新闻动态｜对我国公共数据授权运营程序相关问题的几点思考

在数字经济时代，数据已成为关键的生产要素，公共数据因其体量大、质量高等特点，更是蕴含着巨大的经济与社会价值。但对于公共数据如何授权运营国家层面尚未出台专门的法律法规，仅是通过一系列政策文件进行引导和规范。近年来，我国先后发布了《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》《关于构建数据基础制度更好发挥数据要素作用的意见》（“数据二十条”）《“数据要素×”三年行动计划（2024—2026年）》《关于加快公共数据资源开发利用的意见》《公共数据资源授权运营实施规范（试行）》（以下称《实施规范》）等文件，涉及公共数据授权运营的内容。

《数据安全法》及《个人信息保护法》的颁布实施，为公共数据的规范管理和合理利用提供了法律基础，但并无更为详细的法律规定，导致实践中存在法律依据不足、规则操作性不强等问题。实践中，部分区域积极探索公共数据授权运营的制度建设，取得了初步成效。例如《上海市数据条例》《浙江省公共数据条例》《贵州省公共数据授权运营管理办法（试行）》等地方性法规、规范性文件，为公共数据的管理和利用提供了更具针对性的制度体系。

根据《实施规范》公共数据的授权运营、包含方案编制、协议签订、运营实施等内容。但实际上，在实践落地中仍面临授权程序规范化不足的问题，当前主要问题表现为：授权主体的范围在实践中需进一步厘清、被授权对象的遴选标准在具体实施层面仍面临挑战、授权内容边界仍需进一步明确和细化，这些问题的根源在于现行规范要求难以完全适应各地差异化实践需求。要推动数据要素市场健康发展，亟需在《实施规范》等规范性文件的基础上推动完善法律规范体系、优化授权程序实施细则等措施，构建兼顾统一性与灵活性的法治化框架，实现公共数据授权运营从“有章可循”到“规范有序”的转变。基于笔者在公共数据治理实践中的观察，本文从授权主体、被授权对象、授权内容三个维度对授权程序的相关问题提出几点思考。

(一) 公共数据的法律属性与权属认定

1.公共数据的法律属性

公共数据具有“公共性”和“财产性”双重属性特征已成为学界和实务界的共识，正是因为公共数据的双重属性，导致了其法律属性尚未形成统一认识。

从公共性维度看，公共数据产生于政府履行公共职能的过程，其本质是为公共利益服务。美国经济学家萨缪尔森（Paul A.Samuelson）提出的公共物品理论为此提供了理论支撑：公共数据具有非排他性和非竞争性特征，即数据一旦开放，所有社会成员均可使用且不会减损他人效用。典型如气象数据或交通流量数据的开放共享，能够惠及公众与企业。然而现实中存在“名义开放与实质垄断”的悖论——一些政府部门可能因行政管理惯性或利益考量，通过设置数据开放壁垒（如数据接口封闭）、制度障碍（如模糊的开放标准）等方式形成“数据垄断”，导致制度设计的公共性与实践中的垄断性发生背离。这种背离不仅阻碍了公共数据的有效利用，还可能引发数据资源的浪费和公共利益的损害。当然，也有学者提出应当突破传统的主体论范式（即单纯依据数据持有者的公共机构属性），建立以数据内容为核心的实质性判断标准，即只有当数据直接关涉公众基本权利、重大公共利益或涉及公共领域治理时，才具备完全的公共属性。这种理论转向为破解“伪公共数据”难题提供了新思路，即通过建立数据分类分级制度，对不同属性的公共数据实施差异化的开放策略与管理规制。

