1. 问题的提出

在数字中国战略与数据要素市场化配置改革的宏大背景下，公共数据的开放与利用已成为推动国家治理能力现代化和经济社会高质量发展的核心议题。作为公共数据资源的重要组成部分，公共气象服务数据因其与国计民生的高度关联性，其开放实践正呈现出一幅深刻的价值悖论图景。一方面，如“上海公共气象服务数据开放与授权运营”¹的成功实践所示，通过构建清晰的授权与合作机制[1]，海量的气象数据得以转化为精准的商业气象服务、高效的农业生产指导、审慎的金融保险模型，其所激发的巨大经济社会价值，成为数字经济的强劲动能，印证了《关于加快公共数据资源开发利用的意见》²中“激活数据要素潜能”的战略指引。另一方面，“舟山气象探测数据外泄案”³又为我们敲响了警钟，关键气象探测数据的非法获取与跨境传输，不仅直接冲击了数据安全管理的底线，更对科研等领域的安全构成潜在的威胁。

这种“价值与风险并存”的特性，使公共气象服务数据的开放实践陷入了“不开放则罔，妄开放则殆”的二元困境，凸显了对其进行专门法律规制的现实紧迫性。在政府数据开放领域，国内学界已展开了富有成效的前期探索。宏观理论层面，郑磊、吕廷君等学者为政府数据开放的概念、主体与原则奠定了理论基础，厘清了政府作为数据提供者的公共行政行为属性[2] [3]。在立法路径层面，学者间形成了不同的学术观点：部分学者如王万华主张，应由全国人大常委会制定统一的《政府数据开放法》，以保证立法的权威性与体系性[4]；而另一部分学者如宋华琳、刘权等则认为，考虑到实践的复杂性，宜采取“先行制定行政法规、待条件成熟后再上升为法律”的渐进式路径[5] [6]。这些研究极大地深化了我们对公共数据开放一般性法律问题的认知。但现有研究多聚焦于政府数据开放的一般性框架，虽具普适性，但对特定领域的回应不足。

一方面，公共气象服务数据作为公共数据的重要分支，是公共数据在气象领域的具象化呈现。根据武亚飞的观点，公共数据的概念历经从“政务/政府信息”到“政务/政府数据”，再到公共数据的演进。最初，“政务/政府信息”服务于公民知情权保障；随着大数据技术发展，“政务/政府数据”概念兴起，聚焦数据资源价值挖掘；如今，公共数据概念因开放性和包容性更优，逐渐成为立法青睐对象[7]。在国家数据局发布的数据领域常用名词解释(第一批)中将公共数据定义为各级党政机关、企事业单位依法履职或提供公共服务过程中产生的数据。⁴由此可见，公共数据是一个全域概念，涵盖所有公共领域的数据；公共气象服务数据则是领域概念，聚焦于大气环境与气象服务，是公共数据在气象领域的“切片”。

另一方面，公共气象服务数据是气象数据主体公共性、用途公共性的特定子集。在《气象数据管理方法(试行)》中将气象数据定义为通过观测监测、考察调查、收集交换、科学研究、试验开发、生产分析、授权管理等方式，获得的大气和空间天气科学技术领域的数字、文字、符号、图片和视音频等。⁵《办法》的管理对象是气象部门职责范围内的所有气象数据，而公共气象服务数据是其中符合开放条件、纳入共享目录、可面向社会或特定主体开放的部分，也即内部业务数据和涉密数据不属于公共气象服务数据。

综上，公共气象服务数据可定义为由气象主管机构等公共部门，在履行气象监测、预报预警、气候服务等公共职责中产生或获取，经安全审查后纳入开放目录⁶，可向社会公众、政务部门、公益机构等开放，用于公共利益用途的气象数据及衍生产品。其一，公共气象服务数据具有来源的官方性，主要由国家气象局及其下属机构通过气象观测、探测等活动采集形成，这些机构利用专业的设备和技术手段，确保数据的准确性可靠性。其二，公共气象服务数据具有部分开放性，气象数据会根据其性质和敏感程度等进行分类分级管理，一些常规的、非涉密的气象数据会通过气象部门官网、公共数据平台等渠道向社会开放，供公众查询、使用，但也有一些数据可能需要申请审批后才能获取。其三，公共气象服务数据还具有服务公共利益性，其主要目的是服务于公共利益，如用于防灾减灾、环境保护、农业生产[8]、交通出行等领域，帮助政府、企业和公众做出科学决策。

从开放视角看，公共气象服务数据开放与公共数据开放是从属与特色的关系。公共气象服务数据作为公共数据的子集在开放时当然遵守公共数据开放的一般性原则，即以服务公共利益为核心目标，遵循“依法开放、安全优先”原则，依托政府主导的开放平台推进，且开放范围均需排除涉密、敏感数据，体现政府履职的公共属性。但公共气象服务数据开放有其区别于公共数据开放的三大特征：一是开放时效性更强，如暴雨预警、台风路径等数据需即时开放，远超一般政府数据的常规开放周期；二是开放内容需适配专业性，需同步提供气象观测标准、数据解读文档等，而非仅开放原始数据，同时公共气象服务数据开放需同步履行“专业审查”行政职责，这是一般政府数据开放无需的附加程序；三是开放场景更精准，需针对农业、航空、航天等特定领域提供定制化数据服务，而政府数据开放多侧重通用基础信息，对领域适配性要求较低。为进一步，本文聚焦公共气象服务数据开放的三大特征，主张跳出静态、割裂的规制思维，构建以风险预防和动态平衡为导向的法律协调机制。其核心路径包括：通过数据分类分级实现差异化管理，以风险评估开展前置安全审查，并设立激励相容的责任机制，引导多元主体在安全轨道上释放数据价值。

