近期国内数据相关地方立法动向分析——以深圳、上海为例_陈湉.pdf

近期国内数据相关地方立法动向分析 以深圳、上海为例陈湉(中国信息通信研究院安全研究所，北京 100191)摘要:2020 年后，建设培育数据要素市场成为数据相关地方立法的主要任务，深圳市、上海市先后出台的数据条例在此方面表现得尤为显著。地方立法的超前探索有益于引导构建数据要素市场体系，回应经济发展需求，促进未来国家层面立法，但需要解决好如何理解和定位数据的财产属性、如何分配数据访问权益/收益权益、如何保护个人信息等关键性问题。欧盟关于数据访问权的立法思路值得我国借鉴。下一步我国的重要工作是做好立法后评估，及时总结经验，保证法律制度始终能够促进数字经济发展。关键词:数据;数据要素;数据权益;地方立法中图分类号:D922.16;F49文献标志码:A引用格式:陈湉.近期国内数据相关地方立法动向分析 以深圳、上海为例 J 信息通信技术与政策，2022，48(12):63-67.DOI:10.12267/j.issn.2096-5931.2022.12.0100引言当前，数据已经成为国家重要基础性战略资源，受到全球各国政府的高度重视。在我国，2015 年，国务院正式印发 促进大数据发展行动纲要，十八届五中全会首次提出“国家大数据战略”。20162017 年，政务信息资源共享管理暂行办法 大数据产业发展规划(20162020 年)相继出台。在国家政策导向逐步明晰的背景下，我国数据相关立法呈现出地方立法积极先行先试的特点1。在省级地方性法规层面，天津、海南、山西、贵州、吉林、山西、安徽、山东、福建、浙江十省/市相继开展了地方立法工作，内容侧重于政务数据(或公共数据)共享开放、大数据产业促进及发展、数据安全，也涉及数据交易。2020 年 3 月，中共中央、国务院发布关于构建更加完善的要素市场化配置机制体制的意见，首次将数据上升为五大社会生产要素之一，要求加快培育数据要素市场，建立促进公共数据和数据资源有效流动的制度规范。2021 年，中华人民共和国数据安全法(简称 数据安全法)、中华人民共和国个人信息保护法(简称个人信息保护法)正式施行，我国数据安全领域的战略顶层设计基本成型。国家层面的政策及立法工作对数据相关的地方立法产生了明显影响。2021 年 6 月 29 日通过的 深圳经济特区数据条例 和2021 年 11 月 25 日通过的上海市数据条例，在规范目的、规范内容、制度设计方面，与之前的十省/市地方性法规存在明显区别，除继续规范公共数据共享开放规则外，增加了个人信息保护、数据要素市场培育等新内容。研究深圳、上海两市新出台的数据条例，有助于把握我国数据相关地方立法的新动向，分析目前地方立法工作可能存在的问题，及时调整立法工作着力点，36充分发挥数据领域地方立法先行先试的开拓创新作用，将成功经验反哺国家层面立法工作，促进完善我国数据领域法律体系。1地方数据相关立法新动向1.1深圳自 2020 年 7 月公开征求意见以来，深圳经济特区数据条例 的立法过程一直广受关注，多项法律制度的创新设计引发了学术界、实务界的热烈讨论。更加特殊的是，该条例的起草编制过程与数据安全法个人信息保护法 的立法过程在时间上存在高度重叠。一方面，如何保持与正在制定的上位法的衔接成为深圳立法工作者必须解决的特有问题;另一方面，在国家数据领域立法工作背景下，条例呈现了与以前数据相关地方性法规不同的鲜明特色。从章节设置来看，深圳经济特区数据条例 共七章一百条。与其他省/市大数据发展条例侧重于规范政务数据(或公共数据)共享开放、数据开发应用、数据安全等方面相比，深圳经济特区数据条例 以专章形式增加了个人数据保护、数据要素市场培育等内容，基本囊括了数据领域全部重要议题，呈现出大而全的特点。从规范内容来看，深圳经济特区数据条例 在个人信息保护、未成年人保护、数据权益方面做出了一些创新性的制度设计。