深圳经济特区数据条例 (征求意见稿)编制说明
更新时间:2021-06-03 09:24:15
市人大常委会法制工作委员会根据常委会审议意见,对条例进行修改形成了《深圳经济特区数据条例(征求意见稿)》(以下简称《条例(征求意见稿)》),现将有关情况说明如下。
更新时间:2021-06-03 09:24:15
市人大常委会法制工作委员会根据常委会审议意见,对条例进行修改形成了《深圳经济特区数据条例(征求意见稿)》(以下简称《条例(征求意见稿)》),现将有关情况说明如下。
关于《深圳经济特区数据条例(征求意见稿)》的说明
按照市人大常委会立法计划工作安排,市人民政府组织起草了《深圳经济特区数据暂行条例(草案)》。该条例已经市六届人大常委会第四十六次会议、市七届人大常委会第一次会议审议。市人大常委会法制工作委员会根据常委会审议意见,对条例进行修改形成了《深圳经济特区数据条例(征求意见稿)》(以下简称《条例(征求意见稿)》),现将有关情况说明如下。
一、立法的必要性
(一)是实施大数据战略,落实综合改革实施方案要求的需要
党的十九届四中全会作出《关于坚持和完善中国特色社会主义制度推进国家治理体系和治理能力现代化若干重大问题的决定》,中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》等文件,将数据作为新的生产要素上升到基础战略资源地位。2020年10月,中共中央办公厅、国务院办公厅又印发了《深圳建设中国特色社会主义先行示范区综合改革试点实施方案(2020-2025年)》(以下简称《综合改革实施方案》),要求深圳在数据产权制度、数据产权保护和利用新机制、数据隐私保护制度、政府数据开放共享以及数据交易等方面先行探索。为了贯彻中共中央、国务院关于大数据战略的决策部署,落实《综合改革实施方案》有关要求,深圳有必要在数据法律制度构建方面先行先试,充分发挥数据的基础资源作用和创新引擎作用,培育资源配置高效的数据要素市场。
(二)是规范个人数据处理活动,强化个人数据保护的需要
自然人作为数据的重要来源主体之一,其个人数据已经成为经济社会发展的重要数据资源类型。处理个人数据的技术手段不断更新迭代,相应的个人数据应用也正迅猛发展。但是由于个人数据保护相关法律规范尚不健全,未经同意收集个人数据,超出必要获取用户权限,非法交易个人数据,滥用个人数据等侵权问题屡见不鲜,影响了公民私人生活的安宁,有些甚至严重损害公民名誉和人身、财产安全。深圳探索数据立法,正是要通过法规制度建设,规范个人数据处理活动,强化对个人数据的保护,从而有效遏止个人数据侵权行为,切实维护个人数据主体的合法权益。
(三)是推进公共数据资源开放利用,提升政府数据治理能力的需要
近年来,深圳以优化营商环境和提升民生服务为突破口,推出了系列公共数据开放共享、开发利用等方面的创新举措,取得了突出成效。然而,公共数据仍呈现出“数据总量规模小、数据质量较差、可利用率不高、用户参与度低”的特点,公共数据的管理规范体系尚未建立,公共数据的共享标准未统一,公共数据的开放不充分等问题亟需解决。有必要通过经济特区立法,在将公共数据相关改革创新经验转化为制度成果的同时,着力解决现有公共数据开放共享的难题瓶颈,提升政府数据治理能力,加快智慧城市和数字政府建设,充分开发利用公共数据资源。
(四)是加快培育数据市场,促进数字经济发展的需要
深圳作为全球重要的电子信息和数据产业基地,其商贸、金融、物流、通信等数据的生产量处于全国前列,同时汇聚了超过300家大数据企业,基本形成了较为完善的大数据产业链,数据催生下的数字经济新产业、新业态和新模式也正蓬勃发展。但由于现阶段相关法律制度的缺失,深圳的数字经济发展也面临着巨大挑战,如数据交易机制不完善、企业间数据不正当竞争纠纷多发等。亟需通过立法,规范数据市场化行为,推动数据的有序流动和数据产业的健康发展,促进数据要素市场的培育和发展。
二、立法指导思想