2. 困境的生成：公共气象服务数据开放中安全与利用的法理冲突与实践表征

公共气象服务数据开放的二元困境[9]并非偶然现象，其本质是分属不同法律体系、追求不同价值目标的规范要求，在同一规制对象上交汇时所产生的结构性冲突。这种冲突在法理层面存在，在立法、执法乃至守法环节均期待进一步的协调机制；在实践层面则具体表现为规制失灵下的两种极端：要么是因管控不力导致的安全风险被无限放大，要么是因过度保守造成的巨大数据价值被深度压抑。

(一) 法理根源：安全优先与利用优先的规范逻辑冲突

安全与利用，作为公共气象服务数据开放的一体两面，其背后均有坚实的法理支撑，但二者在规范逻辑、价值排序和实现路径上存在着内在的、难以调和的紧张关系。

一方面，“安全优先”的法理逻辑植根于总体国家安全观。公共气象服务数据作为一种特定类型的公共数据，其开放行为不仅涉及数据价值的释放，还可能引发安全隐患、隐私泄露及权责分配等问题。这些问题若未能妥善解决，将直接影响公共数据开放的实际效果及其对社会经济发展的贡献。《数据安全法》⁷的颁布，标志着我国将数据安全提升至国家安全的战略高度，其确立的数据分类分级保护、风险评估、监测预警及应急处置等一系列制度，共同构建了一套以风险防范为核心的严密管控体系。这一体系的内在逻辑是审慎、预防和控制。当这一逻辑延伸至气象领域，《气象法》⁸中关于“关系国家安全的重要气象探测场所应当采取措施予以保护”的规定、对境外组织和个人在我国境内进行气象探测活动的严格审批要求，以及气象数据在传输和处理中天然的保密需求，共同强化了这一安全优先的准则。在此框架下，任何可能危及数据完整性、保密性、可用性的开放行为，都将被置于严格的审视之下，其逻辑指向必然是对数据流动的审慎限制和严格监督。

另一方面，“利用优先”的法理逻辑则源于数据作为“新型生产要素”的革命性定位，以及数字经济时代国家发展的内在需求。《“十四五”规划和2035年远景目标纲要》⁹中明确指出，要“加快发展数字经济，促进数字经济和实体经济深度融合”，核心在于“激活数据要素潜能”。中共中央办公厅、国务院办公厅印发的《关于加快公共数据资源开发利用的意见》，更是将公共数据的开发利用视为“推动高质量发展、构筑国家竞争新优势”的关键举措。政府开放数据的原始性、无专属所有权、可被机器直接读取、数据格式多样的特性，不断满足了不同类型用户的数据需求[10]。这一价值追求的规范逻辑是开放、流动与融合，旨在通过打破政府部门间长期存在的数据壁垒，促进数据资源在全社会范围内的广泛流通与高效配置，以催生技术创新、优化公共服务、驱动产业升级。在此框架下，任何阻碍数据价值释放的壁垒都应被破除，其逻辑指向是最大限度地促进数据的共享与再利用。

显而易见，以风险防范为核心的“安全”逻辑倾向于收缩和限制，而以价值创造为核心的“利用”逻辑则倾向于开放和流动。当这两种导向的规范逻辑同时作用于公共气象服务数据这一特殊客体时，法理层面的冲突便不可避免。即使在技术上，隐私计算作为一种新兴技术手段，能够通过数据协同利用和用法用量控制来缓解安全与利用之间的矛盾。然而，隐私计算的引入也可能导致信任机制失效或新型安全风险的出现，这表明单纯依赖技术并非解决之道。现行法律体系中，尚缺乏一个更高位阶的、明确的协调原则或机制，来指引当安全与利用发生冲突时，应如何进行个案的权衡与取舍。这种顶层协调机制的缺失，直接导致了立法供给的不足、行政执法的目标模糊与路径摇摆，最终在实践中演化为具体的困境。

(二) 实践表征：风险放大与价值压抑的双重显现

法理上的内在冲突，投射到公共气象服务数据开放的实践中，便具体化为两种令人担忧的极端现象：风险的放大与价值的压抑。这二者看似对立，实则同源于法律规制体系的失灵。

其一是风险的放大：权责模糊地带持续扩张。以“舟山气象探测数据外泄案”为例，该案的本质是关键战略性数据在供应链环节的失控。涉案企业作为气象设备的供应商，在提供服务的过程中非法获取了大量敏感的气象探测数据，并将其传输给境外组织。此案深刻暴露了当前规制体系的数个致命缺陷：首先，在数据安全责任链条上存在断裂，法律未能明确规定数据处理的委托方(气象部门)与受托方(技术服务企业)之间应承担何种程度的安全保障义务和连带责任；其次，对关键信息基础设施供应链的安全审查机制不健全，缺乏对服务商背景和数据处理能力的强制性尽职调查要求；最后，惩戒机制的威慑力不足，使得违法成本远低于其潜在收益。

