其他
原创 | 数据关联对象“决定权”与整体政府数据共享开放
《国务院关于印发政务信息资源共享管理暂行办法的通知》第五条明确:政务信息资源共享应遵循“以共享为原则,不共享为例外”,各政务部门形成的政务信息资源原则上应予共享,涉及国家秘密和安全的,按相关法律法规执行。第十条规定:凡列入不予共享类的政务信息资源,必须有法律、行政法规或党中央、国务院政策依据。
实践中,“以共享为原则,不共享为例外”,关于“例外”的解释不易达成一致,特别是对于有条件共享的“条件”没有明确规定,没有明确依据,基本是政务部门自由裁量,导致数据共享成效大打折扣。各地数据共享目录编制中,两头小中间大是普遍现象,即有条件共享数据占了绝大多数。政务部门对于有条件共享数据的提供存在疑虑,审核繁琐,以致久拖不决,成为数据共享中的常态。
公共数据开放方面,也存在类似问题,即对“例外”的解释,尤其是对于有条件开放的“条件”把握缺乏标准和共识。问题的关键在于,需要厘清公共部门对于“条件”的审核,“条件”是什么,审核内容是什么,审核形式是什么。说清楚这些,实践中才能破解共享难、开放难问题。
近期各地陆续出台数据管理相关条例、规章,对于从有条件共享数据向无条件共享数据转化有一些创新规定,但仍然存在自由裁量权问题,并没有从根本上突破在部门审核权上缺乏标准和依据的问题。该问题的根本解决还是要从理论上说清楚,数据共享、开放的决定权究竟在哪里?公共部门的审核究竟是审核什么?
《个人信息保护法》第四十四条规定:个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理。第四十五条规定:个人有权向个人信息处理者查阅、复制其个人信息。个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。
以上规定,不仅明确了个人对其个人信息处理的决定权,而且明确了有权要求其个人信息的查阅、复制、转移。尤其是关于“转移”的要求,意味着在个人决定权之下,个人信息处理者“应当提供转移的途径”。这意味着,公共数据的数据共享、开放要求,不仅是数据公共属性的要求,而且首先是数据人身属性的要求,个人有权要求数据按照其意志进行共享、开放。
从法理上看,《个人信息保护法》的原则同样适用于法人数据:法人对其法人信息的处理享有知情权、决定权。也就是说,《个人信息保护法》关于信息处理决定权的原则,适用范围可以扩大到涉私数据(包括个人数据和法人数据),由数据关联对象(自然人和法人)行使决定权。
数据共享、开放意味着数据从一个数据处理者转移到其他数据处理者,数据共享、开放发生在数据“转移”环节,其决定权在数据关联对象,而不是数据处理者。当然,共享、开放的范围、条件也应当是由关联对象决定的。
(二)公共部门对数据共享、开放的审核
《个人信息保护法》第五十一条规定,个人信息处理者应当……对个人信息实行分类管理。公共部门作为公共数据处理者,负有对数据分类管理的责任。当前,公共部门数据一般分类为:按共享类型分为无条件共享、有条件共享、不予共享等三种类型;按开放类型分为无条件开放、有条件开放、不予开放三种类型。一般说来,无条件开放是无条件共享的子集;不予共享是不予开放的子集。
如何把握分类的边界?应根据信息的处理目的、处理方式、信息的种类以及对关联对象权益的影响、可能存在的安全风险等因素综合界定,如什么数据可以共享、开放,什么条件下共享、开放。该过程中公共部门负有审核责任,即行使对数据分类管理的审核权,而非对数据处理的决定权。审核权要服务于决定权。
公共部门的数据审核权重点针对数据的主权属性、公共属性,在数据的人身属性方面,则要从属于数据关联对象的决定权。具体而言,对数据共享、开放的审核主要在审核内容和审核形式两方面。
审核内容方面:一是合法性审核。明确不予共享、开放的范围。主要是涉及数据主权属性。二是安全性审核。主要是对“条件”的审核,明确共享、开放的条件。无条件是原则,有条件需要说明。大多数条件体现为涉及私权,即涉及数据人身属性。最重要的是,明确共享、开放是原则要求,将数据在最终使用环节的安全把控交给关联对象。
审核形式方面:一是一揽子审核。因为有数据关联对象的最终把关,并且是一次使用一次授权,因此无需公共部门越俎代庖,也就是说,形式审核不必每次必审,而是应当一揽子审核、批量审核,对于相似的使用场景、使用主体,进行一揽子、批量、一致性审核。二是自动化审核。数据共享的条件应当尽量结构化、指标化,使得条件审核可以机器自动判别进行,可以预先写进智能合约,符合条件设定的标准即自动触发审核通过。
近年兴起的“最多跑一次”等改革,体现的是“整体政府”理念。总结下来是实现“三个转变”:实现了群众和企业办事从“跑部门”向“跑政府”转变;政府部门从“各自为战”向“协同作战”转变;行使“行政权力”向承担“行政责任”转变。这项改革受到了群众和企业的好评。
群众眼里认政府,而不是认部门,意味着部门协同成为单一的整体政府,为群众提供无缝隙而非分离的服务。公共部门为群众提供的服务就是整体政府为群众提供的服务;群众找部门办事就是在找整体政府办事。这意味着,行政相对人对于行政机关的委托、授权其实是对整体政府的委托、授权,即群众委托、授权公共部门其实是委托、授权整体政府。具体到数据方面,关联对象对公共部门的授权就是对整体政府的授权。
(二)关联对象对整体政府数据共享的授权
公共数据在采集、持有、转移(包括共享、开放)、使用、销毁等环节都涉及到关联对象授权。公共数据共享、开放涉及到的是关联对象对于涉私数据“转移”的授权。
关于数据“转移”,《个人信息保护法》第四十五条规定:个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。这对数据共享、开放明确了一般要求。
如前述,《个人信息保护法》关于信息处理决定权的原则,适用范围可以扩大到涉私数据(包括个人数据和法人数据),上述规定是关于数据处理者的一般规定。对于作为数据处理者的公共部门,需要考虑公共部门的特殊性。
公共部门的特殊性体现在,关联对象对公共部门的授权就是对整体政府的授权。因此,在整体政府内部数据共享的情形,不需要关联对象另外授权。换句话说,对于关联对象而言,整体政府是单一的数据处理者。
从另一个角度看,我们是从关联对象对数据处理的决定权中,区分出了关联对象对整体政府数据资源持有权、数据加工使用权的一揽子授权。虽然对于数据处理,原则上需要关联对象对每次处理都进行单独授权,一般不允许一揽子授权,但是对于整体政府的情形,可以是对数据资源持有权、数据加工使用权一揽子授权。当然,在数据最终使用环节,仍然需要关联对象的单独授权。
在整体政府对外数据开放的情形,则需要关联对象另外授权。在“数据产品超市”模式下,关联对象的授权体现在数据产品使用环节。这是因为“数据产品超市”模式下的数据开放实现了引进开发商到整体政府的安全可信域进行数据产品化开发后再开放利用,是将数据产品开发商请进来,开发数据产品对外提供服务,开放的授权环节嵌入在了数据产品的使用中。
扫描二维码
获取更多精彩
电子政务智库