数据作为生产要素具有高动态性,只有最大范围的流动和汇聚,形成“大数据”,才能体现其作为战略性基础资源的巨大价值,才能推动数字经济发展,助力城市治理体系和治理能力现代化,促进保障和改善民生。与此同时,随着自然人、法人和非法人组织的信息最大程度地数字化,数据的流动也对国家安全、商业竞争以及个人隐私提出新的挑战。如何平衡发展数字经济与保护个人信息、数据开发利用与数据安全之间的关系,是数据立法的最大难点。《条例(征求意见稿)》坚持“保护与发展并重,以保护为基础,以发展为目标,以保护促发展”的基本指导思想,构建数据治理的具体制度,力图在确保数据安全,保护个人数据的基础上,最大程度挖掘、释放数据的经济价值,为我市数字产业、数字经济的发展提供良好的法治环境。
三、《条例(征求意见稿)》的主要内容
(一)关于数据权益
虽然目前公众对数据权属问题的认识还不统一,难以在经济特区法规中旗帜鲜明地创设“数据权”这一新的权利类型,但是“个人数据具有人格权属性”已经取得普遍共识,而且过往的一些司法判例也认可了“企业对其投入大量智力劳动成果形成的数据产品和服务具有财产性权益”。基于这一认识,《条例(征求意见稿)》落实《综合改革实施方案》提出“率先完善数据产权制度,探索数据产权保护和利用新机制”的要求,明确规定自然人对其个人数据享有人格权益,自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及本条例规定的财产权益,可以依法自主使用,通过向他人提供获得收益,依法进行处分。(第三条、第五十四条)
(二)关于个人数据
1.确立处理个人数据的基本原则
《条例(征求意见稿)》参考《个人信息保护法(二次审议稿)》以及国家推荐性标准《信息安全技术 个人信息安全规范》(GB/T35273—2020)等相关规定,确立了处理个人数据的五项基本原则,即合法正当、最小必要、公开透明、准确完整和确保安全原则;同时,为让公众对最小必要原则有更加清晰、确切的认识,《条例(征求意见稿)》进一步明确,“最小必要”即是限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式处理个人数据,并规定了五种符合最小必要原则的具体情形。(第九条)
2.构建以“告知——同意”为核心的个人数据处理规则
为进一步规范个人数据处理活动,《条例(征求意见稿)》借鉴国际主流数据立法的规定,构建了以“告知——同意”为核心的个人数据处理规则,规定处理个人数据应当在处理前告知数据处理者的基本信息,处理个人数据的种类、范围、目的和方式,存储个人数据的地点和期限,可能存在的安全风险以及采取的安全保护措施,以及自然人依法享有的权利以及行使权利的方式和程序等事项;处理个人数据还应当征得自然人或者其监护人的同意,在其同意的范围内处理其个人数据。《条例(征求意见稿)》又进一步明确该同意应当是自主、明确地表示允许处理其个人数据的意思表示,数据处理者不得通过误导、欺骗、胁迫等违背自然人真实意愿的方式获取同意。(第十二条、第十三条、第二十条、第二十一条)
同时,针对自然人撤回同意的情形,《条例(征求意见稿)》规定数据处理者应当提供撤回同意的途径,不得对撤回同意进行不合理限制或者附加不合理条件。自然人撤回同意,数据处理者虽不得继续处理其个人数据,但不影响其在自然人撤回同意前基于同意进行的合法数据处理。(第十八条、第十九条)
此外,考虑到处理个人数据场景的多样性,《条例(征求意见稿)》还对同意规则的例外情形作出了例外规定。(第十七条)
3.针对特殊类型个人数据提供特别保护
为加强对敏感个人数据、生物识别数据、未成年人以及其他无民事行为能力或者限制民事行为能力的成年人个人数据的保护,《条例(征求意见稿)》对处理这些个人数据作出了更加严格的规定。一是针对处理敏感个人数据,要求数据处理者应当在处理前征得自然人或者其监护人的明示同意;除履行一般的告知义务外,还应当以更加显著的标识或者突出显示的形式将处理敏感个人数据的必要性以及对其可能产生的影响进行单独告知。(第十四条、第二十条第二款)二是针对处理生物识别数据,要求不仅要遵守处理敏感个人数据的规定,处理的生物识别数据还不能为其他个人数据所替代;数据处理者也应当具备相应的数据安全防护能力。(第十五条)三是针对处理未成年人的个人数据,将未成年的个人数据视作敏感个人数据,适用敏感个人数据的有关规定,且不得对未成年人进行用户画像和个性化推荐。(第十六条第一款、第二十四条第三款)四是针对处理无民事行为能力或者限制民事行为能力的成年人个人数据,要求应当在处理前征得其监护人的明示同意。(第十六条第二款)
