×

打开微信,扫一扫二维码
订阅我们的微信公众号

×

扫码分享

EN
首页>汉盛研究>汉盛法评>汉盛法评|《上海市数据条例》逐条解读

汉盛法评|《上海市数据条例》逐条解读

2021-12-07   李旻、卓伟伟、车玉洁、刘曦

第一章 总则

第一条 为了保护自然人、法人和非法人组织与数据有关的权益,规范数据处理活动,促进数据依法有序自由流动,保障数据安全,加快数据要素市场培育,推动数字经济更好服务和融入新发展格局,根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律、行政法规,结合本市实际,制定本条例。

【律师解读】

相比于《数据安全法》《个人信息保护法》,第一条提到的“规范数据/个人信息处理活动,促进数据/个人信息合理利用”外,条例进一步提出了“数据要素市场”的概念,并明确要将数字经济与新发展格局相结合。

第二条 本条例中下列用语的含义:

(一)数据,是指任何以电子或者其他方式对信息的记录。

(二)数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。

(三)数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。

(四)公共数据,是指本市国家机关、事业单位,经依法授权具有管理公共事务职能的组织,以及供水、供电、供气、公共交通等提供公共服务的组织(以下统称公共管理和服务机构),在履行公共管理和服务职责过程中收集和产生的数据。

【律师解读】

本条明确了“数据和公共数据”以及“数据处理和安全”的范围和定义。

对于本条中的前三项,数据、数据处理及数据安全与《数据安全法》的规定保持一致,但本条明确了“公共数据”的定义,这也是条例制定过程中争议较大的一点。

针对“公共数据”,在实践中,各地都有各自不同的理解和定义。例如《深圳经济特区数据条例》中规定的公共数据,是指公共管理和服务机构在依法履行公共管理职责或者提供公共服务过程中产生、处理的数据。还有《浙江省公共数据条例(征求意见稿)》中对公共数据的定义是指国家机关、法律法规规章授权的具有管理公共事务职能的组织(以下统称公共管理和服务机构)在依法履行职责和提供公共服务过程中获取的数据资源,以及下列纳入公共数据管理的数据资源:(一)燃气、水务、电力、通信、公共交通、民航、铁路等公用事业运营单位涉及公共属性的数据;(二)根据当地应用需求,税务、海关、人民银行、地方金融监管、邮政管理等工作机构经协商后提供的数据;(三)依照法律、行政法规规定,电子商务平台经营者应当提供的数据。

相较于上海和浙江,深圳针对公共数据的规定较为笼统,可能是为了后续细化保留修改空间。相比于浙江的公共数据条例,上海直接将事业单位纳入公共数据体系,而对于海关、统计、税务、人民银行、银保监等国家有关部门的数据并未提出具体要求,浙江的草案中采用的是“根据需求,协商确定”的说法,上海针对上述部门的数据采用的“试点探索”,在本条例第六十六条中规定,上海鼓励浦东新区探索与国家有关部门建立数据共享使用机制,其中使用的词汇“鼓励”“探索”等词汇说明上海地区也在“摸石头过河”,通过浦东新区进行试点,试图摸索出一套适合的数据机制,这可能也与上海作为国家经济中心的地位有关,合理谨慎。

第三条 本市坚持促进发展和监管规范并举,统筹推进数据权益保护、数据流通利用、数据安全管理,完善支持数字经济发展的体制机制,充分发挥数据在实现治理体系和治理能力现代化、推动经济社会发展中的作用。

【律师解读】

本条明确了数据治理的整体基调,明确发展与监管并举,并指明数据发展方向及发展目的,符合国家数据政策趋势,同时与《数据安全法》第七条“国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。”相呼应,有法可依,政策可循。

第四条 市人民政府应当将数据开发利用和产业发展、数字经济发展纳入国民经济和社会发展规划,建立健全数据治理和流通利用体系,促进公共数据社会化开发利用,协调解决数据开发利用、产业发展和数据安全工作中的重大问题,推动数字经济发展和城市数字化转型。

区人民政府应当按照全市总体要求和部署,做好本行政区域数据发展和管理相关工作,创新推广数字化转型应用场景。

乡镇人民政府、街道办事处应当在基层治理中,推进数据的有效应用,提升治理效能。

【律师解读】

本条明确了上海市各级政府在数据工作中的工作职能。市政府作为上海市一级政府,以整个城市为视角,负责数字工作的整体筹划,建立数据体系,同时解决数据工作中的重大问题。区政府则根据各自行政区划的实际情况,在不违反市总体要求的部署的前提下,各自管理数据工作,探索数字化转型和社区治理创新。乡镇及街道作为基层执行部门,积极应用新兴数据功能,助力政府部门降本增效。

第五条 市政府办公厅负责统筹规划、综合协调全市数据发展和管理工作,促进数据综合治理和流通利用,推进、指导、监督全市公共数据工作。

市发展改革部门负责统筹本市新型基础设施规划建设和数字经济发展,推进本市数字化重大体制机制改革、综合政策制定以及区域联动等工作。

市经济信息化部门负责协调推进本市公共数据开放、社会经济各领域数据开发应用和产业发展,统筹推进信息基础设施规划、建设和发展,推动产业数字化、数字产业化等工作。

市网信部门负责统筹协调本市个人信息保护、网络数据安全和相关监管工作。

市公安、国家安全机关在各自职责范围内承担数据安全监管职责。

市财政、人力资源社会保障、市场监管、统计、物价等部门在各自职责范围内履行相关职责。

市大数据中心具体承担本市公共数据的集中统一管理,推动数据的融合应用。

【律师解读】

本条明确了市相关部门在数据发展和管理等方面的职责,市政府办公厅负责统筹规划、综合协调全市数据发展和管理工作,市发展改革、经济信息化、网信、公安等部门按职责推进相关工作。

第六条 本市实行数据工作与业务工作协同管理,管区域必须管数字化转型、管行业必须管数字化转型,加强运用数字化手段,提升治理能力和治理水平。

本市鼓励各区、各部门、各企业事业单位建立首席数据官制度。首席数据官由本区域、本部门、本单位相关负责人担任。

【律师解读】

本条第一款制定明确基调,要将数据工作与业务工作紧密结合,区域、行业都需进行数字化转型,利用数据工作提升治理效果。

本条第二款提出了首席数据官制度。首席数据官(Chief Data Officer),简称CDO。首席数据官一职来自于企业,是高管中的一个新职位。国内首个任命CDO的企业是阿里巴巴,其于2012年设立的CDO岗位负责对阿里旗下的淘宝、支付宝、金融等平台数据进行挖掘、分析和运用。

而政府首设首席数据官的国家是在美国。2011年芝加哥设立了第一位市政首席数据官,2013年在联邦政府层面任命了首位首席数据官。政府首席数据官旨在促进数据共享开放与透明度、提高数据驱动的决策能力、保护数据机密性和隐私。

早在2021年8月份,深圳就发布了《深圳市推行首席数据官制度试点实施方案》,在深圳市政府、福田等4个区政府、市公安局等8个市直单位试点设立首席数据官,积极探索数字化转型创新。

同时在2021年11月30日,工业和信息化部发布的《“十四五”大数据产业发展规划》中,也提到工信部支持企业强化数据驱动的战略导向,通过设立首席数据官,将数据战略引入自身的日常管理运营中,协调企业整体范围内数据管理和运用,带领企业构建、激活并保持企业的数据管理能力。

由此可见,首席数据官制度是国家、政府、企事业数字化转型的重要一环,通过专人数据官制度,提高政府和企事业单位的数据管理能力,加强运用数字化手段,促进数据要素价值释放。

第七条 市人民政府设立由高校、科研机构、企业、相关部门的专家组成的数据专家委员会。数据专家委员会开展数据权益保护、数据流通利用、数据安全管理等方面的研究、评估,为本市数据发展和管理工作提供专业意见。

【律师解读】

在2021年11月25日,上海市已经成立了上海市首届数据交易专家委员,由31位在法律合规、金融交易、数据产业、数据安全、公共管理、综合经济等领域拥有丰富经验的专家组成。个人认为,市政府后续会设立其他数据领域委员会,通过多方参与,为上海市数字化城市转型提供咨询意见和专业指导,让安全、规范、有序成为上海数据工作的关键特征。

第八条 本市加强数字基础设施规划和布局,提升电子政务云、电子政务外网等的服务能力,建设新一代通信网络、数据中心、人工智能平台等重大基础设施,建立完善网络、存储、计算、安全等数字基础设施体系。

【律师解读】

本条旨在指明未来上海市数据工作基础设施的方向,以通信网络、互联网、数据中心为基础,为数据工作提供硬件及安全保证,同时,大力提升服务能力,让数据工作与政务工作相结合,优化政务体系、提高政务效率。

第九条 市、区有关部门应当将数据领域高层次、高学历、高技能以及紧缺人才纳入人才支持政策体系;完善专业技术职称体系,创新数据人才评价与激励机制,健全数据人才服务和保障机制。

