×

打开微信,扫一扫二维码
订阅我们的微信公众号

×

打开手机,扫一扫二维码
即可通过手机访问网站并分享给朋友

EN

地方数据立法方兴未艾——兼议《深圳经济特区数据条例》(征求意见稿)|MHP君悦评论

2021-06-175050

摄图网_501364120_wx_深圳湾人才公园日落景色(企业商用).png


数据是数字经济时代的“石油”,是数字化转型的“润滑剂”,正成为各个国家和地区重要的战略资产。中共中央、国务院于2020年3月3日发布了《关于构建更加完善的要素市场化配置体制机制的意见》,将数据作为新的生产要素提高到基础战略资源地位,进一步要求探索建立统一规范的数据管理制度、研究根据数据性质完善产权性质、制定数据隐私保护制度和安全审查制度。


地方数据立法方兴未艾。无论自身的经济基础和发展条件如何,发展数字经济已成趋势,各地正在积极推进数据立法进程。



一、《浙江省数字经济促进条例》


《浙江省数字经济促进条例》(简称“《浙江数字经济条例》”)已于2021年3月1日生效实施。该条例是全国首部促进数字经济的地方立法。浙江省是数字经济先 行省份,在产业数字化、数字产业化方面走在时代前列。在数字经济立法上先行一步,为数字经济创新发展积累经验,无疑是《浙江数字经济条例》的重要使命。


《浙江数字经济条例》偏重于数字经济的宏观管理和顶层设计。《浙江数字经济条例》共设9章62条,重点关注浙江省内数字经济发展以及数字政府、数字社会建设,突出各个政府部门,尤其是经济和信息化主管部门,在数字基础设施、数据资源、数字产业化、产业数字化、治理数字化等方面的领导、推进、协调、督促职能。其中,“数字基础设施、数据资源”是《浙江数字经济条例》的两大支撑,“数字产业化、产业数字化、治理数字化”则为其三大重点。


1、何为“数字经济”


《浙江数字经济条例》首次对“数字经济”进行了定义。“数字经济”定义为:以数据资源为关键生产要素,以现代信息网络为主要载体,以信息通信技术融合应用、全要素数字化转型为重要推动力,促进效率提升和经济结构优化的新经济形态。


2、何为“数据资源”


《浙江数字经济条例》将“数据资源”定义为指以电子化形式记录和保存的具备原始性、可机器读取、可供社会化再利用的数据集合,包括公共数据和非公共数据。其中所称“公共数据”,是指国家机关、法律法规规章授权的具有管理公共事务职能的组织在依法履行职责和提供公共服务过程中获取的数据资源,以及法律、法规规定纳入公共数据管理的其他数据资源。《数据安全法》[1]对数据的定义为“任何以电子或者非电子形式对信息的记录”。相比较,《浙江数字经济条例》将数据资源限于以电子形式记录和保存的各类数据集合,且定义更加突出可供社会化再利用的数据集合。尽管从数字经济角度,其涉及的数据类型更多可能是电子形式记录和保存的,但比照《数据安全法》,《浙江数字经济促进条例》不仅显得范围过于狭隘,还可能存在与上位法的潜在冲突。


《浙江数字经济条例》确定了数据资源使用的基本原则。具体而言,任何单位和个人收集、存储、使用、加工、传输、提供、公开数据资源,应当遵循合法、正当、必要的原则,遵守网络安全、数据安全、电子商务、个人信息保护等有关法律、法规以及国家标准的强制性要求,不得损害国家利益、社会公共利益或者他人合法权益。


另外,浙江省已于2020年8月1日开始实施《浙江省公共数据开放与安全管理暂行办法》。



二、《上海市数据条例》(暂定名)


上海正在加紧数据立法。据报道,《上海市数据条例(暂定名)》草案已经形成,这部《上海市数据条例》草案在不触碰数据权属的前提下,依据现行《民法典》和正在审议中的《个人信息保护法》有关立法内容和精神,从确认各方主体可以对数据行使哪些权利的角度,对数据主体和数据处理者的“数据权益”作出了明确规定,明确市场主体在不违反法律、行政法规禁止性规定以及与被收集人约定的情况下,对自身产生和依法收集的数据,以及开发形成的数据产品和服务,有权进行管理、收益和转让,解决权益不清带来的数据流通不畅、利用不足的问题。[2]


