“智慧城市”参与主体法律责任研究
来源:电子政务网 更新时间:2022-08-04

《“智慧城市”参与主体法律责任研究》(上)

引言:国家实施大数据战略,推进数据基础设施建设,鼓励和支持数据在各行业、各领域的创新应用。各地政府通过建设智慧城市平台体系,有效拉进与企业、居民之间的距离,进而提升政府管理效率、全面落实民生保障、精准助力产业发展。伴随着智慧城市的数量不断增加、规模不断壮大,覆盖领域及应用场景不断丰富,更多的技术基础设施和数据被互联互通,进而受到网络安全威胁的风险也逐渐增加。当前,大数据企业作为智慧城市平台项目不可或缺的参与主体,应注意完善合规体系及做好风险防范工作。

“智慧城市”发展历程及政策背景

01. “智慧城市”概念的发展

1. “智慧地球”概念带动“智慧城市”发展

自2008年IBM公司提出“智慧地球”概念后,世界各国给予了广泛关注,并聚焦经济发展最活跃、信息化程度最高、人口居住最集中、社会管理难度最大的城市区域,先后启动了智慧城市相关计划。我国也高度重视智慧城市建设,并适时展开布局。

2. 我国建设“地球系统数值模拟器”,促进“智慧城市技术”发展

2013年2月23日,国务院发布《国家重大科技基础设施建设中长期规划(2012—2030年)》,提出在“十二五”时期建设重点中优先安排16项重大科技基础设施建设,其中包括“地球系统数值模拟器”,并指出“地球系统模拟是衡量地球科学研究综合水平的重要标志,是开展气候变化、防灾减灾和环境治理等科学研究不可缺少的手段。以认识地球环境复杂系统、模拟地球系统圈层变化和长期气候变化、精细描述和预测地球物理化学及生物过程等为目标,建设地球系统数值模拟器,主要包括:超级计算及存储专用系统,超级模拟支撑与管理软件系统,地球各层圈过程模拟软件系统,地球系统科学数据库与海量数据智能分析与可视化系统等。该设施建成后,将大幅提高我国地球系统模拟的整体能力和重大自然灾害预测预警、气候变化预估的研究水平”。

3. 提出“智慧城市”概念及参考模型

2014年,经国务院同意,国家发展和改革委员会等八部门联合出台的《关于促进智慧城市健康发展的指导意见》(发改高技〔2014〕1770号),提出“智慧城市是运用物联网、云计算、大数据、地理信息集成等新一代信息技术,促进城市规划、建设、管理和服务智慧化的新理念和新模式。建设智慧城市,对加快工业化、信息化、城镇化、农业现代化融合,提升城市可持续发展能力具有重要意义”。2014年9月28日,中国电子技术标准化研究院网站发布《中国智慧城市标准化白皮书》,其中引入了智慧城市技术参考模型,提出新型智慧城市工程建设的要素组成在于硬件+软件+平台+服务。

02. 国家政策引导“智慧城市”建设持续推进

1. 国家已完成第一批智慧城市规划布局

2016年,《中共中央 国务院关于进一步加强城市规划建设管理工作的若干意见》要求,推进城市智慧管理,到2020年,建成一批特色鲜明的智慧城市。

2. 党的十九大报告提出“建设数字中国”规划

2017年10月18日,习近平总书记在党的十九大报告中提出,推动互联网、大数据、人工智能和实体经济深度融合;加强水利、铁路、公路、水运、航空、管道、电网、信息、物流等基础设施网络建设;建设数字中国、智慧社会。

3.《十四五规划和远景纲要》提出建设“智慧城市和数字乡村”

2021年3月11日,十三届全国人大四次会议表决通过了《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》(以下简称《十四五规划和远景纲要》),《十四五规划和远景纲要》在第十六章“加快数字社会建设步伐”第二节中提出:建设智慧城市和数字乡村。以数字化助推城乡发展和治理模式创新,全面提高运行效率和宜居度。分级分类推进新型智慧城市建设,将物联网感知设施、通信系统等纳入公共基础设施统一规划建设,推进市政公用设施、建筑等物联网应用和智能化改造。完善城市信息模型平台和运行管理服务平台,构建城市数据资源体系,推进城市数据大脑建设。探索建设数字孪生城市。加快推进数字乡村建设,构建面向农业农村的综合信息服务体系,建立涉农信息普惠服务机制,推动乡村管理服务数字化。

