金钟国 尹恩惠
*本文系湖南省教育厅优秀青年项目“我国《科学数据管理办法》实施细则与成效优化研究”(项目编号:19B563)研究成果。
摘要明确数据权的内容及权属、构建数据权利的保障体系是现代数据立法与实践的核心问题。《深圳经济特区数据条例(征求意见稿)》首次实现了数据确权,并对数据权及其权利体系进行解构与规范。文章解读该条例的主要内容、亮点和缺陷,即对个人数据保护、公共数据管理与共享、数据要素市场培育和数据管理安全等作出了具体规定,于法理基础、制度支撑和条例实施等方面有着诸多亮点,在法律效力边界、数据产权归属与权益分配、对接通行标准等问题上存在一定的价值阙如。这一示范性的“深圳探索”体现了中国特,对全国及各地方数据立法与实践具有启迪意义。
关键词数据权利数据条例数据要素数据共享
引用本文格式秦顺,邢文明.数据权及其权利体系的解构与规范——对《深圳经济特区数据条例(征求意见稿)》的考察[J].图书馆论坛,2021,41(1):132-140.
An Interpretation of Data Rights and Privileges of the Data Regulations of Shenzhen Special Economic Zone (Draft Regulations for Public Opinion )
QIN Shun ,XING Wenming
Abstract Defining the scope and ownership of data rights ,and implementing protective measures are core issues
of modern data legislation and practice.In July 2020,the Data Regulations of Shenzhen Special Economic Zone
(Draft Regulations for Public Opinion )has assured ,defined and regulated data rights and the associated privileges for the first time.This paper interprets the main contents and discusses the strengths and weaknesses of the draft regulations which cover specific provisions on personal data protection ,public data management and sharing ,data market operation and data security.The draft regulations have many merits in the aspects of legal basis ,support measures and law implementation.At the same time ,it has insufficiencies in terms of effective legal boundary ,data property ownership ,rights distribution ,and the connection with current practice.The exploration by Shenzhen can not only demonstrate the unique Chinese characteristics ,but also can enlighten the national and local data legislation and practice.
Keywords data rights ;data regulation ;data elements ;data sharing
数据权及其权利体系的解构与规范
——对《深圳经济特区数据条例(征求意见稿)》的考察*
秦顺,邢文明
1呼唤数据权利时代的到来
在“5G+AICDE”[1]环境与预期下,数据资
源逐步固定为一种新型生产要素,数据经济、数据权利时代正在到来。2014年至今“大数据”连续6年写入国务院政府工作报告;实施国家大
汽车网上选号
132
◎2021年第1期
数据战略、推进数据资源开放共享和加快建设数字中国等战略亦稳步推进。2020年3月颁布的《关于构建更加完善的要素市场化配置体制机制的意见》(以下简称《构建要素市场意见》)提出将数据作为一种与土地、劳动力、资本和技术等其他生产要素并驾齐驱的新型生产要素,应加快培育数据要素市场。2020年5月发布的《2020年国务院政府工作报告》指出要“培育技术和数据市场,激活各类要素潜能”[2-3]。在数据科学时代,数据权及其权利体系的构建已成为国际惯例,欧盟《通用数据保护条例》(GDPR)[4]、英国《数据保护法案》[5]和德国《联邦数据保护法》[6]等在确定数据权属与数据权利内容等方面都在探索;2019年8月发布的《关于支持深圳建设中国特社会主义先行示范区的意见》[7](以下简称《建设示范区意见》)更提出要“探索完善数据产权”。学者围绕数据财产权成立的权利客体基础及其保护[8-9]、数据控制与可携权的法律规范与实现方式[10]、大数据视角下数据权的权属分析与体系建构[11-12]、数据要素市场化配置的学界回应与
