网络数据立法意见稿出台 明确个人信息采集规范
文/刘畅
编辑/朱弢
11月29日,《上海市数据条例》(下称《条例》)全文公布,这项地方性法规将于2022年1月1日起施行。
此前四天,上海市第十五届人大常委会第三十七次会议表决通过了这个《条例》。有媒体报道称,这将为上海全面推进城市数字化转型提供基础性制度保障。
根据《条例》,上海将健全公共数据治理体系,建立数据安全治理体系。同时,将在浦东设立数据交易所,在临港新片区推进国际数据港建设。
2020年4月9日,中共中央国务院公布《关于构建更加完善的要素市场化配置体制机制的意见》,将数据与土地、劳动力、资本、技术并列为五大生产要素。
《意见》明确,加快培育数据要素市场,推进政府数据开放共享、提升社会数据资源价值、加强数据资源整合和安全保护。
为了让数据成为真正的生产要素,多个地方展开立法尝试。
以《条例》和深圳今年7月发布的《深圳经济特区数据条例》等为代表,近年来,以贵州、天津、海南、深圳等省份皆颁布了与数据及其安全保护相关的地方性立法。
在多位立法参与者看来,地方为数据立法虽有积极意义,但对“数据”的定义存在区别甚至分歧,且上位法欠缺。这些问题都困扰着地方数据立法的进度和效能。
那么,各地已有的相关立法有无通行规则,又各自有何特点?下一步在推进地方数据立法时,有何值得借鉴之处?
上海有创新
《条例》明确了由市网信部门负责统筹协调本市个人信息保护、网络数据安全和相关监管工作。
此外,条例草案修改稿中对处理个人公开信息、禁止过度收集个人信息、生物识别信息保护、人脸识别技术运用规范等规定作了进一步完善。
尤其值得注意的是,《条例》第三章“公共数据”部分篇幅占到整个草案的四分之一左右。有学者认为,这体现了《条例》对公共数据定义的重视。
“有开国内之先河的意思。”一位不愿具名的立法参与者表示。
上海交通大学数据法律研究中心执行主任何渊向《财经》E法表示,《条例》中“立法者最极力想去推的概念,就是公共数据的授权运营”。
何渊指出,当前公共数据开放范围非常有限,很多有价值的数据因涉及个人信息等原因无法公开,“尤其是对于未来的数据要素市场而言,单靠企业突破,实际面临着很大障碍。相对而言,政府的试错空间更大些”。
中国“十四五规划”提出“开展政府数据授权运营试点,开展政府数据授权运营试点,鼓励第三方深化对公共数据的挖掘利用”。何渊指出,以政府作为公共数据开放“先行者”的角色是合适的,“某种意义上讲,尺度可以稍微大些,”数据立法不仅关乎个人信息权利或数据安全的保护,还关乎促进数据流动利用,“最终要在促进数字化转型的场景下去理解这个问题。”
在此前的《条例》(草案)中,“公共数据授权运营”一节的表述为“市政府办公厅采用竞争方式确定被授权运营主体,授权其在一定期限和范围内以市场化方式运营公共数据,提供数据产品、数据服务并获得收益。”
但在正式版中,“竞争”“收益”等表述被删除,改为“市政府办公厅应当组织制定公共数据授权运营管理办法,明确授权主体,授权条件、程序、数据范围,运营平台的服务和使用机制,运营行为规范,以及运营评价和退出情形等内容”。
何渊表示,公共数据授权运营究竟采用市场方式还是许可方式目前仍需讨论,“一个可能是,这次先不争论,等未来制定具体规章时再决定”。
《条例》第六章是专门为浦东新区制定的。考虑到国家对浦东的特殊战略定位和期许,《条例》中的相关规定显得意味深长。
对外经贸大学数字经济与法律创新研究中心执行主任许可认为,“这种专门的规定,与国家对浦东新区打造社会主义现代化建设引领区的战略定义是分不开的,这也是上海《条例》与其他地方数据条例最大的区别——一定程度上,类似规定起到探索、引领的作用。”
其中,“数据交易所”一节,专门为在浦东新区设立数据交易所作出相应规定。11月25日,就在《条例》被表决通过的当天,落户于浦东张江高科技园区的上海上海数据交易所正式揭牌成立,当天完成挂牌数据产品20个,涉及金融、交通、通信等八大类。
“各个地方其实都有成立类似的数据交易中心或交易所,但都不是很成功。我认为,原因是没有解决好两个问题,第一个是交易环境,第二个是法律合规性”。何渊判断,未来的上海的数据交易所可能将软件工具与法律法规结合起来形成闭环,并形成落地的产品。
此外,《条例》对国际数据港的规定同样引人关注。
许可认为,这一规定意味着,除了一般意义上的上海市的地方立法的权限以外,在浦东新区有包括数据表、数据中心、数据枢纽等新的、更积极大胆的数据的交易搭建实现,意在通过数字技术推动数字信任基础设施,建立数据数据发展中心。
各地数据立法有何异同?