本市加强数据领域相关知识和技术的宣传、教育、培训,提升公众数字素养和数字技能,将数字化能力培养纳入公共管理和服务机构教育培训体系。

【律师解读】

该条更倾向于政策化,人才是发展的第一要素。数据是互联网公司最大的隐形资产,现有百分之九十以上的数据没有能力创造价值,其根本原因是专业的数据人才极其稀缺。根据中国商业联合会数据分析专业委员会资料显示,未来3至5年中国需要180万数据人才,但截至目前中国大数据从业人员只有约30万人。

发展数据工作,数据、人才、政策缺一不可,在官方层面上,政府进行人才政策支持,同时大力宣传,优化教育培训体系,为市政数据工作不断提供专业的数据人才。

第十条 市标准化行政主管部门应当会同市政府办公厅、市有关部门加强数据标准体系的统筹建设和管理。

市数据标准化技术组织应当推动建立和完善本市数据基础性、通用性地方标准。

【律师解读】

本条明确了上海市数据标准的制定责任。在三大数据法的框架下,个人认为,制定符合上海市实际情况的地方标准是现阶段的主要工作之一,法律和条例是一种宏观把控,微观标准才是执行的方向。

第十一条 本市支持数据相关行业协会和组织发展。行业协会和组织应当依法制定并推动实施相关团体标准和行业规范,反映会员合理诉求和建议,加强行业自律,提供信息、技术、培训等服务,引导会员依法开展数据处理活动,配合有关部门开展行业监管,促进行业健康发展。

【律师解读】

上海作为全国的经济中心,整体经济情况的良好发展离不开行业协会和组织的发展。一方面,行业协会和组织贴近实务,能够掌握一手的领域信息,及时反馈诉求和建议。另一方面,正因为行业协会和组织的专业性,经过授权,其能够很好的协助政府机关开展行业监管,促进行业健康发展。

第二章  数据权益保障

第一节一般规定

第十二条 本市依法保护自然人对其个人信息享有的人格权益。

本市依法保护自然人、法人和非法人组织在使用、加工等数据处理活动中形成的法定或者约定的财产权益,以及在数字经济发展中有关数据创新活动取得的合法财产权益。

【律师解读】

本条意义重大,本条突破性地明确数据权益的权属问题,保障数据交易主体对其合法获取数据、合法处理数据形成的产品服务享有的财产权益,并保障其通过数据交易获取的财产权益。

在已经颁布的《深圳经济特区数据条例》中第四条“自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及本条例规定的财产权益”,其率先明确了数据的人格权益和财产权益,但该规定仅停留在数据产品和服务方面。

本条的规定,承认了交易主体对数据本身的财产权益,突破了数据产品和服务的范畴,突破性承认了数据本身权益的权属问题。

个人认为,这一规定主要是出于实际情况考虑,实务中确实存在各主体之间单纯进行数据交易的情况,本条实际上是承认了其中部分交易的合法性,解决了直接交易数据主体的合规风险。

第十三条 自然人、法人和非法人组织可以通过合法、正当的方式收集数据。收集已公开的数据,不得违反法律、行政法规的规定或者侵犯他人的合法权益。法律、行政法规对数据收集的目的和范围有规定的,应当在法律、行政法规规定的目的和范围内收集。

【律师解读】

本条明确了各方主体收集数据的原则性要求:合法、正当,同时明确了收集公开数据的要求和范围。

第十四条 自然人、法人和非法人组织对其合法取得的数据,可以依法使用、加工。法律、行政法规另有规定或者当事人另有约定的除外。

【律师解读】

本条明确,各方主体可以对其合法收集的数据使用、加工,但是值得注意的是,数据处理包含收集、存储、使用、加工、传输、提供、公开等,本条仅明确了可以使用、加工,但是对于传输、提供、公共等未在本条中明确指明。个人认为立法考量可能是使用、加工是数据主体内部问题,但提供、传输、公开就会涉及不同主体之间数据流转,因为数据种类不同(个人数据、政府数据、行业数据、公开数据等),数据重要性不同(机密数据、关键数据、重要数据等),其流转的规定也不同,故此处仅明确了数据的内部使用问题,针对外部流转则可能会通过其他规定进行管理和限制。

第十五条 自然人、法人和非法人组织可以依法开展数据交易活动。法律、行政法规另有规定的除外。

【律师解读】

条例第十二条承认了数据本身的财产权益,数据交易权属于数据财产权益其中一项权能,因此可以当然的认为各方主体可就数据本身进行交易。在合法合规框架下,肯定数据具有财产权益可以进一步推动数据的使用与流通,同时,数据交易活动的市场主体可以依法自主定价,充分激发数据市场的活力。但是市相关主管部门也应当组织制定数据交易价格评估指导,构建交易价格评估指标,维护数据市场的良好发展。

第十六条 市、区人民政府及其有关部门可以依法要求相关自然人、法人和非法人组织提供突发事件处置工作所必需的数据。

要求自然人、法人和非法人组织提供数据的,应当在其履行法定职责的范围内依照法定的条件和程序进行,并明确数据使用的目的、范围、方式、期限。收集的数据不得用于与突发事件处置工作无关的事项。对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供。

【律师解读】

本条是关于突发事件的数据使用规则,《个人信息保护法》第十三条,“符合下列情形之一的,个人信息处理者方可处理个人信息:(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;”中也存在类似规定。考虑到新冠疫情等突发公共卫生事件等客观因素,将紧急情况作为数据使用的合法要素纳入考量,更符合政府现实的监管需要。

在《草案》中,本条对突发事件进行了半列举式的规定“为了应对自然灾害、事故灾难、公共卫生事件和社会安全事件等突发事件”,但是在发布版本中删除了列举规定。个人认为,删除列举式规定能够使政府层面更加灵活地应对数据使用的突发情况,避免规定僵化,毕竟数据工作属于新的领域,在条例中进行一些灵活规定也是合理的。

第十七条 自然人、法人和非法人组织开展数据处理活动、行使相关数据权益,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德,诚实守信,不得危害国家安全和公共利益,不得损害他人的合法权益。

【律师解读】

本条在数据权益保障一般规定中作为兜底条款,指明各方主体在数据工作中要合法合规、诚信道德。数据工作作为一个新的领域,在发展和规范过程中随时会发生新情况。在无规可依的情况下,本条能够很好的兜底。值得注意的是,《草案》一开始是不存在第十七条的,可见立法者在制定过程也是持谨慎态度的。

第二节个人信息特别保护

第十八条 除法律、行政法规另有规定外,处理个人信息的,应当取得个人同意。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。

处理个人自行公开或者其他已经合法公开的个人信息,应当依法在合理的范围内进行;个人明确拒绝的除外。处理已公开的个人信息,对个人权益有重大影响的,应当依法取得个人同意。

【律师解读】

本条与《个人信息保护法》第十三条第一项、第十四条第二款和二十七条的规定一致,本条明确了“处理同意”、“变更同意”“公开信息重大影响同意”三种情形的适用规则。

“处理同意”是《个人信息保护法》明确的处理个人信息基本规则,无需过多论述。

关于“变更同意”。当“个人信息的处理目的、处理方式和处理的个人信息种类发生变更的”,我们认为,这种情形属于个人信息处理过程中的重大变更,倘若按照原有的同意实则可能会侵害他人合法权益,因此该处同《个人信息保护法》一样规定了“变更同意”。

关于“公开信息重大影响同意”,呼应《民法典》第一千零三十六条第二项和《个人信息保护法》第二十七条的规定。只要个人信息是行为人自行公开的,当个人信息处理者满足其公开时的用途,即可直接使用该公开的个人信息。但在存在利用已公开的个人信息从事对个人有重大影响的活动时,就不得对个人信息进行处理,除非履行了“告知和同意原则”。此外,“明确拒绝”是一种“撤销权”的表现形式,即无论个人信息公布时的范围是否合理,个人均有随时行使“撤销权”的权利。

第十九条 基于个人同意处理个人信息的,应当保证个人在充分知情的前提下自愿、明确作出同意,不得通过误导、欺诈、胁迫等违背其真实意愿的方式取得同意。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。

处理者在提供产品或者服务时,不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。

【律师解读】

本条与《个人信息保护法》第五条、第十四条第一款、第十六条的规定一致。

引用第五条部分内容,明确不得通过误导、欺诈、胁迫等方式取得同意,因为存在上位法律的明确规定,故个人认为,该部分内容表强调作用。

关于“明示、单独同意”,显然,本条是对《个人信息保护法》和《信息安全技术个人信息安全规范》(GB/T35273-2020)的呼应。我们认为本条中的“充分知情”是个人信息处理正当性原则的一种直观表现,明确作出意思表示实则是《个人信息保护法》和《信息安全技术个人信息安全规范》(GB/T35273-2020)注重“明示同意”的一种体现。实务中,我们一般会建议互联网企业通过加粗、下划线、斜杠等形式清晰提示用户相关内容。此外,针对法律法规规定的重要个人信息,单独同意或书面同意也是必要的。