而“百色某公司非法向社会发布公众气象预报案”¹⁰则揭示了数据“再利用”环节的监管真空。该公司利用获取的原始气象数据，未经授权擅自加工并向社会公开发布天气预报，直接挑战了《气象法》所确立的统一发布制度。此案反映出，法律对于数据经过二次加工后的成果属性、发布权限以及信息质量标准，缺乏清晰界定。这种行为不仅会因预报不准而误导公众，扰乱正常的生产生活秩序，更会侵蚀国家预警发布体系的权威性和公信力。

其二是价值的压抑：法律不确定性下的“寒蝉效应”。与风险失控并存的，是大量高价值数据因法律的不确定性而被“束之高阁”，造成了巨大的机会成本。难以满足数据要素市场化的要求，如何进行数据定价[11]。这种价值压抑首先源于数据管理部门的“避责心态”。由于缺乏明确的法律指引来界定开放的边界和免责的条件，任何潜在的安全事件都可能转化为对具体部门和个人的行政问责。在这种“多做多错，不做不错”的压力下，管理部门倾向于采取最为保守的“一刀切”式开放策略[12]。当前，尽管中国气象局已发布多批《基本气象数据开放共享目录》¹¹，但开放的数据仍以公众熟知的、替代性较强的基础观测数据为主。而对于能够直接催生巨大经济效益的高价值数据，如高时空分辨率的数值预报产品、雷达加密观测数据、重点行业(如航空、航运)的专业气象数据等，则普遍持保留态度，开放程度极为有限。

这种保守策略同时在需求侧引发了“寒蝉效应”。对于潜在的数据使用者，尤其是需要投入大量研发成本进行产品创新的科技企业而言，不稳定的数据获取预期和模糊的法律责任是其投资决策的最大障碍。它们担忧投入巨资开发出的应用，可能因未来政策收紧或数据获取渠道中断而付诸东流。这种供给侧的保守主义与需求侧的投资疑虑相互强化，最终导致了公共气象服务数据“富矿”的沉睡。厘清公共数据开放的内在机理，对于推进数字中国建设、因地制宜发展新质生产力、实现经济高质量发展具有重要的现实意义[13]。以上海成功的授权运营模式为例，其之所以未能迅速在全国范围内推广，很大程度上正是因为缺乏一个国家层面的、统一的法律框架来为这种合作模式提供合法性背书和权利义务保障，使得其他地方政府难以复制。

3. 困境的破解：协调安全与利用的域外经验镜鉴

面对公共气象服务数据开放中“安全”与“利用”的二元困境，欧盟和美国在长期的实践中探索出各具特色的法律协调机制。这些机制并非单向选择，而是在各自的法律文化、技术条件和产业背景下，对“安全”与“利用”两大目标进行动态平衡的制度性回应。其中，欧盟的“预防优先”模式与美国的“市场驱动”模式，体现了不同治理逻辑，为我国相关制度设计提供了有益参考。

(一) 风险控制机制的经验：欧盟的“预防优先”模式

欧盟的数据治理框架以其对个人信息保护的前置性安排和风险防范的严格程序而具有代表性，其核心理念在于将数据安全与隐私保护要求嵌入数据处理流程之中。这一“预防优先”模式，形成了在数据开放之前主动识别与化解风险的程序体系。

其制度基础是《通用数据保护条例》(GDPR)。该条例不仅确立了数据处理的合规框架，还提出了“数据保护by design and by default”的原则，要求数据控制者在启动任何数据处理活动时即考虑风险防控并纳入业务和技术流程。¹²围绕这一原则，形成了两项核心制度：

第一，数据保护影响评估(Data Protection Impact Assessment, DPIA)。GDPR第35条规定，当一项数据处理行为可能对自然人的基本权益产生较高风险时，数据控制者需在处理前进行DPIA，评估内容涵盖处理活动的描述、必要性与相称性分析，以及潜在风险的识别和缓释措施。在公共气象服务数据开放中，例如当开放高时空分辨率数据集时，需要评估其是否可能通过与其他数据结合产生身份再识别风险，或是否在涉及敏感区域时存在被滥用的可能。通过事前风险评估与控制，确保数据开放在利用价值与潜在风险之间实现平衡。

第二，数据保护官(Data Protection Officer, DPO)。GDPR要求公共机构必须设立DPO，其职责包括对DPIA提供咨询、监督合规、作为数据主体与监管机构的沟通渠道等。在气象机构中设立DPO，有助于在数据开放实践中保持风险控制的制度化与持续性，从而避免因业务压力而忽视安全考量。

此外，《数据治理法案》(DGA)在保障安全的前提下，通过引入“数据中介”等机制，尝试在数据提供方与使用方之间建立可信中介，推动数据共享。¹³整体而言，欧盟经验显示，制度化的事前预防与全生命周期的风险管理，是实现安全与利用兼顾的基础路径。

(二) 价值激励机制的经验：美国的“市场驱动”模式

与欧盟的预防取向不同，美国的数据开放制度更强调市场机制的作用。其基本理念在于，政府负责提供高质量的公共数据作为基础资源，而数据的增值开发与创新应用主要依赖社会与市场主体完成。

其法律基础是《开放政府数据法案》(Open, Public, Electronic, and Necessary Government Data Act)，确立了联邦政府数据“默认为开放”(open by default)的原则，要求政府数据以开放格式、可机读形式向公众提供，除非因国家安全、隐私或保密等事由需作限制。¹⁴这一制度安排为市场主体利用数据提供了稳定可预期的环境。学界有研究指出，该法案的系统化和实践导向为其他国家在设计相关制度时提供了参考[14]。

