查看原文
其他

地方综合性数据立法的先行者——解读《上海市数据条例》与《深圳经济特区数据条例》(上)

蔡荣伟 陈坤 中伦视界 2024-04-08

作者:

蔡荣伟 陈坤

2021年被称为我国数据立法的元年。除了已经在2017年生效施行的《中华人民共和国网络安全法》(以下简称为“《网络安全法》”)外,我国“数据三大法”中的《中华人民共和国数据安全法》(以下简称为“《数据安全法》”)及《中华人民共和国个人信息保护法》(以下简称为“《个人信息保护法》”)均在今年出台并正式施行。而《数据出境安全评估办法》等部门规章也随着“数据三大法”的施行而公布,进入公开征求意见的阶段。


同时,各地也开始制定数据领域的地方性法规。今年6月29日,深圳市人大常委会表决通过了《深圳经济特区数据条例》(以下简称为“《深圳数据条例》”),是我国第一部数据领域的综合性地方法规。11月25日,上海市人大常委会表决通过了《上海市数据条例》(以下简称为“《上海数据条例》”),成为《数据安全法》与《个人信息保护法》正式施行后的首个数据领域的综合性地方立法。作为地方综合性数据立法的“先行者”,两部《条例》都具有重要的意义和参考价值。在本文的上篇中,作者将分析地方综合性数据立法的背景,并解读两部《条例》的亮点之处。



一、地方综合性数据立法的背景


在数据领域的国家层面法律法规体系已如此细致、要求已如此严格的情况下,为何多个地方仍然着手制定数据领域的综合性地方法规?作者认为主要有以下几个原因。


1. “数据三大法”要求地方制定实施细则


根据“数据三大法”的规定,地方政府部门在数据领域的执法监督和发展中需要承担相应的责任。例如,《数据安全法》第三十九条与第四十一条分别对国家机关的政务数据安全制度和开放提出了要求。此处的“国家机关”不仅包括国务院等中央国家机关,同样也包括了各地方人民政府等地方国家机关。两则法律条文也只对政务数据的管理、公开作出了原则性要求,而没有相应实施细则。《个人信息保护法》第六十条也规定了县级以上地方人民政府的有关部门需要承担个人信息保护和监督管理相关职责。


由于“数据三大法”对地方政府职责作出了要求但又未明确其实施细则,地方人大针对数据领域订立综合性的地方性法规,有利于明确地方政府部门的具体职责和数据管理细节规定,并明确本地网络运营者、数据处理者、个人信息主体所拥有的权利以及相应的义务,使数据领域的执法监督更为公开透明。


2. 落实国家政策、鼓励数据相关产业发展


“数据三大法”的条文大多旨在针对数据安全作出限制性规定,涉及引导、鼓励相关产业发展的条文较少,且仅作出了原则性的要求。例如,《数据安全法》仅在第十条至第二十条部分提到了国家推进和支持数据基础设施的建设、支持数据的创新应用并将建立健全数据交易制度,但缺乏实施细则。部分国家政策文件虽对数据相关产业的发展提出了要求,但仅具有指导意义,不具有法律强制力。


为落实《数据安全法》中的原则性规定以及国家鼓励数据产业发展的政策要求,全国多地着手建立数据交易所。数据交易所的合法性基础则需要通过法律法规的制定进行确认,其管理制度及长期发展也需要法律法规来进行保障。


3. 针对具体场景立法、回应民间热点关切


“数据三大法”的施行引起了社会舆论对于数据和个人信息安全的关注,“强制刷脸进小区”和“大数据杀熟”等新闻频频登上热搜。但“数据三大法”及相关的规章受限于其较高的位阶,难以针对具体场景作出细节规定。


数据领域的综合性地方法规借助其立法程序较为简便、法律位阶相对较低的特点,减少了原则性、概括性的规定和表述,并根据舆论热点和监管重点加入了与具体数据和个人信息使用场景相关的规定,更为全面地保护了数据使用者、个人信息主体的合法权益。



二、两部地方数据条例的亮点解读


作为我国数字经济和数据产业较为发达的两个城市,深圳和上海成为了我国地方综合性数据立法的先行者。在本章节中,作者将对《深圳数据条例》及《上海数据条例》两部地方性法规的亮点进行分析解读。


1. 亮点一:确立对于数据权益的保护


为深化要素市场化配置改革、促进要素流动和配置效率,中共中央与国务院于2020年3月发布了《关于构建更加完善的要素市场化配置体制机制的意见》,其中第六点提出要“加快培育数据要素市场”,将数据与土地、劳动力、资本、技术四个传统市场要素并列提出,充分说明了国家已充分认识到数据对于经济发展不可或缺的重要作用,也意味着国家承认作为市场要素之一的数据可以在经济运行和日常生活中为相关的自然人、法人或非法人组织带来利益。虽然数据是否能在法律层面被理解为传统意义上的“财产”尚无定论,但不可否认的是,随着大数据时代的来临,越来越多的个人、企业和组织开始使用数据并从中获取利益。但对于由数据而产生的利益应当如何定性与保护,我国的现行法律与部门规章都没有作出具体的规定,仅有《数据安全法》第七条规定“国家保护个人、组织与数据有关的权益”,对此作出了原则性的要求。


