地方规定频出台 数据确权成热点
近年来,数字经济和数据开放共享成为数据领域热烈探讨的新话题。2020年4月7日,国家发展改革委和中央网信办印发《关于推进“上云用数赋智”行动 培育新经济发展实施方案》1,各地也纷纷出台对数字经济的鼓励措施,如《上海市促进在线新经济发展行动方案(2020-2022年)》2、《浙江省数字经济促进条例(草案)》等。而在对于数字经济的探讨之中,数据确权、数据交易成为了其中的关键词之一。我们注意到,深圳、海南、贵州、天津、上海等地也纷纷出台相应的规范或征求意见稿就这些前沿问题进行探索。
深圳市政务服务数据管理局牵头起草了《深圳经济特区数据条例(征求意见稿)》(以下简称“《深圳数据条例》”),由深圳市司法局于2020年7月15日发布并征求社会公众意见。《深圳数据条例》共103条,探索性的提出数据权的概念、明确数据的财产属性、规定公共数据、数据交易平台、数据融合、跨境数据合作等机制。2020年10月11日,中共中央办公厅、国务院办公厅印发《深圳建设中国特色社会主义先行示范区综合改革试点实施方案(2020-2025年)》,其中明确包含了“培育数据要素市场、率先完善数据产权制度、探索数据产权保护和利用新机制、建立数据隐私保护制度”等要点,表明了中央对于深圳作为试点区域先行探索数据产权制度、培育数据市场的大力支持。以下我们将简要说明《深圳数据条例》中的探讨性的条款。
一、数据与数据权
作为以数据为中心的条例,必然先需要对于条例规定的主体 —“数据”进行定义。《深圳数据条例》规定:“数据是关于客体(如事实、事件、事物、过程或思想)的描述和归纳,是可以通过自动化等手段处理或再解释的素材。自然人、法人和非法人组织依据法律、法规和本条例的规定享有数据权,任何组织或者个人不得侵犯。数据权是权利人依法对特定数据的自主决定、控制、处理、收益、利益损害受偿的权利”(第4条)。相较于今年发布征求意见的《数据安全法》(草案)对于数据的定义,《深圳数据条例》的定义更强调了数据作为可以再处理或再解释的“要素”、“素材”的性质。
从数据权属的角度,《深圳数据条例》首次进行了规定,包括:自然人对其个人数据依法享有数据权(第11条);公共数据的数据权属于国家(第21条);数据要素市场主体对其合法收集的数据和自身生成的数据享有数据权(第52条)。
目前我国法律法规未对数据的所有权进行明确规定。数据不同于一般的动产,可以复制、衍生、并不会被排他性的占有;亦不同于知识产权,它可能难以达到作品或专利的标准而无法受到著作权或专利权的保护。数据的独特性质属性让其难以精确的归入目前法律上既有的概念和保护体系内。在数字经济快速发展、实践之中流转交易的需要快速增长的背景下,数据的权属定位不清使得很多经济活动的开展难以有直接的法律依据和保护路径。
二、数据管理体制
《深圳数据条例》在特区范围内规定了数据管理的体制安排:
深圳市政府负责整体规划和统筹协调,建立跨部门、跨级别、政企合作和区域协同的配合机制;
区政府统筹推进本行政区域内的数据管理工作;
市政府设立市数据工作委员会,并建立决策协调机制,委员会主任由市政府主要领导担任,各区参照设立区数据工作委员会;
市数据工作委员会下设市政务数据主管部门——市数据管理工作统筹部门(以下简称“市数据统筹部门”),承担日常工作,负责全市数据管理工作的整体统筹以及公共数据的综合管理,拟定公共数据管理制度并组织实施;
各行政机关分工:市网络安全主管部门负责数据安全和个人数据保护工作;市信息产业主管部门负责统筹新一代信息技术、数字经济产业发展;市公安部门负责查处数据违法行为;市市场监管部门负责统筹协调商事主体市场活动涉及的数据监督管理工作;市国有资产监督管理部门负责统筹国有企业数据管理工作;市级各行政机关负责管理本行业本领域的数据开发和保护工作。