在气象领域，美国国家气象局(NWS)长期实施大部分气象数据(包括雷达、卫星、数值模式等)免费公开的政策。这一做法降低了社会主体进入气象服务市场的门槛，推动了如AccuWeather、The Weather Company等商业机构的发展。这些机构在原始数据的基础上进行加工与增值，为航空、农业、能源等行业提供定制化服务，形成了较为成熟的产业生态。政府在此过程中专注于基础数据供给，市场则推动数据的价值转化。

美国模式在安全方面则更多依赖部门化(sectoral)的规制方式。不同数据主管部门根据各自领域的风险特点制定共享与保护规则，并辅以美国国家标准与技术研究院(NIST)等机构发布的安全框架和技术标准，形成了分散但专业化的安全保障机制。该模式的特点在于，既提供了宏观层面的开放激励，又在微观层面落实了差异化的风险管理。

(三) 技术与法律的协同补充

域外经验主要集中在制度设计层面，而对前沿技术在缓解“安全”与“利用”冲突中的作用涉及较少。事实上，以隐私计算为代表的新兴技术逐渐展现出作为调和工具的潜力。通过安全多方计算、同态加密、差分隐私、联邦学习、可信执行环境等方式，可以在“数据可用但不可见”的前提下，实现跨机构的数据联合利用。这不仅有助于突破“安全”与“利用”的二元对立，还可为跨行业、跨领域的气象数据应用提供更多可能。但需要注意，技术本身也存在成本与可信度问题，必须通过制度安排进行规范和引导。因此，未来应在制度与技术的双重维度上探索协同治理路径。

4. 公共气象服务数据开放协调机制的构建路径与体系设计

前文的分析业已揭示，我国公共气象服务数据开放在法理与实践层面所面临的“安全”与“利用”二元困境，其根源在于面对一个兼具战略性、公益性和经济性的复杂规制对象时，现行法律体系缺乏一套精细、动态且协同的协调机制。借鉴域外经验并立足我国国情，破解此困境的出路，绝非对某一价值的单向倾斜，而在于系统性地构建一套以风险预防为基础、以动态平衡为目标、以激励相容为导向的法律协调机制。该机制的构建并非一蹴而就的单一行动，而应是一个包含宏观立法原则的确立、事前差异化授权的精细控制、过程风险审查的审慎监督，以及事后合规免责的积极激励等多个层次、相互支撑的有机整体，以此形成完整、闭环的治理体系，引导公共气象服务数据开放步入法治化、规范化的轨道。

(一) 宏观基石：在国家立法层面确立“安全与利用并重”的根本原则

任何有效的制度构建，都必须始于一个清晰、稳定且具有权威的立法原则。当前困境的存在，很大程度上源于立法层面尚未就“安全”与“利用”的关系给出一个具有指导性的答案，导致下位法与行政实践的无所适从。参考政府数据开放站在国家战略实施的高度进行宏观制度设计，通过制度先行，明确政府数据开放体制机制以及规范，制定完善相应的立法[15]，从而规范公共气象服务数据开放行为。因此，破解困境的首要任务，便是在国家立法层面，明确确立“安全与利用并重”这一根本原则。此处的“并重”，并非意指在任何情境下都采取机械地对等或“五五开”的利益分割，而是一种动态的、基于风险评估的辩证平衡观。其核心要义在于：在保障国家安全、社会稳定和个人合法权益这一不可动摇的前提下，最大限度地促进公共气象服务数据的开放、共享与创新应用；并且，在推进开放利用的任何一个环节，都必须同步规划、同步建设、同步运行数据安全保障体系。安全是发展的底线与前提，发展是安全的动力与目标，二者如车之两轮，互为条件，不可偏废。

要将这一抽象原则转化为具有约束力的法律规范，需要选择合适的立法路径。综合考量立法的效率、权威性与体系协调性。在《政务数据共享条例》框架已确立、中国气象局《气象数据开放共享实施细则(试行)》(下称《细则》)实践成效初显的背景下，适时启动《气象法》修订是完善气象数据法治体系的关键举措，其核心路径在于增设“数据开放与安全”专章。该专章需首先实现制度升维：将《细则》中“安全优先、权益保障、需求导向、分类分级”的实践原则，通过法律条文固化，解决效力层级不足的问题，强化气象数据开放共享的刚性约束。其次需明确权责体系：基于《细则》中“中国气象局统筹 + 直属单位与地方气象部门分工”的管理模式，在法律层面确立气象主管机构的第一监管责任主体地位，同时界定其与网信、公安等部门的协同治理边界，避免监管重叠或缺位。同时，此修订路径既确保气象数据规制的行业专业性，又实现与《数据安全法》《网络安全法》及《政务数据共享条例》的体系衔接，为公共气象服务数据的安全有序开放提供高位阶法律保障，推动气象数据资源价值转化与国家数据安全战略相适配。

(二) 技术支撑：以隐私计算为核心的安全与利用平衡机制

公共气象服务数据开放的独特性在于其高频率、强时效、大规模与跨领域的特征，使得传统意义上的数据保护与利用平衡模式难以完全适用。在这一背景下，隐私计算作为近年来数据科学领域的前沿方向，成为实现公共气象服务数据安全与利用协调的潜在关键。隐私计算是隐私保护计算(Privacy-Preserving Computation)的简称，是指对数据进行隐私保护的基础上进行数据加工、分析处理、分析验证，实现数据价值挖掘的技术体系，包含了人工智能、密码学、数据科学等众多学科的交叉融合¹⁵。在公共气象服务数据开放场景中，这一思路尤具适用性，因为气象数据往往涉及跨部门、跨行业的融合使用，不可避免地存在数据流动与共享的需求，而传统的“去标识化”“集中隔离”等方式已难以满足兼顾价值释放与风险控制的双重要求。隐私计算通过在底层技术逻辑中嵌入保护机制，能够在源头上缓解“安全”与“利用”的对立冲突，推动数据在开放轨道内高效流动，实现数据的联合建模与价值挖掘。