4. 工信部等联合发布《物联网新型基础设施建设三年行动计划(2021-2023年)》

2021年9月10日,工信部、中央网络安全和信息化委员会办公室、科学技术部、生态环境部、住房和城乡建设部、农业农村部、国家卫健委、国家能源局联合发布《物联网新型基础设施建设三年行动计划(2021-2023年)》(以下简称《计划》),《计划》旨在贯彻落实《十四五规划和远景纲要》,打造系统完备、高效实用、智能绿色、安全可靠的现代化基础设施体系,推进物联网新型基础设施建设,充分发挥物联网在推动数字经济发展、赋能传统产业转型升级方面的重要作用。其中《计划》在社会治理领域提出,推动交通、能源、市政、卫生健康等传统基础设施的改造升级,将感知终端纳入公共基础设施统一规划建设,打造固移融合、宽窄结合的物联接入能力,搭建综合管理和数据共享平台,充分挖掘多源异构数据价值,推动智慧城市和数字乡村建设,提升社会管理与公共服务的智能化水平。

5. 工信部、国家发改委发布《关于促进云网融合加快中小城市信息基础设施建设的通知》

2022年1月22日,工信部、国家发改委发布《关于促进云网融合加快中小城市信息基础设施建设的通知》(以下简称《通知》),旨在贯彻落实《十四五年规划和远景纲要》、提升中小城市信息基础设施水平。《通知》提出五项重点任务:

① 加快完善中小城市网络基础设施;

② 有序布局中小城市应用基础设施;

③ 积极推动中小城市云网技术融合创新;

④ 大力培育基于云网基础设施的融合应用;

⑤ 提升经济社会数字化转型支撑能力。

6. 中共中央办公厅、国务院办公厅发布《关于推进以县城为重要载体的城镇化建设的意见》

2022年5月6日,中共中央办公厅、国务院办公厅发布《关于推进以县城为重要载体的城镇化建设的意见》,其中第(二十条)提出:推进数字化改造。建设新型基础设施,发展智慧县城。推动第五代移动通信网络规模化部署,建设高速光纤宽带网络。推行县城运行一网统管,促进市政公用设施及建筑等物联网应用、智能化改造,部署智能电表和智能水表等感知终端。推行政务服务一网通办,提供工商、税务、证照证明、行政许可等办事便利。推行公共服务一网通享,促进学校、医院、图书馆等资源数字化。

“智慧城市”平台合规要点

01. 智慧城市平台涉及“关键信息基础设施”

根据《网络安全法》第三十一条内容,关键信息基础设施的特点为“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益”。《关键信息基础设施安全保护条例》第二条将关键信息基础设施定义为“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等”。基于以上规定,参照智慧城市平台的数据来源、领域范围以及功能特点等,我们认为智慧城市平台本身或其所涉及的网络设施、信息系统等属于“关键信息基础设施”。

02. 智慧城市平台涉及“重要数据”或“核心数据”

根据《数据安全法》第二十一条规定,国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护;关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。全国信安标委在《信息安全技术重要数据识别指南(意见稿)》中,将重要数据定义为“以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据;重要数据不包括国家秘密和个人信息,但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据”。智慧城市运用物联网、云计算、大数据、空间地理信息集成等新一代信息技术,解决社会资源和公共管理混乱的情况,消除“信息孤岛”问题。同时随着所处理数据“类别的汇入”及“量级的扩增”,其中必然会涉及对重要数据的处理或从其他数据中衍生出重要数据,甚至会涉及国家核心数据。

03. 智慧城市平台涉及“个人信息”或“敏感个人信息”

根据《个人信息保护法》第四条规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息;个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。根据《个人信息保护法》第二十八条规定,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息;只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。随着智慧城市的进一步发展,将有更多垂直领域应用,从人与人的连接,进化到万物互联。比如,医疗行业的健康平台可以在城市医院、疾控系统、社保中心、药店等系统中进行数据互通,从而可以及时分析判断城市中市民的健康状况,制定出城市的健康发展政策并进行重大传染疾病应急指挥(《智慧城市白皮书》)。在以上特定领域的应用中,智慧城市会涉及对“个人信息”或“敏感个人信息”的处理活动。