就财产性特征而言，公共数据经处理后形成的经济价值引发产权归属争议，但需要注意的是，传统物权理论主张的“一物一权”原则难以适应数据的可复制性特征。对此，劳伦斯·莱斯格（Lawrence Lessig）提出“数据作为新型财产”的观点，强调需构建适应数字时代的产权框架。当前国内学界主要存在“三权分置”（所有权归属国家，使用权与收益权通过授权赋予市场主体享有）与“场景化确权”（动态界定权属）两种理论路径，周汉华教授则另辟蹊径，主张过度强调确权可能阻碍数据流通，应“数据互操作”，以使用权为核心促进数据流通^[注1]。

诚然，正是由于公共数据的公共性和财产性的双重特点，导致对于公共数据的法律属性认定尚未形成统一认识，这也是公共数据授权运营需要面临的核心现实问题。

2.公共数据的权属认定

从上述法律属性的认识现状，必然产生了公共数据的权属认定问题。虽然第12条为公共数据的国家所有提供了基本依据，但具体落实存在明显的分歧：《民法典》第一百二十七条虽承认数据权益的民事客体地位^[注2]，但又明确确权规则由特别法规定，未直接明确公共数据所有权归属，亦未建立“国家所有”的对应权利确定规则。王利明教授指出，现行法对公共数据“国家所有”的回避，实质是立法对数据权益双重属性（公共性与财产性）的妥协^[注3]。值得注意的是，《数据安全法》作为数据领域的基础性法律，其侧重于风险防控与安全管理义务，立法取向导致进一步搁置了权属问题，使得公共数据授权运营缺乏清晰的权属法律依据，虽《实施规范》表述为“依法持有的公共数据”，但这实质上还是回避了权属问题，直接影响了后续授权程序的设计与实施。

(二) 公共数据授权运营的法律依据和性质认定

当前我国公共数据授权运营呈现“中央政策引导、地方试点探索”的发展态势，但在快速推进过程中面临着诸多挑战，直接制约着授权程序的规范化发展。

1.公共数据授权运营领域尚未出台专门的法律法规

目前，公共数据授权运营领域相关规范主要是《数据安全法》《个人信息保护法》以及地方性法规。虽然《数据安全法》和《个人信息保护法》为数据治理提供了基础性框架，《实施规范）为公共数据资源授权运营提供了具体操作指引，但其作为部门规范性文件仍不足以完全替代专门法律法规的空白。地方性法规如《浙江省公共数据条例》在分级分类管理等方面有所突破，但其地域局限性和原则性规定难以满足全国范围的实践需求。各地规则的差异更造成了制度执行的碎片化现象。

2.授权运营的法律属性争议

法律依据的不足加剧了关于授权运营法律属性的理论争议。目前学界主要有三种代表性观点：“政府购买服务说”强调其公共服务外包特性，“行政许可说”突出行政监管色彩，而“特许经营说”则侧重市场化运营特征。这三种学说分别揭示了授权运营的不同维度，但均难以完全涵盖其复杂属性。究其本质，这场争论反映的是政府与市场在数据要素配置中的权责边界问题。

实践中，公共数据授权运营往往同时兼具行政监管和市场交易的双重特征——既需要政府确保公共利益的实现，又需要激发市场主体的创新活力。因此，简单的非此即彼的理论划分已不适应实践需求，应当转向更具包容性的“场景化混合模式”：即根据数据类型、应用场景等具体因素，动态调整政府监管与市场自治的平衡点，在保障数据安全的前提下最大化释放数据价值。这种灵活务实的制度设计思路，或将为破解当前的理论争议和实践困境提供新的可能。

由于公共数据法律关系、权属认定等基础性制度尚未明确，导致公共数据授权运营的授权程序面临以下主要问题。

(一) 授权主体的范围在实践中需进一步厘清

公共数据授权运营实践中最突出的矛盾体现在授权主体范围的模糊性上，这种制度缺陷直接制约着授权程序的规范运行。《实施规范》第三条第一款虽明确授权主体为“县级以上人民政府、国家行业主管部门”，确立了“主管部门主导、分级授权”的基本原则，一定程度上缓解了此前地方政府直接授权、部门分散授权等模式并存导致的混乱局面，但作为部门规范性文件，其法律效力有限，未能根本解决权属不清带来的授权主体范围的合法性争议。

