2023年2月17日,杭州市数据资源局通过政府官网发布了 《杭州市公共数据授权运营实施方案(试行)》(征求意见稿),公开向社会征求意见。
2021年,《上海市数据条例》在全国范围内首次以地方性法规的形式确定了公共数据授权运营制度。2022年,全国首部公共数据领域的地方性法规《浙江省公共数据条例》也确立了公共数据授权运营制度。2023年,中共中央、国务院《关于构建数据基础制度更好发挥数据要素作用的意见》(“数据二十条”)最后一条“稳步推进制度建设”中,也强调要逐步完善公共数据授权使用等主要领域关键环节的政策和标准。
杭州市此次推出的公共数据授权运营实施方案,既是《浙江省公共数据条例》关于公共数据授权运营制度的实施政策,也是“数据二十条”完善公共数据授权使用的地方配套政策。相较于其他地方而言,杭州方案是第一个吃螃蟹的,将具有重要的探索意义。长期以来,个人信息保护是公共数据开放利用的一大难题,杭州市公共数据授权运营也必要面临这一难题。
《浙江省公共数据条例》对于公共数据授权运营中的个人信息保护问题进行了较为系统的规定:该条例第13条规定,涉及个人信息的公共数据禁止开放,但涉及个人信息的公共数据经匿名化处理或者指向的特定自然人依法授权同意开放的,可以列入受限开放或者无条件开放数据。第35条规定,禁止开放的公共数据不得授权运营。也就是说,除非进行匿名化处理或者获得授权同意外,涉及个人信息的公共数据是不能授权运营的。
杭州市公共数据授权运营实施方案延续了《浙江省公共数据条例》中禁止授权运营的相关规定,但并未明确涉及个人信息的公共数据经匿名化处理或者指向的特定自然人依法授权同意开放的可以授权运营。然而,从该方案中推动重要场景应用所涉及的公共数据看,大多数领域的公共数据都不可避免会涉及个人信息;排在前三的重点场景应用“医疗健康领域”、“金融保险领域”、“商贸物流领域”更是目前个人信息保护领域问题较为突出的领域。
从我国《个人信息保护法》第73条对“匿名化”所做的界定(经过处理无法识别特定自然人且不能复原的过程)来看,要对涉及个人信息的公共数据进行匿名化处理是一件极具挑战的事情,而要获得指向的特定自然人同意也是一项极具挑战的事情。杭州市公共数据授权运营实施方案虽然明确了“原始数据不出域、数据可用不可见”等安全原则,但涉及个人信息的公共数据而言,仅遵循该原则并不意味着符合了匿名化处理的要求,更不意味着获得了特定主体的同意授权。
当前,公共数据开发利用的确到了攻坚克难的阶段,我们期待杭州市公共数据授权运营能够依法实现突破。
编辑 | 张 维
审核 | 谷 语
声明:本文来自数据法学,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
