在经过两次审议后,《深圳经济特区数据条例(征求意见稿)》(以下简称《条例(征求意见稿)》),日前公开征求意见,为本月底的“三审”做准备。
作为经济特区,《条例(征求意见稿)》同样体现了深圳在立法上的先行姿态。拥有全国人大及其常委会的授权,深圳进行了诸多敢为人先的立法探索:不得对未成年人用户画像、严罚大数据杀熟、明确数据权益等。
创新同时伴随着争议——立法是否要大而全?是否会概念混淆?是否与上位法存在立法逻辑冲突?
无论如何,发展数字经济已成趋势,各地正加紧数据立法进程。地方性法规如何在强调实操性和精细化立法的基础上,实现地方与中央的良性互动,是当前的现实难题。
明确个人数据
“如何平衡发展数字经济与保护个人信息、数据开发利用与数据安全之间的关系,是数据立法的最大难点。”《条例(征求意见稿)》透露,“保护与发展并重,以保护为基础,以发展为目标,以保护促发展”成为基本指导思想。
《条例(征求意见稿)》用大篇幅对个人数据进行了明确:确立处理个人数据的基本原则,即合法正当、最小必要、公开透明、准确完整和确保安全原则;构建以“告知——同意”为核心的个人数据处理规则;针对特殊类型个人数据提供特别保护,如不得对未成年人进行用户画像和个性化推荐;规范用户画像和个性化推荐的应用;明确个人数据的各项具体权益。
“从条例以个人数据、公共数据、数据市场、数据安全、法律责任、附则的篇章安排,不难看出,深圳将个人信息保护和个人权益放在立法首位。”上海社会科学院绿色数字化发展研究中心副秘书长、信息所副研究员范佳佳表示,虽然深圳发布数据条例的第一、第二稿是在个保法和数据安全法二审稿出台之前,但已在立法导向和思路上有所指明:在数据保护基础上开发利用数据。随着个保法和数安法二审稿出台,深圳在立法完善过程中同样紧贴上位法,未与上位法冲突。
范佳佳以《个人信息保护法》草案举例,第6条规定“处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式,不得进行与处理目的无关的个人信息处理”只提出了个人信息处理最小必要原则,没有具体细化。
“深圳立法则针对这条列出了5种主要情形,要求个人数据处理者只处理与处理目的直接相关或处理目的所必须的个人数据种类、范围、频率、数量、授权范围。严格落实个保法要求,体现了深圳立法的实用性和可操作性。”范佳佳认为,如果不具体要求这5种情形,在现实中易有“打擦边球”的可能,对数据处理者的合规性审查和评估也较难落实。
不过,《条例(征求意见稿)》参考《个人信息保护法(二次审议稿)》以及国家推荐性标准《信息安全技术个人信息安全规范》等规定对个人数据作出的相关明确,在不少学者专家眼里仍存争议。
“将个人信息等同于个人数据,是此次立法最大的遗憾。”对外贸易大学数字经济与法律创新研究中心执行主任许可认为,在《条例(征求意见稿)》中,以数据为名规定了大量个人信息的内容,有的条例甚至将“数据”二字几乎直接替换了《个人信息保护法》草案中相关信息的表述,如对敏感个人数据的规定。这些在未来的法律适用中会引起体系性的紊乱。
许可介绍,在我国的顶层立法上,对于个人信息保护与数据利用分为了两种路径,分别适用于即将出台的《个人信息保护法》及《数据安全法》。例如,《数据安全法》草案的附则中要求,开展涉及个人信息的数据活动应遵守有关法律、行政法规的规定,清楚划分了不同法律的规范对象。
从“数据权”到“数据权益”
去年,深圳数据暂行条例征求意见稿创设“数据权”这一新的权利类型引发各界讨论,同时带来了关于数据权属的争议。