目前,中央层面尚未设立专门的数据管理部门,数据管理工作由网信办、工信部、公安部和市场监督管理总局主导,各行业主管部门在其行政职权范围内分别治理。《深圳数据条例》突破性的设立了市数据工作委员会和下属机构市数据统筹部门,由其专门管理和制定数据管理相关制度。
三、个人数据
《深圳数据条例》没有使用我国法律上常用的“个人信息”的概念,而是使用了“个人数据”的概念。《深圳数据条例》第101条规定,个人信息数据是指通过自动化等手段记录的能够单独或者与其他数据结合识别自然人个人身份的数据;隐私数据是指与自然人私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息密切相关的数据及其衍生数据。这条规定将《民法典》、《网络安全法》下对个人信息和隐私的概念做了联系和统一。
《深圳数据条例》通过个人数据的概念,对个人信息数据做了限缩性的解释,将其仅限于不涉及隐私的、只描述自然人身份的数据;单独定义了隐私数据,而将二者的合集定义为“个人数据”。收集个人信息数据可以明示和默示方式的同意,而收集隐私数据需以明示同意方式。这一条规定和目前关于信息保护的同意体例有一定出入,而隐私数据在数据经济环境下如何定义也将是一个问题。
《深圳数据条例》第11至13条规定了个人对其个人数据的权利,除体现了《民法典》、《网络安全法》的基本原则外,也增加了一些突破、补充目前法律层面规定的内容。例如:
第11条规定,自然人可以向数据收集、处理者查询或者复制其个人数据。这里的 “数据收集者”、“数据处理者”并没有明确定义,其内涵和外延都需要进一步澄清。 在第14条规定的撤回同意规则之中虽赋予自然人随时撤回同意的权利,但同时规定撤回同意不影响在同意撤回前基于同意作出的合法的数据处理。
第17条规定的数据收集者和处理者不承担民事责任的情形,并未说明不承担民事责任是什么含义,似乎是不需要获得个人同意的情形,但情形的规定超过了《民法典》所规定的内容。
四、公共数据
2019年中央网信办、国家发改委和工信部联合印发了《公共信息资源开放试点工作方案》,确定在北京、上海、浙江、福建、贵州开展公共信息资源开放试点,要求其从建议统一开放平台、明确开放范围、提高数据质量、促进数据利用、建立完善制度规范和加强安全保障6方面开展试点,探索经验,逐步推广。
今年发布的《数据安全法》(草案)第五章规定了政务数据的安全与开放,但没有对“政务数据”做出明确的定义。
与之相比,《深圳数据条例》更进一步明确了公共数据的定义。《深圳数据条例》第20条规定,“公共数据”是指本市各级行政机关和依法授权行使行政职能的组织以及具有公共管理和服务职能的企事业单位(以下统称“公共管理和服务机构”)在依法履职或提供公共管理和服务过程中收集或产生的,以一定形式记录、保存的各类数据及其衍生数据。本条例所称具有公共管理和服务职能的企事业单位包括但不限于本市行政区域内与人民群众利益密切相关的教育、卫生健康、供水、供电、供气、供热、金融、电信、公共交通等企事业单位。
《深圳数据条例》对公共数据的权属做了明晰的规定,即“公共数据属于新型国有资产,其数据权归国家所有”,由“深圳市政府代为行使区域内公共数据的数据权”。《深圳数据条例》还对公共数据的共享和开放做了一些细节的规定,例如:
对公共数据实行目录管理:要求公共管理和服务机构应当编制公共数据资源目录,行业主管部门组织相关单位共同编制主题数据资源目录,市数据统筹部门负责编制基础数据资源目录。
公共管理和服务机构之间通过城市大数据中心共享公共数据,以共享为原则,不共享为例外,无偿共享公共数据。
明确公共数据开放,即公共管理和服务机构面向社会提供原始性、可机器读取、可再开发利用和促进数据技术创新、发展的数据公共服务。