  “智慧城市”参与主体法律责任研究(下) 

引言:国家实施大数据战略,推进数据基础设施建设,鼓励和支持数据在各行业、各领域的创新应用。各地政府通过建设智慧城市平台体系,有效拉进与企业、居民之间的距离,进而提升政府管理效率、全面落实民生保障、精准助力产业发展。伴随着智慧城市的数量不断增加、规模不断壮大,覆盖领域及应用场景不断丰富,更多的技术基础设施和数据被互联互通,进而受到网络安全威胁的风险也逐渐增加。当前,大数据企业作为智慧城市平台项目不可或缺的参与主体,应注意完善合规体系及做好风险防范工作。

“智慧城市”平台项目参与主体

01. 企业与政府部门为主要参与主体

智慧城市平台的相关主体大致可分为两类, 一是平台设施的建设者,二是平台设施的运营者。

通常城市数据大部分由政府部门掌控,在当前的形势背景下,政府愈发重视大数据产业发展,因此各地智慧城市项目应运而生。基于政府职能特点,智慧城市项目由政府部门发起并主导,同时当前智慧城市建设与发展的重要技术支撑平台是“云计算+大数据+人工智能”,因此 政府部门通常需要与拥有此类先进技术的企业进行合作,政府作为企业的“客户”提出建设智慧城市的需求,由企业提供城市平台的建设及服务。

根据贵阳日报传媒集团发起并已实现专业化运营的大数据产业第一媒体《数据观》对知名大数据企业“软通智慧”公司进行的访谈报道记载“以往的智慧城市项目,在完成建设和交付后项目人员就会撤离,但实际上于政府而言,他们更希望项目完成后,企业能持续做一些专业化的运营服务,并作为龙头企业吸引和整合更多的生态资源来本地发展,最终带动整个城市或区域的产业发展。除此以外,企业要尝试与政府间形成新的合作关系,即从传统的管理与被管理、服务与被服务关系转变为利益共享、风险共担的新型合作伙伴关系,企业要适应未来城市的发展,在智慧城市建设上把握整体局势,从顶层设计到产业规划,从平台建设到资源整合,从技术服务到创新应用,最后到整体运营和服务,形成端到端的智慧城市一体化服务”。

02. 由企业提供关键创新技术及设施

2022年5月24日,国家工业信息安全发展研究中心、中国产业互联网发展联盟、工业大数据分析与集成应用工信部重点实验室、人民网财经研究院、联想集团联合发布《依托智慧服务 共创新型智慧城市——2022智慧城市白皮书》(以下简称《智慧城市白皮书》),《智慧城市白皮书》通过梳理智慧城市的发展脉络,总结当前智慧城市发展的新变化,以典型应用场景为例,发掘智慧城市新内涵,提出了一系列未来智慧城市建设的新理念、新架构、新建议。

根据《智慧城市白皮书》内容,在技术实施层,智慧城市需要的不再仅是独立的硬件设备或者软件应用,而是包括物联网设备、智能应用在内的“端-边-云 -网-智”体系化技术架构:

1.“端”即智能终端,负责采集、存储、传递数据,是智慧城市面向城市主体的智能化单元。随着物联网的普及与互联网的广泛应用,“端” 所产生的海量“数据”正与信息化时代所产生的大量数据汇合,成为智能化时代的数据新油井。“端”既包括面向消费者的AR/VR、智能门锁、智能显示器等各种新型智能终端,也包括硬件、软件、服务一体的商用物联网方案。

2.“边”即边缘计算,智能化时代海量数据的爆发式计算需求与应用低时延、灵活部署要求使得计算力下沉成为必然,边缘计算应运而生。在智慧城市中,边缘计算不仅能实现对不同的厂商、不同规格、不同协议的智能设备端就近统一管理,还能通过预制的模型算法赋能于终端设备,实现端设备的智能化管理。“边”包括能提供丰富的边缘计算的硬件设施、人工智能支持的边缘计算平台等。