思考[1,13-15]等方面展开研究,形成了以“新型人格
权说”“知识产权说”“商业秘密说”“数据财产权说”等为引领的数据权利学说。理论与实践相辅相成的螺旋式发展,使明晰数据权及其权利体系成为现阶段的迫切任务,厘清这一问题有助于积极拥抱数据权利
时代的到来。
数据权利保障及数据管理与共享工作的有序开展,对加快新型智慧城市建设、促进数据要素市场培育和推动政府、企业数字化转型等具有重大意义[3]。《建设示范区意见》[7]提出“以深圳试点全面扩大改革开放格局、丰富‘一国两制’事业发展新实践、率先探索全面建设社会主义现代化强国新路径”,在担纲数据要素立法上亦扮演“急先锋”角。展开地方数据立法的先行先试,可促进和落实发挥数据作为基础战略资源与基本生产要素的重要作用。2020年7月15日成文的《深圳经济特区数据条例(征求意见稿)》[3](以下简称《数据条例》)充实了数据权利时代的法律基础,在解构与规范数据权及其权利体系上有着
诸多探索,是一部具有典型代表性的地方综合性、基本性数据立法。一方面,着重解决数据开发利用中的隐私保护、数据要素产权配置、数据要素市场体系构建、公共数据管理权责明晰、公共数据开发应用瓶颈等核心问题,直面数据权利需求与呼唤;另一方面,根植于贯彻落实国家战略决策的需要和服务深圳经济特区数据事业发展的需要,为推进数据要素市场化配置、数据跨区域融通和跨境流通提供法治保障和制度环境,助力深圳经济特区新型智慧城市和“数字政府”建设,同时也为地方区域性立法及实践工作的开展提供了良好的范本。本文对《数据条例》的主要内容和亮点作简略解读,并探讨其价值阙如及启示。
2《深圳经济特区数据条例(征求意见稿)》
的主要内容
2.1明确数据权属,理顺数据管理工作机制
数据权(Right to data)是一种新型权利,指权利人依法对特定数据的自主决定、控制、处理、收益、利益损害受偿的权利[3]。明确数据权属有利于实现数据保护与利用的再平衡[11]。欧盟GDPR协调的数据权利主体包括数据控制者、处理者等利益相关者[4]。《数据条例》对数据权属进行了界定:“具有财产权、人格权和国家主权属性。”[3]从个人、市场主体和国家维度而言,具体表现为自然人的个人数据所有权、数据要素市场主体合法收集与生产数据的所有权、公共数据的国家所有权3个方面。目前数据权属划分主要为基于个人信息产生的数据权利和基于数据资产产生的数据权利,鲜有提及其国家主权属性。《数据条例》[3]中特别规定公共数据属于新型国有资产,其数据权归国家所有,由深圳市政府代为行使区域内公共数据的数据权,具备鲜明的中国特社会主义特,更丰富了数据权属及其体系,便于发挥公共数据在“数字政府”建设、缩减数据鸿沟等方面的最大化价值。倡议书的写法
目前我国尚无统一的个人、公共数据中央立法,地方法规逻辑周延性亦存在不足[16-17],在规
133
范数据管理体制、工作机制上的探究亦较为零散。《数据条例》构建了个人数据处理的基本准则、公共数据管理与应用的标准体系,理顺了数据管理工作“分级管理,分工负责”的机制。设定的数据管理组织架构如下:设市数据工作委员会(数据监督委员会)、区数据工作委员会两级管理机构,并分设市、区级公共数据管理委员会;由市(市政务数据主管部门作为“市数据统筹部门”)、区两级政府负责整体规划和统筹协调,网络安全、信息产业、公安、市场监管、国有资产监督管理等主管部门各司其责,负责本领域与本行业数据管理工作的统筹、协调、监督和保障。此外,明确了保障部门以及法人、非法人组织等数据管理责任主体的具体职责,以期实现“分级管理、安全可控、充分利用”。
2.2强化个人数据保护,规范公共数据管理
《数据条例》[3]将数据管理工作的重点确定为强化个人数据保护、规范公共数据管理与共享两个方面,有所侧重地保障多元利益相关者的数据权利及其他合法权益,推动数据资源高效配置,充分发挥数据要素对经济建设、社会发展的支撑和引领作用。
(1)强化个人数据保护。《数据条例》除明确自然人对其个人数据依法享有数据权,还规范个人数据收
集、处理、撤回同意、明示等方面的原则以及合法与违法行为等。其规范的个人数据保护机制与欧盟GDPR有关个人数据处理的原则基本一致[4],即个人数据的收集、处理须遵循“合法、正当、必要”的原则,数据处理、收集者一方面要履行明示义务,向授权主体以通俗易懂、明确具体、易获取的书面方式完整、真实、准确地披露必要的非隐私数据(隐私数据不受明示义务约束);另一方面需征得自然人或其监护人同意(同意规则),且自然人有权随时依规撤回同意。同时,《数据条例》还明确了7类以上的个人数据收集、处理合法行为,5类以上的个人数据收集、处理违法行为[3]。在我国数据权保障立法缺位的情况下,这些探索不失为一个值得借鉴的工作思路。