据不完全统计,目前贵州、天津、海南、山西、吉林、安徽、山东和深圳市等八个省市都颁布了数据条例。其中,贵州在2016年3月1日就已经正式施行;上海、辽宁、黑龙江、陕西、宁夏等省份也先后公布了数据条例草案;福建的大数据条例草案正处于审议阶段,北京也已将大数据条例列入立法日程。
在多位学者看来,从有关数据的各地方立法的适用领域看,贵州、天津、海南、山西、吉林、安徽、山东、辽宁、黑龙江、陕西、宁夏等省份皆为大数据条例,主要涵盖公共数据;而深圳和上海的则为数据条例,除涉及公共数据,还将个人数据包含在内,适用领域更广。
“多数地区因为数据资源积累条件和政策等方面的原因,很难实现大幅度创新——要么复制粘贴,要么小修小补。”前述不愿具名的人士表示。
许可表示,数据产业实际上是众多产业中的一环,无法脱离既有产业链条。即使那些最成熟、庞大的数据企业,也必须将其数据运用于某一行业,以产生加法乃至乘法的作用:“可以将数据理解为一个‘0’,前面加了个数字,马上可呈现倍增的效果,而孤立的数据并没有价值。”
这就意味着,任何地方在制定相应法规条例时,都无法脱离本地数据及其他产业的发展实际。
无论上海、深圳还是即将出台相关条例的北京,其共性在于自身强有力的政策定位及相关政策辅佐,同时有丰富的优势产业可供依托。许可强调,对那些不具备相关政策和产业优势的地区来说,如果贸然立法,可能会陷入重复立法或无效立法的困境。
许可认为,当前部分地方的数据立法的共性,在于都要试图建立一套地方公共数据开放和共享的机制。随着近几年来对于数据要素市场的讨论方兴未艾,全社会对这套机制的需求度也越来越高。
“此前,关于这套机制的讨论语境主要集中在智慧城市建设方面,现在则转移到市场框架下规定数据交易权等数据权益上。”许可说。
一个共同点是,各地对于公共数据都以共享为原则。如天津、吉林、深圳、上海、陕西等省份将其分为无条件(共享)开放、有条件(共享)开放和不予(共享)开放三种类型。
此外,安徽、上海和山东在其数据条例中明确提出,实行数据安全责任制,即按照谁所有谁负责、谁持有谁负责、谁管理谁负责、谁使用谁负责、谁采集谁负责的原则。数据如果存在多个处理者,那各数据处理者分别承担各自的安全责任。
但总体来看,各地的条例在立法逻辑仍然存在明显的差别。
何渊指出,当前很多地区的立法“不是叫做数据条例,其实做的大数据促进条例,是促进法,与深圳、上海的这种规制法有很大区别”。
何渊进一步指出,深圳上海等地所重视的,是在国家相关法律法规的基础上,如何进一步促进数据流动的问题。而其他地方则主要关注数据的利用,不太可能去做规范性定义,“促进法就是,你达到什么要求,我会给你怎么奖励,我政府怎么去给你配套;而规制法则要规定各方权利义务。”
何渊总结,各地数据相关立法存在区别的原因在于,一是与中央交给该城市(地区)的任务有关,二是城市(地区)自身的定位有关。“比如说,上海会特别强调国际数据港,海南也会去强调海南自由港概念。这与中央对该地区的授权密不可分。”
地方数据立法应往何处去?
未来,各地区数据立法是否会陷入同质化、“鸡肋化”困境?
许可认为,各地在下一步数据条例起草时必须谨慎。在他看来,数据立法的基础有三:一是理论研究,二是成熟的行业实践和产业积累,三是立法权限。“除深圳、上海和北京,我不觉得短时间内会有更有水平、更有突破性的立法出现。”
在许可看来,更多的地方立法可能造成地区间的差异,反而会割裂统一的数据要素市场。
“立法的地方竞争是好的,积极的。‘先试点再推广’也是已经被证明有效的中国经验。但是到处都搞,没必要。”许可认为,先试先行在一些具有典型意义,满足前述三个条件的地方是有意义的,“关键不在于立法的数量,而在质量。”
至于国家层面的数据立法,许可认为仍需谨慎论证和充分实践。他指出,数据立法是一个世界难题,当前的理论研究尚不能适应技术日新月异的变化和发展,“还不能形成一个达成普遍共识的理论架构。无论是物联网机制还是元宇宙概念,其发展历程只是刚开始,现实仍在快速迭代,理论上还远未成熟”。
许可总结,目前仍需一段时间积累,才可能充分认识数据这一特殊生产要素的独特性。
“除了部分资源要素较完备的地区外,其他地方没有必要去做那么多立法,意义不大。”何渊坦言,“不如扎扎实实地做一些项目”。他建议,在全球化态势下,各城市(地区)不要把数据理解为自身独有的资源,只有让其流动起来才有价值。
何渊总结,地方立法要立足于帮助国家完成数字化转型、实现国家战略,“要从国家的高度理解这一问题,而不是当做一项任务去完成。”
