公共数据使用者注意义务研究

杨忠 易磊

1 引言

在2020年的蚂蚁金服集团、蚂蚁微贷公司诉朗动公司商业诋毁及不正当竞争一案中，我国法院首次提出公共数据使用者注意义务，认为使用公共数据应遵守基本的注意义务，避免不当使用公共数据给数据原始主体带来利益损害[1]。虽然该案并没有进一步解释注意义务的概念、主体范围等问题，但却引发了公共数据使用者对其在使用公共数据过程中应尽哪些注意义务及其履行程度等问题的关注。

通常认为，注意义务是一项要求行为人避免危害的结果发生作为或不作为的义务，其核心在于要求行为人在行为之时合理预见可能的危险，并采取适当措施予以避免[2]。危险控制理论、信赖关系理论、成本效益理论为注意义务形成的基本理论依据，危险控制理论用于解释危险开启行为人负有防止危险发生注意义务的正当性，信赖关系理论用于确定该行为人在危险活动中所负注意义务的程度，成本效益理论用于判断违反注意义务责任分担的合理性[3]201-210。制定法并非注意义务产生的唯一依据，合同、技术规范、习惯等都可能成为其依据[4]。虽然《民法典》《数据安全法》《个人信息保护法》等有关数据方面的法律法规以及《浙江省公共数据条例》《广东省公共数据管理办法》等地方规范性文件对数据处理活动的一般性要求已作出规定，但均未明确提及并细化公共数据使用过程中的注意义务。

与之相同的是，我国学术界对该问题的关注也不够。目前学界对“注意义务”的研究集中在刑法、民商法、公司法、知识产权法领域，具体围绕过失犯罪[5]、侵权责任[6]、公司管理[7]、版权保护[8]等领域展开，有关“公共数据”的研究主要聚焦于公共数据的价值和内涵[9]、法律构造[10]、权利归属[11]、治理机制[12]、开放和利用[13]等主题。尽管这些研究丰富了“注意义务”和“公共数据”的认识，但还无法准确回答何为公共数据使用者的注意义务。

综上可知，关于公共数据使用者注意义务的研究刚刚起步，不仅缺乏对该义务基本理论问题的回答，也未构建起该义务的内容体系。有鉴于此，本文拟从“公共数据使用者注意义务正当性”“公共数据使用者的主体要件认定”“公共数据使用者违反注意义务的法律责任和履行”方面进行探讨，以期为规范使用公共数据行为提供指导建议。

2 公共数据使用者承担注意义务的正当性

2.1 契合公共数据开放制度的初衷

自2014年起，我国先后在贵州、北京、上海等多地设立数据交易机构，为数据交易提供规范化的交易场所和相关服务。然而，6年后的一份调查显示，在数据机构进行的数据交易较少，各地数据交易机构的运营发展未能达到预期目标，主要原因之一在于缺少可以交易的数据[14]。数据企业通常将数据视为其商业核心竞争优势，不愿意共享或出售其掌握的数据，以防数据流入竞争对手手中，而削弱其市场地位和盈利能力。由于数据交易存在阿罗信息悖论[15]，短时间内难以驱动“垄断型”数据企业自愿参与数据流通与交易。然而，公共数据是数据开发和利用中的“富矿”，如浙江2021年底已归集838.5亿余条公共数据[16]，广东累计汇聚政务数据285亿条[17]，贵州省2020年政务数据存储达到1387TB[18]。相较市场主体而言，公共机构开放其掌控的大量优质公共数据，在探索数据利用规则的同时，既有利于政府数字化转型，还可激活数据要素市场。因此，在发展数字经济过程中，公共数据被赋予了特定的社会期待。我国通过相继出台《促进大数据发展行动纲要》等引导性、倾斜性政策，要求公共机构推动公共数据资源开放共享和流通使用，以释放优质的公共数据进入市场。