(2)规范公共数据管理与共享。2013年8月澳大利亚政府信息管理办公室发布《公共服务大数据战略》(The Australian Public Service Big Data Strategy),指出“政府机构持有的数据已被公认为是政府与国家资产”[18]。《数据条例》明确规定公共数据是一种新型国有资产,由市数据统筹部门、市(区)公共数据委员会组成的公共数据管理组织架构进行相关工作的有序协调和组织,并要求建立相应的公共数据标准体系、评价考核机制。《数据条例》对公共数据管理与共享工作的保障有3个方面[3]:首先,建立公共数据资源管理体系。规定了强化公共数据资源建设、实行统一的公共数据资源目录制度、建设“城市大数据中心”、促进公共数据汇聚等保障措施。其次,引导公共数据开发与利用。规定了公共数据收集应遵循“合法、必要、适度”的原则、被收集主体的权利与义务、公共数据治理与整合的“多源校核,动态更新”原则、公共数据质量管理六大性质保障(真实性、准确性、完整性、时效性、可用性
和一致性)、公共数据授权管理的“必要性和最小化”原则等;另要求推进、实现“数字政府”改革和转型,创新公共服务方式、监管方式、决策方式和开发利用模式(如应用实验室)等,使公共数据管理与共享工作惠及政府决策和民生发展。最后,鼓励公共数据共享与开放。公共数据共享遵循“以共享为原则,不共享为例外”的准则,体现了权责一致(“谁提供,谁负责”)的义务规范形式;公共数据共享方式为以“城市大数据中心”为独立共享渠道,并实施分类共享的模式,具体分为无条件共享、有条件共享和不予共享3类;公共数据开放的方式为“依据公共数据资源目录,依托城市大数据中心统一向社会开放”,同样实施与分类共享相似的分类开放模式。可见,公共数据管理与共享工作的规范基本依据数据生命周期与利益相关者理论进行组织,具备良好的实践性和前瞻性。
2.3培育数据要素市场,促进数据要素融通
培育数据要素市场可以有效促进数据要素的融通,实现数据价值最大化。构建数据新型要素烤箱可以烤面包吗
134
抖音老是闪退怎么回事
◎2021年第1期
市场体系面临的主要挑战有数据统筹力度弱、数据立法待突破等痛点,以及交易市场培育、资源配置创新、数据市场监管、数据安全保障等难
点,其中数据供给的市场化是关键[15,19]
。《数据条
例》明确指出数据要素市场培育的目标是建设“数据驱动、跨界融合、共创共享、公平竞争”的数据要素市场,主要实现方式涉及8个维度[3]:一是数据要素市场的统筹与管理。要坚持“统筹规划、创新引领、保障安全”的原则,制定数据质量、安全、治理评估、价值评估等地方标准,形成市数据统筹部门指导协调的、行业高度自律的管理机制;二是规范市场主体数据活动。从数据收集、处理(含个人数据收集、处理备案)、共享开放、应用(商用、民用和政用等)、治理、交易等数据生命周期视角引导市场主体向数据供给市场化方向努力,确定“公平竞争,平等服务”的市场原则和要求,提供交易平台、交易定价、第三方服务等规范手段,鼓励数据要素市场主体参与公共管理;三是促进数据要素融合。要
遵循“合法、正当”原则,形成“三跨”(跨行业、跨区域、跨部门)数据融合机制,建立数据融合规则,重点关注珠三角数据融合;四是建立深港澳数据融通机制。组建深港澳数据融通委员会并制定《深港澳数据融通规则》指导数据融通工作的实施、监测;五是建立数据跨境国际合作机制,探索数据跨境的“双边、多边”合作模式和构建国际化数据合作平台,建设数据跨境流通自由港并制定相关规则;六是建立数据质量管理体系,推进数据质量管理、评估和检查;七是建立数据价值评估体系。总体遵循“独立、客观、公正”的价值评估原则,设立数据评估机构,并规范评估专业人员的主要义务;八是市场保障措施。涵盖资金与政策支持、基础设施建设、用电保障、人才引进、产学研合作和宣传教育等相互结合的方面。这些举措为数据要素市场培育提供了制度支撑,在解决数据要素市场化配置、构建合规可信的数据交易范式、完善数据自主流动的制度保障及实现数据要素有序流
转、促进数据供给市场化等疑难问题上有了创
新性规范[1,14]
,促进了数据要素的融通。
2.4保障数据管理安全,确保数据共享可控
完善数据安全管理的保障措施,可确保数据供给可控,达到平衡安全与自由的宗旨。欧盟GDPR提出
了数据处理安全性要求,即必要的技术(如加密技术)与组织措施以及自动化处理措施(如设备访问控制、数据介质控制、存储控制、用户控制、数据访问控制、通信控制、输入控制、传输控制、处理控制、可用性控制)[4];我国正在制定的《数据安全法(草案)》《数据安全管理办法(征求意见稿)》等法律法规在维护国家安全、社会公共利益,保护公民、法人和其他组织合法权益,规避数据安全风险等方面已初成体系[20],具备数据安全管理所需的指导性和规范性,但法规的实操性则略显薄弱。
吉他换弦
