法合规咨询以及反垄断诉讼。早在2008年《反垄断法》实施之前,宁宣凤律师就曾积极参与政府起草该项法案的咨询工作,并在该法颁布后,继续积极参与协助相关条例、实施办法及指南的起草工作。在网络安全与数据合规领域,宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。
吴涵
合伙人
合规业务部
wuhan@cn.kwm.com
业务领域:网络安全、数据合规与治理
吴律师主要协助企业在数字经济转型期发挥数据驱动力,实现数字化转型、数据商业化及智能化应用。具体包括协助客户制定修改隐私政策、算法可解释性声明,制定跨境数据传输计划,制定数据商业化合规方案,搭建算法治理体系,梳理企业数据(包括个人信息保护)合规体系,进行网络安全和数据合规自查,协助搭建数据融合的商业及合规框架,构建企业数据资产体系等。吴律师擅长从中国合规的角度为跨国企业在中国的分支机构提供网络安全、数据治理及智能合规意见。同时吴涵律师能够立足中国相关法律法规,为中国走出去企业建立符合欧盟(GDPR)及美国(CCPA)等跨司法辖区要求的网络安全、数据合规及智能化监管体系。项目覆盖金融、保险、健康医疗、人工智能、网约车平台、航空、消费电子、互联网广告、汽车、电商等多个行业。
方禹
顾问
合规业务部
转载声明:好文共赏,如需转载,请直接在公众号后台或下方留言区留言获取授权。
封面图源:画作·林子豪
声明:本文来自金杜研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