当公共数据高频流动时，其安全风险兑现概率随之增加。无序化公共数据使用将增加公共数据开放制度的安全风险，如公共数据使用者疏于管理，将原始公共数据向市场开放；又如，市场主体占用公共数据服务平台的网络带宽，增加公共数据平台服务器的处理压力。《关于构建数据基础制度更好发挥数据要素作用的意见》提出“原始数据不出域、数据可用不可见。严格管控未依法依规公开的原始公共数据直接进入市场”的刚性要求便揭示出公共数据开放和利用中存在不可忽视的伴生风险。可见，公共数据开放在增加市场中可被利用的数据资源的同时，需实现公共数据使用和安全之间的平衡。公共数据使用者具备控制公共数据使用过程中风险的能力，有必要规范其公共数据使用行为。同时，在数据安全法律法规体系中，存在诸多基于保护他人合法利益、公共利益和国家安全的目的，要求行为人实施各种行为以避免危险结果的规定，这些规定构成公共数据使用者法定注意义务的基础。可以预见的是，随着越来越多领域内的公共数据开放和利用，新型大数据的商业模式将不断出现，市场主体间的竞争也将愈发激烈。数据要素市场化的有序发展离不开数据使用者行为的规范化，这就要求公共数据使用者遵循相应行为准则，以避免出现破坏数据要素市场秩序的公共数据使用行为。

2.2 符合公共数据的特殊性

公共数据与其他数据相同，均具有无形性和非排他性，但又有其特殊性。对发展数字经济而言，数据质量具有重要地位，数据质量的高低是决定其能否有效支持组织的日常运作和决策的重要前提。若数据出现残缺不全、不一致、重复等现象，利用该类数据得出结论的可靠性不高。但对公共数据而言，“数据丰富，信息贫乏”问题不会出现。公共数据一般是各级党政机关、企事业单位依法履职或提供公共服务过程中产生的数据，其生成和归集过程比其他数据更加完整和规范，“垃圾”数据流入公共数据池的情况较少。并且为督促政府部门重视数据质量，我国《数据安全法》第37条要求政务数据质量满足科学性、准确性和时效性的要求。政府背书与规范化管理创造了公共数据的可信机制，提升了公共数据的质量。加之公共管理和服务机构多样性，公共数据呈现出广来源、大体量、多门类、快增速等特点，其规模远非其他数据可比拟。可见，公共数据在质量和数量上都有着重要优势。

统筹数据安全与发展是我国数据安全法律法规的重要基本原则，这要求对不同数据采取不同的管控措施，以应对数据大规模流通处理下数据安全风险，兼顾数据安全保障和数据开发利用的双重需求。注意义务的基本理论认为，注意的程度主要受社会进步的要求和危害结果发生大小与危险发生可能性的影响，即某领域中存在的风险越大，则该领域中相关人员负有更高注意义务；某行为的风险性越大，危害结果发生的可能性越大，则该行为人注意的程度就越高[19]。释放公共数据可以更好地助力高质量数字经济发展，但从安全角度来看，数据质量与数据安全风险程度呈相关性。同数量级情况下，低质量数据泄露造成的损害将低于高质量数据。加之我国地方性法规认为，公共数据可能包括像商业秘密、个人隐私、互联网数据、交通资源数据、空气污染数据等对数据安全和处理能力要求较高、时效性较强或者需要持续获取的数据类型。尤其是公共数据与政府数据、个人数据和商业秘密有千丝万缕联系的情况下，不当使用公共数据引发的数据安全风险将高于使用个人数据或者企业数据。使用公共数据行为开启了风险，故而公共数据使用者负有采取必要措施将风险控制在合理范围内的义务。若不严格把控公共数据开放和规范公共数据利用，就可能动摇公共数据的信任机制，甚至导致某些人群权益受到侵犯。我国就曾发生贝尔塔公司对裁判文书再利用，侵犯其中相关主体个人信息权益的事件。基于公共数据的特殊性，公共数据使用者应尽更高的注意义务。

2.3 基于权利与义务相对的内在要求

公共数据开放在某种程度上承载着政府对市场释放公共数据价值的期待，所以其分配方式不同于物理性自然资源的竞争模式，而是强调平等获取、公平利用[20]。因此，任何公民都享有使用和获取公共数据的权益。《公共信息资源开放试点工作方案》等国家文件明确提出，要积极营造全社会广泛参与和开发利用公共数据资源的良好氛围；《浙江省公共数据条例》等地方性法规规定，公共数据利用主体享有获取使用无条件开放公共数据的权利，满足特定条件后享有获取使用受限开放的公共数据的权利。但在这个过程中，具有市场、技术、数据、算力等优势的公共数据使用者可进一步发挥其优势，滥用公共数据公平利用权去跨界影响其他相关市场主体，进而削弱数字经济发展的公平性和可持续性。此时，这类主体打破传统“公权力—私权利”的二元结构，使公共数据开放利用生态演变成“公权力—私权力—私权利”的三元结构。如滴滴公司作为一个数据驱动的出行服务平台，其通过对交通出行领域公共数据的收集、处理和分析所形成的交通出行数据，可以帮助政府部门进行交通规划和管理，影响城市规划等领域的决策。

