商建刚 | 上海市地方性公共数据开放规则解析

Original 商建刚知产前沿 2024-01-02

关键词

公共数据；数据开放主体；数据利用主体；数据利用协议；数据共享；公共数据开放数据来源注明；数据利用反馈

一、法规文件依据二、公共数据和公共数据开放三、公共数据开放的分级分类四、数据开放的方式与条件五、有条件开放数据的申请与利用六、数据利用协议的法律性质七、数据利用反馈

一、法规文件依据

上海市地方性公共数据开放的法律文件依据包括一政府规章、一地方性法规、一市政府工作部门规范性文件。上海市地方政府规章《上海市公共数据开放暂行办法》（以下简称《暂行办法》）由上海市市政府常务会议通过，自2019年10月1日起施行。上海市地方性法规《上海市数据条例》（以下简称《条例》）由上海市人民代表大会常务委员会通过，自2022年1月1日施行。

根据《上海市行政规范性文件管理规定》，行政规范性文件（以下简称“规范性文件”）是指除政府规章外，由行政机关依照法定权限、程序制定并公开发布，涉及公民、法人和其他组织权利义务，具有普遍约束力，在一定期限内可以反复适用的公文。《上海市公共数据开放实施细则》（以下简称《实施细则》）就属于市政府工作部门制定的规范性文件。《上海市行政规范性文件管理规定》第三十四条规定了规范性文件有效期制度，有效期原则上不超过5年。故本实施细则规定的有效期限是5年，自2022年12月31日开始5年。

根据《条例》第五条第三、四款，市经济信息化部门负责协调推进本市公共数据开放、社会经济各领域数据开发应用和产业发展，统筹推进信息基础设施规划、建设和发展，推动产业数字化、数字产业化等工作。市网信部门负责统筹协调本市个人信息保护、网络数据安全和相关监管工作。《条例》将数据开发与产业发展、信息保护与数据安全分为不同的政府部门负责，将二者置于同等重要的位置。据此，上海市经济和信息化委员会、上海市互联网信息办公室联合制订了《上海市公共数据开放实施细则》。

地方性法规的上位法是《数据安全法》《个人信息保护法》。《国家安全法》第二十五条规定，国家建设网络与信息安全保障体系，提升网络与信息安全保护能力，加强网络和信息技术的创新研究和开发应用，实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控；加强网络管理，防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为，维护国家网络空间主权、安全和发展利益。

2014年4月15日，习近平总书记主持召开中央国家安全委员会第一次会议。习近平总书记在讲话中首次提出“总体国家安全观”，阐述了总体国家安全观的基本内涵、指导思想和贯彻原则。为此，在理解《数据安全法》《个人信息保护法》时，应基于总体国家安全观的角度和立场，即数据安全不仅指通过采取必要措施，确保数据处于有效保护和合法利用的状态，还包括具备保障持续数据安全状态的能力。

二、公共数据和公共数据开放

公共数据开放是指公共管理和服务机构在公共数据范围内，面向社会提供具备原始性、可机器读取、可供社会化再利用的数据集的公共服务。欧盟将公共数据开放利用行为称为“公共部门信息再利用”。

2003年11月，欧盟议会和理事会通过了《公共部门信息再利用指令》，该指令于2013年经过第一次修订，并于2019年通过第二次修订，在第二次修订时，指令被重新命名为《开放数据与公共部门信息再利用指令》(The Directive on Open Data and the Re-use of Public Sector Information)（以下简称《开放数据指令》）。欧盟各国需在2021年7月16日前将修订后的指令规定转化为国内立法。

