基于公共数据资源登记制度缺漏下的合规建议

2025年1月《公共数据资源登记管理暂行办法》正式落地，标志着我国公共数据登记从试点走向全国常态化运行。截至2025年6月，全国公示登记数据超2800项，存储总量突破932TB，制度落地初见成效。但结合司法实践、各地实操细则以及法学研究来看，当前公共数据登记在主体界定、审查机制、安全义务、效力适用、跨制度衔接五大板块仍存在明显制度缺漏，不少党政机关、公用企业、授权运营机构在登记工作中陷入“不敢登、不愿登、不会登、登错担责”的困境。

本文结合现行法规、实操痛点，试从律师合规角度剖析制度现存问题，并就不同主体提出相应合规建议。

一、厘清背景：公共数据登记的底层逻辑与目标

公共数据区别于企业数据、个人数据，权属归国家所有，是党政机关、公共服务机构履职过程中形成的公共资产。本次登记制度的核心目的并非传统意义上的“确权”，而是三件事：摸清公共数据“家底”、筑牢数据安全防线、打通数据流通壁垒，最终服务于全国一体化数据要素市场建设。

简单来说，登记不是“走流程”，而是数据合规流通的准入凭证、安全监管的溯源抓手、权责划分的核心依据。但目前制度设计与一线实操存在脱节，诸多隐性风险被掩盖，这也是合规工作需要重点攻克的方向。

二、深度拆解：现行公共数据登记五大制度缺漏

结合《公共数据资源登记管理暂行办法》及各地实施情况，当前登记体系的短板集中在五大维度。

（一）登记主客体错位：“谁来登、登什么”边界模糊，监管出现漏洞

现行办法以“权利人视角”划分登记主体，将主体分为公共数据持有权人（党政机关、事业单位、公用企业）和公共数据使用权人（授权运营法人机构），分别设置强制登记与自愿登记规则。这种划分模式在实操中暴露出三大问题：

1. 高风险数据规避登记。公用企业被豁免强制登记义务，但其加工形成的高敏感数据、涉及重大公共利益的数据产品，依靠“自愿登记”无法实现有效监管，极易形成安全盲区。部分民生、金融、交通领域的核心数据，因主体身份界定问题游离于强制登记范围之外。
2. 登记义务标准不统一。办法未结合数据敏感度、公共利益关联度、风险等级划分登记要求，出现 “同属性数据，不同主体登记要求不一样” 的情况。基层单位对登记范围把握混乱，要么过度登记增加成本，要么选择性漏登埋下合规隐患。审计报告显示，多地仍存在数据底数不清、目录编制不规范等问题。
3. 现行规则仅允许法人作为登记主体，排除了合伙企业、科研团队等非法人组织。但这类主体恰恰是公共数据深加工、场景化应用的重要参与者，限制其登记资格，既制约数据价值挖掘，也导致部分衍生数据产品无法合规溯源。
4. 激励与责任失衡：“不愿登”“乱登记”普遍。对于党政机关、事业单位这类持有权人，登记只有义务没有激励。数据清洗、脱敏、编目需要投入大量人力物力，而数据流通产生的收益无法反哺登记主体，形式化登记、应付式登记现象频发；同时办法仅原则性提及法律责任，未区分不同主体的责任边界，出现数据错误、泄露后追责无据。

（二）审查模式单一：纯形式审查难以防范实体风险

《公共数据资源登记管理暂行办法》相比征求意见稿做了关键调整：取消第三方机构协同审查、删除“不予办理”条款，仅保留登记机构独立形式审查。 形式审查仅核查申请材料是否齐全、格式是否合规，不实质核验数据真实性、合法性、内容风险，虽然提升了登记效率、降低行政成本，但也埋下两大风险：

1. 实体瑕疵无法识别：篡改数据、来源非法、超范围授权等实质性问题，仅凭书面材料无法排查，问题数据流入市场后会引发连锁风险；
2. 风险分配失衡：登记机构只对材料形式合规负责，数据内容造假、违规使用的责任全部转嫁给登记主体，容易滋生登记机构消极履职、主体刻意瞒报的恶性循环。