权利与义务既相互依赖又互相转化，承担一定的义务是他人权利得以实现的前提，而行使自己的权利必须以他人履行义务为基础[3]92。当公共数据使用者享有的公共数据权利演变为带有公权特性的“软权力”后，更加有了承担一定公共义务的必要。在前资本主义时期，权力受制约表现为来自神灵的制约、来自社会的制约以及来自权力内部的制约；在近现代，权力受制约体现为权力间的理性设计、权利制约权力的理性设计以及通过责任的制约[21]。我国立法者已经充分认识到数据使用者对社会关系有着重大的影响，公民在与数据处理者的社会关系中处于弱势地位，所以未通过赋予用户权利以制约公共数据使用者权力的方式，而是要求数据使用者必须履行《个人信息保护法》《网络安全法》《数据安全法》等数据法律法规中的强制性规范。然而，通过权力制约软权力的方式容易受客观条件限制，毕竟稀缺的执法资源与繁重的执法负荷一直是数据安全监督的刚性约束和重要障碍。公共数据使用者往往不会关心社会福祉，其在追求利益的过程中，如果没有强制性义务的分配，很可能引发公共问题。于是，公共数据使用者一方面引起了公共数据中的危险，另一方面可从中获益。基于利益与风险相一致的原则，同时为维护公共数据生态系统秩序和节省执法资源，立法者有必要通过义务度量机制来分配和平衡公共数据使用者权利的行使，从而协调社会关系。

3 公共数据使用注意义务的主体要件

3.1 公共机构作为注意义务主体的形式判断要件

公共机构在现行地方立法中存在广义和狭义两种界定，狭义的公共机构仅指政府，广义上除政府之外还包括公益事业和公用事业机构[22]。判断公共机构是否负有公共数据使用的注意义务，“公共数据”和“使用”是关键要素。目前，我国国家立法尚未对“公共数据”的概念作出明确界定，贵州、浙江、江苏、上海、湖南等省市地方性法规对公共数据概念的定义略有不同，但基本认为，公共数据是公共管理和服务机构在依法履行职责或者提供公共服务过程中收集、产生的数据。由此可知，“公共机构”和“履行职责”是公共数据定义中的两个基本要素。然而，不能据此认定公共机构都是公共数据使用者。

数据从形成到消亡的生命周期包括生成、传输、存储、使用和删除五个阶段，与之相应，《数据安全法》《个人信息保护法》也形成了对数据全生命周期的规定。如《数据安全法》第3条第2款规定：“数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等。”可见，数据使用不同于数据收集、存储等。在地方公共数据授权运营实践中，存在将公共机构进一步细分为收集者、使用者和管理者的做法。如《广东省公共数据管理办法》第14条规定，法定采集公共数据的部门，或者经依法授权具有管理公共事务职能的组织，不能随意超越法定职权范围或者重复采集已有公共数据。因此，法定采集公共数据的部门就不能视为公共数据使用者。此外，《江苏省公共数据管理办法》与《广东省公共数据管理办法》均区分管理公共数据的机构与使用公共数据的机构。根据《江苏省公共数据管理办法》第11条与《广东省公共数据管理办法》第22条规定，公共数据主管部门作为管理公共数据的职责单位，公共管理和服务机构是负责提供符合质量标准的公共数据单位。也就是说，公共管理和服务机构是生产和归集公共数据的重要机构，不当然享有使用公共数据的权力。若公共管理和服务机构想使用公共数据，还需经公共数据运行管理机构审查，获其批准后才能够接触并使用公共数据。《上海市数据条例》虽然没有采取类似江苏的做法，但规定公共管理和服务机构运行过程中产生的数据资源应向大数据资源平台归集，若公共管理和服务机构之间想要共享数据，还应通过大数据资源平台进行，并且这些公共数据不属于市政府办公厅所列的负面清单范围。综上可知，判断公共机构是否为公共数据使用者，往往要考察其向管理公共数据部门或者公共数据开放资源平台提出使用公共数据申请并获得批准。