3.“云”即云计算,基于网络实现异质设备间数据运算与共享的设备服务。“云”打破了传统城市时间与空间的约束,通过资源按需分配、按量计费控制成本、提高城市敏捷性,是智慧城市建设必不可少的一环。基于“云计算”搭建智能运维中心、城市服务中心与城市能源管理中心,实现城市的智能服务、运营、管理与“双碳”监控。

4.“网”即以5G为代表的数据传输的网络,是推动端、边、云协同工作的粘合剂。“网”连接众多终端设备,基于“端边”传输特性,动态提供与之匹配的网络资源,催化更多计算在边缘进行,以达到“边”“广连接、低时延”的特性;此外,随着网络基础设施走向软件化、虚拟化,“云网融合”将催使网络按需被快速灵活搭建,为更高效实用的智慧城市应用场景拓展可能。

5.“智”即行业智能解决方案,基于“端、边、网、云”基础架构,借助海量数据、分布式算力与先进的算法模型,面向园区、交通、医疗、金融等城市典型生产、生活场景,搭建支持不同层级间分析互动的智能化方案。在数据智能驱动产业变革的智能化时代,利用咨询设计、系统集成、支持部署、运维代运营等技术服务,未来政务、民生、产业及城市运营等都将在“智能化解决方案”中产生颠覆性变化,智慧城市建设也将为智慧储能、新能源改造等低碳产业发展架桥铺路。

因此,在智慧城市项目中,对于大部分企业而言,其即为“智慧城市平台设施”的供应商、建设者,也可能接受政府部门委托提供“智慧城市平台设施”运营服务,进而成为“智慧城市平台设施”的运营者。

“智慧城市”平台项目参与主体法律责任分析

01. 从网路安全及关键信息基础设施保护层面

1. 国家提供基本网络安全保障及标准指引

《网络安全法》第五条规定“国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序”,为智慧城市平台外部环境安全提供保障。

第十五条规定“国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准”,为智慧城市平台的架构建设、产品规格、运营服务提供标准。

2. 参与主体可分为“网络运营者”和“网络产品或者服务的提供者”两类

其中《网络安全法》第七十六条对“网络运营者”的定义为“网络的所有者、管理者和网络服务提供者”。

就智慧城市平台项目而言,政府往往为智慧城市平台的所有者、管理者,并利用平台为市民提供服务。在企业仅提供平台设施建设的场景中,企业作为平台组成部分的产品或技术服务的提供者,并不必然承担“网络运营者”的责任。

政府、企业,应根据具体场景中各自承担的任务、角色,来按照《网络安全法》的规定履行相应义务。

3. 所有主体均应根据法律法规及强制性要求开展业务

《网络安全法》第十条规定,建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。

智慧平台的设施建设者、平台运营者均应严格按照法律法规及强制性要求,落实在智慧城市项目的每个环节中。

4. 平台设施建设者提供的网络产品、服务应当符合相关国家标准的强制性要求

《网络安全法》第二十二条、第二十三条,对网络产品、服务本身,以及对网络产品、服务的提供者的要求进行了规定,包括不得设置恶意程序,发现存在安全缺陷、漏洞等风险应当立即采取补救措施,持续提供安全维护等。

对于智慧平台的设施建设者而言,应该参照该条的规定执行。

5. 平台设施的运营者负有进行安全审查、签订保密协议、风险评估等义务

《网络安全法》第三十五条规定,关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

第三十六条规定,关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。

第三十八条规定,关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

6. 主要法律责任承担

1)行政处罚

《网络安全法》第六十条对网络产品、服务的提供者就“设置恶意程序;对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施,或者未按照规定及时告知用户并向有关主管部门报告;擅自终止为其产品、服务提供安全维护”的行为进行了规定,“由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款”。

2)民事责任、刑事责任

《网络安全法》第五十二条规定“违反本法规定,给他人造成损害的,依法承担民事责任;违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任”。

3)发生责任事故时进行追责

国务院《关键信息基础设施安全保护条例》第四十七条规定,关键信息基础设施发生重大和特别重大网络安全事件,经调查确定为责任事故的,除应当查明运营者责任并依法予以追究外, 还应查明相关网络安全服务机构及有关部门的责任,对有失职、渎职及其他违法行为的,依法追究责任。