公共数据的范围在扩大。2019年《暂行办法》将公共管理和服务机构在依法履职过程中，采集和产生的各类数据资源列为公共数据，不包括提供服务的企业、非盈利性组织。《实施细则》规定，公共数据，是指本市国家机关、事业单位，经依法授权具有管理公共事务职能的组织，以及供水、供电、供气、公共交通等提供公共服务的组织（以下统称公共管理和服务机构），在履行公共管理和服务职责过程中收集和产生的数据。这里提供公共服务的组织包括提供公共服务的企业、图书馆、展览馆等。《开放数据指令》2019年修订将适用范围从诸如部委、国家机构以及公共资金资助的图书馆、研究组织和其他文化遗产机构等国家、地区和地方层面公共部门机构信息的再利用扩展至对公共事业单位数据的再利用。

如果对公共数据进行体系化解释，公共数据属于原始数据，不包括经过实质性加工和创造性劳动之后产生的衍生数据产品。因为衍生数据产品归属于对公共数据进行实质性加工和创造性劳动的数据利用主体，《暂行办法》《实施条例》称之为“数据利用主体”，《条例》称之为“被授权运营主体”。《实施细则》鼓励数据利用主体对开放公共数据进行价值挖掘和开发利用，依法保护数据利用主体在数据开发中形成的相关财产权益。

就基于公共数据的衍生数据产品《条例》采用创新性劳动的表述，而《实施细则》采用了创造性劳动的表述。《条例》第四十九条规定，鼓励深度挖掘数据价值，通过实质性加工和创新性劳动形成数据产品和服务。《实施细则》第二十条规定，支持数据利用主体对开放数据进行实质性加工和创造性劳动后形成的数据产品依法进入流通交易市场。《条例》中的“创新性劳动”与《实施细则》中的“创造性劳动”是否属于相同的概念呢？从体系化解释的角度，如果同一个语境中法律词语有所不同，含义也应有所不同。从知识产权法的角度，创新性劳动的概念较之创造性劳动的概念更宽泛，创造性比创新性对于“creative”的要求更高。这是否意味着基于公共数据开发的衍生数据产品，对创造性要求更高一些，只有达到了创造性标准之后，才能依法进入流通交易市场？或者说，目前制度层面对“创新性劳动”“创造性劳动”没有进行区分，进行混用。

对数据的保护一直有两种模式，一种是创新的著作权归属模式，法律保护的是实施创新活动的人。另一种模式是投资模式，法律保护的是经济投入的主体。

欧盟对数据库提供特殊保护，特殊保护的对象是对数据库的经济投入，而非创造性劳动、创新性劳动。《欧盟数据库指令》规定，不管数据库的内容是否符合版权或其他权利保护的条件，数据库的著作者应享有一项特殊权利，即防止对数据库内容的全部或定性与或定量证明为实质部分抽取和／或反复利用的权利。这说明，我国尚未以投资作为数据保护的权利来源，应当建立“投资+实质性利用”的保护标准。数据持有者基于对数据产品的投资而享有权益，权益的内容限于排除他人未经允许的实质性利用数据产品。

数据利用主体开发的衍生数据产品不属于公共数据。对于衍生数据产品，《实施细则》明确赋予财产权益，依法保护数据利用主体在数据开发中形成的相关财产权益。《条例》规定，在使用、加工等数据处理活动中形成的法定或者约定的财产权益，以及在数字经济发展中有关数据创新活动取得的合法财产权益，依法受保护。

去标识化、脱密、脱敏属于数据处理活动，但不构成实质性加工或者创造性劳动，去标识化、脱密、脱密的数据仍然属于原始数据范畴。这主要基于如下原因：一是从数据的性质角度理解，所谓去标识化、脱密、脱敏仅仅是将不合适公开的信息清洗，其留下的对社会公开的数据仍然是原始数据。二是从对规范性文件的体系化解释理解，去标识化之后的数据从不开放类转为了开放类。

《条例》对公共数据的定义是“具备原始性”，可见仍是将去标识化之后的公共数据视为原始数据。《条例》规定，非开放类公共数据依法进行脱密、脱敏处理之后可以列入无条件开放或者有条件开放类。《实施细则》规定了要推动去标识化相关标准在公共数据开放中的应用。