学术界对隐私计算在数据治理中的价值已形成共识。原浩等学者认为，隐私计算作为法律框架下的“安全技术措施”，其法理逻辑在于为数据确权和数据交易等制度提供安全基础，从而有效发挥数据要素作用[16]。这一观点可支撑公共气象服务数据“权属归政府、利用权有序开放”的法律规则，如企业通过隐私计算获取气象数据使用权而不转移所有权，契合《气象资料共享管理办法》原则。尹华容等学者则从行政法规制的角度，强调了隐私计算并非无风险，指出其可能引发的数据合规、数据泄露等风险，并主张通过完善法律法规、构建统一标准等手段对其进行事前、事中、事后全链条治理[17]。这对公共气象服务数据开放尤为重要，可在法律规制中明确其技术准入、实时监控与追责机制，规避预警数据泄露等风险，符合《数据安全法》要求。此外，李轩等学者则更进一步，主张将隐私计算作为一种“数据治理科技”，通过科技治理与法律规制的协同共治，实现法律规范与代码规则的有机融合，从而消弭数据安全与利用的根本性矛盾，探索出一条“通过设计”的公共数据开放路径[18]，如在法律中明确关键领域气象数据开放需采用隐私计算技术，实现“法律定责、技术控险”的双重保障，破解安全与利用矛盾。这些研究为本文将隐私计算作为核心技术支撑提供了坚实的理论基础和多维度的学理视角。

从具体路径来看，隐私计算包括但不限于五类核心技术：其一是安全多方计算(Secure Multi-Party Computation, MPC)，通过设计密码学协议，使多个参与方能够在不泄露各自原始数据的条件下完成联合计算，典型应用是在气象灾害预测建模中，各地气象台站或科研机构无需交换原始观测数据即可得到统一模型结果，从而实现“数据不动、模型动”。其二是同态加密(Homomorphic Encryption, HE)，允许在密文状态下进行数学运算，解密后结果与明文操作一致，这意味着气象数据在全程加密的状态下即可完成复杂计算，避免了在传输与处理环节的暴露风险。其三是差分隐私(Differential Privacy, DP)，通过在输出结果中引入随机噪声以控制可识别风险，使攻击者无法从宏观统计结果反推出个体特征，这在面向公众的数据服务中尤为重要，例如天气查询、极端事件预警等均可在保证统计规律有效的前提下屏蔽对个体轨迹或偏好模式的重建。其四是联邦学习(Federated Learning, FL)，其机制是将模型训练下沉至数据本地，各参与方仅上传参数或梯度，由中心进行聚合，这一模式对于跨区域、跨机构的气象模型训练尤为适用，可有效缓解“数据孤岛”问题。其五是可信执行环境(Trusted Execution Environment, TEE)，通过在硬件层面构建隔离区，使敏感数据仅能在受控环境下运行，防止在处理过程中被操作系统或恶意程序截取，这为对高敏感度气象数据的计算提供了硬件级保障。

这些技术在理论上均为“安全与利用兼顾”提供了可能，但其现实应用并非没有难题。首先，MPC与HE的计算复杂度极高，在气象数据这样体量庞大、实时性要求强的场景中，容易导致运算延迟和算力瓶颈；差分隐私在隐私预算收紧的条件下会显著降低数据的可用性，可能削弱对台风路径、强对流等极端天气事件的预测精度；联邦学习虽然实现了分布式协作，但其训练过程可能遭受更新投毒、反演攻击等安全威胁，甚至因参与方算力不均衡而影响整体模型的稳定性；TEE虽能在硬件层面保障数据安全，但仍需应对侧信道攻击、供应链可信与性能开销等问题。这些不足说明，隐私计算并非“银弹”，它既是公共气象服务数据治理的机遇，也是新的挑战。由此可知，法律化评价隐私计算的安全性、主动性在于法律本身，但法律，特别是司法不会主动提出和解决不明确、不特定的安全问题。这就需要隐私计算产业界发现和提出安全性验证的法律需求，推动法律回应这些安全问题。

尽管如此，隐私计算的学理价值和应用潜能不容忽视。从数据科学的角度看，它代表了由“数据集中利用”向“分布式安全利用”的范式转型，体现出“最小可见性原则”的贯彻，也即原始数据不出库，数据可用不可见[19]；从法学的角度看，它为法律上“风险预防原则”与“比例性原则”的落地提供了工具化支持，即在风险尚未发生之前，通过技术路径降低损害发生的可能性，从而减轻制度对“禁止”或“过度限制”的依赖。在公共气象服务数据场景中，这种跨学科的结合尤为重要：气象数据开放的高价值属性要求尽可能释放利用潜能；但于此同时，其安全敏感性又决定了必须具备高水平的防护手段。隐私计算正是这种张力下的中介桥梁。其一，应在相关法律法规中明确隐私计算等技术的地位与使用边界，并建立相应的技术合规清单和认证体系；其二，应将隐私计算的合规应用纳入安全评估指标，并在“安全港”制度中对使用该类技术的合规主体给予减责激励；其三，应推动行业标准与术语统一，形成跨部门、跨领域的互认机制。通过“技术 + 法律”的双轮驱动，能够在制度与工具的双重保障下，为公共气象服务数据开放构建更加稳健的安全与利用平衡机制。在这种意义上，隐私计算不仅是技术革新，更是法学与数据科学交叉融合的体现，它推动法律制度从静态规制向动态协同转型，为在法治框架下实现公共气象服务数据的高效利用与有效保护提供了坚实的支撑。