（三）登记效力模糊：公信力与公益性无法统筹

全国统一赋码是登记制度的核心设计，赋码本应成为数据流通、交易、共享的合规凭证，但目前登记效力体系存在明显局限：

1. 未明确登记簿法律效力：办法仅要求登记信息可查询、可共享，但未界定登记簿的推定效力。一旦出现数据权属、使用权限争议，司法机关、行政机关缺乏统一的判定依据；
2. 混淆公共数据与企业数据登记逻辑：照搬普通数据产权登记思路，忽略公共数据“公益优先”的属性，部分地区试图用登记实现“私权确权”，偏离公共数据管理初衷；
3. 行政与司法衔接断裂：登记结果仅用于行政监管，未接入司法证据体系，当发生数据侵权、滥用纠纷时，登记信息无法作为高效的举证依据。

（四）安全保护义务界定混乱：主体、性质、内容全不清晰

数据安全是公共数据登记的底线，但现行规则对安全义务的规定过于笼统，是当前最高发的风险点：

1. 义务主体不明：仅笼统要求数据主管部门统筹安全，未明确登记机构是核心安全义务主体。登记平台、登记信息的安全责任无人兜底，委托第三方运维平台时，权责更是相互推诿；
2. 义务性质认知偏差：不少机构误将登记平台的安全义务等同于《民法典》中的传统场所安全保障义务。但数据平台是虚拟空间，传统侵权责任规则无法适配数据篡改、数据污染、系统瘫痪等新型风险；
3. 义务内容空洞：仅原则性要求强化安全技术应用，未针对 数据污染（篡改、错误录入）、系统不可用（网络攻击、宕机）两大核心风险制定细化规则，实操中无执行标准；
4. 责任划分模糊：违反安全义务后，公法处罚（罚款、约谈）、私法赔偿的适用场景、梯度标准缺失，委托第三方运维时的连带责任、免责条件也未明确。

（五）跨制度衔接断裂：登记沦为孤立环节

公共数据登记不是独立制度，需要和数据开放、数据共享、授权运营三大体系联动，同时还要和企业数据产权登记协同，但目前衔接严重不足：

1. 内部衔接不畅：登记赋码未与开放等级、共享权限、授权范围绑定。跨部门数据共享时，依旧存在“数据孤岛”，越权使用、超时使用数据的行为无法通过登记系统实时预警；授权运营机构的资质、使用范围也无法和登记信息双向核验。
2. 外部协同缺失：公共数据衍生产品（基于公共数据加工的企业数据）在办理数据产权登记时，未强制关联原始公共数据登记编号，导致衍生数据溯源困难，原始公共数据的公益属性被变相稀释。

三、分主体落地合规建议

结合上述制度缺漏，笔者试按照登记主体（机关/事业单位/公用企业/运营机构/非法人组织）、登记机构、第三方服务机构等三大类，给出分层、分场景的合规建议。

第一类：公共数据持有权人（党政机关、事业单位、公用企业）——严防漏登、错登、形式登记

这类主体是登记的第一责任人，以强制登记为核心要求，合规重点是厘清登记范围、规范材料、完善内部管理、规避追责风险。

1. 第一步：划分数据类型，精准界定登记范围（解决“登什么”）

摒弃“按主体身份判定登记义务”的旧思路，转向“数据属性分级管理”，这也是弥补制度漏洞的做法建议：

• 高敏感/涉重大公共利益数据（医疗健康、金融征信、政务核心信息、地理空间数据）：一律纳入强制登记，即便属于公用企业运营数据，不得适用自愿登记规则；
• 中敏感数据（民生服务、文旅、人社常规数据）：按属地细则完成常规登记，同步标注共享、开放权限；
• 低敏感数据（环境监测、交通流量、公开公示信息）：完成基础登记，简化安全评估材料。

实操建议：一定期限内完成本单位公共数据全量梳理，搭建“基础库-主题库-应用库”三级目录，标注每一项数据的敏感度、开放等级、共享范围，目录作为登记附件留存备查。参照审计要求，确保数据目录与内部信息系统一一绑定。

2. 第二步：规范登记材料，适配形式审查规则（解决“怎么登”）

目前登记机构仅做形式审查，材料合规=初步免责，材料瑕疵是后续追责的主要突破口：

1. 必备材料清单（缺一不可）：主体资质证明、数据来源合法性说明（采集依据、履职文件）、数据安全风险评估报告、数据存证凭证、数据更新机制说明；若涉及授权加工，额外附上授权协议、使用范围承诺书。
2. 风险优化建议：
   1. 高敏感数据：主动委托具备资质的第三方安全机构出具风险评估报告、数据质检报告，将第三方报告作为登记材料提交。登记机构虽不做实质审查，但第三方专业文件可分担主体的实质性过错风险；
   2. 动态数据（实时更新的监测数据）：单独提交版本管理说明、更新日志，明确变更登记触发条件，避免因数据迭代被认定为“隐瞒信息”；
   3. 绝对禁止：伪造数据来源、隐瞒数据敏感度、夸大/缩小使用范围，此类行为会被直接撤销登记，并面临行政处罚。