两部《条例》首次具体规定了对于数据权益的保护。其中,《深圳数据条例》第五十八条规定,市场主体对合法处理数据形成的数据产品和服务,可以依法“自主使用,取得收益,进行处分”,承认了作为数据处理者的市场主体对通过合法处理数据获得的收益的所有权和处分权。《上海数据条例》也进一步细化,规定了自然人、法人和非法人组织通过合法使用数据而得到或产生的收益应当得到“依法保护”。[1]这意味着,合法数据使用行为所衍生的财产权益不仅得到法律承认,还能够像传统意义上的财产一样依法受到保护。值得注意的是,数据能带来的不仅是财产上的权益,还有人格上的权益。作为广义上数据的一种,个人信息与自然人的隐私权密切相关。其泄露和滥用会导致对隐私权的侵害,进而使自然人的人格权受损。《上海数据条例》第十二条将个人信息与自然人的人格权益相关联,认定自然人对其个人信息享有人格权益,并对这一权益进行了保护。


两部《条例》对于数据权益保护方面的规定填补了国家层面法律和部门规章中的空白,不仅进一步完善了对于自然人的个人信息相关权益的保护,也解除了数据相关产业的后顾之忧,能有效推动数字经济和数据产业的发展。


2. 亮点二:推动数据交易平台的设立


数据作为市场要素,其自由流动可有效促进生产力的提升和经济的发展。这一“流动”虽然是自由的,但也应当是有序的。无序的数据流动可能造成诸多问题。因此,设立相应的数据交易机制成为经济发展和政府监管的必然要求。


《数据安全法》顺应这一趋势,在第十九条中作出了应建立健全数据交易管理制度、规范交易行为、培育交易市场的原则性规定。两部《条例》根据法律的规定,提出了设立数据交易平台。其中,《深圳数据条例》第六十五条规定,政府应当推动建立数据交易平台并引导市场主体通过该平台进行数据交易。《上海数据条例》第五十六条则允许市场主体通过依法设立的数据交易所进行数据交易。值得注意的是,两部《条例》都允许市场主体在数据交易平台之外依法自行进行数据交易,使数据这一市场要素实现了充分的自由流动。在价格方面,《上海数据条例》允许市场主体对交易的数据依法自主定价。政府主管部门则在市场主体自主定价的基础上组织相关行业协会等建立评估导则和指标,对价格进行引导,而不会进行主动干预或限制。[2]为响应国家号召,发挥上海浦东新区、临港自贸区的政策优势,《上海数据条例》第六章专门对浦东新区的数据管理制度改革作出了规定,促进数据交易的发展。其中,第六十七条特别提到了上海市将按照国家政策的要求,在浦东新区设立数据交易所,并探索建立分类分层的新型数据综合交易机制。


3. 亮点三:强化对消费者权益的保护,进一步规范基于个人信息的自动化决策和个性化推荐的使用


近年来,基于个人信息的自动化决策和个性化推荐在各类电子商务平台中得到了广泛的使用,降低了经营者的成本,提升了消费者的购物体验。但这一技术也遭到了部分主体的滥用,带来了“大数据杀熟”等侵害消费者权益的问题。《个人信息保护法》第二十四条对自动化决策、个性化推荐的使用进行了规范,要求必须保证个人信息主体拒绝个性化推荐的权利,且不得利用自动化决策对个人信息主体实行不合理的差别待遇。


在法律的基础上,《上海数据条例》要求处理者在利用个人信息进行自动化决策前,应当确保这一行为符合合法、正当、必要、诚信的原则:即使用自动化决策的目的是合法正当的、使用自动化决策是为了实现这一目的而必要的。[3]《深圳数据条例》则根据市场主体的实际商业运营情况,对自动化决策的使用进行了更为细致的规范,禁止对相同交易条件下的不同交易相对人实施差别待遇,同时规定了以下四类可实施差别待遇的豁免情形:


  • 根据相对人实际需求实施的、符合正当交易习惯和行业惯例的差别待遇;

  • 为针对新用户在合理期限内开展优惠活动而实施的差别待遇;

  • 为进行基于公平、合理、非歧视性原则的随机性交易而实施的差别待遇;

  • 法律、法规规定的其他情形。[4]


除上述四类豁免情形外,《深圳数据条例》还要求处理者不得基于用户画像向未满十四周岁的未成年人推荐个性化产品或服务,为维护其合法权益且征得监护人明示同意的除外。[5]


4. 亮点四:进一步规范利用生物特征信息进行身份识别的行为


近两年来,面部特征等个人生物特征信息的收集与使用随着《个人信息保护法》的正式施行以及各类相关的新闻报道而成为舆论焦点。虽然法律将生物特征信息作为敏感个人信息的一种,对其收集和使用作出了额外的规定,但并未专门针对将生物特征信息用作身份识别这一特定而广泛的使用场景作出针对性规范。最高人民法院于今年7月发布了《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,但该文件属于审判民事案件时适用的司法解释,无法被用于规范收集、处理生物特征信息的日常活动。


