广东公共数据安全管理办法征求意见，关注适老适残、自动化决策透明度

21世纪经济报道 记者郭美婷 实习生华锦 广州报道

日前，《广东省公共数据安全管理办法（征求意见稿）》（下称“征求意见稿”）公开征求意见。区别于去年11月正式实施的《广东省公共数据管理办法》，此次征求意见稿聚焦于公共数据安全，对收集、存储、加工等数据全生命周期提出安全要求，进一步规范数据处理行为。

其中，“适老适残等无障碍公共服务”体现了数据立法的人文关怀；“删除机制”确保数据安全；“自动化决策透明度”的问题也被予以了关注。

受访专家告诉21世纪经济报道记者，从广东本地的实践经验和实务需求，以及促进数据资源开发利用和保障数据安全平衡的角度而言，征求意见稿有其必要性和现实性，同时也为其他地方建立公共数据安全规范提供了借鉴。

公共数据安全的广东尝试

据悉，征求意见稿根据《网络安全法》《数据安全法》《个人信息保护法》《广东省公共数据管理办法》（下称《办法》）等相关法律、法规、规章的规定起草。其中，《办法》于去年11月25日正式实施，是广东首部省级层面关于公共数据管理的政府规章。

“此次征求意见稿与《办法》的思路和侧重点各有不同。”大成律师事务所高级合伙人邓志松向21世纪经济报道记者解释，后者是公共数据管理的一般性规范，安全保障仅为其中一章，作出了原则性规定。征求意见稿则着眼于数据安全这一重点，对《办法》中的原则性规定进行了明确和细化，按照数据全生命周期的思路为公共数据管理的各个环节设置了安全网，也进一步落实了《数据安全法》等法律法规中的制度要求。

世辉律师事务所合伙人王新锐也表示，《办法》主要是对全省政务数据管理工作进行系统性、统筹性的全面规范，通过对数据部门管理职责划分明确法律责任，解决数据汇聚难的问题。而征求意见稿则对收集、存储、加工等数据全生命周期提出安全要求，进一步规范数据处理行为。

目前，除广东外，江苏、浙江、山东、北京、武汉等多地均出台了公共数据的相关办法或条例，但是专门针对公共数据安全的地方性规章尚属少数。

多位受访专家告诉21世纪经济报道记者，征求意见稿起草的大背景是“十四五”规划纲要、网络强国、数字中国等一系列政策战略出台，以及《数据安全法》等法律法规陆续施行，加强数据安全保护本身就是贯彻国家政策法规的具体措施。

“《数据安全法》从数据分级分类保护制度，数据安全风险评估、报告、信息共享、监测预警机制，数据安全应急处置机制等角度，对地方提出了事前、事中、事后的多重安全要求，需要地方通过制定细则等方式予以落实。”邓志松表示，行政机关在督促市场主体做好合规的同时，自身也需在公共数据的安全管理中发挥表率作用。广东省此次率先起草征求意见稿，凸显了政府对于公共数据安全问题的重视，为其他地方建立公共数据安全规范提供借鉴。

北京师范大学互联网发展研究院院长助理、中国互联网协会研究中心副主任吴沈括补充，广东省作为数据资源开发利用，尤其是公共数据开发利用的先行区域，应用场景丰富，需求迫切。因此，从广东本地的实践经验和实务需求，以及促进数据资源开发利用和保障数据安全平衡的角度而言，征求意见稿有其必要性和现实性。“征求意见稿是总结形成广东经验的有益尝试，对于地方性公共数据安全管理具有突出的典型意义。”

提及适老适残等无障碍公共服务

此次征求意见稿共设置六章，囊括了基础制度体系、全生命周期数据安全管理、数据安全支撑保障、监督与法律责任等内容。

在吴沈括看来，它主要有三个亮点：其一是对于基础概念范畴的明确界定；其二是对公共数据处理的收集、使用、存储、提供等全生命周期提出安全要求；其三是从支撑保障的角度明确提出了一系列技术、组织和机制层面的要则。

值得注意的是，征求意见稿第七条专门提及适老适残等无障碍公共服务，要求公共管理和服务机构提供智能化公共服务，应当充分考虑老年人、残疾人等群体的需求，避免以数据安全为由对群众享受公共服务造成障碍。这与《数据安全法》第十五条规定相照应：“国家支持开发利用数据提升公共服务的智能化水平。提供智能化公共服务，应当充分考虑老年人、残疾人的需求，避免对老年人、残疾人的日常生活造成障碍。”