关于“非必要不拒绝”,明确了企业不得因个人拒绝或撤回个人信息的处理授权,进而拒绝提供相应商品或服务。该规定系个人信息处理必要性的直观体现。所谓必要性,指的是在个人信息处理过程中,需要收集与企业自身经营活动密切相关的个人信息,不得收集无关且多余的个人信息。该规定可有效防止个人信息处理者过分收集信息。

第二十条 处理个人信息前,应当向个人告知下列事项:

(一)处理者的名称或者姓名和联系方式;

(二)处理个人信息的目的、方式;

(三)处理的个人信息种类、保存期限;

(四)个人依法享有的权利以及行使权利的方式和程序;

(五)法律、行政法规规定应当告知的其他事项。

处理者应当以显著方式、清晰易懂的语言真实、准确、完整地告知前款事项。

【律师解读】

本条与《个人信息保护法》第十七条的规定一致。

本条规定了个人信息处理者在处理个人信息前所需披露事项。本条内容多体现在互联网企业的《隐私权政策》中,即在处理任何情形下取得的个人信息时,都需按本条规定对披露的时间、方式及内容进行相应调整。实务中,互联网企业只要根据自身所制定的个人信息处理规则的方式,按照相应要求如实修订相关协议即可。通常来说,我们建议互联网企业就其修订的历史规则全部予以公示,至于公示的形式可以根据相应规则进行调整。

第二十一条 个人发现其个人信息不准确或者不完整的,有权请求处理者更正、补充。

有下列情形之一的,处理者应当主动删除个人信息;处理者未删除的,个人有权请求删除:

(一)处理目的已实现、无法实现或者为实现处理目的不再必要;

(二)处理者停止提供产品或者服务,或者保存期限已届满;

(三)个人撤回同意;

(四)处理者违反法律、行政法规或者违反约定处理个人信息;

(五)法律、行政法规规定的其他情形。

对属于本条第一款、第二款情形的,处理者应当分别予以更正、补充、删除。法律、行政法规另有规定的,从其规定。

【律师解读】

本条与《个人信息保护法》第四十六条第一款、第四十七条第一款的规定一致。

本条第一款明确了个人在其个人信息处理后所享有的更正和补充权。同《个人信息保护法》一致,属于《民法典》第一千零三十七条的细化,明确了个人所享有的更正和补充权。但是《条例》中却并未写明个人在其个人信息处理后所享有的“查阅和复制权”。个人猜想不写明查阅复制权的原因是体系考虑。相对“查阅和复制权”,“更正、补充、删除权”都属于个人信息的变动权,更为重要,故《条例》将其统一写在本条表示强调,同时因为篇幅有限,上位法《个人信息保护法》中已明确规定的“查阅和复制权”,在《条例》中无必要再次写明。

本条第二款所规定的“删除权”被人们长期称之为是“被遗忘权”。首先,由于个人信息一旦删除,则再难重新获取,因此删除权相对于其他权限来说其实施的条件和要求应当更为谨慎和严格。本条通过列举的形式明确了删除权的形式条件,极大地对其进行了适用上的限定,以保障各方权益尽可能稳定。

其次,第二款规定了删除权行使的两种途径,即个人在满足相关条件后享有删除个人信息的权利。与此同时,个人信息处理者在出现相关情形时,也具有删除个人信息的义务。

再次,需要注意本条第二款第二项在实务中的运用。根据《信息安全技术个人信息安全规范》(GB/T 35273—2020)的规定,账号注销处理时限为十五个工作日,因此个人信息处理者一般应当在注销账号时,一并删除该账户下的个人相关信息。

最后,本条第三款并未写明《个人信息保护法》第四十七条特殊情况下的豁免,个人猜想,是因为上位法中已经规定特别豁免而本条例无必要进行重复规定的原因。

第二十二条 处理自然人生物识别信息的,应当具有特定的目的和充分的必要性,并采取严格的保护措施。处理生物识别信息应当取得个人的单独同意;法律、行政法规另有规定的,从其规定。

【律师解读】

本条是对《个人信息保护法》第二十八条第二款和第二十九条规定的限缩合并,《个人信息保护法》使用词汇为“敏感个人信息”,同时在第二十八条第一款中规定,生物识别信息属于敏感个人信息。但是《条例》中,借鉴了《个人信息保护法》的相同表述,并将“敏感个人信息”替换成“生物识别信息”,虽然二者属于包含关系,但《条例》规定似乎遗漏了其他种类的敏感个人信息。个人猜想,如此规定原因有二,一是从体系角度看,本条例第二十三条规定的是人脸识别技术运用规范,人脸识别信息属于生物识别信息重要组成部分,在二十三条规定之前,先行介绍生物识别信息的处理规范,为下面人脸识别规定奠定基本处理原则。二是在《条例》制定之初,生物识别信息属于社会热点问题,在此规定,可以体现《条例》制定紧贴社会焦点,充分结合社会生活。

上方指出本条仅规定生物识别信息而忽略其他敏感个人信息,需要说明的是,该规定并不违反上位法规定,本条仍然处于《个人信息保护法》涵盖范围之中,在此出现,可能起强调作用。

第二十三条 在本市商场、超市、公园、景区、公共文化体育场馆、宾馆等公共场所,以及居住小区、商务楼宇等区域,安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著标识。

所收集的个人图像、身份识别信息,只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。

本条第一款规定的公共场所或者区域,不得以图像采集、个人身份识别技术作为出入该场所或者区域的唯一验证方式。

【律师解读】

本条紧贴社会焦点,充分结合社会生活。

本条第一款和第二款与《个人信息保护法》第二十六条的规定一致,是个人信息处理过程中所涉“国家安全和公共利益”的相关规定。基于“公共安全”的需要,可以对个人进行身份识别,但所获信息不得进行公开或者向第三方提供。需要明确指出的是,此处并未将安装图像采集的主体限定为国家机关,因此只要是以维护“公共安全”为目的的主体,均可就个人身份进行识别,但需符合相应的保密规定。

本条第三款的规定,是转化了2021年8月1日起施行的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第十条,“物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式,不同意的业主或者物业使用人请求其提供其他合理验证方式的,人民法院依法予以支持。”第十条的规定是最高法院处于裁判立场的表述,转化为规范化表述,就是直接规定了不得将图像采集、个人身份识别技术作为唯一验证方式。

第二十四条 利用个人信息进行自动化决策,应当遵循合法、正当、必要、诚信的原则,保证决策的透明度和结果的公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。

通过自动化决策方式向个人进行信息推送、商业营销的,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。

通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求处理者予以说明,并有权拒绝处理者仅通过自动化决策的方式作出决定。

【律师解读】

本条与《个人信息保护法》第二十四条的规定一致。

本条是针对人工智能中自动化决策的规范,其与欧盟GDPR中的第二十二条相类似。

此外,我国《信息安全技术个人信息安全规范》(GB/T35273-2020)第7.5条(b)项和《电子商务法》第十八条也有类似规定。根据《电子商务法》第十八条规定,“电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的,应当同时向该消费者提供不针对其个人特征的选项,尊重和平等保护消费者合法权益。”

同时,在国家互联网信息办公室关于《互联网信息服务算法推荐管理规定(征求意见稿)》中也存在明确规定,不得“信息茧房”、“大数据杀熟”。可见,在使用自动化决策的过程中,需要同时设置不针对其个人特征的选项并允许个人拒绝算法,以保证交易的公平性。

第三章  公共数据

第一节一般规定

第二十五条 本市健全公共数据资源体系,加强公共数据治理,提高公共数据共享效率,扩大公共数据有序开放,构建统一协调的公共数据运营机制,推进公共数据和其他数据融合应用,充分发挥公共数据在推动城市数字化转型和促进经济社会发展中的驱动作用。

【律师解读】

本条指明了公共数据工作的内容和目标。

本次“公共数据”单独成章,共二十一条,所占比例接近《条例》的四分之一。之所以会在公共数据一章规定如此多的内容,除了公共数据本身需要规制以外,还因为国家上位法中缺少针对公共数据的法律法规。其实早在2019年,上海市政府就颁布的《上海市公共数据开放暂行办法》,本章规定有很多内容在其中已经有所体现,本次通过《条例》的形式确定下来,层级更高,而且规定涵盖的范围也更广。

第二十六条 负责本系统、行业公共数据管理的市级部门(以下简称市级责任部门)应当依据业务职能,制定本系统、行业公共数据资源规划,完善管理制度和标准规范,组织开展本系统、行业数据的收集、归集、治理、共享、开放、应用及其相关质量和安全管理。公共数据管理涉及多个部门或者责任不明确的,由市政府办公厅指定市级责任部门。

区人民政府明确的公共数据主管部门,负责统筹开展本行政区域公共数据管理工作,接受市政府办公厅的业务指导。

【律师解读】

本条对公共数据责任部门进行明确划分,其规定与《深圳经济特区数据条例》类似。

市级:按系统划分公共数据的责任部门,数据跨部门或责任不明的市府指定责任部门。

区级:明确公共数据主管部门,主管本行政区域公共数据。

第二十七条 市大数据资源平台和区大数据资源分平台(以下统称大数据资源平台)是本市依托电子政务云实施全市公共数据归集、整合、共享、开放、运营的统一基础设施,由市大数据中心负责统一规划。

