关于制定《江西省数据条例》的思考

2022-06-20 02:41程小白谢诚超
江西警察学院学报 2022年3期
关键词:数据安全条例要素

程小白,谢诚超

(1.江西警察学院,江西 南昌 330103;2.华东交通大学,江西 南昌 330000)

一、《江西省数据条例》制定的时代背景与定位

2021 年第十三届全国人大四次会议表决通过了“十四五”规划纲要,规划纲要第五篇提出要加快数字化发展,建设数字中国。为迎接数字时代,要激活数据要素潜能,推进网络强国建设,加快建设数字经济、数字社会、数字政府。2022 年年初,为牢牢抓住数字经济发展时代机遇,中共江西省委、江西省人民政府印发了 《关于深入推进数字经济做优做强“一号发展工程”的意见》,就江西省数字经济发展作出全面部署,提出新的任务要求,加快打造中部地区数字产业发展、产业数字化转型,努力成为全国数字经济发展新高地。

开展数字经济的相关立法工作,是数字经济战略部署的重要环节和关键保障。目前,上海、深圳、浙江、重庆已经先后出台了数据条例,贵州、海南、天津、山东、安徽、吉林、山西、福建等省市也分别出台了大数据发展促进相关条例。发展数字经济“一号发展”工程,江西省地方立法不可或缺。为加快建设数字江西,激发数据要素活力、促进数据流通共享、促进数据开发应用以及保障数据安全,江西省推进起草制定《江西省数据条例》的时机恰当且已趋成熟。此次条例制定,既是贯彻落实党中央、国务院战略决策的需要,也是满足江西数字经济发展实践的需求,为江西省数字化转型提供基础性制度保障。数据条例定位应考虑以下几方面:

(一)《江西省数据条例》作为一部基础性、综合性的地方法规,不宜求大求全,面面俱到

上位法有规定的不应重复,上位法做原则性、宣示性规定的,可根据江西实际,进行细化和具体化。可以借鉴已出台数据条例相关省份的经验和立法体例模式,但不应照搬,注意避免陷入同质化、“鸡肋化”困境。

(二)立足江西实际和地方立法权限,突出重点,体现特色

紧扣江西省大数据发展应用现状和需求,坚持问题导向,总结江西省大数据发展中的一些经验,同时借鉴外省的一些好做法,通过立法的形式固定下来。对江西省大数据发展面临的重大问题,通过分析研究,以立法的方式作出解决路径的指引性规定。以问题为导向,不但要找准问题“面”,还要找准症结“点”。通过总结执行法律法规过程中的阻碍、空白、争议等问题,把握住制约发展的关键环节,深挖根源、找准症结、对症下药,通过建立健全体制机制、科学设计制度措施,使立法具有科学性、针对性和可操作性。

(三)通过立法,促进数据的流通共享,为江西大数据发展提供规范指引

数据立法作为规范数据以及数据活动的法治保障,能够为推动江西省构建新型智慧城市和“数字政府”提供助力,更好地发挥数据的基础资源作用和创新引擎作用,加快形成以创新为主要引领和支撑的数字技术,促进江西省数字经济、数字社会、数字政府的健康发展。

二、国内有关省市数据相关立法概况

从现有地方立法机构关于数据立法的情况来看,据不完全统计,截至目前已有11 个省市出台了数据相关条例,其他省市也相继着手立法起草工作。各省市立法情况如下表:

通过比较各省市数据相关条例的共通性和差异性,可以总结其他省市的立法经验,为《江西省数据条例》的出台提供立法参照借鉴。

(一)条例适用领域不同

目前,各省市出台的数据条例名称各有不同,在条例适用领域上存在差异化,这源于各省市数字经济发展基础、相关政策及地区自身定位不同。比对各省市的条例,条例主要有两种命名模式:

一是“发展促进条例”,例如贵州、天津、海南、山西、吉林、安徽、山东、福建等省市均是通过制定大数据发展促进条例来为本地区数据发展活动提供规范性指引。其所涵盖的领域主要是公共数据,更加侧重数据的利用。