邓志松认为，征求意见稿第七条体现出对《数据安全法》上述条款的贯彻落实。“一刀切地进行数字化管理会给部分群众的生活造成很大困难，这在疫情期间也引发了很多争论和关注。这种‘适老性’规定体现了保障老年人、残疾人平等地享受公共服务的意旨，体现出我国数据立法人性化、具有人文关怀的一面。”

他表示，征求意见稿从安全的角度出发，对于数据主体的权益保障予以了更多关注。在公共数据流动中保护不同群体公平受益，应该贯穿于数据收集、储存、使用、传输、提供、公开等各个环节，在此后的规则制定中，或许也会出现体现这一意旨的条款。

王新锐指出，由于老年人、残疾人群体对政务管理数字化转型的不适应，可能无法很快地配合相关部门提供相关数据，适老适残条款主要针对此类情况，避免公共管理和服务机构以此为由拒绝向其提供公共服务。

“我国当前已经逐步进入老龄化时代，如何让全民都能享受到数字经济发展带来的红利，考验着执政者的智慧。广东省此举值得表扬和借鉴。数据需要以科技设备为一定载体才能充分体现，而科技设备的应用折射出人文法律关怀。”浙江垦丁律师事务所律师李晋沅说。

规定删除机制、自动化决策透明度

在基础制度体系上，征求意见稿明确数据分类分级规则，要求省公共数据主管部门牵头制定公共数据分类分级指南，各地市、行业增补本地、本领域公共数据分类分级规则，并对数据进行分级安全防护，设置纠错机制等。

同时，征求意见稿还规定了用数单位的删除机制，当公共数据处理目的已实现或满足其他删除条件，应当主动删除，否则，数源部门有权要求其限期删除。

李晋沅认为，删除机制能够有效地提高公共数据的利用效率，避免出现公共数据资源建设的重复和浪费，同时进一步提高数据安全。

“删除机制确保用数单位不得超职能范围使用公共数据，以及数据存储安全。”王新锐表示，用数单位的性质类似于数据接收方，数源部门类似于数据提供方。根据征求意见稿，在提供数据前，用数单位应当明确告知数源部门提供数据的范围、使用方式、时限、用途以及相应的安全保护措施、违约责任等。数源部门有权对用数单位的数据安全保护能力进行核实，必要时与用数单位签订单独的数据安全协议。

此外，在数据使用加工安全环节，征求意见稿特别指出，利用公共数据进行自动化决策的，应当保证决策的透明度和结果公平合理。

邓志松表示，作为公众广泛讨论、立法者密切关注的问题之一，自动化决策和算法规制在《个人信息保护法》等相关法律法规，特别是今年1月刚刚颁布的《互联网信息服务算法推荐管理规定》中，均有规定。然而，这些规制主要针对的都是市场主体，政府自动化决策的问题在我国得到的讨论和关注并不多。实际上，国外针对政府自动化决策规制问题已经出现了立法和司法的先例。

“此次征求意见稿对公权力机关使用公共数据进行自动化决策的透明度和公平性问题予以了关注，或许在未来，我国也会出现围绕这一问题的实践。”邓志松预测。

未来需进一步制定细则

尽管征求意见稿针对公共数据安全作出专门性规定，但其中的具体规定仍然较为原则性。邓志松坦言，《数据安全法》对行政机关提出的多类制度要求在征求意见稿中都有涉及，但要如何具体落实仍不明确，可能需要通过进一步地制定细则来予以落实。

以第十四条为例，规定数源部门开展公共数据收集活动时，应当明确收集的目的、范围、用途、渠道等，保证公共数据收集合法、正当，应当采取必要的安全管控措施，确保环境、设施、人员等安全可控。“对于企业如何在经营管理中落实合法正当收集个人信息，获取个人同意等要求，目前已经有了较多实践。但政府部门如何落实这一规定，仍有待考察。”邓志松解释。 

吴沈括则认为，如何清晰界定全生命周期数据安全中各主体的权利义务，如何通过合同协议、技术工具（如数据处理平台）的建设，可能是推动征求意见稿的未来落地的较大挑战。实际上，这是对当地公共数据流转、利用生态的一次深度改造，一次全局性的调整，各相关方都应积极参与。

他建议，要提高公共数据开发利用安全水平，一方面要做好公共数据的盘点，另一方面，公共数据资源流转、利用规则的细化，还要进一步嵌入到具体的业务场景中。同时，建立一个实时在线、高效聚焦、及时响应、反应灵敏的一个监管体系，保持监管的实时在线，保证各方义务、责任能够得到及时的落实和体现。