本市财政资金保障运行的公共管理和服务机构不得新建跨部门、跨层级的公共数据资源平台、共享和开放渠道;已经建成的,应当按照有关规定进行整合。

【律师解读】

本条确定了“条块结合、以条为主”的组织架构。

《上海市公共数据开放暂行办法》第十七条规定,“市大数据中心应当依托市大数据资源平台建设开放平台。数据开放主体应当通过开放平台开放公共数据,原则上不再新建独立的开放渠道。已经建成的开放渠道,应当按照有关规定进行整合、归并,将其纳入开放平台。”该条款对该组织架构已经有所提及,但本条明确指出了大数据资源平台的主要功能,确定了需要整合的平台主体(市财政资金保障运行的公共管理和服务机构),较之《暂行办法》,本条表述更为详细,用语更精确。

第二十八条 本市建立全市统一的公共数据目录管理体系。公共管理和服务机构在依法履行公共管理和服务职责过程中收集和产生的数据,以及依法委托第三方收集和产生的数据,应当纳入公共数据目录。

市政府办公厅负责制定目录编制规范。市级责任部门应当按照数据与业务对应的原则,编制本系统、行业公共数据目录,明确公共数据的来源、更新频率、安全等级、共享开放属性等要素。区公共数据主管部门可以根据实际需要,对未纳入市级责任部门公共数据目录的公共数据编制区域补充目录。

【律师解读】

本条指明上海市将建立的统一公共数据目录,及应当纳入公共数据目录的数据种类,同时明确公共目录制定方法及要素内容。

《深圳经济特区数据条例》第三十六条规定,“市政务服务数据管理部门负责建立全市统一的公共数据资源目录体系,制定公共数据资源目录编制规范,组织公共管理和服务机构按照公共数据资源目录编制规范要求编制目录、处理各类公共数据,明确数据来源部门和管理职责。公共管理和服务机构应当按照公共数据资源目录编制规范要求,对本机构的公共数据进行目录管理。”

关于目录编制规范,深圳市是由市政务服务数据管理部门负责制定,对比上海,该规范由市政府办公厅直接负责制定。

关于公共数据目录的编制,深圳市是由公共管理和服务机构(是指深圳市国家机关、事业单位和其他依法管理公共事务的组织,以及提供教育、卫生健康、社会福利、供水、供电、供气、环境保护、公共交通和其他公共服务的组织。)进行编制,对比上海,该目录编制主体是市级责任部门(负责本系统、行业公共数据管理的市级部门)。

对比深圳市和上海市,深圳市更多的借助了社会公共组织,而上海市更多的依靠行政体系内的部门,深圳市制定效率更高,上海市管理更方便,各有优势。

第二十九条 本市对公共数据实行分类管理。市大数据中心应当根据公共数据的通用性、基础性、重要性和数据来源属性等制定公共数据分类规则和标准,明确不同类别公共数据的管理要求,在公共数据全生命周期采取差异化管理措施。

市级责任部门应当按照公共数据分类规则和标准确定公共数据类别,落实差异化管理措施。

【律师解读】

本条指明上海市将公共数据分类管理,由市大数据中心制定分类规则和标准,由市级责任部门进行分类,具体执行差异化管理措施。

对于公共数据分类管理的规则标准制定和执行方面,上海市和深圳市差异不大,深圳市由市政务服务数据管理部门制定标准,各行业主管部门进行分类和执行。

第三十条 公共管理和服务机构收集数据应当符合本单位法定职责,遵循合法、正当、必要的原则。可以通过共享方式获取的公共数据,不得重复收集。

需要依托区有关部门收集的视频、物联等数据量大、实时性强的公共数据,由区公共数据主管部门根据市级责任部门需求统筹开展收集,并依托区大数据资源分平台存储。

【律师解读】

本条确定了单位收集数据的原则,即为合法、正当、必要。该原则在三大数据法中均有体现,故在此不做过多论述。

值得注意的是,本条强调共享的公共数据不得重复收集,背后深层含义就是加强不同部门之间的数据流通,充分激发类型化公共数据的流通性,提高数据流通能力,使共享公共数据真正为业务工作带来方便,减少不必要的工作成本。同时本条第二款中也规定区市级协调工作,统筹收集,并存储于区大数据资源分平台,充分体现了“条块结合,以条为主”的组织架构。

第三十一条 通过市大数据资源平台治理的公共数据,可以按照数据的区域属性回传至大数据资源分平台,支持各区开展数据应用。

【律师解读】

本条强调的是公共数据的市区之间回传,加强市区之间的数据流通,发挥各自优势,市级数据种类齐全,适合宏观调控,区级数据具体详细,适合发现问题。

第三十二条 本市财政资金保障运行的公共管理和服务机构为依法履行职责,可以申请采购非公共数据。市政府办公厅负责统筹市级公共管理和服务机构的非公共数据采购需求,市大数据中心负责统一实施。区公共数据主管部门负责统筹本行政区域个性化采购需求,自行组织采购。

【律师解读】

《条例》将数据流通、数据交易放在了较为重要的位置,此处为公共数据管理一章中第二次提及数据采购。某种意义上,本条也可作为第十五条的支持条款,再次强调数据的可交易性。同时,对于提供非公共数据的处理者来说,本条也是数据可被纳入政府采购项目的依据。

针对非公数据采购,《深圳经济特区数据条例》第四十四条规定由人民政府统一对外采购,而上海市实行的是条条结合,市级的由市大数据中心负责采购,区级的由区级自行采购。个人更为赞同上海市采购方式,能够依据不同级别和不同区域进行相对应的采购,更加灵活和效率。

第三十三条本市国家机关、事业单位以及经依法授权具有管理公共事务职能的组织应当及时向大数据资源平台归集公共数据。其他公共管理和服务机构的公共数据可以按照逻辑集中、物理分散的方式实施归集,但具有公共管理和服务应用需求的公共数据应当向大数据资源平台归集。

市大数据中心根据公共数据分类管理要求对相关数据实施统一归集,保障数据向大数据资源平台归集的实时性、完整性和准确性。

已归集的公共数据发生变更、失效等情形的,公共管理和服务机构应当及时更新。

【律师解读】

本条呼应了第二十七条,全市数据由大数据资源平台进行统一规划。相比于其他公共数据,具有公共管理和服务应用需求的数据更为重要,因为关系到整个城市的数据治理水平和业务工作水平,故此类数据强调了实时、完整、准确的标准。

第三十四条 市大数据中心应当统筹规划并组织实施自然人、法人、自然资源和空间地理等基础数据库建设。

市级责任部门应当按照本市公共数据管理要求,规划和建设本系统、行业业务应用专题库,并会同相关部门规划和建设重点行业领域主题库。

【律师解读】

本条明确数据中心的建立:市大数据中心统筹建立基础数据库,市级责任部门建设系统和行业数据库。同时,本条应当结合《条例》第二十八条与第二十九条进行解读,公共数据目录和公共数据分类制度是数据库建立的基础和依据,结合前者对公共数据的处置,建立不同等级、不同类型、不同行业数据库。个人认为,公共数据目录和分类是数据库建立的基础和依据,数据库是制定目录和分类的重要目的。

《深圳经济特区数据条例》直接将目录和分类与数据库的建立结合规定,《条例》则是分开规定,这只是条例的体系不同,但二者的实质和内涵是相同的。

第三十五条 市级责任部门应当建立健全本系统、行业公共数据质量管理体系,加强数据质量管控。

市大数据中心应当按照市政府办公厅明确的监督管理规则,组织开展公共数据的质量监督,对数据质量进行实时监测和定期评估,并建立异议与更正管理制度。

【律师解读】

公共数据管理体系的基础是数据,数据的质量切实联系着数据工作的质量,对数据质量的实时检测和定期评估是必要的,但是本条仅提出一个笼统的概念,针对如何监督数据质量,有待市大数据中心及市级责任部门出台具体的明细规定。

第三十六条 市政府办公厅应当建立日常公共数据管理工作监督检查机制,对公共管理和服务机构的公共数据目录编制工作、质量管理、共享、开放等情况开展监督检查。

市政府办公厅应当对市级责任部门和各区开展公共数据工作的成效情况定期组织考核评价,考核评价结果纳入各级领导班子和领导干部年度绩效考核。

【律师解读】

公共数据管理体系的建立必然伴随着监督体系,无监督则无管理,同第三十五条的解读,本条的规定也较为笼统,需后续出台明确细则。但是相比《深圳经济特区数据条例》仅提出“监督”字眼,《上海市数据条例》中针对数据质量和数据管理工作进行了单条的规定,并进行了初步的职责划分,这是值得肯定的。

第三十七条 本市财政资金保障运行的公共管理和服务机构开展公共数据收集、归集、治理、共享、开放及其质量和安全管理等工作涉及的经费,纳入市、区财政预算。

【律师解读】

公共管理和服务机构作为上海市的数据管理工作的主体之一,其涉及公共数据的相关经费当然应当纳入市、区财政预算。同时,本条也为公共数据工作经费纳入财政预算提供了立法上的依据。