在此之前,上海已于2019年10月1日起实施《上海市公共数据开放暂行办法》。该办法将“公共数据”定义为上海市各级行政机关以及履行公共管理和服务职能的事业单位在依法履职过程中,采集和产生的各类数据资源。与《浙江数字经济条例》相比,上海公共数据的范围狭窄很多。



三、《重庆市大数据发展管理条例》(征求意见稿)


重庆市大数据应用发展管理局于2021年3月31日公布了《重庆市大数据发展管理条例(征求意见稿)》(简称“《大数据条例》征求意见稿”)。该条例旨在规范数据管理,促进数据商用、民用、政用,保障数据安全。


《大数据条例》征求意见稿并未对数据或大数据作出详细界定,仅仅引入了“大数据发展管理及其相关活动”概念,即数据的收集、存储、加工、使用、传输、提供、交易、安全及其相关管理活动,以及利用数据促进数字化发展的活动。


重庆先后出台了《重庆市政务数据资源管理暂行办法》(2019年7月11日)和《重庆市公共数据开放管理暂行办法》(2020年9月11日),旨在规范政务数据和公共数据的管理和公开。有意思的是,两个法规下政务数据与公共数据的概念相似或重叠,实践中容易造成适用上的困难[3]。即使如此,《大数据条例》征求意见稿仍然用整整第二章讨论了公共数据的管理。可以预见的是,如果《大数据条例》征求意见稿最终定稿通过后,重庆政务数据与公共数据立法的统合整理不可避免。


《大数据条例》征求意见稿重点规范数据要素市场培育,涵盖了数据交易活动、数据融合应用,突出政府机关在推进数据要素市场培育中的关键角色。《大数据条例》征求意见稿还专列一章规范数据安全,其中也涉及数据跨境安全。《数据安全法》将于2021年9月1日起施行,《大数据条例》征求意见稿如何调整和修改值得关注。



四、《深圳经济特区数据条例》(征求意见稿)


深圳数字产业迅猛发展,拥有腾讯、华为、平安、中兴等一批实力强劲的数据企业,集聚了海量数据;深圳肩负着在数据产权制度、数据产权保护和利用新机制、数据隐私保护制度建设、政府数据开放共享以及数据交易等方面的先行先试的重任[4];同时,深圳拥有全国人大及其常委会的授权,可以在诸多领域先行立法。在这一大背景下,深圳市司法局于2020年7月15日公布了《深圳经济特区数据条例(征求意见稿)》(简称“《2020年稿》”)公开征求意见,并在征求意见的基础上形成了《深圳经济特区数据暂行条例(草案)》。该条例草案经深圳市第六届人大常委会第四十六次会议、深圳市第七届第一次会议审议并进一步修改后,形成了《深圳经济特区数据条例(征求意见稿)》(简称“《征求意见稿》”)。深圳市人大常委会于2021年5月31日公布了该《征求意见稿》。


相比《2020年稿》,《征求意见稿》改动颇大。而《征求意见稿》的发布正值《数据安全法》正式发布和《个人信息保护法》(二次审议稿)(简称“《个人信息保护法》”)公开征求意见之际,其数据权属及其保护、数据处理、数据交易方面的创新规定,是否存在立法冲突或越权,引发争议。


1、数据与信息


《2020年稿》甫一公开,就因其“数据”和“数据权”的首次亮相而引起社会各界广泛关注。《2020年稿》的“数据”定义颇为抽象:数据是关于客体(如事实、事件、事物、过程或思想)的描述和归纳,是可以通过自动化等手段处理或再解释的素材。与《2020年稿》同时公开的说明解释,该定义对数据的表现形式进行描述,即数据是一种数字化记录,其所承载的内容除信息外,还包括非信息。尽管说明认为该定义可体现出数据与信息的差异,但囿于描述的抽象性,我们单单从这一定义还是很难看清数据与信息之间的异同。


可能考虑到《2020年稿》数据定义过于复杂抽象,以及《数据安全法》将数据定义为“任何以电子或者非电子形式对信息的记录”,《征求意见稿》参照《数据安全法》对数据的定义进行了完全重述。《征求意见稿》第2条规定,“数据”是指任何以电子或者非电子形式对信息的记录,而“数据处理”是指数据的收集、存储、加工、使用、提供、开放、交易等活动。相比《数据安全法》,数据处理的定义多了一项“交易”,突出了《征求意见稿》在数据交易方面的立法尝试[5]。