首先，该条例在制定过程中借鉴了 个人信息保护法(草案二次审议稿)、国家标准GD/T 35273-2020信息安全技术 个人信息安全规范，并且在 个人信息保护法 基础上细化了一些新的保护规则。例如，该条例的第十九条专门对处理生物识别数据进行了细化规定;第二十六条承认了去标识化处理是合法提供个人信息的前置处理措施之一。其次，该条例衔接个人信息保护法，将不满十四周岁未成年人的个人信息按照敏感个人信息处理，同时进一步规定了不得对不满十四周岁未成年人进行用户画像和个性化推荐。再次，该条例的第四条明确了自然人、法人和非法人组织对合法处理数据形成的数据产品和服务享有财产权益，并在第五十八条、第六十七条明确了此财产权益包括依法自主使用、取得收益、依法交易等内涵。1.2上海上海市数据条例 的立法进程稍晚于深圳经济特区数据条例，从条例内容来看，前者在一定程度上受到了后者的影响，也呈现出了与以往数据相关地方立法不同的上海特色。同时，上海市数据条例 是在数据安全法 个人信息保护法 获得通过后，形成的公开征求意见稿，并于 2021 年 11 月 25 日正式通过，因此该条例与两部上位法的衔接更加紧密和顺畅。从章节设置来看，上海市数据条例 共九章九十一条。与 深圳经济特区数据条例 类似，上海市数据条例 也是以专节或者专章的形式对个人信息保护、数据要素市场培育进行了规定。此外，该条例充分体现了地域特色，在第六章、第七章对浦东新区数据改革和长三角区域数据合作进行了规定。从规范内容来看，上海市数据条例 在公共数据开发利用、数据要素市场培育、浦东新区试点创新方面开创性地设计了一些新制度新机制。首先，该条例首次建立了公共数据授权运营机制，借助社会力量开发利用公共数据，被授权运营主体可以在统一的安全可信环境中利用公共数据形成数据产品和服务，并进行交易撮合、合同签订、业务结算等经营活动。其次，该条例非常注重建立数据要素市场运营体系和数据交易市场配套服务体系。一方面，该条例第四十七条明确提出建立数据资产评估、登记结算、交易撮合、争议解决等数据要素市场运营体系;另一方面，该条例专节规定了数据交易，明确提出要构建第三方评估、交易撮合、交易代理、专业咨询、数据经纪、数据交付等数据交易配套服务体系，并且提出了“自主定价+价格评估”的数据交易定价模式。再次，上海将浦东新区作为数据改革引领区，不仅设立数据交易所，建设数据交易相关的数字信任体系，还将探索建设临港新片区国际数据港，尝试以低风险跨境流动数据目录的方式建立数据跨境流动合规通道。2地方数据相关立法进路的分析2.1承认数据的财产属性尽管采取的表述不同，但可以认为 深圳经济特区数据条例 和 上海市数据条例 都在法律层面承认了自然人、法人和非法人组织对合法取得及合法处理的数据享有财产权益，并基于中华人民共和国民法典46承认自然人对其个人信息享有人格权益。此外，这两部条例不约而同地回避了数据权属这一复杂问题，而是选择以数据的财产属性为基础构建数据要素市场和数据交易市场，将数据权益的分配问题留给市场在实践中寻求规则的建立。这种让“子弹先飞一会”的做法，是立法技术上的一种选择，也是地方立法先行先试的体现，但最终是否会带来理想结果，却存在极大不确定性。不论是个人信息的财产权理论，还是企业数据的财产权属保护，都是法学理论界的学说之一，数据财产理论学说的努力方向可以总结为在现有私法权利体系框架下解释数据这一全新的法律规范客体。例如，有学者提出给个人就其个人信息配置人格权益和财产权益，给企业就其企业数据配置数据经营权和数据资产权2。数据财产理论学说在学术研究中就已经面临了理论挑战和难以解释的问题3，可以想见在立法中选择这一学说，在缺乏周延的理论体系支撑下，法律在适用和实施过程中将面临重重困难。而期待以市场化手段解决多主体在同一数据客体上的权益冲突，最终可能以损害弱势群体权益为代价。2.2注重构建数据交易市场体系此前福建、山东、吉林、山西等省的大数据发展条例虽然也涉及到了数据交易，但仅设置了一条鼓励数据交易的宣誓性条款。与之相比，深圳经济特区数据条例 和 上海市数据条例 都非常重视构建完善的数据交易市场体系，以期促进数据要素的流通和利用。