公共数据的共享与开放。公共数据共享是指公共管理和服务机构之间共享公共数据，应当以共享为原则，不共享为例外。公共数据开放是指公共数据面向社会开放。公共部门信息再利用是指个人或者法人为商业或非商业目的对公共部门机构持有的数据信息进行利用，该商业或非商业目的不是数据信息因公共任务而产生的原目的，公共部门之间数据信息交换如果纯为履行公共任务的不构成再利用。

三、公共数据开放的分级分类

《条例》中同时使用“分类分级”和“分级分类”两个词。例如，“数据分类分级保护制度”“根据国家和本市数据分类分级相关要求对公共数据进行分级”“以分级分类为原则推动公共数据面向社会开放”。《暂行办法》和《实施细则》两个文件中仅使用分级分类的概念，没有使用分类分级的说法。这样看来，分类分级和分级分类具有相同的概念。

公共数据按照开放类型分为无条件开放、有条件开放和非开放三类。对涉及商业秘密、个人隐私，或者法律法规规定不得开放的公共数据，列入非开放类；对数据安全和处理能力要求较高、时效性较强或者需要持续获取的公共数据，列入有条件开放类；其他公共数据列入无条件开放类。凡是不属于非开放类、有条件开放类，均属于无条件开放类，体现公共数据开发“以开放为原则，不开放为例外”的原则。

四、数据开放的方式与条件

关于数据开放方式，“数据二十条”按照是否承载个人信息和公共安全进行分类，确定了不同的开放方式。第一种是提供原始数据，第二种是提供核验服务的形式。鼓励公共数据在保护个人隐私和确保公共安全的前提下，按照“原始数据不出域、数据可用不可见”的要求，以模型、核验等产品和服务的形式向社会提供，对不承载个人信息和不影响公共安全的公共数据，按用途加大供给使用范围。

关于数据开放条件，对于无条件开放类数据，社会可以免费使用。对于有条件开放类数据，《实施细则》第十五条规定的数据开放条件包括六个方面，数据开放主体应当在合法合规前提下，设定与开放数据风险相匹配的合理的开放条件，开放条件可以包括：

（一）应用场景要求，明确开放数据仅限于特定场景使用，或禁止用于特定场景；（二）数据安全要求，明确数据利用主体的数据安全保护体系与保护能力、数据管理成熟度评估、数据安全成熟度评估等；（三）数据利用反馈要求，明确利用成果应当注明数据来源，数据利用主体应当接受定期或不定期抽查，提交数据利用报告等；（四）技术能力要求，明确数据利用主体需要具备的设施、人才等要求；（五）信用要求，明确对数据利用主体信用状况要求，可以包括未被列入失信被执行人、企业经营异常名录、严重违法失信企业名单等；（六）其他合理的开放条件。

五、有条件开放数据的申请与利用

对列入有条件开放类的公共数据，数据开放主体可以通过开放平台在相应页面列明申请材料，包括相关资质与能力证明、数据安全管理措施、应用场景说明等。开放申请审核通过的，申请主体应当与数据开放主体通过开放平台签署数据利用协议。数据利用协议中应当包含应用场景要求、数据利用情况报送、数据安全保障措施、违约责任等内容。

针对数据利用协议是收费还是免费的问题，《条例》《暂行办法》《实施细则》中均没有作出明确规定。

“数据二十条”倡议，用于公共治理、公益事业的公共数据有条件无偿使用，用于产业发展、行业发展的公共数据有条件有偿使用。既然有条件开发类数据利用协议中需要规定违约责任，那么相应在通常情况下该协议应该是有偿使用。

然而，《实施细则》对于超出数据利用协议限制的应用场景使用公共数据的法律后果仅仅有如下几点：第一，市经济信息化部门应当会同市大数据中心和数据开放主体对违约的数据利用主体予以记录。第二，对违约的数据利用主体，市大数据中心和数据开放主体应当按照各自职责，采取限制或者关闭其数据获取权限等措施，并可以在开放平台对违法违规行为和处理措施予以公示。上述两点并未包括违约金规定，这说明上海公共数据开放尚未进入“数据二十条”所尝试的有条件有偿使用模式。