3. 第三步：建立内部机制，杜绝“形式化登记”（解决“不愿登、乱登记”）

1. 岗位权责划分：设立专职数据登记岗，明确“数据归口部门（提供原始数据）+法务/合规岗（审核合规性）+技术岗（提供安全证明）”三方联动机制，每一份登记材料留痕签字，实现责任到人；
2. 变更/注销登记及时响应：数据来源、内容、使用范围、主体信息发生重大变化的，20个工作日内申请变更登记；数据灭失、权益终止的，及时办理注销登记，逾期未变更将被认定为违规；
3. 激励与成本优化：利用自动化编目、脱敏工具降低登记人力成本；将数据登记、数据合规纳入部门绩效考核，减少基层应付式登记。

4. 第四步：责任分层防控（核心风控）

• 党政机关/事业单位：核心责任是保证数据来源合法、内容真实。建立数据全生命周期留痕制度，采集、加工、更新每一步留存记录，若因录入错误造成损害，内部追责直接责任人；
• 公用企业：区分数据类型适用不同责任：基础公共运营数据（供水、供电、燃气）适用严格责任，必须做到100%脱敏、隐私保护；个性化服务数据（用户缴费记录）适用过错责任，重点防控数据泄露。

第二类：公共数据使用权人（授权运营法人、非法人组织）——严防超范围使用、衍生数据违规登记

这类主体以市场化运营为目的，是数据流通的关键环节，也是违规高发群体，分为法人机构和非法人组织两类合规要求。

（一）授权运营法人机构

1.登记边界合规

（1）授权范围内的原始公共数据：按规则完成登记，严格匹配授权协议约定的使用场景、使用期限、加工方式，登记信息不得超出授权范围；

（2）自主加工形成的数据产品/衍生数据：主动申请登记，并在材料中明确标注“基于XX登记编号的公共数据加工而成”，实现溯源。

2.加工行为红线

坚守最小必要原则，不得对登记的公共数据进行反向解析、还原原始敏感信息；不得将登记数据转授权、倒卖，超出登记载明用途使用数据属于重大违规，会被撤销登记并追究法律责任。

3.风险对冲方案

为运营数据投保数据安全责任险，覆盖数据泄露、篡改、滥用带来的赔偿风险；定期开展内部合规审计，每季度核对登记信息与实际使用情况。

（二）非法人组织（合伙企业、科研团队等）

现行规则未完全放开此类主体登记资格，但多地细则已预留空间，合规遵循“梯度准入”原则：

1. 准入前提：仅可申请低敏感公共数据（环境、交通、公开政务数据）的登记，严禁触碰医疗、征信等高敏感数据；
2. 资格审查准备：提前梳理三类材料——组织数据管理能力证明、内部风险防控制度、组织存续稳定性说明，应对登记机构的资格核验；
3. 责任兜底：明确实际控制人/执行事务合伙人为第一责任人，签订连带责任承诺书。一旦发生数据安全事件，组织与实际控制人共同担责。

第三类：登记机构（各地数据管理部门、官方登记平台运营方）——严防履职不当、安全失守

登记机构是登记体系的中枢，承担受理、审查、平台运维、安全保障四大职责，合规重点是优化形式审查、压实安全义务、厘清责任边界。

1. 优化形式审查：嵌入实质审查要素（弥补制度短板）

在不改变 “形式审查” 法定规则的前提下，通过材料细化实现风险管控，这是当前最可行的折中方案：

（1）审查范围延伸：除核查材料完整性外，重点审查第三方专业文件资质（安全评估机构、质检机构是否备案、报告格式是否规范、结论是否明确）；

（2）建立信用档案：为所有登记主体、合作第三方机构建立信用台账，实行抽样复核（每季度随机抽取10%-20%已登记数据核验内容）；发现材料造假、数据不实的，列为重点监管对象，暂停其登记资格；

