我国公共数据授权运营实践根植于国内智慧政府构建和数字经济蓬勃发展。然而，扩张后的公共数据授权运营实践中涌现出一系列亟待解决的问题，如对授权对象和被授权主体的界定模糊、责任承担机制缺失等。因此，亟须构建完善的法律框架和制度体系，以支撑公共数据授权运营的健康发展。

1.公共数据概念不清

“数据二十条”第4条只是对公共数据进行了宏观定义，公共数据概念的具体内涵尚需厘清，如“各级党政机关、企事业单位”能否涵盖产出公共数据的全部主体，“依法履职或提供公共服务过程中产生的数据”若包含个人信息甚至私密信息，对其应如何处理等问题均存在模糊之处。具体而言，公共数据概念的外延与内涵仍含糊不清。

一是公共数据概念外延模糊。公共数据概念外延的拓展显著被政策所驱动，内在逻辑是功利主义视角下“所有利益相关的人的最大幸福”，其外延模糊主要体现为各地规范性文件对公共数据来源主体规定的差异。如《成都市公共数据管理应用规定》第2条限缩来源主体为“政务部门”，《浙江省公共数据条例》第3条第1款定义来源主体为“公共管理和服务机构”，《北京市公共数据管理办法》第2条甚至弱化了来源主体而采用极为宽泛的定义。总体而言，公共数据概念的外延呈现扩张趋势，且不同地区规定差异较大。然而，这种扩展并非对概念外延的简单延展，而是在本质上“将‘公共数据’与‘具有公共价值的数据’相混同”。

二是公共数据概念内涵模糊。公共数据内涵问题主要表现为公共利益与个人信息权益的冲突。公权力机关基于《中华人民共和国民法典》第1036条、个人信息保护法第13条“公共利益条款”，在依法履职过程中收集个人信息构成数据池（data pool），数据池构成公共数据的一部分。然而，现阶段如何处理公共数据中的个人信息是厘清公共数据概念内涵的最大挑战。为了追求精准服务和治理，一些公共部门可能在数据收集中违背个人信息保护法第6条的“最小必要原则”，如学校对学生家庭信息的过度收集。同时，公共数据流通过程中个人信息的泄露问题同样不容小觑，如2023年9月上海市政府部门委托的某技术承包商违规测试政府数据导致大量公民数据泄露。在公共数据授权运营中，固然“以联邦学习为主的隐私计算技术以‘数据可用不可见’的特性，有效平衡了公共数据在开放共享和个人信息安全保护之间的价值冲突”，然而技术手段难以有效消弭匿名信息中的“剩余风险”。如何消解公共数据授权运营中个人信息权益风险依旧是现阶段亟需解决的难题。

2.被授权主体范围不明

公共数据授权运营的法律关系复杂，现阶段亦无明确政策文件对被授权主体应具备何种资格作出规定，这就产生了被授权主体范围不明之问题。需要说明的是，国有资本运营公司方式下，以公共管理和服务机构为整体向国有资本运营公司授权，被授权者通常具有唯一性，市场化程度较弱且公权力机关介入公司治理，无须讨论被授权者的资格问题。而特许经营方式则更偏重市场模式，政府行使“公共资源托管者”的权力，在市场经济语境下对经营者进行筛选。因此，本节聚焦特许经营方式下被授权主体资格问题。

在公共数据授权运营的生态系统中，被授权主体的重要性不言而喻。以公司形式存在的运营机构负责公共数据的实际处理与对外供给，在运营过程中，其兼有确保数据安全、数据处理与提供数据服务之能，可以“弥补公共数据资产化的环节空缺”。由此，公共数据方可转化为具有商业价值的数据产品和服务。此外，公共数据授权运营的实施将挑战传统公共部门的数据优势地位，被授权主体取得授权的过程即为公共部门让渡部分权限的过程。因此，以限制被授权主体数量、适度进行行政和技术干预等手段限缩被授权主体范围从而确保运营的合规性和有效性尤为重要。然而，现阶段公共数据授权运营实践中被授权主体的资格规制缺位，大部分地方公共数据授权运营制度缺乏对被授权主体资格方面的限制。特许经营方式本就面临公共利益和私营利益的冲突，存在诱发数据安全风险的可能，被授权主体资格不明必然导致以下问题：一是公私目标冲突导致被授权的市场主体对公共数据非法采集和过度开发。若对被授权者的资格不进行严格限制，被授权者可能出于利益最大化的考虑，泄露、滥用或出卖数据信息。二是被授权者能力不足致使公共数据资源难以被有效开发。被授权者需要经过严格审查以确保其拥有将公共数据开发成为数据产品和服务的能力，若非如此可能会导致公共数据资源被浪费，甚至出现被授权者成为数据中介进而削弱政府公信力的极端状况。