第二节公共数据共享和开放

第三十八条 公共管理和服务机构之间共享公共数据,应当以共享为原则,不共享为例外。公共数据应当通过大数据资源平台进行共享。

公共管理和服务机构应当根据履职需要,提出数据需求清单;根据法定职责,明确本单位可以共享的数据责任清单;对法律、法规明确规定不能共享的数据,经市政府办公厅审核后,列入负面清单。

市政府办公厅应当建立以共享需求清单、责任清单和负面清单为基础的公共数据共享机制。

【律师解读】

本条确定了公共数据流转的基本原则,以共享为原则,不共享为例外。同时,通过需求清单、责任清单、负面清单,明确列出“要什么”“给什么”“不能给什么”,能够有效实现政务服务减环节、减证明、减时间、减次数,提升政府管理科学化、精细化、数据化水平。

但是,需要提醒的一点是,该处的公共数据共享是指公共管理和服务机构之间的共享,并不意味着给共享的公共数据会全部向公众开放,厘清共享与开放的区别。

第三十九条 公共管理和服务机构提出共享需求的,应当明确应用场景,并承诺其真实性、合规性、安全性。对未列入负面清单的公共数据,可以直接共享,但不得超出依法履行职责的必要范围;对未列入公共数据目录的公共数据,市级责任部门应当在收到共享需求之日起十五个工作日内进行确认后编入公共数据目录并提供共享。

公共管理和服务机构超出依法履行职责的必要范围,通过大数据资源平台获取其他机构共享数据的,市大数据中心应当在发现后立即停止其获取超出必要范围的数据。

【律师解读】

本条是对便捷及必要共享的要求。作为提出共享需求的一方,其需求应当是必要的,该处必要如何理解,以其法定职责范围为限。同时,本条对共享需求明确了审查时间,能够有效地防止市级责任部门对正当共享需求的过分拖延。数据以流通为命脉,无法流通的数据仅仅只是些数字,流通起来的数据才富有价值,故效率又是流通的关键,没有效率的流通也仅仅只是形式主义、水中望月。

本条第二款应当结合第三十五条与第三十六条共同解读,市大数据中心如何发现共享数据超过必要范围,通过异议与举报机制显然是不切实际的,只有通过定期的监督检查机制,才能有效的防止共享权利的滥用。由此可见,即便是公共管理和服务机构,也不能随心所欲的使用共享公共数据,仍然以履行职责为限度。上海市对待该类机构的态度并不比对待其他主体更放松。

第四十条 公共管理和服务机构向自然人、法人和非法人组织提供服务时,需要使用其他部门数据的,应当使用大数据资源平台提供的最新数据。

公共管理和服务机构应当建立共享数据管理机制,通过共享获取的公共数据,应当用于本单位依法履行职责的需要,不得以任何形式提供给第三方,也不得用于其他任何目的。

【律师解读】

本条第一款与第三十五条、第三十八条呼应,大数据资源平台作为公共数据共享的主要平台,一方面需要保证平台中共享公共数据的实时性,另一方面要严格控制共享公共数据的单一来源,一切数据都通过大数据平台实现共享,减少公共管理和服务机构之间私下的数据流通。

本条第二款的深层内涵是,共享数据的使用者仅以公共管理和服务机构为限,不得以任何形式提供给第三方,该规定可以有效防止任一机构均可对外提供其他机构数据的情况出现。尽管当前政策主张“一个窗口对外”,但这并不表示“任一窗口对外”。

第四十一条 本市以需求导向、分级分类、公平公开、安全可控、统一标准、便捷高效为原则,推动公共数据面向社会开放,并持续扩大公共数据开放范围。

公共数据按照开放类型分为无条件开放、有条件开放和非开放三类。涉及个人隐私、个人信息、商业秘密、保密商务信息,或者法律、法规规定不得开放的,列入非开放类;对数据安全和处理能力要求较高、时效性较强或者需要持续获取的公共数据,列入有条件开放类;其他公共数据列入无条件开放类。

非开放类公共数据依法进行脱密、脱敏处理,或者相关权利人同意开放的,可以列入无条件开放或者有条件开放类。对有条件开放类公共数据,自然人、法人和非法人组织可以通过市大数据资源平台提出数据开放请求,相关公共管理和服务机构应当按照规定处理。

【律师解读】

本条指向的不是公共管理和服务机构之间的数据共享,而是公共数据向公众的开放。公共数据在公共管理和服务机构之间以共享为原则,不共享为例外。公共数据对公众则采用分级开放制度:涉密涉私不开放,专业性、时效性、持续性较高的数据有条件开放,其他信息无条件开放。

本条对公共数据分类开放的表述与《上海市公共数据开放暂行办法》第十一条相同,而且《上海市公共数据开放暂行办法》第十二条至第十五条(开放清单、动态调整、无条件开放类数据获取方式、有条件开放类数据获取方式)对数据开放做了更详细的规定。

不难看出,对于公共数据的开放思路和具体办法,上海早已心有沟壑。

第四十二条 本市依托市大数据资源平台向社会开放公共数据。

市级责任部门、区人民政府以及其他公共管理和服务机构分别负责本系统、行业、本行政区域和本单位的公共数据开放,在公共数据目录范围内制定公共数据开放清单,明确数据的开放范围、开放类型、开放条件和更新频率等,并动态调整。

公共数据开放具体规则,由市经济信息化部门制定。

【律师解读】

本条第一款与上述第四十条的解读相联系,体现了“一个窗口对外”的政策要求,依托单一大数据资源平台开放公开数据,对申请开放主体来说,更为方便和快捷,减少不必要的时间和经济成本。

本条第二款和第三款同《上海市公共数据开放暂行办法》的规定相比,本处的规定更为原则化,个人认为,本条采用原则化的立法手段,视为后续制定更为详细的开放政策留有余地。毕竟《政府信息公开条例》的前车之鉴摆在眼前,数据开放问题较之政府信息公开问题更为复杂,条例制定者在此处原则性规定,意图在后续根据实践制定细则的时候能够把握更多的主动权,毕竟“实践是检验真理的唯一标准”。

第四十三条 本市制定相关政策,组织开展公共数据开放和开发利用的创新试点,鼓励自然人、法人和非法人组织对公共数据进行深度加工和增值使用。

【律师解读】

本条在《条例(草案)》中并未出现,属于正式发布版本中添加的新的内容。从本条内容可以看出上海市对于促进数据交易和数据流通的决心。深度加工和增值使用往往会涉及到价值,给公共数据赋能,使之产生新的价值,这就当然的会产生交易和流转问题,因为交易必然伴随着价值,价值会产生价格,而流转又决定着价格,其好处就是能够激发数据活力,促进数据交易。

第三节公共数据授权运营

第四十四条 本市建立公共数据授权运营机制,提高公共数据社会化开发利用水平。

市政府办公厅应当组织制定公共数据授权运营管理办法,明确授权主体,授权条件、程序、数据范围,运营平台的服务和使用机制,运营行为规范,以及运营评价和退出情形等内容。市大数据中心应当根据公共数据授权运营管理办法对被授权运营主体实施日常监督管理。

【律师解读】

本条明确了公共数据的授权运营,同时需要注意的是授权运营公共数据不是政府采购数据服务,而是市场主体通过授权对公共数据进行处理,这其中必然伴随着严格的监督管理。在2021年3月份发布的《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》第十七章第一节加强公共数据开放共享中已明确提出“开展政府数据授权运营试点,鼓励第三方深化对公共数据的挖掘利用。”上海积极响应政策要求,紧跟经济和社会发展方向,明确市政办公厅进行制度构建,市大数据中心进行监督管理。这一机制的构建能够激发各部门数据流通,满足社会公共数据需求,完善公共数据生态体系,加快数据市场化建设,让数据真正动起来、用起来。

第四十五条 被授权运营主体应当在授权范围内,依托统一规划的公共数据运营平台提供的安全可信环境,实施数据开发利用,并提供数据产品和服务。

市政府办公厅应当会同市网信等相关部门和数据专家委员会,对被授权运营主体规划的应用场景进行合规性和安全风险等评估。

授权运营的数据涉及个人隐私、个人信息、商业秘密、保密商务信息的,处理该数据应当符合相关法律、法规的规定。

市政府办公厅、市大数据中心、被授权运营主体等部门和单位,应当依法履行数据安全保护义务。

【律师解读】

本条第一款指明了被授权运营主体可以实施数据开放利用,并产生数据产品和服务。第一款的关键内涵在于两方面。一方面,专业的人做专业的事,能够有效缓解数据的治理压力。另一方面,数据运营生态的建立会造就各类数据产业,有助于培育数据处理企业,加快数据市场化建设。

第二、三款则是对被授权运营主体的有效制约,通过合规安全评估和数据限制,防止运营者滥用数据。

第四款将被授权运营主体并入数据安全保护责任主体内,一方面是明确运营者的安全义务责任,另一方市政办公厅、市大数据中心能够利用运营主体的技术优势,进一步保障公共数据的安全问题。