3.2 非公共机构作为注意义务主体的形式判断要件

非公共机构主要包括市场主体、其他法人或者非法人组织、公民个人等，但若他们使用的不是公共数据，而是企业数据或个人数据，显然无需承担注意义务。因此，判断非公共机构是否构成公共数据使用者，仍离不开公共数据的概念认知。在蚂蚁金服诉企查查案中，法院将全国企业信用公示系统中的数据视为公共数据。国际开放知识基金会认为，必须满足开放许可、免费访问以及开放格式标准，才能视为开放数据意义上的开放[23]，欧盟法中的开放数据更多是指开放政府数据，即指由公共机构收集、制作或支付的信息（也称为公共部门信息）[24]。然而，我国地方性政府实践对公共数据的认识与上述理解存在差异。

现行地方立法在将各级党政机关、企事业单位依法履职或提供公共服务过程中产生的数据界定为公共数据的基础上，进一步规定须制定公共数据目录，并将公共数据分为不予开放、有条件开放和无条件开放三类。在此背景下，非公共机构若想使用公共数据，往往需登录当地公共数据平台直接获取或者通过申请获取，如《上海市公共数据开放实施细则》第17条和第18条规定，对于无条件开放类数据，通过公共数据开放平台以数据下载或者接口调用的方式直接获取；对于受限开放类数据，需通过开放平台提交开放申请。《浙江省公共数据条例》第35条规定，政府可以委托法人或者非法人组织运营公共数据，但受委托者应当依托公共数据平台对授权运营的公共数据进行加工。可见，委托也是非公共机构成为公共数据使用者的方式之一。因此，使用互联网公开的数据，不一定就是公共数据使用者。判断非公共机构是否是公共数据使用者，需在程序上判断该机构是否有政府部门的委托可以使用公共数据，或者是否通过公共数据平台获取，或者是否向数据管理部门、数据运营机构申请并获得相应的公共数据。

3.3 成立注意义务的实质判断要件

需要进一步讨论的是，如行为人使用无条件开放的公共数据，却发生了对公共利益造成重大影响的后果；又如，行为人不知使用的是公共数据情形下，发生了损害后果。那么，行为人是否需要对该损害的后果承担因违反注意义务的法律责任，即行为人是否负有避免上述危害后果发生的注意义务。在司法实践中，法官判断使用者是否应承担违反注意义务的法律责任，首先要确定的是行为人是否负有注意义务。如果没有，法官则不能判断行为人是否违反注意义务。为避免出现义务主体泛化，有必要给出判断成立公共数据使用者注意义务的方法。根据注意义务的一般性理论，行为人对行为的危险的可预见、可预见的危险与行为人的邻近程度和公共政策的评价，三者共同构成判断注意义务是否成立的关键[25]。

可预见性是指只有行为后果可预见情况下才有可能采取避免措施，而未能采取避免措施的行为才具备可责性。一般情况下，行为人预见危险的能力是相同的，但行为的危险性不同，越是危险的行为，行为人越是可以预见[26]。不可预见的损害在法律上定性为不可抗力，非人力可以减少，因而法律规定，行为人因不可抗力导致无法履行义务的，一般不承担责任。因此，预见的可能性构成判断成立公共数据使用注意义务的前提条件。若公共数据使用者根据其已知的知识和普遍性经验，能够预见其对公共数据利用的行为可能对公共数据安全利用秩序产生不良影响，则公共数据使用者负有避免该行为引发危险后果的义务。也就是说，该公共数据使用者可预见其行为的危险后果，就可以认为其具有避免该结果发生的能力。对于无法预见的危险后果，行为人不负有避免其发生的注意义务。

考虑到公共数据使用者的行为自由，并非所有可以预见的危险行为都会引发注意义务，还须考虑危险行为与公共数据使用者之间的关系程度。如果公共数据使用者与危险行为之间的邻近程度高，那么其在利用过程中应当负有更高标准的注意义务。即不应将所有的可预见危险都视为构成认定注意义务的条件，否则可能会因为注意义务认定的扩张而限制公共数据使用行为的相对自由。例如公共数据授权运营主体已采取多种安全措施保障规范化进行公共数据授权运营，但若因被授权运营主体原因导致公共数据安全事故，则公共数据授权运营主体与该事故的相邻程度低，不对此承担违反注意义务的法律责任。

公共政策的评价是考虑法律之外的因素，其不具有一般性的性质，主要是基于包括对危害后果的性质和程度、受害人的合理预期等社会环境要素考量后得出的结论。根据公共政策评价，要求公共数据使用者对其某项公共数据使用行为负有注意义务不能过于苛刻。比如，若公共数据使用者利用公交车运行时间、路线、票价等公共交通数据开发免费软件向公众提供出行服务查询，而由于其未及时更新数据、核实数据的来源和真实性造成用户出行失误的损害，该公共数据使用者对此不负有责任。

