“新基建”，即“新型基础设施建设”，在2018年12月21日中央经济工作会议中被第一次提及，会议中指出：要加强人工智能、工业互联网、物联网等“新型基础设施建设”。根据中国信息通信研究院测算，“十四五”期间我国新基建投资将达到10.6万亿，占全社会基础设施投资10%左右。新基建已逐步成为推动数字经济发展的重要基础引擎。

一、新基建的实质是数字化建设

根据官方的进一步解释，新基建指发力于科技端的基础设施建设，主要包括5G基建、特高压、城际高速铁路和城际轨道交通、新能源汽车充电桩、大数据中心、人工智能和工业互联网七大领域。可以看出，新基建的实质是信息数字化的基础设施建设。并且，在这七大领域中，5G基建、大数据中心、人工智能和工业互联网四个领域可以说是完全以数据为核心；特高压、城际高速铁路和城市轨道交通三个领域也需要以数据为重要支撑。因此，新基建为数字经济创造更多数据生产要素的同时，也对数据治理提出了更多挑战。

除此之外，随着我国以《网络安全法》《数据安全法》《个人信息保护法》为基础的数据安全及个人信息保护法律体系逐步构建，以及相关监管部门的执法愈趋严格，数据合规在新基建中的重要性日益凸显。尤其是新基建的统筹推进离不开政府的积极作为，这既是基础设施建设的内在特性和建设特点，也是实现目标和解决困难的必然路径。因此，梳理《数据安全法》《个人信息保护法》中与政府相关的特别规定，以及厘清政府在新基建中与数据相关的主要角色和责任，对政府在新基建中合规履职、实现数据的有效治理有着至关重要的意义。

二、《数据安全法》《个人信息保护法》中与政府相关的主要规定

（一）两大法律对政府的适用范围？

根据《数据安全法》第二条和《个人信息保护法》第三条的规定，只要是在中国境内以及境外特定情形下开展数据处理活动及其安全监管，或处理自然人个人信息的，均适用该两部法律。因此，政府在从事数据处理活动及其安全监管，或处理自然人个人信息时，完全适用该两部法律的规定。除此之外，由于政府自身的特殊性质，两部法律中有针对政府的特别规定，例如《数据安全法》第五章、《个人信息保护法》第二章第三节等，该部分的内容对于政府从事上述数据相关活动直接并且优先于其他规定适用。但需要注意的是，这并不意味着特别规定中未提及的，或者其他与特别规定不冲突的条款被排除适用，政府仍然需要遵循其他与数据安全和个人信息保护的相关规定。

（二）两大法律对政府处理数据的重点要求有哪些？

1、对政府收集和使用数据的要求

根据《数据安全法》第三十八条的规定，政府收集和使用数据的范围是其法定职责，条件和程序是依照法律、行政法规规定，并且对在其履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息数据负有保密义务，不得泄露或者非法向他人提供。

2、对政府委托他人处理数据的要求

根据《数据安全法》第四十条的规定，政府委托他人建设、维护电子政务系统，以及存储、加工政务数据，须经过严格的批准程序，并且还须监督受托方依照法律、法规的规定和合同约定履行相应的数据安全保护义务，不得擅自留存、使用、泄露或者向他人提供政务数据。

3、对政府公开数据的要求

根据《数据安全法》第四十一条和第四十二条的规定，除依法不予公开的，政府应当遵循公正、公平、便民的原则，按照规定及时、准确地公开政务数据。除此之外，政府还应当制定政务数据开放目录，构建统一规范、互联互通、安全可控的政务数据开放平台，推动政务数据开放利用。

4、对政府处理个人信息的要求

根据《个人信息保护法》第三十四条和第三十五条的规定，政府处理个人信息的范围和限度是其法定职责，权限和程序是依照法律、行政法规规定。并且，除本法第十八条第一款规定的情形，或者告知将妨碍国家机关履行法定职责的，政府应当履行告知义务。

5、对政府存储个人信息的要求

根据《个人信息保护法》第三十六条的规定，政府须在中国境内存储个人信息；确需向境外提供的，须进行安全评估。

（三）政府数据处理行为不符合要求的法律后果

政府及其工作人员未依法履行数据安全和个人信息保护义务的，根据相关法律规定可能承担如下四类后果：

1、行政处分。根据《数据安全法》第四十九条和《个人信息保护法》第六十八条的规定，政府不履行数据安全保护或个人信息保护义务的，以及履行数据安全监管或个人信息保护职责的政府工作人员玩忽职守、滥用职权、徇私舞弊的，对直接负责的主管人员和其他直接责任人员依法给予行政处分；