“对数据权属的定义,可能存在超越立法权限的争议,将个人数据权属赋予人格权属性,涉及我国民事基本制度。”北京师范大学网络法治国际中心执行主任吴沈括表示,根据《立法法》第8条,涉及民事基本制度和基本经济制度只能通过制定法律给予规制,应当避免在地方立法层面做出硬性规定,以免构成对于全国一盘棋的数据生态的割裂和冲击。
此次《条例(征求意见稿)》则已改变相关表述——对相关数据的人格权益和财产权益进行规定,对数据权属问题未明确。
在《条例(征求意见稿)》的说明中提到,虽然目前公众对数据权属问题的认识还不统一,但是“个人数据具有人格权属性”已获普遍共识,过往的一些司法判例也认可“企业对其投入大量智力劳动成果形成的数据产品和服务具有财产性权益”。
基于这一认识,《条例(征求意见稿)》规定自然人对其个人数据享有人格权益,自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及本条例规定的财产权益,可以依法自主使用,通过向他人提供获得收益,依法进行处分。
北京大成律师事务所合伙人邓志松认为,对于个人数据的经济权益,《条例(征求意见稿)》并没有强调其产权,而是认识到现阶段比起“确认数据是谁的”,更现实的应是“确认可以对数据行使哪些权利”,因此通过规定可以行使此类权益的主体及行使边界,确定了数据的利用秩序,为数据要素的有效流动提供了立法基础。
“依据上述条例,市场主体处理的数据产品及服务中,必然会涉及到个人信息,这与《个人信息保护法》草案将产生冲突。”许可对此仍有疑虑。
“数据权益”一词,在上海近日召开的数据立法研讨会上同样被提及。
据悉,《上海市数据条例(暂定名)》草案在不触碰数据权属的前提下,从确认各方主体可以对数据行使哪些权利的角度,对数据主体和数据处理者的数据权益进行规定,明确市场主体在不违反法律、行政法规禁止性规定以及与被收集人约定的情况下,对自身产生和依法收集的数据,以及开发形成的数据产品和服务,有权进行管理、收益和转让。
重罚大数据杀熟
新增数据公平竞争规范,成为《条例(征求意见稿)》的亮点之一。
例如,规定市场主体不得以不正当手段收集或者利用其他市场主体的数据;不得通过数据分析,无正当理由对交易条件相同的交易相对人实施差别待遇;不得通过达成垄断协议、滥用在数据市场的支配地位、实施经营者集中,排除、限制数据市场竞争。
其中,大数据杀熟5万起罚、最高罚5000万的规定引人注目。第86条要求,侵害其他市场主体或者消费者合法权益,或者对交易条件相同的交易相对人实施差别待遇的,违法所得不超过1万元的,5万元起罚。情节严重的,可处5000万元以下或上一年度营业额5%以下罚款。
作为地方性条例,如此起罚金额与处罚上限是否合理?一场是否越权的讨论由此展开。
“从处罚的种类来说,《条例(征求意见稿)》并未突破上位法的限制。”邓志松表示,根据我国最新修订《行政处罚法》第12条规定,地方性法规可以设定除限制人身自由、吊销营业执照以外的行政处罚。
不过这一条同时还规定,“法律、行政法规对违法行为已经作出行政处罚规定,地方性法规需要作出具体规定的,必须在法律、行政法规规定的给予行政处罚的行为、种类和幅度的范围内规定。”
对于大数据杀熟行为的处罚,范佳佳提及,起罚金额参考了《食品安全法》的处罚额度。同时,《消费者权益保障法》《反不正当竞争法》《反垄断法》《个人信息保护法》《数据安全法》《网络安全法》都没有违法所得不超过1万元的,5万元起罚的规定,没有超过上位法规定的上限。
不过,在邓志松看来,这一行为目前业内较为公认的上位法是《反垄断法》,但《反垄断法》对这种行为仅规定“没收违法所得,并处上1年度销售额1%以上10%以下的罚款”的上限,因此《条例(征求意见稿)》规定的“5万元起罚”可能会存在突破处罚幅度的争议。
