2021年9月30日，国庆假期前的最后一个工作日，上海市人大常委会办公厅公布了经上海市第十五届人大常委会第三十五次会议审议的《上海市数据条例（草案）》（简称“条例草案”），面向社会公开征求意见。《条例草案》共十章九十一条，涵盖总则、数据权益保障、公共数据、数据要素市场、数据资源开发和应用、浦东新区数据改革、长三角区域数据合作、数据安全、法律责任以及附则，可谓诚意满满，不少内容对《数据安全法》《个人信息保护法》的细化，以及执行层面的规定，让人感受到了上海对于发展数字经济的战略决心与务实思考。

本文希望通过分析《条例草案》相较于《个人信息保护法》《数据安全法》，在推动数字经济发展方面的创新点，为市场主体提前考虑、布局市场发展机遇和合规制度建设提供参考。

近年来，数据在“城市治理、优化营商环境、推动经济社会发展”方面可以发挥的作用被政府部门给予厚望，也是在这样的背景之下，《条例草案》在开篇第一条的立法目的中，即明确了其促进数据依法有序自由流动、加快数据要素市场培育和数字经济发展的立法目的。这一立法目的/目标，落实到具体的举措上，主要包括：

1. 将数据“共享”和“流通”明确纳入“数据处理”范畴

根据《数据安全法》第三条的规定，数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等。

本次《条例草案》则在此基础上，将“提供、公开”细化为“共享、开放、流通”，突出了“共享”与“流通”这一与“交易”相关的数据处理环节。

2. 明确了数据相关财产权益和涉及个人信息数据的人格权益

《民法典》第五章“民事权利”，在明确自然人享有的生命权、健康权、物权、债权、知识产权、继承权、股权及其他投资性权利等民事权利之外，分别在第一百一十一条和一百二十七条，明确了“自然人的个人信息受法律保护”，“法律对数据、网络虚拟财产的保护有规定的，依照其规定”；为通过单独的民事权利范畴保护个人信息和数据预留了空间。

然而，无论是《个人信息保护法》还是《数据安全法》，对于个人信息和数据对应的民事权利具体为何，都没有进一步予以明确。但法律权属清晰是一项“财产”或者“权利”能够依法有序流通、交易的前提；为此，此次《条例草案》明确了：

（1）自然人对涉及其个人信息的数据，依法享有人格权益。

（2）自然人、法人和非法人组织对其以合法方式获取的数据,以及合法处理数据形成的数据产品和服务，依法享有财产权益。

（3）本市依法保护自然人、法人和非法人组织通过数据交易获取的财产权益。

3. 明确包括包含个人信息在内的数据及相关数据产品和服务，可以依法进行交易

《数据安全法》第七条，“国家保护个人、组织与数据有关的权益，鼓励数据依法合理有效利用，保障数据依法有序自由流动，促进以数据为关键要素的数字经济发展。”第十九条，“国家建立健全数据交易管理制度，规范数据交易行为，培育数据交易市场”，但如何保障“与数据有关的权益”，如何进行数据的交易、流通并未做进一步的细化规定。

《条例草案》智慧之处在于，与上位法相同，并未允许对“个人信息”本身进行交易；但是涉及个人信息的数据，作为个人信息的载体，同样属于“数据”的范畴，而只要是数据，就有可以被交易的基础和依据；因此《条例草案》第十五条规定，自然人、法人和非法人组织对其“以合法方式”获取的数据，以及“经过合法处理”数据形成的数据产品和服务，可以依法进行交易。

与此同时，《条例草案》第二章“数据权益保障”第二节“个人信息特别保护”并不是要对个人信息保护进行全景式的规定，而是在“数据权益保障”的框架下，将其作为一种包含个人信息的特殊“数据”，在数据权益保障的维度提出特殊的要求，至于一般性个人信息的保护要求，可以遵照《个人信息保护法》等法律法规的相关规定。

与《数据安全法》提纲挈领式地规定国家建立数据分类分级机制、应急处置机制、安全审查机制等不同，《条例草案》需要解决的是实际落地问题。在这一问题上，《条例草案》明确：

1. 建立专家委员会，保障人才供给

《条例草案》第六条明确规定，市人民政府设立由高校、科研机构、企业、相关部门的专家组成的数据专家委员会，重点开展“数据权益保护、数据流通利用、数据安全管理”等方面的研究，为本市数据发展和管理工作提供专业意见。

与此同时，《条例草案》也明确了，要将数据领域高层次、高学历、高技能以及紧缺人才纳入人才支持政策体系；同时，提升公众数字素养和数字技能，将数字化能力培养纳入公共管理和服务机构教育培训体系。一方面提高数字经济发展的人才持续供给能力，另一方面提升社会公众对大数据技术成果的应用/使用能力。