从当前地方实践模式来看，公共数据授权主体呈现“地方政府主导、部门分工协作”的特点，授权主体的具体实践类型可分三种：一是“由政府直接授权”，即由地方人民政府直接负责处理公共数据授权运营事宜；二是“政府经由代表机构授权”，即由地方人民政府将公共数据授权运营的具体实施工作交由数据主管部门负责，或由地方人民政府组建“工作协调机制”，再由此工作协调机制办公室或工作专班、牵头单位(即数据主管部门)代表政府签订协议进行；三是“综合授权”，即引入行业主管部门、数据提供单位参与公共数据授权运营的具体实施工作，数据主管部门与行业主管部门、数据提供单位均可进行授权。例如，北京、温州、青岛等地由地方政府直接授权，浙江等地由地方政府将公共数据授权运营的具体实施工作交由数据主管部门负责，而济南等地系由大数据主管部门授权或由数据提供单位分领域授权的综合授权模式。^[注4]这种差异源于两方面：其一是《数据安全法》《个人信息保护法》等仅做原则性规定，将具体规则制定权下放地方，导致各地授权主体层级和权限标准不一；其二，公共数据权属不清这一根本性问题尚未解决，使得授权主体的法律地位缺乏明确依据，更值得注意的是，实践中普遍存在的“三位一体”现象——授权主体同时扮演数据供给、运营监管和收益分配（及参与），不仅违背“分权制衡”的法治原则，又形成自我监督的矛盾境地。这些问题的存在，使得授权程序的公信力和规范性受到严峻挑战，亟需通过立法明确授权主体的法律地位、权限边界及分权机制。

(二) 被授权对象的遴选标准在具体实施层面仍面临挑战

公共数据授权运营中，被授权对象遴选标准的不统一已成为制约市场化发展的重要瓶颈，《实施规范》施行前，各地对于被授权对象的遴选标准不一，《实施规范》虽明确要求采用“公平竞争方式”选定被授权对象，并设定了网络安全保护等级认证等基础资质条件，但在具体操作层面仍面临诸多挑战。

从实践来看，当前主要存在两种典型授权模式：一是单一授权对象模式（如上海、成都^[注5]），虽有利于集中管理、降低协调成本，但可能抑制市场竞争及其活力；二是多授权对象模式（如青岛、杭州^[注6]），虽能促进创新竞争，却对监管体系与能力提出更高要求。这种模式选择的差异性，本质上反映了现阶段各地在数据安全与市场效率之间的政策权衡。

值得注意的是，实际操作中存在明显的倾向于将核心数据运营权授予国有企业，这种选择一般是基于风险控制的考量，以及国有企业凭借体制优势能够快速响应监管要求等。但是从另一个角度来说，这种选择有可能形成数据资源垄断，抑制市场创新活力。民营企业即便拥有技术优势，也常被实缴资本、资质认证等硬性指标挡在门外，面临“看得见机会却摸不着门槛”的尴尬情况。

《实施规范》的实施虽为解决这些问题提供了基本的制度基础，但还需关注以下方面的落实：一是细化资质评审标准，建立能力导向的评估体系；二是完善竞争性遴选程序，确保各类市场主体公平参与；三是强化动态监管机制，防范出现“重授权、轻管理”的风险。只有通过完善的制度化规范设计，才能确保实现公共数据要素的市场化高效配置。