4 公共数据使用者违反注意义务的责任

4.1 认定违反注意义务的依据与责任类型

诚如上述，公共数据使用属于《数据安全法》调整的数据处理行为，《个人信息保护法》同时规范非公共机构处理个人信息的行为和国家机关处理个人信息的活动，因而，公共数据使用须遵守我国数据法律法规的规定。具体而言，公共机构和非公共机构不仅需要遵守《数据安全法》《个人信息保护法》《网络安全法》等法律，还须遵守相关司法解释、行政法规、地方性法规、部门规章、强制性标准等。此外，地方性法规细化使用公共数据的行为规范，如使用公共数据需在特定公共数据平台申请，或经过地方性政府授权等规定，这些均要求使用公共数据必须程序合法。

除强制性法律规定外，为最大限度地释放公共数据开放的价值，我国正在探索公共数据授权运营模式。该模式可概括为，政府按照法定程序，在明确数据利用条件、用途、期限的前提下，和特定主体签署加工使用协议，授权其一定期限内对公共数据进行加工处理[27]。协议作为注意义务的根据之一，已为我国广泛认可。根据《民法典》第509条规定，当事人应当按照约定全面履行自己的义务，应当遵循诚信原则，履行通知、协助、保密等义务。上述条文中的“义务”就包括合同产生的主要义务和合同衍生的注意义务。如在现实生活中，旅店对与其存在住宿合同关系的旅客除负有提供住宿的主合同义务外，还负有保障旅客人身安全的注意义务。当政府与非政府主体之间形成法律上合作关系或者委任关系等时，对这种关系就有了课以注意义务的必要。需要注意的是，政府与非政府主体所负有的注意义务并非协议所规定的主要合同义务，而是基于诚实信用原则而产生。但由于使用公共数据能够对其他主体产生影响，甚至关系社会秩序和公共权益，因此义务范围已经超越诚实信用原则的范围，还具有保护他人、维护公共利益和国家安全等义务。

法律责任在性质上可以分为民事责任、行政责任与刑事责任。目前，数据涉及的刑事责任是《刑法》第253条规定的“侵犯公民个人信息罪”、第285条规定的“非法获取计算机信息系统数据罪”，以及《数据安全法》第45条第2款规定的“违反国家核心数据管理制度”入罪情形。行为人对注意义务的违反，是行为人的一种过失，即不注意[28]，而侵犯公民个人信息罪和非法获取计算机信息系统数据罪的主观方面要求行为人为故意。另外，公共数据开放制度不适用于国家核心数据的管理。因此，公共数据使用者违反注意义务将主要承担民事责任与行政责任。

4.2 民事责任在违反注意义务中的适用

民事责任是民事主体因不履行或不完全履行民事义务所应该承担的民法上的不利后果。《网络安全法》第74条第1款和《数据安全法》第52条均明确规定，违反本法规定，给他人造成损害的，依法承担民事责任。我国《民法典》第179条规定的民事责任有以下11种：（1）停止侵害；（2）排除妨碍；（3）消除危险；（4）返还财产；（5）恢复原状；（6）修理、重作、更换；（7）继续履行；（8）赔偿损失；（9）支付违约金；（10）消除影响、恢复名誉；（11）赔礼道歉。但《民法典》第179条规定的责任承担方式不能完全适用于公共数据使用者违反注意义务之中。

目前，我国法律没有明确数据所有权，因而，针对物权的返还财产和恢复原状就不适用于公共数据使用者违反注意义务情形。修理、重作、更换等方式属于违约责任的形式，其中，修理和更换主要是买卖合同中因出卖人违反瑕疵担保义务的责任承担方式，重作主要是承揽合同中的责任承担方式[29]。因此，修理、重作、更换不能作为公共数据使用者违反公共数据授权运营协议的责任承担形式。在现实生活中，公共数据使用者违反注意义务最可能侵犯的是信息主体个人信息权益、他人商业秘密以及违反公共数据授权运营协议。具体而言，倘若违反注意义务导致自然人个人信息权益受损，根据《民法典》第995条，公共数据使用者可能承担停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉的法律责任；倘若违反注意义务行为导致他人商业秘密泄露，根据《民法典》第1167条，公共数据使用者可能承担停止侵害、排除妨碍、消除危险等侵权责任；倘若违反公共数据授权运营协议的注意义务，根据《民法典》第577条，公共数据使用者对此须承担损害赔偿责任。在违反注意义务行为致使个人信息权益或者商业秘密受损的情形中，过错对于认定公共数据使用者是否承担损害赔偿责任具有重要地位。即便违反注意义务侵犯了个人信息权益或者他人商业秘密，但公共数据使用者能证明自己没有过错，根据《个人信息保护法》第69条与《民法典》第1165条，公共数据使用者对此可不承担损害赔偿责任。