值得一提的是，《条例草案》还吸收了域外和我国金融等相关行业的数据治理经验，明确“鼓励各区、各部门、各企业事业单位建立首席数据官制度”，不仅仅鼓励企业设立首席数据官，也鼓励政府部门设立首席数据官。

2. 明确市场化运营，提高运营效率

一方面，对于公共数据，《条例草案》第四十一条明确规定了“建立公共数据授权运营机制”，具体由市政府办公厅采用竞争方式确定被授权运营主体，授权其在一定期限和范围内以市场化方式运营公共数据，提供数据产品、数据服务并获得收益；被授权运营主体使用市大数据资源平台提供服务的，向平台建设方支付相应的平台服务费。

另一方面，对于非公共数据（市场主体自行依法收集的数据及对应的产品、服务），《条例草案》明确由市人民政府“建立资产评估、登记结算、交易撮合、争议仲裁等市场运营体系”，“ 鼓励和引导自然人、法人和非法人组织参与数据要素市场建设，促进数据采集、清洗、挖掘、应用、资产管理、数据治理、合规咨询、安全评估等全产业链环节数据要素市场主体的发展”。与此同时，《条例草案》还明确：“从事数据交易活动的市场主体可以依法自主定价。”

值得关注的是，针对市场中已经存在的互联网企业获得竞争优势后，相互“筑墙”，通过大数据杀熟等方式侵害消费者权益，以及部分企业通过简单“加工”“套壳”等方式再出售他人产品/服务等不正当竞争行为，《条例草案》明确：

（1）市场主体不得利用数据垄断地位从事操纵市场、设置排他性合作条款等活动；

（2）市场主体不得滥用大数据分析等技术手段，基于个人消费数据和消费偏好设置不公平交易条件，侵犯消费者合法权益；

（3）明确依法鼓励的是“通过实质性加工和创新性劳动形成的数据产品和服务”。

3. 培育全产业链，打造产业竞争优势

在中美博弈过程中，产业链完整以及产业集群化发展带来的竞争优势越来越受到人们的重视，而数字经济依赖的大数据尤其特殊。自2019年以来，上海已经连续成功举办了三届“世界人工智能大会”，力求促进全球人工智能创新思想、技术、应用、人才和资本的集聚和交流，推动全球科技创新协同，助力打造人工智能世界级产业集群。在这方面，《条例草案》明确：

（1）建立有竞争力的地方性标准。市数据标准化技术组织应当借鉴国际标准，运用国家标准和行业标准，推动建立和完善本市数据基础性、通用性地方标准。

（2）通过培育核心产业形成集聚效应。一方面，培育壮大数据采集存储、数据加工处理、数据交易流通等数据核心产业，发展云计算、人工智能、区块链、高端软件、物联网、量子通信等数据关联产业，支持数字贸易、数字医疗、数字办公等在线新经济发展；另一方面，推动数据赋能产业、生活和治理的数字化转型。

《条例草案》明确，由市经济信息化部门负责统筹推进信息基础设施建设、推动产业数字化、数字产业化等工作；市大数据中心具体承担本市公共数据的集中统一管理，推动数据的融合应用。在此架构下：

（1）由市大数据中心负责统一规划市大数据资源平台和区大数据资源分平台；明确本市财政资金保障运行的公共管理和服务机构不得新建跨部门、跨层级的公共数据资源平台和共享开放渠道。

（2）鼓励重点领域产业大数据基础设施建设，布局数据、算法和算力一体的综合性创新平台，构建行业数据中心，促进产业链供应链数据互联互通。

（3）推动国家和地方大数据实验室建设，发展以数据资源开发应用为导向的产业创新中心、技术创新中心、工程研究中心、企业技术中心，以及研发与转化功能型平台、新型研发组织等创新载体。

（4）支持新城等重点区域同步规划关键信息基础设施。

（5）明确本市财政资金保障运行的公共管理和服务机构开展公共数据收集、归集、治理、共享、开放及其质量和安全管理等工作涉及的经费，纳入市、区财政预算。

要落实“建设新一代通信网络、数据中心、人工智能平台、智能终端等新型基础设施”的目标，需要有先行先试的空间；而如果这一空间能够从0开始，则少了诸多向下兼容的束缚，更加有利于打造全新的基础设施，进而更快更好地为下一代数字基础设施建设、改造提供经验。