数据既具有国家、公共属性,关系国家安全;又具有人身、财产等属性,关涉私人权益[21]。《数据条例》依据数据生命理论规范数据安全管理的工作流程,即确定数据安全责任,提供收集、处理数据的安全技术防护,并建立重要系统和核心数据的容灾备份制度,对身份鉴别、安全策略、异地备份、恢复等重要内容及相关操作进行安全审计;在数据收集阶段,进行分类分级编码标识,提供分级安全管理策略;在数据处理阶段,对个人数据采取去标识化处理并与可恢复识别的个人数据分开存储,制定针对隐私数据、重要数据等的脱敏安全策略并对其处理过程进行记录;在数据开放共享阶段,建立安全管理、对外数据接口的制度和机制;在数据销毁阶段,建立数据销毁规程,对委托销毁责任作出规范。另外,还提供保障措施:实行出境安全评估制度,确保数据跨境安全;建立监测预警措施与应急处置机制,以应对突发数据安全事件;建立与实施安全评估与认证制度,推动数据安全合规性认证,提升数据安全保护水平等。由此可见,该法规在数据安全管理方面对接国家法律,更为具体可行,对市场经济体制下安全、可控的数据共享与供给有指导性价值。
135
3《深圳经济特区数据条例(征求意见稿)》的亮点
《数据条例》现处于征求意见阶段,对数据权谱系以及个人、市场、公共数据管理等理论与实践进行了高度的凝练,具有诸多“亮点”,本文仅列举3点。
3.1首倡数据权及权利体系,让法理基础有
“亮点”
个人数据保护及公共数据的全生命周期流程管理存在诸多问题的原因是数据管理的权责不清晰,且缺少权威、明确的法律规范[3]。欧盟GDPR 明确规范数据主体的知情权(Transparency and modalities)、访问权(Information and access)、更正权与删除权(Rectification and erasure to personal
data)、可携带权(Righttodataportability)、反对权与自动决定权(Righttoobjectandautomated decisions)等数据权利,英国《数据保护法案》与德国《联邦数据保护法》实质上亦沿用GDPR 对数据主体权利的约束[4-6]。《数据条例》将“数据”定义为关于客体(如事实、事件、事物、过程或思想)的描述与归纳,是可以通过自动化等手段处理或再解释的素材,明确个人数据与个人信息属于不同的权利客体,深刻认识到“个人数据权异于个人信息权”[3,22],并采用“主体-场景-表现形式”的模式界定了公共数据、企业数据和社会数据。其在国内外立法实践的基础上,首次于法规文本中提出:“数据权是一种与传统民法中物权、知识产权等权利存在不同的新型权利,其具有财产权、人格权和国家主权属性”[3],将此前诸多学者的数据权学理探究[11-12,22-24]、数据权法律探索(如《民法典》《数据安全法(征求意见稿)》等)明确为“法理基础”,是主要创新内容之一。其亮点在于:首倡数据权并构建了权利体系,规定自然人对个人数据依法拥有数据权;规定公共数据必须处于公共管理和服务机构控制状态,国家对公共数据享有数据权,由深圳市政府代为行使权利;规定数据要素市场主体对其合法收集的数据和自身生成的数据享有数据权等。这
一“法理基础”的亮点即是对数据权确定、数据权属划分、数据权利体系构建的先行先试,对于国家、其他地区的立法和实践指导工作具有参考意义。
3.2鼓励培育数据要素市场,让制度支撑有
“亮点”
《构建要素市场意见》充分体现了我国对新经济的高度敏感和认同,提出“要推进政府数据开放共享,提升社会数据资源价值,加强数据资源整合和安全保护”[2],以加快培育数据要素市场,在图书情报学、经济学和法学等学界引发热烈讨论[1,13-15],但鲜有针对培育数据要素市场系统性的论述与法规制定。《数据条例》从数据要素市场统筹与管理、规范市场主体数据活动、促进数据要素融合,以及建立深港澳地区数据融通机制、数据跨境国际合作机制、数据质量管理体系、数据价值评估体系和提供市场保障措施等8个维度,为数据要素市场培育提供了制度支撑。首先,培育要素市场的关键是实现“数据供给的市场化”[15],要求打造“公平、高效、有序”的数据市场化流通环境以充分释放数据价值,《数据条例》明确了数据的权属和交易规则,鼓励采用自主交易、交易平台(具有交易、披露等业务规则的制定权)等合法方式进行数据交易,并对数据资产估值定价作出原则性规定;其次,明确规定应形成数据资源整合的3种机制,即数据要素融合、地区数据融通和数据跨境国际合作的机制;最后,建立数据质量管理、价值评估的体系,采取适当的市场保障措施以促进数据要素市场的培育。8个维度的规范形成了科学、严谨的数据要素市场培育体系和制度支撑,可谓是贯彻落实《构建要素市场意见》精神的一大“亮点”。
3.3细致探究分步践行细则,让条例实施有
“亮点”
地方性立法的一个核心要求是具备实践性。《数据条例》探究了个人数据保护、公共数据管理与共享、数据要素市场培育和数据管理安全的分步践行细则,使该条例在实施上有着诸多亮点,能够转换成具体的行动方略。例如,除规范
136