4.3 行政责任在违反注意义务中的适用

行政责任作为行政主体因违法行政而在行政法上应承担的法律责任，其与行政相对人在行政法上应承担的法律责任共同构成行政法律责任制度[30]。若非公共机构不履行法定注意义务，行政机关将综合考虑其行为的事实、性质、情节以及社会危害程度，要求其承担公法中的一般性违法责任。依据强制性程度，行政机关所采取的行政措施可以分为非强制性与强制性行政措施。建议、辅导、示范、公示、约谈等属于非强制性手段，如《网络安全法》第56条规定，有关部门在履行监管职责时，发现网络存在较大安全风险或者发生安全事件的，可以按照规定的权限和程序约谈该网络运营者的法定代表人或者主要负责人；《数据安全法》第45条规定，有关主管部门可对开展数据处理活动的组织、个人不履行数据安全保护义务的行为人责令改正，给予警告。针对情节严重、造成危害后果的违法行为，《行政处罚法》第9条规定了5种行政处罚。根据《网络安全法》和《数据安全法》规定，行政机关对行为人可作出包括罚款、没收违法所得、责令停止违法行为、行政警告、吊销许可证、暂扣或者吊销资格证书等处罚。

公共机构违反注意义务，公共机构及其工作人员将可能承担行政责任。《数据安全法》第49条规定，国家机关不履行数据安全保护义务的，对直接负责的主管人员和其他直接责任人员依法给予处分。《浙江省公共数据条例》第48条和《江西省公共数据管理办法》第62条规定，行政机关及其工作人员在公共数据发展和管理工作中，如不履行或者不正确履行数据安全保护义务，或者存在泄露、出售或者非法向他人提供隐私、个人信息、商业秘密或者其他应当保密的信息等玩忽职守、滥用职权、徇私舞弊行为的，由有权机关对负有责任的领导人员和直接责任人员依法给予处理。

值得注意的是，公共机构往往担忧将公共数据开放后，数据使用者不当使用公共数据而造成危害后果，其将承担行政责任。然而使用公共数据必然伴随数据安全风险，且风险不可能完全被消除。在社会生活中的某些场合中，应当对他人的行为给予信任，相信他人的行为能对自己的安全和正常活动予以保障，所以在符合信赖原则情形下，行为所制造的风险被允许[31]，因此法律允许一定的风险。其法理依据在于，行为人遵守相关规则并履行一定义务后，信赖他人会进行适当的行为，因而行为人对他人行为侵害法益的结果，也应当否定行为人的过失[32]。比如药剂师应当信任医生处方的正确性，对于医生的处方药造成病人损害的情形，药剂师不应当承担过失责任。尽管公共数据授权运营主体能够预见被授权主体使用公共数据行为将伴随一定危险，但相较被授权主体而言，公共数据授权运营主体与风险之间不具备更高的相邻性，并且公共数据授权运营主体客观上无法控制被授权运营主体使用公共数据行为中的伴生风险。基于统筹数据安全与促进数据发展的政策考虑，一方面应当允许这种风险的存在，另一方面需要对公共数据授权运营主体予以包容。

5 注意义务的合理限度和履行原则

5.1 注意义务的合理限度

公共数据使用者履行注意义务旨在确保数据使用者在使用公共数据的过程中不会因其疏忽或过失而损害国家利益、公共利益以及他人的合法权益。但义务的履行既有先后也有限度[33]，无限度地提高公共数据使用者注意义务的水平，将损害其行为自由，不利于数据要素市场建设。因而，公共数据使用者的注意义务有其合理的限度。