在这方面，在其他区域也可以效仿的“建设数字化转型示范区”、“新城建设同步规划关键信息基础设施”等措施之外，《条例草案》紧紧抓住并充分发挥了上海所具有的“政策红利”，这些优势也是其他地方和区域无法与之比拟的：

1. 支持浦东新区进行数据改革，打造社会主义现代化建设引领区

按照国家要求在浦东新区设立数据交易所，开展实质化运营；同时支持浦东新区：①培育国际化数据产业，引进相关企业和项目；②建立算法评价标准体系，推动算法知识产权保护；③建设行业性数据枢纽，打造基础设施和平台，促进重大产业链供应链数据互联互通；④建立数据交易的数字信任体系，保障可信数据交易服务。

2. 根据国家部署，在临港新片区推进国际数据港建设

在临港新片区构建国际互联网数据专用通道、功能型数据中心等新型基础设施，打造全球数据汇聚流转枢纽平台；并在区内建设离岸数据中心，并探索索制定低风险跨境流动数据目录，促进数据跨境安全、自由流动。

3. 按照国家部署，建设全国一体化大数据中心体系长三角国家枢纽节点

通过推进制定长三角区域数据标准规范体系、建设长三角一体化数据共享交换平台、实现数字认证等跨区域协同等措施，发挥上海在标准制定、精细化管理执行等方面的优势，实现区域发展共享互利共赢，推动优化数据中心和存算资源布局，支撑长三角区域各行业数字化升级和产业数字化转型。

由此可以看出，上海在推动数字经济发展过程中，有着诸多“特殊”的政策优势。《个人信息保护法》和《数据安全法》征求意见以来，批量个人信息和重要数据如何出境，实现企业集团化、国际化管理与布局，一直是跨国企业的关注重点。而临港新片区的“国际互联网数据专用通道”、“ 全球数据汇聚流转枢纽平台”、“ 离岸数据中心”、“低风险跨境流动数据目录机制下的数据安全、自由流动”等政策最终如何落地，非常值得关注与期待。

推动数字经济发展的核心是促进数据流通利用，而促进数据流通利用的基础是建立健全数据安全管理制度和数据权益保护机制。在《个人信息保护法》和《数据安全法》基础上，《条例草案》吸收了相关国家推荐标准和实践经验，明确：

1. 向个人信息主体履行告知义务应当清楚、明白

在进行涉及个人信息数据的交易前履行告知义务时，不得使用晦涩难懂、冗长繁琐、难以理解的文字。通过网络方式进行告知的，应当提供简体中文版，文字大小、颜色、清晰度等设置应当便于阅读，访问路径应当便捷。

2. 允许用户保留不提供生物识别信息的选择权 

处理涉及自然人生物识别信息的数据的，处理者应当同时提供实现该处理目的的其他替代方案如密码、身份证等，以充分保障自然人的选择权。

3. 公共场所安装人脸识别设备（包括居住小区、商务楼宇），应当谨慎并明示告知使用目的、方式等

在公共场所及相关区域安装人脸识别设备的，应当为维护公共安全所必需，应当充分保障自然人的知情权，设置显著标识，并以书面或者语音等形式明示告知人脸识别设备应用的责任主体、使用目的、方式、范围、存储时间及技术应用者的联系方式等信息。与此同时，处理通过人脸识别技术获取生物识别信息的，应当限于告知范围，不得超出范围自行或者委托第三方进行。

实践中，现在各小区和商务楼宇都安装了人脸识别门禁，该等门禁的运营机构未来需要充分注意自身的合规及告知义务，并为用户提供不使用人脸识别通过门禁的其他选项。

4. 违反特定公平竞争规则的，可能面临高额罚款

《个人信息保护法》对违反个人信息处理规则且情节严重的行为设置了最高五千万元或者上一年度营业额百分之五的罚款；《数据安全法》就违法向境外提供重要数据的行为设置了最高一千万元的罚款。本次《条例草案》则进一步规定，利用数据垄断地位从事操纵市场、设置排他性合作条款等活动；或者滥用大数据分析等技术手段，基于个人消费数据和消费偏好设置不公平交易条件，侵犯消费者合法权益，情节严重的，可处上一年度营业额百分之五以下罚款（最低不低于一百万元，最高不超过五千万元）。

本次《条例草案》可以说勾勒出了上海市推动数字经济发展的总体布局，读完迎面而来的是一种未来可期之感。落实到细节处，笔者认为，还有以下几个方面值得进一步考量：

1. 明确是禁止大数据杀熟，而不是禁止用户画像

《条例草案》第二十三条第一款规定：“不得通过计算机程序自动分析、评估自然人的行为习惯、兴趣爱好或者经济、健康、信用状况等，对自然人在交易价格等交易条件上实行不合理的差别待遇。”