第四十六条 通过公共数据授权运营形成的数据产品和服务,可以依托公共数据运营平台进行交易撮合、合同签订、业务结算等;通过其他途径签订合同的,应当在公共数据运营平台备案。

【律师解读】

本条的规定除了激发被授权运营主体的积极性外,更多的是将被授权运营主体产生的“成果物”置于政府监管之下。当然,值得注意的是,本条再次强调了数据产品和服务的可交易性。

在《条例(草案)》中,曾单独设定两条:数据产品和服务定价和平台服务费。但在正式发布版本并未出现。

关于费用问题,《深圳经济特区数据条例》第四十七条,“依照法律、法规规定开放公共数据,不得收取任何费用。法律、行政法规另有规定的,从其规定。”个人认为,删除的原因是费用标准难以制定或现阶段不适合制定:被授权运营者如何收费,被授权运营者如何付费,以上问题都需要实践支撑。政府的价格指导也是从大量交易中总结的。数据交易作为一种新型的交易模式,期待在短时间就获取大量的交易信息,这显然是不切实际的。

第四章  数据要素市场

第一节一般规定

第四十七条 市人民政府应当按照国家要求,深化数据要素市场化配置改革,制定促进政策,培育公平、开放、有序、诚信的数据要素市场,建立资产评估、登记结算、交易撮合、争议解决等市场运营体系,促进数据要素依法有序流动。

【律师解读】

2020年3月,党中央、国务院印发《关于构建更加完善的要素市场化配置体制机制的意见》,明确将数据作为生产要素,强调要深化要素市场化配置改革,加快培育数据要素市场。上海市应国家要求,积极培育数据要素市场。同时,本条确定了培训数据要素市场的总体要求,公平、开放、有序、诚信。

值得注意的是,本条规定中的资产评估、登记结算、交易撮合、争议解决可以看出,上海市意图建立一个数据业务的完整流程,从交易起点到争议解决,构建闭环交易圈,而不会仅仅建立数据交易所。

第四十八条 市政府办公厅应当制定政策,鼓励和引导市场主体依法开展数据共享、开放、交易、合作,促进跨区域、跨行业的数据流通利用。

【律师解读】

本条款属于定基调的条款,较为原则,再一次明确上海市鼓励并促进数据流通。

第四十九条 本市制定政策,培育数据要素市场主体,鼓励研发数据技术、推进数据应用,深度挖掘数据价值,通过实质性加工和创新性劳动形成数据产品和服务。

【律师解读】

尽管《条例》第十二条、第十五条肯定了数据本身的财产权益及可交易性,但从本条不难分析,上海市更加希望数据要素市场主体对数据赋能,对数据进行深度加工和创新使用,而不是简单的原始数据买卖,如此更有利于赋予数据新的价值,培育数据要素市场主体。个人认为,本条内容已经透露出上海市未来数据战略的方向,以创新和数据应用为方向,构建新型数字化城市。

第五十条 本市探索构建数据资产评估指标体系,建立数据资产评估制度,开展数据资产凭证试点,反映数据要素的资产价值。

【律师解读】

近年来全国多地已在积极探索数据资产定价核算机制。目前数据资产的评估定价主要依据是中国资产评估协会在2020年1月印发的 《资产评估专家指引第9号——数据资产评估》。在官方层面仍未出台有效地数据资产评估制度,该制度仍旧处于探索过程中。

关于数据资产凭证,数据交易的基础就是确权,数据交易主体是否对交易数据享有所有权,所以“确权”问题是首要解决的。在2021年10月16日上午,广东省数据资产凭证化启动活动暨全国首张公共数据资产凭证发布会在广州召开,现场发布全国首张公共数据资产凭证,随后获得凭证的公司就依据凭证,以一定时期的数据为依据,向银行申请贷款。

针对确权难问题,上海市仍需借鉴广东省的先进经验,探索出适应上海市经济发展水平情况的制度体系,让数据流通起来。

第五十一条 市相关主管部门应当建立健全数据要素配置的统计指标体系和评估评价指南,科学评价各区、各部门、各领域的数据对经济社会发展的贡献度。

【律师解读】

制度政策,不仅仅是顺利施行,还需要评估施行效果,本条就体现了这一说法。通过“回头看”,发现问题,调整要素配置,以求顺利达到制度政策施行目的。

第五十二条 市场主体应当加强数据质量管理,确保数据真实、准确、完整。

市场主体对数据的使用应当遵守反垄断、反不正当竞争、消费者权益保护等法律、法规的规定。

【律师解读】

本条明确了市场主体数据质量标准,真实、准确、完整。值得注意,数据交易虽然是新的领域,但是仍然受制于相关交易法律保障。因为数据本身的特殊性,相比其他正常交易来说,更容易发生权益侵害问题:数据的虚拟性,使得其侵权媒介较难发现;数据的流通性,使得较为同意忽略数据主体的授权问题;数据的专业性,非专业不尝试,使得其接触难度大而引起数据垄断。

2021年1月10日,全国高级法院院长会议举行,最高人民法院曾提出,要加强司法反垄断和反不正当竞争,深入研究平台企业垄断认定、数据收集使用管理、数字领域消费者权益保护等问题,保障各类市场主体依法平等使用资源要素,促进形成全国统一、公平竞争、规范有序的市场体系。

第二节数据交易

第五十三条 本市支持数据交易服务机构有序发展,为数据交易提供数据资产、数据合规性、数据质量等第三方评估以及交易撮合、交易代理、专业咨询、数据经纪、数据交付等专业服务。

本市建立健全数据交易服务机构管理制度,加强对服务机构的监管,规范服务人员的执业行为。

【律师解读】

本条呼应了第四十七条,上海意图建立的是完整的数据交易产业链,而非仅仅是一个数据交易所。个人认为,未来数据交易的体量庞大,上海可能建立一套类似房产交易的产业模式,业务领域包含从数据资产评估到数据经纪及最后的数据交付。因为数据的专业性和机密性,若没有相关的数据交易服务机构,需求者寻找需求数据的困难较大,所以上海市为了促进交易,必然要建立配套的服务机构产业链。

第五十四条 数据交易服务机构应当建立规范透明、安全可控、可追溯的数据交易服务环境,制定交易服务流程、内部管理制度,并采取有效措施保护数据安全,保护个人隐私、个人信息、商业秘密、保密商务信息。

【律师解读】

本条是对数据交易服务机构的具体要求,数据交易服务机构作为数据产业链中必不可少的一环,对其的管理和监管,必然是全面且严格的。

第五十五条 本市鼓励数据交易活动,有下列情形之一的,不得交易:

(一)危害国家安全、公共利益,侵害个人隐私的;

(二)未经合法权利人授权同意的;

(三)法律、法规规定禁止交易的其他情形。

【律师解读】

本条对《条例(草案)》进行了修改,《条例(草案)》中规定的不得交易情形概括总结为:1.未获授权的个人信息;2.未开放的公共数据;3.其他法律法规禁止的。《条例(草案)》与《深圳经济特区数据条例》第六十七条规定一致,但正式发布版本将未开放的公共数据替换为危害国家安全、公共利益、侵害个人隐私的数据。较之修改前,不得交易的范围进行了一定的扩张。未开放的公共数据可以分为非开放数据和有条件开放数据,非开放数据因为其本身涉密涉私不予开放,其当然的包含于国安、公益、个人隐私范畴之内。但是针对有条件开放数据,其专业性、时效性、持续性能否被国安、公益、个人隐私范畴所包含,仍需探讨。总体来说,如此修改使用了更为宽泛的概念,致使数据交易范围限缩,但这不意味着有弊端,毕竟新的领域,谨慎一点不为过。

第五十六条 市场主体可以通过依法设立的数据交易所进行数据交易,也可以依法自行交易。

【律师解读】

本条指明了市场主体可以选择数据交易的具体方式,并非强制要求必须经过数据交易所才能进行交易。个人认为,自主选择交易方式是为了激发数据市场活力,促成交易发生,促进各个主体之间的数据流转,加快城市数字化转型,提高城市数字化治理水平。

第五十七条 从事数据交易活动的市场主体可以依法自主定价。

市相关主管部门应当组织相关行业协会等制订数据交易价格评估导则,构建交易价格评估指标。

【律师解读】

本条提出由行业协会等制定数据交易价格评估导则,该评估导则是否具有强制力?个人认为,数据交易是民事行为,和一般的买卖合同没有本质区分,理当遵循意思自治原则。数据交易的主体可以选择自由作价,本条规定的“自主定价”在此处起强调作用,数据交易活动的市场主体按照“自定+评估”的原则确立双方协议价格即可。

《深圳经济特区数据条例》第六十三条规定,“鼓励数据价值评估机构从实时性、时间跨度、样本覆盖面、完整性、数据种类级别和数据挖掘潜能等方面,探索构建数据资产定价指标体系,推动制定数据价值评估准则。”个人认为,对比上海将定价权交给交易主体本身,深圳将定价权赋予了专门的数据价值评估机构,交易主体以该评估价格进行交易。深圳的做法更为谨慎,便于把控市场价格,上海的做法更能促进交易。