2、行政处罚。根据《数据安全法》第五十二条和《个人信息保护法》第七十一条规定，违反《数据安全法》《个人信息保护法》构成违反治安管理行为的，依法给予治安管理处罚；

3、民事责任。根据《数据安全法》第五十二条《个人信息保护法》第六十九条的规定，违反《数据安全法》《个人信息保护法》给他人造成损害的，依法承担民事责任；

4、刑事责任。根据《数据安全法》第五十二条和《个人信息保护法》第七十一条的规定，违反《数据安全法》《个人信息保护法》规定构成犯罪的，依法追究刑事责任。除此之外，根据《刑法》第二百五十三条之一（侵犯个人信息罪）的规定，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。

三、政府在新基建不同场景下的主要角色和合规指引

场景一：数据控制者

在C市“大数据金融服务平台建设项目”中，C市政府委托金融服务机构D在金融服务领域处理政务数据，此时C市政府即为数据控制者，也称委托处理者。数据控制者对数据具有合法的处理、使用、共享和转让的权利，其将数据提供至第三方，委托第三方按照数据控制者的意志处理信息。在新基建信息化建设项目中，政府作为数据控制者的情况最为常见。

政府作为数据控制者一般需要注意如下合规事项：

1、应当经过严格的批准程序；

2、通过制定相关实施细则等政府文件，或通过合同条款对受托方的责任、义务等进行明确规定；

3、监督受托方依照法律、法规的规定和合同约定履行相应的数据安全和个人信息保护义务。

场景二：数据直接收集者

在A市“智能婚姻登记建设项目”中，A市新人如需办理结婚登记，只需在选定的婚姻登记处经进行人脸识别比对、拍照留存电子档案、录入指纹和签名即可。此时A市各区县婚姻登记处即为个人信息的直接收集者。简言之，当政府对信息主体的信息进行直接采集时即成为数据直接收集者。

政府作为数据的直接收集者一般需要注意如下合规事项：

1、严格按照法定职责收集和使用，除法律另有规定外，超越法定职责范围收集和使用数据需要获得被收集者授权同意；

2、应当告知被收集者，除法律另有规定、或告知将妨碍政府履行法定职责的除外；

3、严格按照法律、行政法规规定条件和程序收集和使用；

4、不得泄露或者非法向他人提供其在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息数据。

场景三：数据共享和转让接受者

在B市“大数据+智慧医疗建设项目”中，B市疾控中心、卫健委、医保局等接受各医疗机构共享和转让的不同医疗数据，并对这些数据进行分析处理和使用，从而在病例统计、诊断分析、药品监控、医保支付、健康管理等方面提高全市医疗服务水平。此时B市疾控中心、卫健委、医保局等即为数据共享和转让接受者。也就是说，数据共享和转让接受者未直接向信息主体采集信息，而是接收来自其他信息收集者或者信息控制者的信息，并对该等信息按照自己的意志进行处理和使用。

政府作为数据共享和转让接受者一般需要注意如下合规事项：

1、要求提供方具有信息合法来源；

2、对信息合法来源具有审慎的核查义务；

3、要求提供方列明信息授权同意的具体范围；

4、超出授权范围的应当征求信息主体的再次授权。

场景四：数据平台管理者

在E市“数字政务平台建设项目”中，E市政府委托信息科技公司F建设、维护数字政务平台，E市数据资源管理部门对平台进行日常运营和管理，包括平台运营整体方向、业务办理模式、自身信息收集、第三方接入者等。此时，E市数据资源管理部门即为数据平台管理者。换言之，数据平台管理者是指为数据控制者或者数据收集者等（可以是平台管理者自己）提供信息收集、处理、使用的平台，负责管理及规范入驻平台的角色的数据收集、处理及使用等行为，一般也是整个项目的主要责任方。

政府作为数据平台管理者一般需要注意如下合规事项：

1、通过制定实施细则等政府文件，或通过合同建立平台运营管理制度，规范各主体的权利、义务和责任；

2、建立数据安全和个人信息保护机制；

3、制定和完善平台运营管理所需的如制度规范、授权文件、各主体间协议、隐私政策等各类文件。

四、结语

重视并做好新基建中各领域的数据合规，既是政府依法履行数据安全及个人信息保护义务的必然要求，也是打造数字政府、构建智慧政务、发挥数据资产价值、促进数据产品应用、推动数据交易等的合规基础。新基建中的数据合规需要在数据的收集、归集、存储、加工、传输、共享、开放、利用等关键节点进行合规论证与把关，尤其需要注意公共数据共享、开放及个人敏感信息的处理。此时，在数据合规相关法律运用、数据技术底层逻辑和政府运营三个方面都有成熟经验的专业化数据合规律师团队，将为政府在新基建中的数据合规履职提供极大的支持、保障和助力。