数据和信息是相互联系的概念。简言之,信息是数据的内容,数据是信息的形式。综合当前有关数据和信息的主流观点,数据和信息的差异主要表现在:


■ 数据侧重于附着载体和表现形式,而信息侧重于载体所承载和表现的内容。《征求意见稿》和《数据安全法》就已经明确,数据就是对信息的记录。


■ 数据侧重于流转和利用,而信息侧重于保护与安全。不流转,数据就不产生价值。规范数据处理活动,目的在于促进数据资源开放流动和开发利用。而信息则因为内容属性,强调对信息的保护以及信息的安全。《个人信息保护法》删除了原一次审议稿第一条里提及的“保障个人信息的依法有序自由流动”,可以看作是立法上有意区分信息和数据的一种尝试。


2、个人数据与个人信息


(1)个人数据、敏感个人数据和生物识别数据


《征求意见稿》引入了个人数据、敏感个人数据和生物识别数据概念。


■ 个人数据,是指载有自然人个人信息的数据,包括载有个人身份信息、生物特征信息和其他敏感个人信息的数据,但是不包括匿名化处理后的数据。


■ 敏感个人数据,是指一旦泄露、非法提供或者滥用,可能导致自然人受到歧视或者人身、财产安全受到严重危害的个人数据,包括种族、民族、宗教信仰、生物特征、医疗健康、金融账户、个人行踪等数据。


■ 生物识别数据,是指对自然人的相关身体、生理、行为等生物特征进行技术处理而得出的能够识别自然人独特标识的个人数据,包括自然人的基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等数据。


(2)个人数据处理原则与“最小必要”的细化


《征求意见稿》参考《个人信息保护法》与《信息安全技术 个人信息安全规范》等规定,确立了处理个人数据的五项基本原则,即:合法正当、最小必要、公开透明、准确完整和确保安全原则[6]。


《征求意见稿》第9条进一步厘清了“最小必要”的含义,具体而言,就是处理个人数据应当限于处理目的所必要的最小范围,采取对个人权益影响最小的方式,包括但不限于:


■ 处理的个人数据的种类、范围应当与处理目的有直接关联,不处理该个人数据则处理目的无法实现;


■ 自动处理个人数据的频率应当是实现处理目的所必需的最低频率;


■ 存储的期限应当为实现处理目的所必需的最短时间,超出存储期限的,应当对个人数据进行删除或者匿名化处理,法律、法规另有规定或者自然人另行同意的除外;


■ 应当建立最小授权的访问控制策略,使被授权访问个人数据的人员仅能访问职责所需的最少的个人数据,且仅具备完成职责所需的最少的数据操作权限。


而《个人信息保护法》第6条仅仅笼统要求处理个人信息应当限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式,不得进行与处理目的无关的个人信息处理。


(3)个人数据处理的“告知+同意”


个人数据处理需遵循“告知+同意”原则。《征求意见稿》个人数据处理的规定与《个人信息保护法》的规定大体类似。但《征求意见稿》较之《个人信息保护法》,有如下不同规定:


I. 定义何为“同意”:同意是指当事人自主、明确地表示允许处理其个人数据的意思表示。


II. 针对不同的个人数据,《征求意见稿》设定了不同的告知同意要求:对于敏感个人数据,数据处理者在处理前应征得自然人或其监护人的明示同意;而对于生物识别数据,《征求意见稿》并未明确同意的具体类型,但要求生物识别数据处理者处理生物识别数据应当为处理个人数据的目的所必需,且不能为其他个人数据所替代,并应当具备相应的数据安全防护能力,细节还有待于另行制定的生物识别数据处理管理办法;对于未成年人个人数据,数据处理者应征得未成年人监护人的明示同意。


III. 撤回同意:(1)处理个人数据应当采用足以引起注意的特别标识等易获取的方式提供自然人撤回处理其个人数据的同意的途径;(2)不得利用服务协议或者技术等手段对其撤回同意进行不合理限制或者附加不合理条件。


IV. 用户画像:

■ 数据处理者可以基于提升产品质量或者服务体验的目的,对自然人进行用户画像,为其推荐个性化的产品或者服务。

■ 用户画像,是指为了评估自然人的某些条件而对其个人数据进行的自动化处理,包括为了评估自然人的工作表现、经济状况、健康状况、个人偏好、兴趣、可靠性、行为方式、位置、行踪等而进行的处理。