02. 从数据安全、个人信息保护层面

1. 作为国家机关的智慧城市平台运营者应同样遵守《数据安全法》及《个人信息保护法》的要求

除数据分级分类等基本要求外,在数据收集、使用方面,《数据安全法》第三十八条规定,国家机关为履行法定职责的需要收集、使用数据,应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行;对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。

同样,《个人信息保护法》第三十四条规定,国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度;第三十五条规定,国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务;有本法第十八条第一款规定的情形,或者告知将妨碍国家机关履行法定职责的除外。

智慧城市平台项目的应用,可将政府各部门依法收集的数据进行汇总,同时提高数据收集的效率,并通过算法进行智能分析,有效消除“信息孤岛”问题。但政府部门对信息收集范围、程序均不能突破其履行法定职责的范围及法律规定的程序、义务。

2. 作为国家机关的智慧城市平台运营者作为委托方,应对被委托方进行监督

1)企业接受委托建设维护智慧城市平台、处理政务数据需经批准程序

《数据安全法》第四十条规定,国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序,并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。

2)企业接受委托处理个人信息时,应接受政府监督并遵守合同约定

《个人信息保护法》第二十一条规定,个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。

受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。

3. 主要责任承担

《数据安全法》第六章、《个人信息保护法》第七章中均规定了在开展数据处理活动中,各主体的法律责任,其中包含具体行政处罚措施,以及对他人造成损害时依法承担民事责任、构成犯罪者依法追究刑事责任等。

参与企业的主要法律风险及防范建议

01. 企业深度参与,责任边界不清

一方面,目前而言,大数据企业在建设智慧城市平台所需的人工智能、物联网、大数据、区块链等技术领域占据明显优势,企业也成为了当前智慧城市平台项目不可或缺的参与主体。

另一方面,随着企业技术的加入及深度应用,智慧城市可有效拉进政府、企业、城市居民之间的距离,促进“民、企、政”融合协调发展,智慧城市的数量也将不断增加、规模将不断壮大,覆盖领域及应用场景将不断丰富。同时也意味着更多的技术基础设施和数据被互联互通,进而受到网络安全威胁的风险也逐渐增加。

然而,政府部门希望企业作为“一体化数据智能服务提供商”提供全方位方案及服务。因此部分企业智慧城市平台项目中,不单单承担平台设施建设者的角色,其在提供产品设备以及信息系统、程序算法等服务的同时,还可能利用自有资源提供“云存储”“云计算”等,甚至直接为政府部门提供平台运营服务,进而导致智慧城市平台项目参与主体之间分工的界限不明等问题。

对于参与智慧城市平台项目的相关企业而言,建设关系国家安全的关键信息基础设施、接触和处理关系国家安全的重要数据,一旦发生重大安全事件或重大责任事故,企业将陷入较高的法律风险之中。

02. 企业法律风险防范建议

1. 履行较高标准的安全防范义务

企业在智慧城市项目中面临“分工及责任边界不清”等问题时,建议企业主动以“运营者”的标准在企业内部进行管理及风险防范。建议企业除对自身所接触、涉及的信息系统、数据进行依法保护外,还应对其他参与主体所怠于完善或履行的事项,在企业可合法操作、管理的范围内进行主动协助及防护。

2. 健全上下游规范管理体系

企业应对上游供应商严格落实监督责任,除对供应商进行资格审查外,还应对所采购的产品、服务等进行全方位测试,避免出现安全隐患。同时通过双方书面合同约定,规避采购方自身风险。

企业应对下游客户提供全面规范引导,主动帮助客户发现操作、使用等环节的问题。必要时可通过人员培训、系统密码强度要求、操作权限设置等方式避免因客户方人员过失等出现安全漏洞及风险隐患。

3. 做好证据材料留痕工作

《网络安全法》《数据安全法》《个人信息保护法》等对责任主体民事责任的承担进行了规定,根据《民法典》第一千一百六十五条规定,行为人因过错侵害他人民事权益造成损害的,应当承担侵权责任。

当在相关事件发生后,企业作为深度参与主体,若企业无法证明自身不存在过错,或将被主张承担侵权责任。

因此建议企业结合自身业务特点,要求参与员工在工作中树立存档、留痕意识,尽量避免因证据灭失导致承担责任的情形。