公共数据授权运营制度本身的属性，使其处于功利主义视角的最大化开发市场观念与公共利益视角的开发公共资源观念的“拉扯”之中。一方面，应最大程度开发公共数据价值与激发数据要素市场活力；另一方面，作为一种限制性开发利用方式，理应对被授权主体资格进行筛选。因此，须对公共数据授权运营主体范围进行明确限制，在允许其获得经济效益的同时保证公共数据之价值得到有效开发。

3.责任承担机制不明

公共数据授权运营侵权语境下的责任承担机制存在模糊之处。国有资本运营公司方式下法律关系相对简单，政府部门与被授权主体之间呈现“点对点”形态，此时可以适用《中华人民共和国公司法》相关规定加以规制。特许经营方式下法律关系复杂，政府自身受到资金、技术等方面限制，授权市场主体进行数据资源开发利用，就不可避免地使运营系统的建设、维护受到授权企业直接或者间接的影响。公共部门和企业共同进行数据处理使得追责更加复杂，但被授权企业自身并非行政主体，一旦出现纠纷，责任将难以确认。产出的公共数据产品或服务侵害了第三人的合法权益，对授权主体与被授权主体应如何追责？在双方过错程度不同时是否存在不同的责任承担路径？此中疑问，难成定论。职是之故，本段所述“授权运营”特指公共数据授权运营的特许经营方式。

与传统公共数据开放不同，授权运营下政企合作模式可能导致“原有的单一政府责任承担方式转换为政府与企业二元主体责任承担方式”。政府部门通过许可协议将公共数据的市场经营权授予企业主要是基于权利义务相一致原则，这是由于授权开发利用公共数据的行为责任有其特殊性，具体表现为两个方面：一方面，责任形态显著多样。这种多样性源于数据产品和服务的复杂本质，它们作为授权运营的直接产出，涉及多个维度的责任考量。一是数据供给责任，它直接关系数据产品或服务的质量，其优劣取决于所依赖的原始数据资料的准确性和完整性；二是数据开发责任，由于数据产品或服务的开发通常委托给被授权企业，这一过程往往涉及多个不透明的环节和复杂的数据流转，从而增加了责任界定的难度。另一方面，数据开发利用过程中的责任界分模糊。传统行政行为通常遵循明确的“行为→结果→责任”逻辑链条，而授权运营则不然，其责任产生的环节往往难以直接追踪和明确。例如，在数据产品侵犯第三人个人信息权益的案例中，责任可能源于原始公共数据本身的侵权内容，也可能源于被授权主体在开发过程中的不当操作，或两者兼有。现有政策文件和地方实践难以给出清晰普适的责任界定框架，因此，需要构建更加合理有效的授权运营责任界定机制。

在法律法规缺位、立法标准不一的情势下，亟须建立“数据收集—数据登记—数据授权—数据流通”的标准化流程，以激发公共数据要素活力，为日后公共数据授权运营做好充分准备

1.明确可授权公共数据范围

明确可授权公共数据的具体范围，公共数据外延内涵的模糊问题自然迎刃而解。需要对数据收集阶段与数据登记阶段相关主体的权利义务关系加以明确，以确保可授权公共数据范围的清晰化、标准化、流程化。

一是数据收集阶段。应当课以公共部门数据安全保障义务，对公共数据进行分级分类处理，以明确可授权公共数据的外延，避免与其他数据产生混淆，如《浙江省公共数据条例》第28条规定的“根据国家和省有关公共数据分类分级要求，组织编制全省公共数据开放目录”。可以借鉴我国发展较为成熟的公共数据开放制度，将公共数据分为禁止开放类数据、有条件开放类数据和无条件开放类数据。禁止开放类数据一般情况下不得授权运营，无条件开放类数据一般通过政府数据免费开放，无须对这类数据开展授权运营。通常可授权运营的数据属于有条件开放类型。应当在分类的基础上推进国家立法工作，对禁止授权运营的具体公共数据类型作出统一规定。英国开放政府许可（Open Government Licence）、美国知识共享CC许可（Creative Commons licenses）均有类似规定，其通过制定详细的公共数据分级分类清单，明确公共部门收集数据的范围和具体内容。