第五章  数据资源开发和应用

第五十八条 本市支持数据资源开发和应用,发挥海量数据和丰富应用场景优势,鼓励和引导全社会参与经济、生活、治理等领域全面数字化转型,提升城市软实力。

【律师解读】

本条规定较为原则,体现了数据资源开放应用的整体目标,促成社会数字化转型,提升城市软实力。

第五十九条 本市通过标准制定、政策支持等方式,支持数据基础研究和关键核心技术攻关,发展高端数据产品和服务。

本市培育壮大数据收集存储、加工处理、交易流通等数据核心产业,发展大数据、云计算、人工智能、区块链、高端软件、物联网等产业。

【律师解读】

通过本条规定,可以看出未来几年上海市重点发展的核心产业。大数据、云计算、人工智能等产业均为数据产业,上海市意图先行以数据本身为产业核心,而数据收集是数据工作的基础,没有数据就不存在后续的加工处理和交易流通。个人认为,上述数据支持产业本身已经拥有大量有价值的数据,关键在于如何利用这些数据、如何让这些数据支持城市数字化转型。培育和孵化相关企业仅是挖掘数据价值的第一步。

第六十条 本市促进数据技术与实体经济深度融合,推动数据赋能经济数字化转型,支持传统产业转型升级,催生新产业、新业态、新模式。本市鼓励各类企业开展数据融合应用,加快生产制造、科技研发、金融服务、商贸流通、航运物流、农业等领域的数据赋能,推动产业互联网和消费互联网贯通发展。

第六十一条 本市促进数据技术和服务业深度融合,推动数据赋能生活数字化转型,提高公共卫生、医疗、教育、养老、就业等基本民生领域和商业、文娱、体育、旅游等质量民生领域的数字化水平。本市制定政策,支持网站、手机应用程序、智慧终端设施、各类公共服务设施面向残疾人和老年人开展适应性数字化改造。

第六十二条 本市促进数据技术与政府管理、服务、运行深度融合,推动数据赋能治理数字化转型,深化政务服务“一网通办”、城市运行“一网统管”建设,推进经济治理、社会治理、城市治理领域重点综合场景应用体系构建,通过治理数字化转型驱动超大城市治理模式创新。

【律师解读】

第六十条、六十一条、六十二条,分别从产业数字化转型、生活数字化转型、治理数字化转型三个方面介绍城市数字化转型。

近几年,随着互联网经济的飞速发展,实体经济的比重有所下降,但实体经济仍旧是国民经济的命脉,实体经济的发展关系到社会稳定,为实体经济赋能,促进数据技术与其深度融合,通过数据技术推动实际经济产业升级,提高产业效率,做到实体与互联网结合,以保证实体经济的发展紧跟经济发展趋势,维护国民经济健康稳定发展。

对于生活数字化转型,六十一条特别提到残疾人及老年人,该类人群因为行动能力或认知水平的特殊性,对于新兴事物接受能力较差,《条例》特别提到这类人群,体现了生活数字化转型应当包含整个社会群体,尤其是弱势群体,其因为各自的特殊性,在生活数字化转型过程中应当重点关注。

政府治理数字化转型,通过一网通办等一体化建设,借助数据技术的优势,提高政府治理能力和治理效率,从而推动整个城市的数字化转型。

个人认为,产业数字化转型、生活数字化转型、治理数字化转型三者必不可少。产业数字化转型关系国计民生社会问题,是城市数字化转型的基础;政府作为数字化转型的引领者和推动者,治理数字化转型是城市数字化转型的保障;生活数字化转型能够让人民真正感受优越性,提高人民幸福感,所以生活数字化转型是城市数字化转型的目标。

第六十三条 本市鼓励重点领域产业大数据枢纽建设,融合数据、算法、算力,建设综合性创新平台和行业数据中心。

本市推动国家和地方大数据实验室、产业创新中心、技术创新中心、工程研究中心、企业技术中心,以及研发与转化功能型平台、新型研发组织等建设。

【律师解读】

“科技是第一生产力”,上海市大力推动数据技术的开发和创新,意图通过“创新驱动”,鼓励重点领域平台中心建设,推动技术研发组织建设,以重点领域为先锋,结合创新科技,逐步带动全市范围内的各个领域,逐步实现整个城市的数字化转型。

第六十四条 本市建设数字化转型示范区,支持新城等重点区域同步规划关键信息基础设施,完善产业空间、生活空间、城市空间等领域数据资源的全生命周期管理机制。

市、区人民政府应当根据本市产业功能布局,推动园区整体数字化转型,发展智能制造、在线新经济、大数据、人工智能等数字产业园区。

【律师解读】

本条结合第六十三条解读,六十三条是发展重点领域产业的数字化建设,本条是重点区域的数字化建设,再次体现了“条块结合,交叉发展”的建设模式。

第六章  浦东新区数据改革

第六十五条 本市支持浦东新区高水平改革开放、打造社会主义现代化建设引领区,推进数据权属界定、开放共享、交易流通、监督管理等标准制定和系统建设。

【律师解读】

浦东新区数据改革单独成章,说明本章内容仅适用于浦东新区,其他区域不用参照执行,政策韵味浓厚,规范意思较少。

浦东新区作为上海市的代表性辖区,因其优越的经济条件和地理位置,成为上海市数据改革的试点区域无可厚非,本条同样属于原则性规定,指明浦东新区未来数据改革的发展方向。

第六十六条 本市支持浦东新区探索与海关、统计、税务、人民银行、银保监等国家有关部门建立数据共享使用机制,对浦东新区相关的公共数据实现实时共享。

浦东新区应当结合重大风险防范、营商环境提升、公共服务优化等重大改革创新工作,明确数据应用场景需求。

浦东新区应当健全各区级公共管理和服务机构之间的公共数据共享机制。

【律师解读】

本条与第三章公共数据中规定共享不同,不仅明确指出了海关、统计、税务、银行、银保监等明确部门,还要求要实现公共数据的实时共享。

同时值得注意的是,本条中的公共数据共享并未要求浦东新区制定公共数据目录和数据分类,而是直接实现的实时数据共享,可见上海市意图对浦东新区进行试点,在浦东新区公共数据共享过程中,提早发现问题,探索出一条对公共数据共享制约较少、影响较小却又能提升效率的道路。

当然,公共数据的实时共享并不意味着毫无约束,其依然受到上位法(《民法典》《个人信息保护法》《数据安全法》等)的制约,仍旧是以合法、合理、必要为前提条件。

第六十七条 本市按照国家要求,在浦东新区设立数据交易所并运营。

数据交易所应当按照相关法律、行政法规和有关主管部门的规定,为数据交易提供场所与设施,组织和监管数据交易。

数据交易所应当制订数据交易规则和其他有关业务规则,探索建立分类分层的新型数据综合交易机制,组织对数据交易进行合规性审查、登记清算、信息披露,确保数据交易公平有序、安全可控、全程可追溯。

浦东新区鼓励和引导市场主体依法通过数据交易所进行交易。

【律师解读】

《数据安全法》第十九条“国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。”除了法律要求,本次上海数据交易所的设立也是贯彻落实《中共中央国务院关于支持浦东新区高水平改革开放 打造社会主义现代化建设引领区的意见》的生动实践。本次上海在浦东新区设立的数据交易所,与此前其他省份所设立的数据交易平台不同,二者最大差别在于,上海通过条例授权,授予数据交易所监管数据交易的职权。其他省份所设的数据交易平台多以数据登记、信息披露的功能为主,仅发挥平台功能,上海却大胆给予数据交易所监督职权。个人认为,这更多是上海的一种尝试,尝试将交易平台与监管主体结合,试着走出一条新的数据交易之路。

值得注意的是,从本条第四款,“鼓励和引导市场主体通过数据交易所进行交易”可以看出,上海市更期望上海的数据交易模式能够形成“三方参与”的格局,尽可能较少各方主体的私下交易,其根本目的就是为了方便监管。

第六十八条 本市根据国家部署,推进国际数据港建设,聚焦中国(上海)自由贸易试验区临港新片区(以下简称临港新片区),构建国际互联网数据专用通道、功能型数据中心等新型基础设施,打造全球数据汇聚流转枢纽平台。

第六十九条 本市依照国家相关法律、法规的规定,在临港新片区内探索制定低风险跨境流动数据目录,促进数据跨境安全、自由流动。在临港新片区内依法开展跨境数据活动的自然人、法人和非法人组织,应当按照要求报送相关信息。

【律师解读】

第六十八条及六十九条应当结合起来进行解读。

《条例》创造性的提出了低风险跨境流动数据目录,个人认为,这是国内数据跨境制度探索的重大进步。

数据安全在经济全球化的国际背景下面临严峻的挑战,跨境数据的安全则是挑战复杂性来源。在《网络安全法》《数据安全法》《个人信息保护法》中均有涉及数据跨境流动的问题等。在具体规定方面,从2017年发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》以及2021年10月29日国家互联网信息办公室发布的《数据出境安全评估办法(征求意见稿)》中不难看出,针对数据跨境活动,国家一方面是鼓励数据跨境流动的,但另一方面国家也需要防止其风险产生。