两部《条例》在《个人信息保护法》对于生物特征信息作出额外保护的基础上,针对“刷脸进门”等利用生物特征信息进行身份识别的使用场景作出了详细的规定,对禁止将生物特征信息用作身份识别的唯一方式作出了概括性的要求。[6]《深圳数据条例》要求处理者在使用生物识别信息时,应当同时提供处理非生物识别信息的替代方案。[7]《上海数据条例》第二十三条也作出了明确的要求:图像采集、个人身份识别技术不得被用作出入商场、超市、公园、商务楼宇、住宅小区等场所或区域的唯一验证方式。


5. 亮点五:对公共数据的管理和利用作出了详细规定


根据《深圳数据条例》的定义,“公共数据”是指公共管理和服务机构在依法履行公共管理职责或者提供公共服务过程中产生、处理的数据。[8]《数据安全法》中虽未对第五章“政务数据安全与开放”中的“政务数据”作出明确的定义,但根据实际情况,“公共数据”可被认为实质上是在相应公共管理或服务过程中产生的“政务数据”,也属于“政务数据”的一部分。而按照《数据安全法》的规定,国家应当积极推进政务数据的开放利用。[9]


两部《条例》均使用大量篇幅对公共数据的管理利用进行了详尽的规定,不仅要求公共数据依法及时、准确向社会公开,还要求政府各个部门之间实现数据的交流和共享,以提升行政效率并改善行政服务水平。除此之外,两部《条例》还规定政府应当建立城市大数据中心或资源平台作为公共数据管理利用的统一基础设施。在公共数据的管理和利用方面,《上海数据条例》进行了创新,并提出了“公共数据授权运营”的机制。在这一机制下,市场主体可在政府授权范围内、依托统一规划的公共数据运营平台提供的安全环境,对公共数据实施开发利用,并提供数据产品。[10]这一机制将公共数据的利用和处理向市场开放,使其不再由政府部门或机构垄断,提高社会化开发利用的水平,令公共数据能产生更多积极作用,为社会大众提供更为完善的服务。


6. 其他亮点


根据国家的政策要求,《上海数据条例》专门设置了第六章“浦东新区数据改革”以及第七章“长三角区域数据合作”,以响应国家部署,将国家政策的要求以地方法规的形式进行落实。在浦东新区的数据管理制度改革方面,除上文所提到的“设立浦东新区数据交易所”外,《上海数据条例》还要求政府积极利用临港自贸区的政策优势,吸引国际性的数据产业相关企业和项目入驻、建立国际数据港、并探索“低风险跨境流动数据目录”的制度,促进数据产业的国际化发展。在长三角区域数据合作方面,《上海数据条例》在首次以地方法规的形式提出建立跨省数据合作和共享的机制,促进长三角省市政务数据平台的互联互通。



下篇预告


在本文的下篇中,作者将对两部《条例》的效力以及适用范围进行分析,并在此基础上为企业在地方综合性数据立法下的合规工作提出一些建议。


[注] 

[1]《上海市数据条例》第十二条

[2]《上海市数据条例》第五十七条

[3]《上海市数据条例》第二十四条

[4]《深圳经济特区数据条例》第六十九条

[5]《深圳经济特区数据条例》第三十条

[6] 在两部《条例》颁布前,已有《杭州市物业管理条例(修订草案)》(修改稿)第四十七条第(五)款规定:物业服务人不得强制业主通过指纹、人脸识别等生物信息方式进入物业管理区域、公共通行区域或者使用共用设施设备。但一方面该《条例》尚未通过生效;另一方面,该《条例》属于针对物业管理的专门条例,并未要求所有个人信息处理者都不得将生物识别信息用作身份验证的唯一方式。

[7]《深圳经济特区数据条例》第十九条

[8]《深圳经济特区数据条例》第二条

[9]《数据安全法》第四十二条

[10]《上海市数据条例》第四十四条




The End

 作者简介

蔡荣伟  律师


上海办公室  高级顾问

业务领域:投资并购和公司治理, 网络安全和数据保护, 诉讼仲裁

特色行业类别:能源与自然资源, 通讯与技术

陈坤  律师


上海办公室  公司业务部

*曹泽坤对本文亦有贡献。


作者往期文章推荐

《数据出境路径几何?——数据处理者关注要点解答》

《<重要数据识别指南(征求意见稿)>概览》

《处理员工个人信息的合法性基础和重要原则》

《人工智能技术出口管制问题》

《算法合规——解读<互联网信息服务算法推荐管理规定(征求意见稿)>》

《医疗领域网络安全相关问题简析》

《医疗数据出境法律风险解读》

《<健康医疗数据安全指南>亮点解读》

《开发区投资应注意的若干法律问题》

《<网络安全法>相关法规及标准总结(2020年—2021年2月)》

《中国技术进出口管制法律发展及对跨国公司的影响》

特别声明:

以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。


如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。

点击“阅读原文”,可查阅该专业文章官网版。

继续滑动看下一个
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存