一是成本限度。数据使用者在使用公共数据时，需要采取一定的措施以保障数据的安全性、完整性和可用性。然而不同等级的公共数据的安全要求不一样，如浙江省级地方标准《数字化改革 公共数据分类分级指南》将公共数据的安全级别分为4级，公共数据的等级越高，数据使用者为保障其安全所承担的成本就会越高。可以肯定，在使用公共数据导致危害后果的情形中，不作为的公共数据使用者要承担相应的责任。但在实际情况中，一些个人或小型企业的经济能力有限，往往难以对每一条数据都进行详尽核实和审慎处理，需要考虑安全成本和利润之间的平衡。如果过度投入安全成本，可能会影响企业的经营效益和发展空间，甚至造成不必要的资源浪费。当然，如果投入不足，可能会增加企业遭遇数据泄露事件的风险和损失。加之很难量化数据安全措施所取得的效果，安全是攻防之间的动态博弈，没有数据安全事故，也可能是因为没有遭受攻击。就此而言，判断注意义务的合理限度范围需结合我国强制性规定考虑公共数据使用者经济能力的差异，不应过分追求完美，普通的信息偏差应当允许其通过事后修正的方式予以救济。

二是技术限度。随着信息技术的不断发展，公共数据使用者可以采取加密备份、数据沙箱、数据水印、防火墙等各种越来越多的技术手段来保护数据安全。然而，技术手段并非能万无一失地保障数据安全，它们可能会遭受各种攻击和漏洞的威胁，导致数据的泄露、丢失或损坏等风险。例如，面对一些高级黑客攻击或者技术漏洞等安全风险，现有的技术手段可能无法及时有效地防御。此外，某些技术手段也可能存在着一定的使用门槛，不是所有的公共数据使用者都具备相应的技术能力和资源来运用这些技术手段。因此，在确定公共数据使用者注意义务的限度时，应当充分考虑他们的技术能力和技术手段的可行性以及可能面临的风险和难度，不能让公共数据使用者承担因超出其技术能力范围的、不可预见或不可避免的风险而导致的责任。

三是责任限度。在使用公共数据时，数据使用者需要遵守《网络安全法》《数据安全法》《个人信息保护法》等相关的法律法规，如果公共数据使用者采取了保障公共数据安全利用的合理措施，但仍遭受黑客攻击或者其他不可抗力的因素导致数据泄露，不应该被追究行政责任或者可以减轻民事赔偿责任。由于我国公共数据开放利用仍处于探索和构建阶段，相关法律制度尚待健全，对公共数据使用者违反注意义务的认定及法律责任的规定相对模糊。在这种情况下，不宜向公共数据使用者施加过重的法律责任。应当鼓励公共数据使用者在法治框架内积极探索有利于公共数据共享开放和开发利用的具体措施，对探索中出现偏差失误，如果符合国家支持方向且未牟取私利或者未恶意串通损害公共利益，可以减轻责任或免予追责，如《江苏省公共数据管理办法》第9条、《山东省公共数据开放办法》第21条。

四是开放类型限度。注意义务的限度也与公共数据本身的开放类型相关，不同开放类型的公共数据所应尽注意义务并不相同。根据公共数据的敏感性和安全性，可将公共数据分为无条件开放类、有条件开放类、非开放类。无条件开放类公共数据大多是一些基础性和普遍性的数据，不涉及敏感信息或者法律法规规定不得开放的信息，使用者无需申请即可获取、使用或者传播。在使用此类数据时，使用者承担的法律责任较轻，但仍然需要遵守相关的法律法规。相对于无条件开放类公共数据，使用者在使用有条件开放类公共数据时，注意义务的限度会有所提高，除遵循法律法规外，还需遵守数据提供方或者授权方设定的限制和规定，同时还要考虑一些特殊的使用场景。比如，数据涉及医疗或者个人隐私方面的信息，要遵守特定的医疗保密和隐私保护规定；数据涉及商业机密或者知识产权，要遵守相关的商业保密规定和知识产权法律。非开放类公共数据基本不向社会公开，只能在政府部门内部或者经过政府部门授权的机构之间进行共享使用。在利用非开放类公共数据时，利用者在利用时应承担最高的注意义务，如采取额外的安全措施防止数据被篡改、被恶意利用或者被其他人获取；尊重数据提供方的管理权和知情权，及时向其报告使用情况和效果，接受其监督和检查；发现利用者存在违反协议或者法律法规的行为，及时终止授权或者采取其他必要措施。