二是近来以上海、深圳、重庆为代表的“数据条例”,其所涵盖的领域要广于发展促进条例,条例适用领域不仅包括公共数据,还涉及个人数据保护等相关内容,更加注重数据的流动问题。

(二)条例编章体例和条款数

从制定出台数据相关条例立法体例和条款数来看,没有统一的规范标准,各省市均结合本地数据发展现状考虑。在章节设置方面,条例基本设置在六章以上,仅山西未设章。其中贵州、海南设六章,吉林、安徽、深圳设七章,天津、山东、福建、浙江、重庆设八章,上海设十章,天津、上海、深圳还在专章下面设专节规定。在条款数方面,除上海、深圳设置较多条款,大多省市基本保持在50 至70条之间。深圳100 条,上海91 条,吉林61 条,重庆60 条,天津、海南57 条,山东52 条,浙江51 条,福建50 条,安徽49 条,贵州39 条,山西34 条。

(三)条例制定的内容

从内容上看,各省市条例大致按总则、数据资源、数据要素市场、数据安全、基础设施、发展应用、数据安全、法律责任、附则等内容来进行编排。在具体内容上,《上海市数据条例》(以下简称为上海条例)和《深圳经济特区数据条例》(以下简称为深圳条例)分设“数据权益保障”和“个人数据”专章,以强调对个人数据的保护。另外,上海条例结合本地区的发展政策优势,为发挥浦东新区在数据要素领域的示范引领作用,高效汇聚和深度融合区域数据资源,专设“浦东新区数据改革”和“长三角区域数据合作”两个章节。

在公共数据共享、开放方面,大部分省市均认可以共享、开放为原则,不共享、不开放为例外,仅在表述上存在略微差别。在数据安全责任方面,大部分省市实行数据安全责任制,明确数据安全的责任的承担原则,有利于保障数据全生命周期安全。在法律责任方面,大部分省市均是遵从上位法的处罚规定,仅深圳、重庆在遵从上位法的原则下制定了较为详细的处罚规定。

(四)条例立法上的创新

1.关于数据财产权益方面。深圳条例作为国内数据领域首部基础性、综合性立法,对于《江西省数据条例》的起草制定具有一定的参照意义。该条例首倡数据权,基于数据作为法律关系中客体的特殊性,数据权是一种与传统民法中物权、知识产权等权利存在不同的新型权利,其具有财产权、人格权和国家主权属性。[1]条例对数据财产权益归属问题作出了明确规定,其第4 条规定:“自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及本条例规定的财产权益。”第58 条规定:“市场主体对合法处理数据形成的数据产品和服务,可以依法自主使用,取得收益,进行处分。”同样,2022 年1 月1 日施行的《上海条例》第12 条也明确了数据财产权益的保护问题。反观2021 年颁布的《数据安全法》仅笼统地规定了国家保护个人、组织与数据有关的权益,却未明确是何种权益。两部条例均对于数据财产权益方面的规定起到了填补国家层面法律和部门规章中空白的作用,是一大创新亮点。

2.关于个人数据保护方面。与其他省市不同的是,深圳条例与上海条例除了对公共数据采集、利用、共享、开放、利用等作出规定外,还针对个人数据保护作出相关规定。其中深圳条例设“个人数据”专章保护,条例结合《个人信息保护法》对个人数据收集、处理的目的、范围、方式以及告知同意原则作出了详细规定,更是对生物识别数据处理方式作出了更严格的规定。上海条例设“个人信息特殊保护”专节保护,其中对人脸图像采集的应用场景作了细致的规定。值得注意的是,为回应社会热门的“大数据杀熟”事件,上海条例第24 条还规定禁止市场主体通过利用个人信息进行自动化决策,对个人在交易价格等交易条件上实行不合理的差别待遇。