对于处罚上限,浙江省公共政策研究院研究员高艳东则认为是依据《个人信息保护法》(草案)的第62条规定。要求处理个人信息或者处理个人信息未按照规定采取必要的安全保护措施的,违法行为情节严重的,没收违法所得,并处5000万元以下或者上一年度营业额5%以下罚款。
“《条例(征求意见稿)》对于大数据杀熟行为予以重罚,是将该行为定性为违法处理个人信息,未违背《个人信息保护法》(草案)规定,对于情节严重者的处罚也在前述草案规定的罚款额度内。”高艳东说。
罚金之外,现实上的可操作性也被打上问号。清华大学国家战略研究院特约研究员刘旭表示,对于大数据杀熟行为,对上位法的借鉴与适用还不甚明确,例如《关于平台经济领域的反垄断指南》规定,具有市场支配地位的企业在满足一定条件下,才能被认定为违反《反垄断法》,《反不正当竞争法》与《价格法》等也未对大数据杀熟专门规定,《条例(征求意见稿)》如何对大数据杀熟认定存疑,涉及自由裁量空间,这也将导致执法不明。
“深圳立法对平台经济合规作出了积极表态,但如果真正能要有可操作性,需要将此条款进一步细化,而且明确鼓励举报及如何举证等。”刘旭说,如果能对本地互联网头部企业有直接约束力,同时对其参股企业也具有约束性将能发挥更好效果。
地方数据立法探索
近年来,天津、贵州、安徽等多地都将数据立法落地或提上日程。这些立法对于个人信息保护、数据权益、数据垄断等备受社会关注的问题进行了相关立法探索。
吴沈括提及,各地数据条例的出台,对于企业来说,提醒了数据合规的重要性;对于个人来说,加大了对个人数据的保护力度;对整个社会而言,促进了数字经济与数据安全的发展。
不过,关于地方数据立法的争议也随之而来——立法是否要大而全?如果将个人信息、数据安全涉及的各类问题都容纳进来,是否存在立法逻辑上的冲突?
目前无论《个人信息保护法》及《数据安全法》,还是深圳市数据条例,均未正式出台。如两部基本法发布,则会成为地方数据条例的上位法。
“如何保证未来在法律适用上不存在冲突,从立法角度来说可能比较难操作。上位法通常规定的基本制度和原则,而地方性法规更强调实操性和精细化立法。”邓志松表示。
实践中对于细化规定是否突破了上位法的规定,通常会伴随着争议。邓志松认为,深圳作为经济特区,也面临立法权限的问题,但草案的公布体现着出地方立法勇于创新的精神,也反映了数字经济发展的迫切需求。
为激活“第五要素”价值,地方政府应如何对数据立法?
有业内人士建议,为避免概念混淆或越权情形,与《个人信息保护法》草案重复的原则无需再重复,而有较大区别的规则还需要研究得更透彻。地方政府如果想创新,可以在政务数据方面多下功夫。
“对公共数据的定义应该细化、完善,在重复论证后给出更为严谨的定义范围。”范佳佳提出,可以探索公共数据授权运营的模式激发市场和社会主体利用公共数据服务社会的热情。
许可认为,在权利人和数据双重流动的状态下,任何地域切分都是刻舟求剑,本地与他地的法律冲突难以避免。
“在数据作为会流动资产特性的一种情形下去考虑,地方可以做哪些事情,这才是一个良性的地方与中央互动的模式。”许可建议,在“地方性事务”的约束下,地方数据立法只能在有限事务上:其一,明确本地区政府机构和事业单位数据职责的立法,如公共数据共享和开放、个人信息保护措施、企业数据调取规范等;其二,明确本地区企业之间数据行为规则的立法,天津数据交易办法便是一个例证。当然,如果有全国人大具体授权,地方也可先行先试,例如数据跨境流动的立法。
作者:张雅婷
来源:21世纪经济报道 21财经APP :2021-06-05 15:04:43
原文链接:
争议深圳数据条例征求意见稿:创新还是越权?细化个人信息保护法还是立法冲突?