五是安全等级限度。使用不同安全等级的公共数据所应尽的注意义务也有差异，浙江省的《数字化改革 公共数据分类分级指南》以及重庆市的《公共数据分类分级指南》按照公共数据的安全级别将公共数据划分为四级，不同级别的公共数据对应的安全要求不一样，其应尽的注意义务也不一样。对于一级数据（公开数据），使用者的注意义务限度较低，主要是遵守相关法律法规，不得损害国家安全和社会公共利益，不得侵犯他人的合法权益。对于二级数据（受限数据），使用者的注意义务限度较高，除遵守一级数据的要求外，还需要遵守数据提供方或者授权方设定的使用目的、范围、期限和方式等限制，并且需要采取一定的安全措施防止数据被泄露或滥用。对于三级数据（敏感数据）和四级数据（涉密数据），使用者需在遵守二级数据要求的基础上，按照国家保密法等相关法律法规的要求，严格落实保密制度和保密措施，不得将数据泄露给未经授权的人员或机构。

5.2 履行注意义务的原则

注意义务的履行原则，是指在使用公共数据的过程中，公共数据使用者应当遵循的公共数据使用根本性要求。换言之，这些原则构成判断公共数据使用者是否履行注意义务的重要依据。

一是合法性原则。在使用公共数据时，公共数据使用者应当遵守《网络安全法》《数据安全法》《个人信息保护法》等法律法规以及相关规范性文件，确保数据使用符合国家强制性规定。此外，使用公共数据不得违反我国公共数据开放制度的初衷，应当遵守《民法典》《反不正当竞争法》中诚实信用原则、遵守市场秩序、保护合法民事权益等基本原则。如果存在法律和政策上的不确定性，应当咨询专业人士或相关机构，以确定是否可以申请使用公共数据或进行相应的数据使用行为。

二是安全性原则。在公共数据使用和处理活动中，公共数据使用者应当采取必要的技术和管理措施以确保数据安全。首先，应当按照有关规定或标准对公共数据进行分级分类，并根据公共数据的安全等级和类型制定相应的安全保障措施；其次，采取加密备份、数据脱敏、数字签名、高危操作阻断、数据水印溯源、日志审计等安全技术防护措施，防止未授权访问及处理公共数据，记录数据处理活动各环节过程，记录内容清晰可追溯；最后，建立数据安全风险识别、安全防御、安全检测、安全响应和安全恢复等运行机制，定期开展数据安全风险评估和能力评价，定期对从事公共数据处理活动的人员进行安全培训，及时发现和处置数据安全事件，提升公共数据安全能力成熟度。

三是正当性原则。各类主体使用公共数据当具有合理目的和正当方式，不得以欺诈、误导等不正当手段获取公共数据。在使用公共数据时，应当尊重公共数据的来源和权威性，在利用公共数据形成数据产品、研究报告、学术论文等成果中注明数据来源，不得篡改、伪造或者歪曲公共数据；保护公共数据中包含的商业秘密和个人信息，采取数据脱敏、数据加密、数据授权等技术和管理措施，防止泄露、出售或者非法提供给他人。如果发生数据泄露、出售或者非法提供给他人的情况，应及时通知相关方、采取补救措施。

四是合约性原则。公共数据使用者应当遵守与数据提供方或者授权方签订的数据使用协议，按照协议约定的方式在规定的目的、范围和期限内使用公共数据，不得擅自将数据转让、转授权或者提供给第三方，并且履行协议约定的保密、报告、监督等义务。同时，公共数据使用者应当尊重数据提供方或者授权方的管理权和知情权，及时向其报告使用情况和效果，接受其监督和检查。如果数据提供方或者授权方发现利用者存在违反协议或者法律法规的行为，应当及时终止授权或者采取其他减少危险的措施。

6 结论

综上分析，公共数据使用者注意义务分析框架如图1所示。使用公共数据行为并非单独的个体行为，而能对其他主体产生影响，甚至关系社会秩序和公共权益。为构建有序开发利用公共数据的良好生态，公共数据使用者应对其使用公共数据的行为负有注意义务；识别负有该义务的主体，可以从形式要件和实质要件两个方面进行判断。公共数据使用者违反注意义务将主要承担民事责任与行政责任，但基于平衡危险控制与行为自由的考虑，其责任的承担存在成本限度、技术限度、责任限度、开放类型限度、安全等级限度等。为了确保注意义务的履行，公共数据使用者应当遵循合法性、安全性、正当性、合约性等原则。

作者贡献说明

杨忠：论文撰写与修改；

易磊：论文修改与完善。