（3）受理规则落地：申请材料不全的，一次性告知补正内容；不符合受理条件的，书面说明理由并留存记录，杜绝随意不予受理。

2. 明确安全义务：守住两大核心风险（数据污染+系统不可用）

登记机构是唯一法定安全义务主体，即便委托第三方运维平台，安全义务也不得转移，细化义务内容如下：

（1）防范数据污染风险

• 技术层面：对登记信息、样本数据采用加密传输、权限分级管理，建立不可篡改的操作日志，全程可溯源；
• 管理层面：设置数据校验规则，拦截明显异常、矛盾的登记信息，对异议数据及时标记、核查。

（2）防范系统不可用风险

按照网络安全等级保护标准搭建平台基础设施，部署网络攻防体系，定期开展漏洞检测、应急演练；约定第三方运维方的故障修复时限，平台宕机、遭受攻击时第一时间启动应急预案。

（3）委托运维的责任划分

• 对外：登记机构与受托第三方承担连带责任，受损方可向任意一方追责；
• 对内：登记机构加强全流程监督（定期安全审计、漏洞评估），若能举证已完全履行监督义务，可向违约第三方追偿；未履行监督义务的，自行承担全部责任。

3. 登记效力落地：激活登记簿推定效力

（1）对内公示：确保登记平台信息实时更新、公开可查，统一赋码作为数据流通的唯一溯源标识；

（2）对外协同：对接本地司法机关，明确登记簿推定效力—— 数据权属、使用权限产生争议时，法院可优先采信登记记录；异议方无法提供更早证据的，推定登记信息真实有效；

（3）证据留存：所有登记材料、审核记录、变更记录永久存档，作为行政监管、司法诉讼的原始证据。

第四类：全体系通用：打通跨制度衔接，实现“一码统合”

单一登记合规远远不够，需推动登记系统与现有数据制度联动，构建闭环风控，适用于所有参与主体：

1. 与公共数据开放/共享联动。登记赋码同步标注开放等级、共享范围、权限时效。跨部门共享数据时，通过登记码自动核验权限，拦截越权访问；开放数据被下载后，自动签署电子使用协议，跟踪使用轨迹。
2. 与授权运营联动。授权运营平台与登记平台搭建双向校验接口，机构申请使用数据时，自动核验登记信息、安全等级、使用场景，资质不符直接驳回。
3. 与非公共数据（数据产权登记）联动。基于公共数据加工的衍生数据，办理企业数据产权登记时，强制关联原始公共数据登记编号，确保来源可溯，禁止“洗白”公共数据公益属性。

四、高频风险红线提示

结合法规与实操案例，整理8条绝对不能触碰的红线，所有登记主体一体适用：

1. 严禁隐瞒数据属性，将高敏感数据按低敏感数据申报登记；
2. 严禁伪造数据来源、授权协议、安全评估报告等登记材料，违者直接撤销登记并处罚；
3. 登记数据的使用范围、期限不得超出登记及授权约定，禁止转卖、非法流转公共数据；
4. 数据发生重大变更、灭失、主体终止时，逾期不办理变更 / 注销登记；
5. 登记机构泄露登记信息、篡改登记结果、利用登记信息牟利；
6. 处理公共数据时未落实脱敏、隐私保护要求，造成个人信息泄露；
7. 非法人组织违规登记、使用高敏感公共数据；
8. 衍生数据产品不关联原始公共数据登记编号，刻意规避溯源监管。

五、写在最后：公共数据登记的合规趋势与建议

公共数据资源登记是数据基础制度的基石工程，当前制度仍处于完善期，漏洞会随着实操逐步补齐，但监管只会越来越严格。对于各类主体而言，现阶段的合规思路不应是被动应付登记，而是以登记为抓手，搭建全流程数据合规体系。

对于行政单位，建议先完成数据目录梳理、分级分类，从源头解决登记混乱问题；对于市场化运营机构，重点把控“授权边界+衍生数据溯源”两大核心，平衡数据价值与合规底线；对于登记机构，优先补全安全体系与审查规则，守住监管与服务双重职责。

数据要素市场化时代，合规不是成本，而是数据流通、价值释放的前提。吃透登记规则、规避隐性漏洞，才能在公共数据开发利用的浪潮中行稳致远。

引文：《公共数据资源登记的制度缺漏及因应》，作者邓鹏，武汉大学法学院、武汉大学数据法治研究中心