(三) 事前控制：以“数据分类分级”为基础的差异化授权机制

确立了宏观原则之后，机制构建的核心便在于如何将抽象的“平衡”理念转化为具体、可操作的规则。结合我国《数据安全法》的原则性规定，构建一套科学的“数据分类分级”体系，并据此匹配差异化的开放授权机制，是实现事前精准控制、避免“一刀切”式粗放管理的关键所在。这一机制的本质，是通过对数据资产的精准画像，实现规制资源的优化配置。

首先，在数据分类层面，应依据数据的内在法律属性与敏感源，进行根本性的类别划分。这要求我们将气象数据至少划分为四个基本类别：一般公共数据类，指不涉及国家秘密、商业秘密和个人信息[20]，主要用于满足公众知情权和基本生产生活需求的数据，如常规城市天气预报、空气质量指数等，其法律定位是纯粹的公共物品，也是本文所谓公共气象服务数据的基础部分，应遵循最大限度地开放原则；个人信息数据类，指在数据生成或服务过程中直接或间接关联到特定自然人的数据，如用户通过个人账户定制的气象服务所产生的行为数据，其处理与开放必须严格遵循《个人信息保护法》¹⁶的“告知–同意”核心原则，并以匿名化、去标识化处理为基本技术前提；商业秘密数据类，指气象部门在与商业主体合作研发过程中产生的具有商业价值、非公知性的技术信息和经营信息，如与保险公司合作开发的精算模型所使用的特定数据集，其权属与开放模式应主要通过合作协议进行约定；涉国家安全数据类，指一旦泄露、篡改或滥用可能直接或间接危害国家安全的敏感数据，如军事设施周边的精确气象数据，其认定需由气象、国安、军队等部门共同进行，并列入严格的国家级管控清单。也即，对第一类数据进行最大限度开放，第二、第三类具有可开放性的数据仍为公共气象服务数据，但其开放需要符合严格的规范，第四类数据应进行国家保密管控。

其次，在分类的基础上，还需引入数据分级的概念，即根据数据一旦遭到破坏后可能造成的危害程度，以及其自身的经济社会价值，对数据进行风险与价值的量化评估[21]。建议在各类数据下，至少划分“核心级”、“重要级”、“一般级”三个等级。通过“分类 + 分级”所形成的二维矩阵，我们便可以为不同属性的数据匹配最适宜的开放授权模式，实现安全与利用的精准平衡。例如，对于“一般公共数据类”的“一般级”数据，应采取无条件开放(Open Access)模式，通过数据开放平台[22]向全社会免费提供，用户仅需同意格式化的使用声明即可下载使用。对于“一般公共数据类”的“重要级”数据，则可采取备案式使用(Filing-Based Use)，用户在平台进行简单的身份信息备案后即可获取，以便在出现数据滥用情况时进行追溯。而对于绝大多数具有高价值的商业和个人信息数据，以及部分高敏感度的公共数据，则应以授权式许可(Authorized Licensing)为主要模式。在此模式下，气象主管机构作为授权方，与作为被授权方的数据使用企业签订具有法律效力的《数据许可使用合同》，合同中应详细规定数据的使用范围、目的、期限、安全保障义务、成果的知识产权归属以及违约责任等。最后，对于所有被划定为“涉国家安全数据类”的数据，则应适用严格禁止或特许审批(Strict Prohibition/Special Permit)模式，原则上禁止向社会开放，仅在服务于国家重大利益且经法定程序特别审批的情况下，才允许在特定的政府或军工单位之间进行点对点共享。

(四) 过程监督：以“重大数据安全评估”为核心的风险审查制度

如果说分类分级授权是静态的规则设定，那么风险评估则是动态的过程监督，是应对新技术、新应用场景不断涌现所带来的不确定性风险的关键制度。借鉴欧盟DPIA的“预防优先”理念，我国应在《数据安全法》的原则性要求下，为公共气象服务数据开放设立一套专门的、可操作的重大数据安全评估制度。该制度不应是常态化的，否则会不断增加行政成本、降低开放效率，其适用应严格限定于高风险的特定情形。法律或条例应明确规定评估的触发机制，例如，凡是拟开放的数据被定为“重要级”或“核心级”的，或数据将被用于关键信息基础设施的运营，或涉及对多源异构海量数据的融合分析，以及任何涉及公共气象服务数据向境外提供的行为，都必须强制启动安全评估。