建议修改为：“不得通过计算机程序自动分析、评估自然人的行为习惯、兴趣爱好或者经济、健康、信用状况等方式，对自然人在交易价格等交易条件上实行不合理的差别待遇。”明确“不得”的对象为“对自然人在交易价格等交易条件上实行不合理的差别待遇”，避免产生所有的“通过计算机程序自动分析、评估自然人的行为习惯、兴趣爱好或者经济、健康、信用状况”的行为都被禁止的歧义。

2. 明确处理涉及敏感个人信息数据需遵循更严格的要求

除了数据领域的分类分级制度，个人信息保护事实上也遵循了分类分级保护的规则，一般意义上区分为个人信息和敏感个人信息；特殊的如金融行业，《个人金融信息保护技术规范》（JR/T 0171-2020）还根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害，将个人金融信息按敏感程度从高到低细分为C3、C2、C1三个等级的个人金融信息。

然而，《条例草案》第二章第二节没有明确规定处理敏感个人信息，尤其是处理十四周岁以下未成年人个人信息的特殊要求，笔者认为有必要对此做出适当补充。

3. 明确相关部门对于数据安全保护的监督检查职能

数据安全是数据流通的基础，尤其是推进大数据发展的背景下，大数据越便捷，其安全问题就越重要。《条例草案》第三十四条规定：“市政府办公厅应当建立日常公共数据管理工作监督检查机制，对公共管理和服务机构的公共数据目录编制工作、质量管理、共享、开放等情况开展监督检查。”

然而，安全管理并不在其“监督检查机制”之列，尽管后续第八章专章规定了数据安全内容，但是大数据安全事故可引发的风险可能极其严重，对其应对应当优先依靠风险防范而非风险发生后的危机处置；尽管数据安全监督检查可能需要由相关专业部门负责，但这是具体操作中可以通过协调解决的问题，笔者认为有必要明确日常监督检查机制中，应当包括数据安全检查的内容。

4. 明确涉及个人信息的数据交易是否需要经过个人单独明示同意

《条例草案》第五十四条规定，将包含未依法获得授权的个人信息的数据，排除在可以依法交易的数据范畴之外。

然而，仅就个人信息主体的“同意”问题，在《网络安全法》《个人信息保护法》《信息安全技术 个人信息安全规范》中，就分别出现了同意、书面同意、单独同意、重新获得同意、明示同意、默示同意等概念；那么何为“依法获得授权”，尤其是是否需要获得个人信息主体的单独同意，以及一般个人信息和敏感个人信息在授权要求上是否有区别，期待《条例草案》能够进一步予以明确。

5. 市区两级统筹协调数据归集、共享背景下，需进一步明确责任主体划分

类似于产权清晰有利于促进交易，权责清晰也是促进跨区域、跨部门协作的重中之重。《条例草案》明确由市大数据中心负责统一规划市大数据资源平台和区大数据资源分平台，有意建设统一、高效、高质的大数据资源平台。

然而，《条例草案》仅在第八十条规定“属于市大数据中心实施信息化工作范围的，市大数据中心应当对公共数据的传输、存储、加工等技术环节承担安全责任，并按照数据安全等级提供安全防护措施”，但是在“数据处理者是数据安全责任主体”的基本原则之下，市级和区级、不同部门之间、以及相关部门与市场化运营主体之间的数据安全保护职责如何划分与界定，有待进一步厘清，并且事关数据统筹协调的效率与质量。

1998年，美国计算机科学家Mashey在一次演讲中首先使用“big data”概念；2008年9月，《自然》杂志推出了有关大数据的封面文章《大数据：从数据中提取内涵》，“大数据”开始成为 IT 行业中的热门词汇[1]；2017年，《经济学人》发表封面文章并把数据比做数字时代的石油，大数据开始在社会公众范围内被广泛、深入地讨论。

物联网技术和人工智能技术的的发展，使得大数据在规模化意义上变得既可得又可用，数据的价值不断凸显。日本政府直接将其提出的“社会5.0”定义为“以人为本的社会，通过高度整合网络空间和物理空间的系统，实现经济发展和解决社会问题”；美国先后发布了《联邦大数据研发战略计划》《国家人工智能研究和发展战略计划》，英国发布了《英国数字战略》，德国联邦政府推出了《数字化战略 2025》等等，各国都在追赶数据化发展的浪潮。

期待《上海市数据条例》正式通过以后，上海的数字经济发展与实践，能够为中国方案贡献智慧和经验。

（[1] 参见高富平：“数据流通理论 数据资源权利配置的基础”，载《中外法学》2019年第6期。）