(三) 授权内容边界仍需进一步明确和细化

《实施规范》实施后，授权内容边界的厘清仍然是公共数据授权运营中的一个重要问题，实践中仍需进一步明确和细化。

公共数据授权运营的核心在于数据权益的合理让渡，但当前制度在授权内容边界认定上的模糊性，构成了实践推进的重大障碍。这一困境首先体现在公共数据范围的界定难题上：国家层面未界定“公共数据”的边界，导致地方立法存在理解差异：如《重庆市数据条例》）以“涉及公共利益”为标准，但此场景下“公共利益”概念尚不明确，可能导致授权范围的扩大或限缩；《浙江省公共数据条例》将公共数据界定为“公共管理和服务机构在依法履职过程中产生的数据”；《北京市公共数据管理办法》则采用更为宽泛的定义，突出了公共数据的“公共价值”特性^[注7]。这种定义的多样性和模糊性，使得公共数据的范围和边界在实践中难以明确。更棘手的是“有条件开放”数据的实施标准缺失，以医疗健康数据为例，医疗健康数据在授权运营前需进行脱敏处理，但脱敏的具体标准在实践中不统一，容易引发合规风险^[注8]。此外，高敏感性数据（如涉及个人隐私或国家安全的数据）的授权审批流程和使用限制也存在模糊性，导致在实际操作中难以平衡数据的安全性与利用效率。

公共数据授权内容范围难以界定时，授权协议的性质争议便不可避免。授权协议作为公共数据授权运营的核心法律文件，在其法律属性界定上，主要有三种观点：

行政协议说：部分学者与实务部门倾向于将公共数据授权协议定性为行政协议，其法理依据在于：当授权主体为行政机关且协议内容涉及公共利益时，政府具有主导性地位，协议目标在于实现公共服务职能，符合《最高人民法院关于审理行政协议案件若干问题的规定》对行政合同“具有行政法上权利义务内容”的界定。例如，协议中要求被授权方承担数据安全监管义务、接受政府审计等条款，均体现行政优益权特征。若采纳此观点，对协议效力的评判需优先适用行政法规则，如合法性审查、程序正当性原则等。

民事合同说：与行政协议说相对应的是民事合同说，该观点则强调授权协议的平等性与意思自治。支持者认为，授权协议应视为平等主体之间签订的合同，运营主体在经济收益和风险承担方面享有较大自主权。这种观点认为，将授权协议定性为民事合同可以更好地激发市场主体的积极性，促进数据资源的有效利用。

混合合同说：部分研究指出公共数据授权协议具有“行政性与民事性交织”的混合属性^[注9]。协议中涉及公共利益的核心条款（如数据安全）适用行政法，而收益分配等商务性条款适用民法。申卫星等学者提出的“功能主义分类法”以协议核心目标（公益维护或市场交易）作为性质判定基准，并配套差异化效力审查规则^[注10]。

基于上述三种不同的观点，若授权协议被认定为行政协议（如政府特许经营），运营主体需受公法规制，这种模式下，政府作为授权方享有较大的监管权，运营主体在数据使用、收益分配等方面需遵循严格的行政规则。这种模式的优势在于能够有效保障数据安全和公共利益，但可能限制市场主体的灵活性和创新性。若授权协议被视为民事合同，则更强调意思自治，运营主体在经济收益、风险承担等方面享有较大自主权。这种模式的优势在于能够激发市场主体的积极性，但可能存在公共利益保障不足的风险。

从地方实践来看，多倾向于将授权协议定性为行政协议。例如，《浙江省公共数据授权运营管理办法（试行）》明确规定，授权运营协议需遵循行政协议的基本原则。然而，这种定性缺乏上位法的明确支持，导致法律适用存在不确定性。

《公共数据资源授权运营实施规范（试行）》作为公共数据授权运营的首个全国统一的制度规范，该规范为解决授权内容边界问题提供了重要指引。然而，需要指出的是，作为部门规范性文件，其强制约束力存在局限，各地在执行中可能出现标准把握不一的情况。未来仍需通过上升为行政法规或法律的形式，将授权内容边界的界定规则予以法定化，以从根本上解决制度权威性不足的问题。当前阶段，该规范性文件至少为实践提供了相对统一的参照标准，有助于减少地方探索中的随意性。