3.关于推动数据交易平台方面。深圳、上海、重庆、天津、海南、山西和山东等均提出要建立数据交易平台,鼓励引导市场主体通过数据交易平台进行数据交易。其中上海、深圳两部条例还同时放开了交易场所范围,允许市场主体在数据交易平台之外依法自主交易(深圳条例第65 条,上海条例第56 条)。平台交易方式方面,深圳条例第66条授权数据交易平台制定数据交易、信息披露、自律监管等规则。交易价格方面,上海条例第57 条明确市场主体可以在数据交易价格评估导则下依法自主定价,促进数据要素依法有序流动。

三、制定《江西省数据条例》的建议

为推进《江西省数据条例》的起草制定,现结合本省实际情况提出如下建议:

(一)设立首席数据官制度,构建科学的数据管理体制

数据要素的核心价值在于共享,数据壁垒是影响数据价值实现的主要障碍。如何建立与数据要素发展规律相适应的体制机制,促进数据共享开放是数据立法需要解决的首要问题。数据工作与业务工作是紧密联系在一起的,由于业务工作往往是由部门来推动的,这样在部门之间受利益格局的影响往往容易形成数据壁垒。如何建立数据工作统一管理、职能部门各尽其职的工作体制机制,是需要有法治保障的。设立首席数据官(Chief Data Officer,简称CDO)制度就是一个很好的探索。美国是在政府架构中首先建立首席数据官制度的国家,2011 年芝加哥设立了第一位市政首席数据官,2013 年在联邦政府层面任命了首位首席数据官。国内首个任命CDO 的企业是阿里巴巴,其于2012 年设立的CDO 岗位负责对阿里旗下的淘宝、支付宝、金融等平台数据进行挖掘、分析和运用。2021 年11 月30 日,工业和信息化部发布的《“十四五”大数据产业发展规划》中提到工信部支持企业强化数据驱动的战略导向,通过设立首席数据官,将数据战略引入自身的日常管理运营中,带领企业构建、激活并保持企业的数据管理能力。2022 年1 月,上海市颁布施行的《上海市数据条例》也规定:鼓励各区、部门、企业设立首席数据官。由此可见,设立首席数据官制度是国家、政府、企事业数字化转型的重要一环,旨在促进数据共享开放、提高数据驱动的决策能力、提高政府和企事业单位的数据管理能力,并加强运用数字化手段,促进数据要素价值释放。江西省在数据条例的制定中应借鉴上述经验和做法,在条例中明确规定,省政府建立数据工作委员会,由省政府行政首长担任数据工作委员会主任,下设大数据中心或数据工作局,在大数据中心、各设区市、各部门、企事业单位设立首席数据官,直接向行政首长负责,构建数据工作“统一管理、条块结合、以条为主”的管理体制。

(二)关于数据要素市场需要解决的几个重点问题

2020 年4 月,中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》,将“数据”这一新型生产要素与土地、劳动力、资本、技术并列为五大生产要素,提出要加快培育数据要素市场,而数据产权和交易是数据要素市场建立的核心和关键。

1.对数据资产进行定义、分类。目前还未见到在法律和地方性法规中对数据资产进行定义和分类。应该看到,这是对数据资产进行评估、定价、统计、记账和交易的前提。一般认为,数据资源成为资产一般需要具备三个基本前提条件:所有权明确、稀缺性、经济效益。数据资源作为一种资产,由于其存在形态和处置方式有其自身的特点,不同于一般的固定资产、无形资产或知识产权,其属于一种新型资产即数据资产。[2]数据资产是指拥有数据权属、有价值、可计量、可读取的网络空间的数据集。在分类上可以参照欧盟的标准,按照数据资产的处理程度分为:原始数据、预处理数据、经过处理的数据、数据驱动的见解四类。数据资产的附加值依次递增,数据资产的保护强度依次降低。数据可提供服务和交易的主要在后三类。作为包含个人信息的原始数据不能用于交易,必须采用数据清洗技术对其进行相应的去标识化、匿名化处理后才能进行数据交易,也就是说,可以作为数据资产进行交易的客体主要是依法经处理后所形成的数据产品、数据模型和数据服务。