■ 向自然人明示用户画像的规则和用途,并采用足以引起注意的特别标识等易获取的方式向自然人提供拒绝的途径。

■ 自然人有权随时拒绝对其进行的用户画像和基于用户画像向其进行的个性化产品或者服务推荐。

■ 不得对未成年人进行用户画像以及基于用户画像向未成年人推荐个性化的产品或者服务。


(4)个人数据与个人信息的争议


如前所述,数据与信息既相关联,又有所不同。但《征求意见稿》对于个人数据的规定,除了以上提及的颇有不同的条文规定,大体与《个人信息法》第二章“个人信息处理规则”与第四章“个人在个人信息处理活动中的权利”相同或相似。那么,问题就来了:如此相似的规定,是否说明个人数据和个人信息相同或相似呢?如果两者的差异如此之小,是否有必要单独设置个人数据,而引发个人数据和个人信息适用上的困惑。另外,《征求意见稿》有些规定与《个人信息法》规定不一致。例如,《个人信息法》要求个人信息处理者在处理敏感个人信息时应取得个人的单独同意。而《征求意见稿》则要求数据处理者征得当事人的明示同意。这里的单独同意与明示同意不一致。还是说,因为个人信息与个人数据有所不同,因此处理个人数据仅需明示同意即可,而非单独同意?这将是实践操作很可能遇到的不确定性。有学者认为,《征求意见稿》将“个人数据”与“个人信息”混同是问题的症结所在,在当前国家“数据”与“信息”二元化立法体系下,《征求意见稿》不应在个人信息之外硬生生地创设“个人数据”这一概念[7]。


3、数据权到数据权益


实践中,诸多司法判例承认,投入人力、物力、财力而开发形成的数据产品享有自己独立的财产性权益[8]。但至今,我国法律法规还未对数据或数据产品的产权、权属或权益作出明确规定。


《2020年稿》创造性地提出了“数据权”这一概念:数据权是权利人依法对特定数据的自主决定、控制、处理、收益、利益损害受偿的权利。《2020年稿》解释到,基于数据作为法律关系中客体的特殊性,数据权是一种与传统民法中物权、知识产权等权利存在不同的新型权利,其具有财产权、人格权和国家主权属性。《2020年稿》还进一步规定了自然人对其个人数据依法享有数据权;公共数据属于新型国有资产,其数据权归国家所有;数据要素市场主体对其合法收集的数据和自身生成的数据享有数据权。


但是,公众对数据权属的认识很难统一,地方立法创设新型权利的局限性,导致《征求意见稿》很难在《2020年稿》基础上继续推进数据权立法。因此,《征求意见稿》不再提及数据权,取而代之的是数据权益。也就是说,在现阶段,比起确定数据的归属,更现实和更重要的是确定可以对数据行使哪些权利。


具体而言,数据权益包括:


■ 自然人对载有其个人信息的数据享有法律、行政法规及数据条例规定的人格权益。


■ 自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及数据条例规定的财产权益。


尽管确认了自然人对其个人数据享有人格权益,《征求意见稿》并没有对个人数据相关的人格权益展开详细叙述。《征求意见稿》第25条总结了个人数据权益,即自然人对其个人数据的处理享有知情权、决定权,有权限制或者拒绝他人处理其个人数据。


市场主体对其合法处理数据形成的数据产品和服务享有财产权益,因此,数据产品和服务可以依法交易。但《征求意见稿》同时列明了可交易的除外情形:


■ 交易的数据产品和服务包含个人数据而未经相关权利人同意的;


■ 交易危害国家安全、公共利益的;


■ 法律、法规规定禁止交易的其他情形。


4、数据交易的公平竞争


随着数字经济的发展,市场主体间的不正当数据竞争日益增多,相关争议诉讼层出不穷,在很大程度上影响了数字经济的健康有序发展。《征求意见稿》单列一节“公平竞争”,意在建立有序的数据市场竞争规则,规范涉及数据交易的市场竞争,保障市场主体和消费者的合法权益。《征求意见稿》借鉴《反不正当竞争法》、相关司法实践以及反垄断法的规定,在以下两方面对数据市场的公平竞争进行了规定(《征求意见稿》第60条、第61条):


(1)市场主体不得侵害其他市场主体或消费者的合法权益:


■ 使用非法手段破坏其他市场主体所采取的保护数据的技术措施;

■ 违反行业惯例收集或者利用其他市场主体数据;

■ 利用非法收集的他人数据提供替代性产品或者服务;