与之类似的是,2019年10月1日开始施行的《上海市公共数据开放暂行办法》(以下简称“《上海办法》”)也对“公共数据”做出了类似定义:“本办法所称公共数据,是指本市各级行政机关以及履行公共管理和服务职能的事业单位(以下统称公共管理和服务机构)在依法履职过程中,采集和产生的各类数据资源。”但《上海办法》并未像《深圳数据条例》一样对公共数据的权属做明确规定,而仅仅规定了市人民政府各部门、区人民政府以及其他公共管理和服务机构分别负责本系统、本行政区域和本单位的公共数据开放,并明确了通过本市公共数据资源目录更新和列明数据开放主体。
2020年9月25日发布、将于2020年12月1日起施行的《贵州省政府数据共享开放条例》(以下简称“《贵州条例》”)规定,“政府数据”是指“行政机关在依法履行职责过程中制作或者获取的,以一定形式记录、保存的各类数据,包括行政机关直接或者通过第三方依法采集、管理和因履行职责需要依托政府信息系统形成的数据。” 类似《上海办法》,《贵州条例》也未规定政府数据的权属,不同的是,《贵州条例》区分了“共享”和“开放”,“共享”是在行政机关之间共享政府数据,而“开放”是指行政机关面向公民、法人或其他组织提供政府数据。《贵州条例》要求省人民政府统一领导全省政府数据共享开放工作,市、州、县级人民政府负责本行政区域政府数据共享开放工作,规定政府数据共享开放实行目录管理,行政机关应维护各自的数据共享目录和开放目录。
2020年7月21日发布、2020年8月1日实施的《天津市公共数据资源开放管理暂行办法》(以下简称“《天津办法》”)定义了“公共数据资源”,为“本市政务部门及履行公共管理和服务职能的事业单位在依法履职过程中制作或者获取的各类数据资源”。由“市大数据管理中心”负责建设、运行、管理、维护天津市信息资源统一开放平台。
五、数据要素市场的培育和管理
如之前所述,由于对数据享有的权利本身的界定不清晰,此前对于数据交易的合法性的判断往往处于一个比较模糊的地带。哪些数据是特定主体能够排他性占有和使用的、哪些互联网上能够获取的数据能够直接利用,这些问题在实务中都不甚明晰。
《数据安全法》(草案)第17条提出,“国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场”,明确提出了国家要推进数据交易市场的发展。其第30条还提到了数据交易中介服务机构,并要求该等机构在提供中介服务时,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。
相比之下,《深圳数据条例》结合以上提到的数据权的概念,更进一步明确了数据交易的相关安排,如,第52条明确规定,“数据要素市场主体对其合法收集的数据和自身生成的数据享有数据权,任何组织或者个人不得侵犯。”第58到60条又进一步明确规定了关于数据交易的安排,允许数据要素市场主体采取自主交易、交易平台等方式开展数据交易活动,要求交易平台制定相关规则、建立安全的交易环境。数据交易平台还需要从各个维度构建数据资产定价的指标,能够协同数据价值评估机构对相关资产价值进行评估。
《深圳数据条例》这一节的内容给建立数据交易平台提供了法律基础和制度框架。目前还不明确的是,交易平台是否需要获取特殊的许可,交易平台上是否允许交易个人数据,以及目前要求的收集处理个人数据需向市网络安全主管部门备案如何操作等,都还有待进一步的澄清和细化。
2020年7月30日天津网信办发布了《天津市数据交易管理暂行办法(征求意见稿)》(以下简称“《天津意见稿》”),其未对数据权予以确权,但规定了数据交易形式、交易主体(数据供方、数据需方、数据交易服务机构)及对其分别的要求(如数据供方和数据需方应于一年内无重大数据类违法违规记录、在数据交易服务机构注册并审核通过、遵守数据交易服务机构的规章制度、能够采取安全措施等;数据交易服务机构应申请市场主体登记、一年内无重大数据类违法违规记录、能够承担数据交易服务的安全保障、数据交易服务平台部署在境内、不擅自使用数据或衍生品)。《天津意见稿》将数据确权的任务交给了数据供方,要求供方确保交易数据获取渠道合法、权利清晰无争议,能够向数据交易服务机构提供拥有交易数据完整相关权益的承诺声明及交易数据采集渠道、个人信息保护政策、用户授权等证明材料;另外,《天津意见稿》以排除形式排除了不可交易的数据类型(如涉及国家安全、公共安全、个人隐私的数据等)。