2.建立数据财产性权益和交易制度。从理论上看,数据要素市场立法必须遵循数据要素的特殊规律,作为新型生产要素,数据与传统不动产、动产,在实物形态、识别方式、占有控制、转移方式等方面都有明显不同,数据资产要素具有获得的非竞争性,使用的非排他性,价值的非耗竭性,源头的非稀缺性等独有特征。应该围绕数据所有权、使用权、流转权等内容制定数据确权、采集共享、交易流通、评估定价等共性关键标准,这不仅需要有明确的法律规定,而且需要有相应的数字技术水平相匹配,只有法律规范与技术支撑相互配合才能建立产权明确、全程可控、高效融通、可信安全的数据要素市场。应该看到,数据产权的确定属于民事基本制度的范畴,属于国家立法权,有待国家立法进一步明确。在地方性立法当中可以围绕数据财产性权益(数据服务、数据产品的财产性收益权、处分权)、自然人数据的人格性权益(包括知情同意、补充更正、删除、查阅复制等权益)做些探讨性规定和实践,为国家层面的立法积累经验。

数据作为数字经济时代最重要的大宗商品和核心生产要素,只有交易才能充分发掘数据要素红利,有效促进数据要素的共享使用与价值开发,这就需要建立数据要素交易制度。检验数据立法是否成功的关键在于其对数据要素的流动共享是否起到推动和促进作用。在数据条例的制定中,需要探索建立数据交易正面引导清单、负面禁止清单和第三方机构认证评级相结合的数据要素市场准入管理制度,要建立数据交易所或数据交易中心,支持引导数据密集型行业平台和企业积极参与数据要素市场交易,形成一批合格的交易主体和数据服务中间商;建立数据交易主体根据合约自主定价和专业评估机构指导定价相结合的数据要素定价机制。到目前为止,全国已建立20 多家数据交易所、数据交易中心,但总的交易量并没有达到预期的效果,其根本原因在于数据权归属、数据客体、数据权转移、数据价值分享、数据交易规则、数据侵权等方面的基本法律问题还有待于进一步厘清,同时要有相应的数据确权和交易关键技术相匹配。

3.建立数据资产收益分配制度。要通过完善数据要素市场价格形成机制,建立数据要素收益分配制度;要建立公共数据授权运营和收益合理分享机制,探索运用市场化交易机制,将公共数据运营的主要收益纳入财政预算,形成打破部门数据壁垒的动力机制。在目前的法律规范中尚不存在法定的数据收益权,公共数据开放后,其收益分配局面因市场主体的多元化而变得十分复杂,利益相关方包括政府、企业、社会组织、个人等多方主体。[3]如何确定收益权属是一大难题,为此,可以借鉴参考司法案例中的判断思路,按照谁收集、谁开发、谁收益的一般原则来进行认定。

4.构建数据生产交易生态平台。要沿着产业数字化、生活数字化、治理数字化的方向不断拓展应用场景,加强数据资源的开发和应用。在重点领域建设大数据枢纽,例如可以选择江西的某一特色支柱产业作为试点,把数据的生产、存储、加工、使用的供应链上的所有利益相关者都集合在一个平台上,在产业链上下游不同法人主体、不同部门之间建立数据平台,根据数据定价算法按数据的贡献度进行要素价值的分配,这样就以市场化的力量将整个产业链协同起来,用经济动力将基于数据要素的生产活动调动统一起来,形成强大的经济效率提升力,通过产业数字化,促进数字经济高质量发展。应该看到,数据产权效益不是以公司为治理单位,而是以数据使用生态群体为治理单位,要提高对数据要素生态平台的治理,保障数据价值沿价值链从数据采集阶段向数据产品和数据服务阶段升级,为此要打造“产业发展联盟+数据交易机构+产业创新基金+企业技术创新中心”的综合性大数据交易中心。