评估的主体构成与程序设计，直接关系到其权威性与公信力。评估应由气象主管机构牵头，并强制要求国家网信部门、公安部门乃至国家安全部门的专家共同参与，组成跨部门的“专家评估委员会”。评估程序应包括申请方提交包含数据处理全流程描述和风险自评的报告、评估委员会进行书面审查和质询、必要时引入第三方独立测评机构进行技术检测等环节。武长海在《论我国数据权法律制度的构建与完善》中提出将数据划分为底层数据、匿名化数据与衍生数据的分类框架[23]，这一思路可直接为公共气象服务数据的分级评估提供依据——对关联个人信息的底层气象数据强化源头管控，对经加工的衍生气象数据侧重利用价值与风险的平衡，使评估更具针对性。评估的最终结论，无论是“批准”、“附条件批准”还是“否决”，都应作为开放许可的前置条件，并具有法律上的约束力。评估的实质内容，核心在于对开放行为的“必要性”与“风险性”进行系统性权衡。评估报告必须对以下问题做出回答：此次数据开放所追求的公共利益或经济社会价值是否明确且重大？是否存在风险更小的替代方案？数据在全生命周期中可能面临的技术漏洞和管理风险为何？数据泄露或滥用后可能造成的具体影响是什么？以及，拟采取的风险缓释措施是否充分、有效？通过这样一套严谨的程序，将风险审查的责任内化到数据开放的决策流程之中，确保每一次高风险的数据开放行为都经过了审慎地考量与权衡。

(五) 事后激励：以“合规免责”为导向的“安全港”制度

要真正激活数据利用的价值，仅靠事前控制和过程监督是不够的，还必须通过激励机制的设计，解决数据使用者因法律责任不确定而产生的“不敢用、不愿用”的后顾之忧。借鉴美国市场驱动模式中为市场提供稳定预期的精神，探索构建一种“合规免责”导向的“安全港”(Safe Harbor)制度，对于激励善意、合规的企业大胆创新至关重要。“安全港”制度的本质，是一种正向的激励机制，它并非包庇违法行为，而是为那些已经尽到了法律所要求的最高注意义务和合规责任的“善意主体”提供一个法律上的“避风港”。

具体而言，法律或条例应明确规定，当发生数据安全事件时，如果数据使用者能够提供充分证据证明其满足以下全部条件，则可以减轻或免除其行政处罚责任，并在民事侵权诉讼中作为重要的减责事由：第一，授权合规性，即证明其获取和使用数据完全基于合法的授权协议，且其行为始终未超出协议约定的范围和目的；第二，标准符合性，即证明其为保护数据所采取的技术措施和管理制度，符合国家网络安全等级保护制度或相关行业发布的最新数据安全标准；第三，尽职勤勉性，即证明其在事前已进行了合理的风险自查，在事中进行了持续的安全监测，不存在明显的管理疏忽或放任风险的行为；第四，应急协作性，即在安全事件发生后，能够按照法律要求第一时间向监管部门报告，并积极采取补救措施，全力配合调查，以最大限度降低损害后果。当数据使用者认为评估结果不合理或对“安全港”制度的适用存在争议时，可通过内部申诉机制向相关部门反映，也可考虑设置类似行政复议[24]的程序，保障数据使用者的合法权益。通过设立“安全港”，法律向市场传递了一个清晰的信号：法律惩罚的是恶意或疏忽的违法者，而不是遭遇不可预见攻击的合规者。这将极大地激励企业将资源投入到构建扎实的合规体系和安全防护能力上，从“被动应付监管”转变为“主动追求安全”，最终形成一个“合规创造价值，安全赢得信任”的良性市场生态。

5. 结语

本文立足于我国公共气象服务数据开放实践中日益凸显的“安全”与“利用”二元困境，通过对其法理根源与实践表征的深入剖析，并批判性地借鉴了欧盟和美国的域外经验，旨在探寻一条超越简单价值取舍的、系统性的制度破解之道。研究认为，化解此困境的核心，不在于对“安全”或“利用”的单向优先，而在于构建一套以“安全与利用并重”为立法原则，融“事前分类分级授权”、“过程重大风险评估”、“事后合规免责激励”于一体的动态法律协调机制。

本文提出的四项核心路径——明确的立法顶层设计、精细化的数据分类分级体系、程序化的风险评估制度以及激励相容的“安全港”规则——共同构成了一个相互支撑、逻辑闭环的治理框架。它力图将抽象的“平衡”理念，转化为具体、可操作的法律规范，引导政府、市场与社会等多元主体在法治轨道内良性互动，最终实现公共气象服务数据“接得住、管得好、用得活”的理想状态。

当然，任何制度设计都无法一劳永逸。本文提出的框架仍是一个宏观的、原则性的构想，其真正落地生根，还有赖于更为细致的实施细则、更具操作性的技术标准，以及司法实践在个案中不断积累的裁判智慧。未来的研究，可进一步聚焦于数据价值的经济学评估模型、特定安全技术的法律承认标准等更为微观的议题。但无论如何，我们有理由相信，一个设计精良的法律制度，必将能引领我们穿越安全与利用的迷雾，驶向数字文明的广阔蓝海，最终构筑起一个既充满活力又安全有序的数字中国。

基金项目

名称：江苏省研究生科研与实践创新计划，项目编号：SJCX25_0466。

NOTES

¹参见《上海市气象条例》。自2024年11月1日起施行，其中第五章专门对气象数据开发利用作出规定，明确上海将按照气象数据开放目录，依托国家和上海规定的数据资源平台向社会开放公共气象服务数据上海市气象局。同时，明确由市气象主管机构会同市数据部门授权符合条件的运营主体进行数据开发利用，并对被授权运营主体、平台及数据分类分级、安全管理等提出基本要求上海市气象局。此外，《浦东新区促进气象数据要素市场化发展若干规定》中关于公共气象服务数据开放的内容主要体现在第七条“数据开放目录”。具体内容为：区气象主管机构应当在国务院气象主管机构支持下编制开放程度更高的气象数据开放共享目录并动态更新，符合安全条件的经营主体以及研发机构、公益性组织等非经营主体可以无偿使用目录内数据。