4.规范用户画像和个性化推荐的应用
用户画像和个性化推荐的普遍应用,让我们享受到了更加精准、个性化的商品和服务,但同时也带来了一些负面影响,如“信息茧房”。为规制用户画像和个性化推荐,在促进新兴数据应用技术发展的同时,尽可能的保护个人数据权益,《条例(征求意见稿)》规定,数据处理者可以进行用户画像和个性化推荐,但是应当明示用户画像的规则和用途,并为被画像主体提供拒绝的途径;自然人有权随时拒绝对其进行的用户画像和个性化推荐。(第二十三条第一款,第二十四条第一款、第二款)
5.明确个人数据的各项具体权益
为形成个人数据权益保护闭环,便于自然人维护自身个人数据权益,《条例(征求意见稿)》根据《个人信息保护法(二次审议稿)》,并借鉴《欧盟个人数据保护法》(GDPR)有关规定,明确赋予自然人对其个人数据享有知情决定权、查阅复制权、补充更正权、删除权。在权利的行使方面,《条例(征求意见稿)》规定,数据处理者应当建立自然人行使权利申请和投诉举报的受理处理机制,提供有效的行使权利和投诉举报的途径,及时受理,并依法采取相应处理措施,拒绝申请事项的,应当说明理由。(第二十五条至第三十条)
(三)关于公共数据
1.建立公共数据治理体系
为加强公共数据统筹管理,构建高质量的公共数据资源体系,《条例(征求意见稿)》从组织架构、基础设施、管理体系、质量要求等方面,着手设计了公共数据治理的顶层框架。一是确立公共数据管理机构;二是建设以城市大数据中心为核心的公共数据基础设施;三是建立公共数据资源管理制度,实行公共数据分类管理、目录管理;四是实行公共数据全面共享,明确公共数据以共享为原则,不共享为例外,不得重复收集可以通过共享方式获得的数据;五是实行公共数据统筹采购,避免公共数据重复采购。六是严格落实公共数据质量管理。(第三十二条至第四十条)
2.最大限度实现公共数据开放
为进一步扩大公共数据开放程度,推动公共数据与社会数据融合应用,释放公共数据资源价值,《条例(征求意见稿)》规定公共数据开放遵循分类分级、需求导向、安全可控的原则,在法律、法规允许范围内最大限度开放,不得收取任何费用;并将公共数据按照开放条件分为无条件开放、有条件开放和不予开放三类(第四十二条、第四十三条)。
在优化公共数据开放模式,为公众提供便捷、高效、安全获取公共数据的渠道方面,《条例(征求意见稿)》规定在编制公共数据开放清单时应当明确有条件开放的公共数据的开放条件、使用要求及安全保障措施等;同时,还细化了公共数据的开放方式,即由市政务服务数据管理部门依托城市大数据中心建设公共数据开放平台,在该平台中提供数据下载、应用程序接口、安全可信的数据综合开发利用环境等多种开放方式,统一向社会开放公共数据。(第四十四条、第四十五条)
(四)关于数据市场
1.规范数据交易秩序
数据的价值在于流动,而数据交易是数据流通的基本方式。为规范数据交易秩序,《条例(征求意见稿)》从两个方面探索建立数据交易制度:一是明确数据交易范围。规定可以交易的范围为“合法处理数据形成的数据产品和服务”,并从反面禁止交易“包含个人数据而未经相关权利人同意或者危害国家安全、公共利益的”数据产品和服务。二是提供数据交易配套支持。引导市场主体通过依法设立的数据交易平台进行数据交易,要求数据交易平台建立安全可信、管理可控、可追溯的数据交易环境,制定数据交易、信息披露、自律监管等规则,并采取有效措施保护个人数据、商业秘密和国家规定的重要数据;支持数据价值评估、数据交易技术研发和数据交易模式创新,拓宽数据交易渠道,促进数据资源高效流通。(第五十六条至第五十九条)
2.促进数据市场公平竞争