(三)关于数据安全与监管

1.对接《数据安全法》制定相关实施细则。要落实数据安全责任制和数据安全保障义务,建立健全生命周期数据安全管理制度;要制定分行业分领域、分级分类数据安全管理实施细则;为加强对重要数据的保护,要制定本地域以及相关行业的重要数据目录;完善数据安全检测评估、认证制度,积极引导有关部门、行业组织、科研机构、企业等多方主体参与制定科学合理的数据安全检测评估、认证标准,尤其是对涉密、敏感个人数据的安全评估,对事关国家、社会公共利益的数据制定更加严格的管理保护制度;加强建立健全公共数据安全管理制度、技术规范和操作规程,针对数据安全事件制定应急预案,全方位防范数据安全风险。

2.建立和完善个人信息授权许可制度。2022年1 月国务院办公厅印发了 《要素市场化配置综合改革试点总体方案》,方案提出为加强数据安全保护,要探索完善个人信息授权使用制度。当前,我国现行的个人信息授权模式采取的是“概括授权加例外”的模式,即以取得信息主体同意后才能收集处理信息为原则,以法定理由无需同意为例外。为加强个人信息的保护,条例制定可以参考《个人信息保护法》和《数据安全管理办法(征求意见稿)》等相关规定完善个人信息授权制度,例如,明确信息处理者应在个人充分知情的前提下自愿且明确作出同意的,才有权处理个人信息。信息处理者在收集、处理个人信息时,应当制定明确具体、简单通俗、便于阅读的信息收集使用规则,以方便信息主体阅读理解,而对于敏感个人信息,在采集过程中应当通过单独授权以及增加备案制度等方式切实保护用户权利。

3.建立数据泄露通知制度。数据泄露往往会给数据主体、数据控制者造成严重损害,数据泄露事件时有发生,而数据泄露通知制度能最大限度防范数据泄露所导致的损害。《网络安全法》《个人信息保护法》在借鉴域外(包括欧盟、美国、澳大利亚等)数据泄露通知制度下,均对个人信息泄露通知作出相关规定,明确个人信息处理者的数据泄露通知义务,强化了对个人信息的安全保护。条例制定可以充分考虑建立并细化数据泄露通知制度,从通知义务主体、通知对象、泄露通知制度的启动、通知程序、内容以及未履行数据泄露通知义务的处罚等方面进行规定,增强制度的可操作性,构建覆盖数据全周期、多环节的数据泄露通知制度。

4.建立数据跨境流动安全评估审查制度。伴随全球数字经济的发展,数据跨境流动已成为一种必然的趋势。数据跨境流动成为全球数字政策发展和博弈的焦点,如何保障数据跨境流动安全,是我国乃至全世界需要共同探讨的话题。江西省经济发展在积极融入国内和国际双循环的背景中必然面对数据跨境流动安全问题。数据跨境流动因各国的历史文化、价值取向、规范模式不同,目前尚未形成全球统一的规制标准,现有规则主要以欧盟和美国两大规制体系构成。[4]其中,欧盟《通用数据保护条例》在坚持“充分保护原则”的基础上,增加了为期4 年的定期审查机制,即只有通过欧盟调查确定达到充分保护水平的第三国,才能向该国进行数据转移,并且明确列明了符合条件的国家。美国则主要通过与其他国家或组织签订双边或者多边协议来实现数据跨境流动的保护。反观国内,《个人信息保护法》则设置了“个人信息跨境提供的规则”专章进行保护。基于此,条例可以《个人信息保护法》为参照,建立数据跨境流动安全评估审查制度,组建一套自评估机制、联审联评机制、安全检查机制、违规举报机制和信用管理机制等安全评估审查机制。[5]在重点领域内开展数据跨境流动安全评估、数据保护能力认证、数据流通备份审查等安全机制,对数据分级分类管控,根据不同的安全属性进行梯度管理。对于涉国家安全、国家秘密等数据,严格禁止向境外输出。对于确需向境外提供的其他数据,在经过相关部门的安全风险评估确认后才可跨境,实现数据安全保护与数据自由流动平衡。