■ 未经其他市场主体或者消费者同意,将其他市场主体的数据直接进行商业利用;

■ 法律、法规规定禁止侵害其他市场主体或者消费者合法权益的其他行为。


(2)市场主体不得利用数据分析,对交易条件相同的交易相对人实施差别待遇,除非具有以下情形之一:


■ 根据交易相对人的实际需求,且符合正当的交易习惯和行业惯例,实行不同交易条件;

■ 针对新用户在合理期限内开展优惠活动;

■ 基于公平、合理、无歧视的规则实施随机性交易;

■ 法律、法规规定的其他情形。


《征求意见稿》还进一步规定了违反公平竞争要求的处罚措施,包括责令立即改正、没收违法所得以及罚款。对于情节严重或者造成严重后果的,除责令改正、没收违法所得之外,还处五千万元以下或者上一年度营业额百分之五以下罚款,并可以给予暂扣许可证件、降低资质等级、吊销许可证件,限制开展生产经营活动、责令停产停业、责令关闭、限制从业等处罚。上述处罚中,《征求意见稿》突破性地将罚款金额上限提高到五千万元或者上一年度营业额百分之五,对违法行为将产生巨大震慑力。同时,如此高额的处罚也引发争议,起罚金额与处罚上限是否合理,是否存在突破上位法限制的可能。《个人信息保护法》第65条有类似的处罚规定,即违反《个人信息保护法》规定处理个人信息或者处理个人信息未按照规定采取必要的安全保护措施的,情形严重的,履行个人信息保护职责的部门可处五千万元以下或者上一年度营业额百分之五以下罚款。《征求意见稿》上述处罚似乎源自于《个人信息保护法》的规定,但两者适用情形可能并不一致,因为《征求意见稿》第60条、61条所述情形更可能属于《反不正当竞争法》和《反垄断法》规制范围。



我们相信,更多省市将投身地方数据立法或加快数据立法进程。这无疑将丰富数据法律法规的建设,为数据保护、流动和应用进行立法探索。但随之而来的地方立法追求大而全、刻意创新概念、与上位法和其他地方立法发生潜在冲突等问题不容忽视。《数据安全法》已经发布并将于2021年9月1日起施行,而《个人信息保护法》仍在制订过程中。为避免或最大限度减少与上位法的冲突,地方数据立法应随上位法的立法进程而不断加以调整,并且着重于上位法还未涉及的领域,如公共数据共享和开放等。



[1] 全国人大常委会2021年6月10日发布。《数据安全法》将于2021年9月1日起施行。

[2] 《上海数据立法:能不能、要不要为数字经济时代的“石油”确权》,上观新闻,2021年5月28日,https://www.jfdaily.com.cn/staticsg/res/html/web/newsDetail.html?id=371610

[3] 《重庆市政务数据资源管理暂行办法》定义“政务数据”为:政务数据资源是指政务部门在履行职责过程中制作或者获取的,以一定形式记录、保存的各类数据资源。该办法所称政务部门,是指政府部门以及法律法规授权的具有管理公共事务职能的组织;《重庆市公共数据开放管理暂行办法》定义“公共数据”为:公共数据是指本市各级行政机关以及履行公共管理和服务职能的事业单位,在依法履职过程中产生、采集和制作的,以一定形式记录、保存的各类数据资源。

[4] 中共中央办公厅与国务院办公厅于2020年10月发布的《深圳建设中国特色社会主义先行示范区综合改革试点实施方案(2020-2025年)》要求加快培育数据要素市场:率先完善数据产权制度,探索数据产权保护和利用新机制,建立数据隐私保护制度。试点推进政府数据开放共享。支持建设粤港澳大湾区数据平台,研究论证设立数据交易市场或依托现有交易场所开展数据交易。开展数据生产要素统计核算试点。

[5] 《征求意见稿》第四章第二节为“数据交易”。

[6] 《征求意见稿》第9条。

[7] 《深圳数据条例之憾》,对外贸易大学数字经济与法律创新研究中心执行主任 许可,载于FT中文网,2021年6月8日,http://www.ftchinese.com/story/001092772?adchannelID=&full=y

[8] 例如,淘宝(中国)软件有限公司诉安徽美景信息科技有限公司不正当竞争案((2017)浙8601民初4034号)

联系我们

中国上海市南京西路1717号会德丰国际广场7楼
邮编:200040
电话:(总机)61132988
传真:61132913
Email:hr@mhplawyer.com