同样,《天津意见稿》也有很多尚未回答的问题,如数据供方如何能完成确权任务、数据交易服务机构是否需要特殊许可、个人隐私数据在个人同意的前提下是否能够交易等。
六、数据跨区域流动
从2017年《网络安全法》生效以来,对于不属于关键信息基础设施运营者的普通网络运营者而言,在境内产生和收集的个人信息出境是否需要履行安全审查、报批等法律义务,一直以来都没有明确定论,数部法规征求意见稿都仍没有正式定稿,对于企业而言,服务器的部署和数据流通的安排都还面临着不确定性。
《深圳数据条例》试图在跨境数据流动机制上也做出一些探索和尝试,比如,第75条提到,通过与其他国家、地区或国际组织建立双边、多边合作机制,建设数据跨境流通自由港,以实现数据安全有序跨境流通;建议白名单制度,允许自由港内个人数据向白名单的国家、地区或国际组织跨境流通。
根据2020年9月5日上海自贸试验区临港新片区管委会专职副主任武伟的介绍,上海临港新片区将建立国际数据港,打造辐射全球的跨境综合数据枢纽3。武伟表示临港新片区将加快新型基础设施建设,构建安全便利的国际互联网数据专用通道,实现国际互联网数据跨境安全有序流动4。但相关文件暂未出台。
2020年6月1日发布并实施的《海南自由贸易港建设总体方案》第二章“制度设计”第六点提到“数据安全有序流动。在确保数据流动安全可控的前提下,扩大数据领域开放,创新安全制度设计,实现数据充分汇聚,培育发展数字经济”,“开展国际互联网数据交互试点,建设国际海底光缆及登陆点,设立国际通信出入口局”。第三章“分步骤分阶段安排”规定,2025年前的重点任务包括“便利数据流动。在国家数据跨境传输安全管理制度框架下,开展数据跨境传输安全管理试点,探索形成既能便利数据流动又能保障安全的机制”,2035年前的重点任务则包括“实现数据安全有序流动。创新数据出境安全的制度设计,探索更加便利的个人信息安全出境评估办法。开展个人信息入境制度性对接,探索加入区域性国际跨境流动制度安排,提升数据传输便利性。积极参与跨境数据流动国际规则制定,建立数据确权、数据交易、数据安全和区块链金融的标准和规则”。
七、深港澳发展机制
《深圳数据条例》特别提出,(1)立足深港澳一体化战略目标,加强深港澳公共数据的合作,通过共享、开放或业务协同办理等方式,创新社会管理和服务模式,提升社会治理和公共服务能力;(2)鼓励深港澳企业数据融通;(3)建立深港澳地区数据融通安全治理机制,保障深港澳地区数据融通的安全与发展。为此,建立深港澳数据融通委员会,制定《深港澳数据融通规则》,各地区数据安全监管机构之间、以及地区数据安全监管机构与国家数据安全监管机构之间按照该规则互相配合,促进其在深港澳地区统一实施。
八、数据质量和数据评估机制
为促进数据交易的开展,《深圳数据条例》还提出数据质量管理目标,要求数据要素市场主体建立数据质量的控制机制,对数据质量进行持续监测,确保数据的真实性、准确性、完整性、时效性。市数据统筹部门将制定数据质量标准,数据要素市场主体应按照该等标准建立自我评估机制并定期向市数据统筹部门报送数据质量管理评估报告。
另外,《深圳数据条例》还鼓励建立数据价值评估机构,以此推动数据要素价格的市场化改革。
九、数据安全
《深圳数据条例》对数据的收集、处理者提出了多项具体的安全相关要求,包括但不限于:
安全措施:要求数据的收集、处理者采取必要的安全措施保护个人数据和重要数据,防止数据泄漏、毁损、丢失;