(一) 进一步明确授权主体的法律地位与职责

通过明确授权主体的法律地位，赋予其授权公共数据运营的合法权限，是公共数据授权运营规范化的重要前提。授权主体作为公共数据授权运营的关键环节，其职责范围、授权条件和程序需进一步通过法律法规予以明确，以确保授权行为的合法性和规范性。从地方实践来看，授权主体范围不一致，这种差异性源于《数据安全法》等仅作原则性规定而将具体规则制定权授权地方的现实情况。更值得关注的是，授权主体普遍存在的“三位一体”现象，既违背权力制衡原则，又容易导致自我监管失效。虽然《实施规范》首次明确了“县级以上地方各级人民政府、国家行业主管部门”作为授权主体，但作为部门规范性文件，其法律效力层级存在局限，难以从根本上解决授权主体法律地位不明的问题。未来仍需进一步明确授权主体的资质条件、权限边界和监督机制，特别是要建立授权主体与数据运营主体、监管主体之间的分权制衡架构，才能确保公共数据授权运营的合法性和公信力。

(二) 完善被授权对象的遴选标准

为确保公共数据授权运营的安全性与有效性，可考虑结合《实施规范》等文件要求，根据公共数据的类型和敏感程度，制定以“能力+安全”为导向的准入标准和动态遴选机制，明确授权对象应具备相应的数据处理能力和安全管理水平，包括数据存储、传输、脱敏等方面的技术能力，以及完善的数据安全管理制度。并根据公共数据的不同类别，对申请授权的主体进行资质审查（技术设备、专业人才、信用记录、过往业绩等）与场景化技术评估（如高敏高数据需要求更严格的安全资质），以确保符合准入条件适配数据特性。

在遴选程序上，严格遵循《实施规范》第十二条“公开招标、邀请招标、谈判等公平竞争方式”，对潜在主体开展多维度能力评估，杜绝因资质不足导致资源滥用，同时参考地方实践差异细化动态监管细则，建立定期审查与风险预警结合的机制，对授权运营的合法性、合规性以及协议履行情况、数据安全措施等进行持续监督，对不达标主体实施整改或退出机制，平衡市场化效率与数据安全底线。

(三) 对授权协议示范文本进一步细化和标准化

为规范公共数据授权运营实践，可按照《实施规范》相关要求构建系统化、标准化的授权规范、制定协议示范文本体系。一是在框架设计上，落实《实施规范》第十四条关于关于数据范围、运营期限、安全保障等核心条款要求，并建立分类分级管理机制。针对医疗健康等高敏感数据，需严格执行隐私计算技术标准，落实全流程数据脱敏要求，建立使用轨迹区块链存证制度；对于交通出行等公共服务类数据，则应突出公益属性，设置优先使用条款。二是充分考虑地方实践差异，构建弹性适配机制，允许地方政府在基础框架内根据本地实际进行适度调整，可借鉴浙江省“分领域协议模板”的行业监管经验，参考上海市“负面清单”管理模式，形成“国家标准+地方特色”的协议架构。同时，建立覆盖数据全生命周期的安全管理体系，确保各环节风险可控。三是在制定程序上，坚持公开透明原则，通过专家论证、社会公示等程序广泛征求意见。同时，建立定期修订机制，及时吸纳地方创新实践和技术发展成果，定期（如每两年）组织一次示范文本的修订完善，确保协议文本与时俱进。通过前述措施，可构建起既坚持安全底线又鼓励创新发展的标准化协议体系，为公共数据要素市场化配置提供制度保障。

公共数据授权运营作为数据要素市场化的重要手段，其授权程序规范的法律争议与制度构建对实现公共数据的高效利用具有重要意义。随着《公共数据资源授权运营实施规范（试行）》的深入实施，相关制度设计仍需在实践中持续检验与调适。本文通过解构法律属性争议、剖析授权程序困境，并提出法治化路径仅为阶段性思考，仍存在诸多不足，期待业界同仁共同探讨、不吝指正。