随着数字经济的发展,企业间的不正当数据竞争日益增多,严重制约了数据市场的健康发展。为建立有序的数据市场竞争规则,保障市场主体和消费者的合法权益,《条例(征求意见稿)》在《反不正当竞争法》现行规定的基础上,总结近年来数据市场不正当竞争司法审判实践,借鉴国务院反垄断委员会印发的《关于平台经济领域的反垄断指南》,确立了数据公平竞争原则,规定市场主体不得以不正当手段收集或者利用其他市场主体的数据,侵害其他市场主体或者消费者的合法权益;不得通过数据分析,无正当理由对交易条件相同的交易相对人实施差别待遇;不得通过达成垄断协议、滥用在数据市场的支配地位、实施经营者集中,排除、限制数据市场竞争。(第六十条至第六十二条)
(五)关于数据安全
1.明确数据安全管理责任
《条例(征求意见稿)》明确市人民政府负责统筹数据安全管理工作、市网信部门负责具体统筹、协调的职责,以及数据处理者的数据安全管理责任。同时,为强化对敏感个人数据和重要数据的保护,《条例(征求意见稿)》对敏感个人数据或者重要数据处理者设置了更加严格的安全管理责任,要求其按照规定设立数据安全管理机构或者明确数据安全管理责任人,并实施特别技术保护。(第六十三条至第六十五条)
2.落实数据安全保护义务
为保障数据全生命周期安全,《条例(征求意见稿)》要求数据处理者落实在数据收集、加工、存储、开放共享、销毁等阶段的安全保护义务,并做好数据安全事件的监测、预警和应急处置工作。此外,为了促进跨境数据的合法有序流动,《条例(征求意见稿)》在确保数据安全的前提下,建立相对宽松的个人数据跨境流动制度,允许经自然人明示同意仅为个人或家庭事务向境外提供其个人数据。(第六十六条至第七十六条)
3.加强数据安全监督
保障数据安全不仅要压实数据处理者的责任,还应当不断完善数据安全监督机制,加强对数据处理活动的安全监督。因此,《条例(征求意见稿)》明确了数据安全监督部门的职责,通过公安机关开展数据安全预警工作,对数据处理者进行数据安全管理认证和评估,约谈违规数据处理者等措施强化数据安全监督,并强调履行数据安全监督职责的部门及其工作人员必须对在履职过程中知悉的个人数据、商业秘密和技术秘密严格保密,不得泄露、出售或者非法向他人提供。(第七十七条至第八十一条)
(六)关于法律责任
1.严惩个人数据侵权行为
当前,由于缺乏有效的惩处手段,个人数据侵权行为在商业利益的驱使下屡禁不止。为严厉打击个人数据侵权行为,保护个人数据权益,《条例(征求意见稿)》加大对违规处理个人数据或者处理个人数据未采取必要安全保护措施的行为的处罚力度,规定由市网信部门责令立即改正,没收违法所得,并按照每处理一个自然人的个人数据处以二百元以上一千元以下的罚款。同时,为了避免数据安全事件的发生,体现对未成年人数据和敏感个人数据更加严格的保护,压实提供基础性互联网平台服务的数据处理者的责任,《条例(征求意见稿)》还规定,违法行为造成数据安全事件的,违法行为涉及未成年人数据和敏感个人数据的,或者违法行为人为提供基础性互联网平台服务的数据处理者的,应当从重处罚。而对于一些未对自然人行使数据权益提供途径,或者限制自然人行使数据权益的违法行为,则由市网信部门责令改正,给予警告;拒不改正的,处五万元以上二十万元以下罚款;情节严重的,处二十万元以上一百万元以下罚款。(第八十二条至第八十三条)
2.建立数据领域公益诉讼制度
现实中,数据侵权行为具有高度隐蔽性,受侵害主体往往难以察觉其数据权益被侵犯,即便察觉,由于取证难,出于时间或经济成本的考量,也难以实现有效维权。为缓解当前数据维权艰难的现状,《条例(征求意见稿)》参考2020年9月最高检出台《关于积极稳妥拓展公益诉讼案件范围的指导意见》关于“将个人信息保护作为网络侵害领域公益诉讼的办案重点”的意见,确立了数据领域的公益诉讼制度,规定有关行业组织、人民检察院可以就未落实数据安全保护责任或者非法处理数据致使国家利益或者公共利益受到损害的行为,依法提起民事公益诉讼;人民检察院还可以对违法行使职权或者不作为致使国家利益或者公共利益受到损害的行政机关,提出监察建议或者提起行政公益诉讼。(第八十九条)
此外,《条例(征求意见稿)》针对违规交易数据、数据不正当竞争也规定了相应的法律责任。(第八十五条、第八十六条)