欧盟《开放数据指令》规定公共部门及公共事业单位提供持有的数据必须遵守透明度、非歧视性和非排他性原则，并确保使用适当的数据格式和传播方法，以免费方式提供。但是包括图书馆、档案馆和博物馆在内的文化机构仍能设定合理的费用，回收制作数据，向公众提供再利用数据，将个人数据匿名化，为保护商业秘密采取措施，以及合理投资的成本。收费以收取不高于边际成本的费用，不妨碍文化机构的正常运行为准。

六、数据利用协议的法律性质

首先，数据利用协议的签订伊始于数据利用主体的申请行为，在符合规定的前提下，数据开放主体与数据利用主体之间签订该协议。数据利用协议的签订过程符合依申请的具体行政行为法律构成要件。

其次，数据利用协议不是平等主体之间的协议，不属于民事合同。《暂行办法》第十五条规定，数据开放主体应当与符合条件的自然人、法人和非法人组织签订数据利用协议，明确数据利用的条件和具体要求，并按照协议约定通过数据下载、接口访问、数据沙箱等方式开放公共数据。数据利用协议示范文本由市经济信息化部门会同市大数据中心和数据开放主体制定。

最后，数据利用协议没有约定民事违约责任。《暂行办法》第二十八条规定，违反协议的法律后果是“市经济信息化部门应当会同市大数据中心和数据开放主体对其予以记录”“市大数据中心和数据开放主体应当按照各自职责，采取限制或者关闭其数据获取权限等措施，并可以在开放平台对违法违规行为和处理措施予以公示。”没有规定金钱惩罚的法律责任和后果。据此，数据利用协议数据行政协议，而非民事协议。

七、数据利用反馈

《实施细则》规定，对有条件开放类公共数据，数据利用主体应当按照数据利用协议的约定，及时反馈数据利用情况。

反馈内容包括：（一）数据调用的主要场景、服务对象、商业模式；（二）数据调用的次数、主要利用的字段，使用的相关算法；（三）产生的成本降低、管理优化等经济和社会效益；（四）采取的安全保障措施等。

八、数据来源注明权

《数据安全法》第三十条规定，从事数据交易中介服务的机构提供服务，应当要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录。数据利用主体利用公共数据形成数据产品、研究报告、学术论文等成果的，应当在成果中注明数据来源。

如果数据利用主体未注明数据来源，将面临三项合规风险。第一是违反数据开放条件。在数据利用成果上注明数据来源是数据开放主体的开放条件之一。第二是违反开放平台管理制度。市大数据中心制定并公布开放平台管理制度，明确数据开放主体和数据利用主体在开放平台上的行为规范和安全责任，其中注明数据来源应该属于数据开放平台的行为规范。第三是作为数据利用成果的衍生数据产品或者服务如果不说明数据来源，将因为违反《数据安全法》第三十三条而无法进场交易。

注明数据来源与《著作权法》意义上指明作者姓名或者名称、作品名称类似，但具体制度略有不同。《著作权法》在第二十四条合理使用、第二十五条法定许可两种免费使用作品的情况下，规定需要指明指明作者姓名或者名称、作品名称。对于其他许可使用他人作品的情况下，没有规定必须注明指明作者姓名或者名称、作品名称。对于数据利用，必须要注明数据来源。

商建刚专栏文章SPECIAL COLUMN

直播回顾 | 数据要素配置的中国方案

算法解释权的法律适用——评陈鱼与杭州“阿里妈妈”网络服务合同纠纷案

汉涛公司与爱帮科技公司不正当竞争纠纷案评析

腾讯诉群控软件不正当竞争纠纷案评析

滴滴网络安全审查案教研会综述

滴滴网络安全审查案的回顾与展望

新媒体合作请联系Sharon内容推广、转载授权、原创投稿、发布招聘...

作者：商建刚

编辑：Sharon

点击图片查看文章

(www.trademarkevents.cn)