实际上，促进数据共享流通是最终目的，数据交易是实现路径之一，疏通数据间接收集渠道，也是实现数据在市场主体之间无障碍流通的另一种方式。现阶段，我国对数据间接收集尚未形成体系化的规范要求，总结现有法律法规和司法判例，我国对于数据间接收集确定的规则主要有:第一，禁止利用爬虫技术非法爬取数据，特别是在干扰被爬取平台系统正常运行的情况下;第二，企业间数据流动(以 Open API 协议方式)必须符合“三重授权”原则，即在同时获得个人授权和平台企业授权的前提下，第三方企业才能收集平台企业掌握的用户数据。国内目前承认的这些规则显然更有利于超大型互联网平台企业，使他们对自身平台数据拥有更强的控制能力，并且在数据共享或者数据交易场景下处于明显优势地位，很可能导致参与缔约的另一方谈判地位失衡，进而增加其共享或者交易成本，特别是对于中小微企业参与数据市场活动可能形成无形壁垒。如果深圳、上海两市力图培育数据要素市场，促进数据流通，激发市场主体活力，不能只在建设数据交易市场体系方面发力，还需要关注数据收集和访问权益分配制度的构建。但显然，沿用上述数据间接收集规则不是明智之举，而如何平衡企业收集数据的财产投入积极性和市场主体之间的自由竞争，确实不是一个容易解决的问题。2.3强调个人信息保护深圳经济特区数据条例 和上海市数据条例均运用了较大篇幅针对个人信息保护进行了具体规定。深圳经济特区数据条例 更是在第二章以专章形式规定了个人信息处理的告知同意规则、个人信息处理规则等内容，但在术语使用上，没有依据上位法个人信息保护法 使用“个人信息”，而是重新定义了“个人数据”的概念，这不是一个值得提倡的立法选择。在学术界，关于数据与信息的区别和联系已经讨论得比较深入，也已经有较为清晰的结论4。虽然在国外立法案例中，例如欧盟一般数据保护条例 和德国个人数据保护相关法律，均使用了“个人数据”，但对应到汉语的词语是“个人信息”。并且在我国个人信息保护现行法律体系中，正式法律文件使用的都是“个人信息”。深圳经济特区数据条例 在地方性法规层面使用“个人数据”，对于不熟悉个人信息保护工作的人，会带来概念上的混淆和理解上的困难，徒增法律解释和适用的成本，对个人信息保护法 和深圳经济特区数据条例 在本地施行可能会带来障碍。深圳经济特区数据条例 存在的另一问题是由于其立法进程与 个人信息保护法 在时间上高度重叠，导致其与上位法出现了一些衔接问题。以处理敏感个人信息为例，个人信息保护法 要求原则上“应当取得个人的单独同意”，而深圳经济特区数据条例 规定的是“征得该自然人的明示同意”。明示同意的方式是在国家标准 GB/T 35273-2020信息安全技术 个人信息安全规范 中规定的一种征得同意的方式，显然与“单独同意”是有所区别的。对于地方性法规，更值得鼓励的做法是对上位法的进一步解释和具体规定，融合地方特色，探索创新举措，例如对于“单独同意”作出更加具体的描述，给出判断标准。563数据相关立法域外经验2022 年 2 月 23 日，欧盟公布 数据法:关于公平访问和使用数据的统一规则的法规提案(简称数据法)草案。数据法 聚焦数据共享问题，通过制定一个统一的规则框架，规定除产品制造商或者其他数据持有者外，谁有权、在什么条件下、在什么基础上访问产品或者相关服务所产生的数据。在数据法 草案中，欧盟明确提出了对数据访问权利分配所持有的立场，即“为实现数据作为非竞争性物品对经济和社会的重要经济利益，在分配数据的访问和使用权方面，宜采取一般性做法，而非授予访问和使用数据的专属权利。”基于此价值理念，数据法 增强了数据主体依据一般数据保护条例 第二十条规定的数据可携带权，授予用户访问和向第三方提供使用产品或相关服务所产生的任何数据的权利。这里所指的产品包括互联网产品，产品产生的数据包括个人数据和非个人数据。同时，为了防止产品制造商或者数据持有者滥用其市场及谈判地位，保护中小微企业免受不公平的数据共享合同的不利影响，该法案特别规定了单