5.建立数字新业态、新产业、新模式条件下劳动者的权益保障制度。数字经济的发展带动了新产业的迅速增长,新业态下的劳动者数量不断攀升,新产业、新业态、新模式下劳动者权益保障得到社会的广泛关注。新业态下劳动者所面临的主要问题包括用工关系界定不明确,劳动关系认定难、劳动时间、劳动报酬、社会保险得不到保障,劳动关系缺乏集体协商机制的主张等。[6]为深入贯彻落实党中央、国务院决策部署,支持和规范发展新就业形态,切实维护新就业形态劳动者劳动保障权益,2021 年7 月16 日人社部等八部门共同出台了 《关于维护新就业形态劳动者劳动保障权益的指导意见》。同月,中华全国总工会出台了《关于切实维护新就业形态劳动者劳动者劳动权益的意见》。可以看到,保障新业态下劳动者的权益是维护社会和谐稳定发展的重要内容。本次条例制定应积极回应这一问题,将保障劳动者权益纳入数字经济协同治理体系,以大数据为基础实现对平台企业用工的动态监管,考虑畅通政企数据流通,通过对平台上劳动者电子合同签订、工作时间、报酬给付、社会保险缴纳情况等相关数据实施监测,把劳动者权益保障落到实处。

(四)建立数据设施规制制度

为大数据发展提供支撑保障,数字基础设施的建设尤为关键。为此,条例制定需强调数据基础设施统一规划建设的重要性,坚决克服长期以来存在的信息化基础设施建设部门割据、各自为政、浪费巨大的现状。省级政府应该加强对数据基础设施建设的统一规划,条例应该明确政府在数据基础设施建设中的职责,省人民政府及其有关部门应当统筹全省数据基础设施建设,推进数据资源中心、超算中心和边缘计算节点等算力基础设施建设,按照国家统一部署,建设完善网络安全监测预警、应急处置平台等信息安全基础设施;依托全国一体化政务服务平台,按照区域应用协同需求,与浙江省和广东省共同建设公共数据共享交换平台,按照区域互联互通需求,共同促进数字认证体系、电子证照等跨区域互认互通,为江西经济融入长三角和粤港澳大湾区提供数据基础设施的支撑;县级以上地方人民政府及有关部门,应当加强农村地区数据基础设施建设,推动传统基础设施数字化改造和智能化升级。为深化数据基础设施跨部门、跨行业共建共享,需建立数据基础设施建设共建共享考核机制,加强重点领域共建共享,强化各部门、各行业衔接和协调,制定具有可操作性的考核目标、奖惩方法等,要求政府部门和企事业单位进一步规范和完善共建共享流程。

建立垄断性共建共享设施租赁制度,借助互联网平台,制定灵活的租赁方式和规范的系统流程,促进企业双方或多方协商制定可行的基础设施租赁价格,通过数据交互、数据分析形成一套完整的租赁平台,提高企业资源利用效益,同时也要建立租赁数据风险管控体系,确保租赁数据安全。

互联互通是互联网行业高质量发展的必然选择,其可以促进以流量为基础的数据等生产要素在不同平台生态之间进行流动,从而降低数字经济的整体交易成本。完善互联网互通和公平接入制度,需遵循公平、合理、非歧视原则,可以通过建立互联协议报批制度,完善互联争议解决制度,建立互联互通年度报告制度等实现互联网互通的目标。[7]与此同时,从激励机制角度来看,允许一些大平台在开放的过程中收取一定的接入费用具有一定的合理性,但需要制定较为公平的接入费用机制,实现平台的互联互通与激励创新。

(五)对《江西省数据条例》总体框架的意见

《江西省数据条例》建议稿总体框架如下:第一章总则,第二章数据资源,第三章数据要素市场,第四章数据开发应用,第五章安全监管,第六章保障措施,第七章法律责任,第八章附则。

猜你喜欢
数据安全条例要素
我国5G数据安全保护供给不足,“四步”拉动产业发展
安徽省家庭教育促进条例
安徽省家庭教育促进条例
掌握这6点要素,让肥水更高效
云计算中基于用户隐私的数据安全保护方法
新版党纪处分条例修订要点
建立激励相容机制保护数据安全
新修订的党纪处分条例干货全在这里
观赏植物的色彩要素在家居设计中的应用
论美术中“七大要素”的辩证关系