²参见《关于加快公共数据资源开发利用的意见》。第二条第二点明确规定有序推动公共数据开放。健全公共数据开放政策体系，明确公共数据开放的权责和范围，在维护国家数据安全、保护个人信息和商业秘密前提下，依法依规有序开放公共数据。完善公共数据开放平台，编制公布开放目录并动态更新，优先开放与民生紧密相关、社会需求迫切的数据，鼓励建立公共数据开放需求受理反馈机制，提高开放数据的完整性、准确性、及时性和机器可读性。

³舟山气象探测数据外泄案，详见《舟山：依法查处一例气象探测数据外泄案》，中国气象局，2023年11月23日。 https://www.cma.gov.cn/2011xwzx/2011xqxxw/2011xjctz/202311/t20231123_5903972.html。

⁴参见《数据领域常用名词解释(第一批)》第十五条。

⁵参见《气象数据管理方法(试行)》第三条。

⁶参见《中国气象局基本气象数据开放共享目录(第一批)》，主要内容包括中国地面基本气象观测数据、中国高空基本气象观测数据及天气形势与要素预报图等。

⁷参见《数据安全法》第二十一条。“国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。”

⁸参见《气象法》第十一条。国家依法保护气象设施，其中关系国家安全的重要气象探测场所，应当采取有效措施予以保护。同时《气象法》第十八条指出，基本气象探测资料以外的气象探测资料若需保密，其密级的确定、变更和解密以及使用，依照《中华人民共和国保守国家秘密法》的规定执行。

⁹参见《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》第十五章。“迎接数字时代，激活数据要素潜能，推进网络强国建设，加快建设数字经济、数字社会、数字政府，以数字化转型整体驱动生产方式、生活方式和治理方式变革。”

¹⁰百色某公司非法向社会发布公众气象预报案，详情见《自治区气象局公开行政执法典型案例：百色某公司非法向社会发布公众气象预报案》，广西壮族自治区气象局，2024年12月2日，http://gx.cma.gov.cn/wgw/202412/t20241202_6721882.html?title=tzgg。

¹¹2024年5月24日，在第七届数字中国建设峰会数字气象分论坛上，中国气象局首次发布了第五批气象数据开放共享目录。该批目录共包含6类12种产品，以各行业人工智能技术应用需求为导向，从中国气象局高价值气象数据产品体系中遴选出一批技术方法科学先进、质量性能权威可靠的产品。截至现在，中国气象局发布的五批基本气象数据开放共享目录中，数据产品总数为118种。

¹²《通用数据保护条例》(General Data Protection Regulation, GDPR)，第25条【设计与默认的数据保护】：1. 控制者在确定处理手段时以及在处理过程中，应当采取适当的技术和组织措施，例如假名化处理，这些措施旨在有效实施数据保护原则，例如数据最小化，并在处理过程中纳入必要的保障措施，以满足本条例的要求并保护数据主体的权利。2. 控制者应当采取适当的技术和组织措施，确保在默认情况下，仅处理为特定处理目的所必需的个人数据。这一义务适用于收集的个人数据量、处理范围、保存期限和可访问性。在默认情况下，个人数据不应在没有自然人干预的情况下被无限数量的个人访问。

¹³《数据治理法案》(Regulation (EU) 2022/868, Data Governance Act, DGA)，第10条【数据中介服务的提供】规定：数据中介服务提供者应当以中立和透明的方式行事，确保不将通过其服务获得的数据用于其他目的，并采取适当的技术与组织措施，保障数据主体和数据持有者的权利与利益。第11条进一步要求此类服务提供者在欧盟境内设立法人实体，并接受主管当局的监督。第12条强调其需建立稳健的治理架构和安全措施，以确保数据共享活动的可信性与合规性。

¹⁴《开放政府数据法案》(Open, Public, Electronic, and Necessary Government Data Act, OPEN Data Act)，第201条【默认开放原则】：1. 各联邦机构应当确保其管理的数据在不涉及国家安全、隐私、机密信息或其他法律规定限制的情况下，默认为开放，并以开放、可机读的形式向公众提供。2. 各联邦机构应当采取必要的技术和组织措施，确保所开放的数据具有完整性、可用性和可再利用性，并在机构主管信息官的监督下，建立统一的数据清单和元数据目录。3. 联邦首席信息官办公室(OMB)应当制定统一的实施指南，明确数据开放的标准、流程和例外事由，以确保跨机构的一致性。

¹⁵中国信息通信研究院，阿里巴巴(中国)有限公司，北京数牍科技有限公司:《隐私保护计算技术研究报告》，中国信通院网2020年11月发布，第6页，http://www.caict.ac.cn/kxyj/qwfb/ztbg/202011/t20201110_361696.html.。

¹⁶《中华人民共和国个人信息保护法》第14条：“个人同意应当在充分告知的前提下，由个人自愿、明确作出；处理情况发生变更的，应当再次取得个人同意。”第30条：“个人信息处理者在处理个人信息时，应当进行去标识化处理；以匿名化方式处理的，处理后的信息不得用于识别特定自然人，且不得复原。”

参考文献