事故报告:在发生数据泄漏、毁损、丢失时,数据收集、处理者应立即采取补救措施,按规定及时告知自然人并向有关主管部门和市网络安全主管部门报告;
容灾备份和审计:对数据收集、处理过程实施数据安全技术防护,建立容灾备份制度,并对重要内容和相关操作进行安全审计;
数据源核实:对数据源进行身份鉴别和记录;
数据分级:对收集的数据进行分类分级编码标识,根据级别确定和实施必要的安全管理策略和保障措施;建立数据销毁规程,并对销毁过程的操作予以记录;
分别存储:根据相关国家标准的要求,对所获取的个人数据予以去标识化处理,并与可恢复识别的个人数据分开存储。针对隐私数据、重要数据制定脱敏策略,并对脱敏过程予以记录;
销毁安全:建立销毁规程,实现有效销毁,对有关操作予以记录。
就数据的跨境安全,《深圳数据条例》规定,“自然人、法人和非法人组织在中国境内收集的个人数据的处理活动应当在中国境内进行。因业务需要,确需向境外提供个人数据的应当获得该自然人明示同意,并向市网络安全主管部门申请个人数据出境安全评估。经安全评估认定个人数据出境可能影响国家安全、损害公共利益,或者难以有效保障个人数据安全的,不得出境。”该规定与2019年6月国家网信办颁布的《个人信息出境安全评估办法》(征求意见稿)较为类似,但后者并未要求在境内收集的个人信息的处理活动应当在境内进行。
《深圳数据条例》进一步规定,重要数据的出境应经行业主管部门同意并报市网络安全主管部门批准。该规定与国家网信办2019年5月发布的《数据安全管理办法》(征求意见稿)较为类似,但后者要求重要数据的出境经行业主管部门同意,行业主管部门不明确的,经省级网信部门批准。目前,国家层面对于非关键信息基础设施运营者的个人信息和重要数据的出境均未出台最终明确的规定。
十、法律责任和容错机制
根据《深圳数据条例》,如公共管理和服务机构未能遵守该条例规定履行其公开、共享公共数据的法定义务的(如未按规定收集、共享、开放公共数据;提供不真实、不准确、不完整、不可用的公共数据的;不按规定擅自建设共享平台和开放平台等),应由主管部门责令限期改正,拒不改正或导致严重后果的,还应由有关主管部门追究其法律责任。相关国家机关及工作人员未能履行相关义务的,亦可能受到行政处分和进一步问责。
《深圳数据条例》还提出,市数据统筹部门应建立健全容错机制。如利用数据创新管理和服务模式时,出现偏差失误或未能实现预期目标,但未违反强制性规定,符合国家改革方向,决策、实施程序符合条例规定,未损害公共利益、未影响自然人实体权益的,应当免责或减轻责任。该规定为数据业务创新、实践提供了良好的制度基础,但具体在实践中如何应用仍有待讨论。
我们的观察
2020年10月14日,深圳经济特区举行建立40周年庆祝大会,习近平总书记在会上发言专门提到“支持深圳实施综合改革试点,以清单批量授权方式赋予深圳在重要领域和关键环节改革上更多自主权,一揽子推出27条改革举措和40条首批授权事项”,如文首所述,这其中就包括支持深圳培育数据要素市场、率先完善数据产权制度、探索数据产权保护和利用新机制、建立数据隐私保护制度。《深圳数据条例》在已有的法律框架下做出了新的突破和尝试,我们将持续跟进和观察该征求意见稿的进展以及数据产权确权、数据交易等重大课题。
1.https://www.ndrc.gov.cn/xxgk/zcfb/tz/202004/t20200410_1225542.html
2.http://www.shanghai.gov.cn/nw2/nw2314/nw2319/nw12344/u26aw64687.html
3.http://finance.sina.com.cn/stock/relnews/cn/2020-09-05/doc-iivhuipp2682116.shtml
4.https://tech.sina.com.cn/roll/2020-09-05/doc-iivhvpwy5058959.shtml