本次临港新片区率先探索制定低风险跨境流动数据目录,低风险跨境流动数据目录,可以理解为跨境数据的白名单,实际上是设定好风险范围,让低风险范围内的跨境数据更加自由地流动,便利数据的安全评估流程。一方面是压力测试,一旦发现问题也处于可控范围,并能积累经验为完善跨境数据安全流动制度提供指引;另一方面,也为其他省市的跨境数据管理有启示,起到示范性作用。

第七十条 本市按照国家相关要求,采取措施,支持浦东新区培育国际化数据产业,引进相关企业和项目。

本市支持浦东新区建立算法评价标准体系,推动算法知识产权保护。

本市支持在浦东新区建设行业性数据枢纽,打造基础设施和平台,促进重大产业链供应链数据互联互通。

【律师解读】

本条表明了上海市建设浦东新区数字化产业发展的目标,其中的相应措施在上文已经进行解读,本条只不过是仅针对浦东新区,但个人认为,其中的内涵大同小异。

第七十一条 本市支持浦东新区加强数据交易相关的数字信任体系建设,创新融合大数据、区块链、零信任等技术,构建数字信任基础设施,保障可信数据交易服务。

【律师解读】

数据交易的价值一部分是数据自身携带的经济价值,还有一部分取决于信息本身的可靠、可信。数据监管比其他的监管要更为复杂,特别是对大数据、海量数据的监管。数据交易除了政策外力监管外,同样离不开数字化技术的监管。构建数字信任基础设施,保障可信数据交易服务需要其他数字化技术。这些数字化技术在上海有很好的产业生态、技术规范标准,本条的提出体现了上海市正在探索数据交易强化技术监管,构建数字化生态创新。

第七章  长三角区域数据合作

第七十二条 本市按照国家部署,协同长三角区域其他省建设全国一体化大数据中心体系长三角国家枢纽节点,优化数据中心和存算资源布局,引导数据中心集约化、规模化、绿色化发展,推动算力、数据、应用资源集约化和服务化创新,全面支撑长三角区域各行业数字化升级和产业数字化转型。

【律师解读】

本条开头的“按照国家部署”,可见长江三角区域的数据合作是国家的发展战略,早在2019年,中共中央、国务院就发布了《长江三角洲区域一体化发展规划纲要》,明确提出要共同打造数字长三角,加快长三角政务数据资源共享共用。本条更多是进行政策展示,而非制定规范。

第七十三条 本市与长三角区域其他省共同开展长三角区域数据标准化体系建设,按照区域数据共享需要,共同建立数据资源目录、基础库、专题库、主题库、数据共享、数据质量和安全管理等基础性标准和规范,促进数据资源共享和利用。

【律师解读】

从本条不难看出,未来长三角区域将采用共同的数据标准,共同建立数据的相关规范。个人认为,长三角区域一体化应当“数据先行”,优先互通重要领域的数据,如市场主体数据、人口数据,然后通过“以点带面”的形式,逐步扩大共享数据范围,最终实现长三角区域数据一体化建设。

第七十四条 本市依托全国一体化政务服务平台建设长三角数据共享交换平台,支撑长三角区域数据共享共用、业务协同和场景应用建设,推动数据有效流动和开发利用。

本市与长三角区域其他省共同推动建立以需求清单、责任清单和共享数据资源目录为基础的长三角区域数据共享机制。

【律师解读】

本条写明了长三角区域数据一体化建设的主要方法,通过构建一体化数据共享交换平台,以“清单+目录”为基础,实现长三角区域的数据共享,关于数据交换平台和清单目录建设的意义和优势,已在《条例》第三章公共数据进行详细解读,再次不过多进行重复论述。

第七十五条 本市与长三角区域其他省共同推动建立跨区域数据异议核实与处理、数据对账机制,确保各省级行政区域提供的数据与长三角数据共享交换平台数据的一致性,实现数据可对账、可校验、可稽核,问题可追溯、可处理。

【律师解读】

关于数据质量及数据管理监管,可见第三章第一节相关解读。

长三角数据一体化建设,共同的数据标准和数据库是基础,数据共享交换平台和清单目录是数据共享的实现方式,本条的数据质量和数据管理监督是数据共享的保证。

第七十六条 本市与长三角区域其他省共同促进数字认证体系、电子证照等的跨区域互认互通,支撑政务服务和城市运行管理跨区域协同。

【律师解读】

本条提出的数字认证体系、电子证照跨区域互通具有重要的实践意义,也是最有可能完成的领域。因为在数据跨市流通的过程中,各区域数据治理能力不一,数据技术条件不一,众多领域的数据仍未达到共享条件,数字认证、电子证照的数据技术要求不高,如果能实现跨区域的数据共享,将会为区域企业带来极大的便利。

第七十七条 本市与长三角区域其他省共同推动区块链、隐私计算等数据安全流通技术的利用,建立跨区域的数据融合开发利用机制,发挥数据在跨区域协同发展中的创新驱动作用。

【律师解读】

本条类似论述已在上文出现多次,此处只不过更换成跨区域流动,故再次不过多进行重复论述。

第八章  数据安全

第七十八条 本市实行数据安全责任制,数据处理者是数据安全责任主体。

数据同时存在多个处理者的,各数据处理者承担相应的安全责任。

数据处理者发生变更的,由新的数据处理者承担数据安全保护责任。

【律师解读】

《数据安全法》第二十七条第二款,“重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。”《个人信息保护法》第五十一条,“个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失。”《网络安全法》第二十一条,“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;”

三部法律中,均规定数据安全的责任主体是数据处理者,故本条属于直接引用三部法律的相关规定。

第七十九条 开展数据处理活动,应当履行以下义务,保障数据安全:

(一)依照法律、法规的规定,建立健全全流程数据安全管理制度和技术保护机制;

(二)组织开展数据安全教育培训;

(三)采取相应的技术措施和其他的必要措施,确保数据安全,防止数据篡改、泄露、毁损、丢失或者非法获取、非法利用;

(四)加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;

(五)发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告;

(六)利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务;

(七)法律、法规规定的其他数据安全保护义务。

【律师解读】

本条的数据安全保障义务可归纳为以下六点:安全制度建设、安全教育培训、技术措施保障、风险监测、数据安全事件报告。(兜底条款除外)

上述六点是对《数据安全法》第二十七条第一款、第二十九条的复述。采用半列举式,明确了数据处理活动过程中的数据安全保障义务,之后通过第七项进行兜底,防止《条例》没有规定的新情况出现。

第八十条 本市按照国家要求,建立健全数据分类分级保护制度,推动本地区数据安全治理工作。

本市建立重要数据目录管理机制,对列入目录的数据进行重点保护。重要数据的具体目录由市政府办公厅会同市网信等部门编制,并按照规定报送国家有关部门。

第八十一条 重要数据处理者应当明确数据安全责任人和管理机构,按照规定定期对其数据处理活动开展风险评估,并依法向有关主管部门报送风险评估报告。

处理重要数据应当按照法律、行政法规及国家有关规定执行。

【律师解读】

第八十和八十一条的中数据分类分级保护制度及重要数据目录机制,主要引用了《数据安全法》第二十一条。

个人认为,本条中最为关键的重要数据的定义和范围并未写明。

关于重要数据定义,在《信息安全技术 数据出境安全评估指南(征求意见稿)》的附录A《重要数据识别指南》中写明:重要数据是指相关组织、机构和个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据),一旦未经授权披露、丢失、滥用、篡改或销毁,或汇聚、整合、分析后,可能造成以下后果:

a)危害国家安全、国防利益,破坏国际关系;

b)损害国家财产、社会公共利益和个人合法利益;

c)影响国家预防和打击经济与军事间谍、政治渗透、有组织犯罪等;

d)影响行政机关依法调查处理违法、渎职或涉嫌违法、渎职行为;

e)干扰政府部门依法开展监督、管理、检查、审计等行政活动,妨碍政府部门履行职责;

f)危害国家关键基础设施、关键信息基础设施、政府系统信息系统安全;

g)影响或危害国家经济秩序和金融安全;

h)可分析出国家秘密或敏感信息;

i)影响或危害国家政治、国土、军事、经济、文化、社会、科技、信息、生态、资源、核设施等其它国家安全事项。

在《重要数据识别指南》中,也列明了各行各业重要数据的范围。不过需要说明的是,《信息安全技术 数据出境安全评估指南(征求意见稿)》仅是征求稿,并未正式发布,故仍需后续出台相关规定。

第八十二条 市级责任部门应当制定本系统、行业公共数据安全管理制度,并根据国家和本市数据分类分级相关要求对公共数据进行分级,在数据收集、使用和人员管理等业务环节承担安全责任。

属于市大数据中心实施信息化工作范围的,市大数据中心应当对公共数据的传输、存储、加工等技术环节承担安全责任,并按照数据等级采取安全防护措施。

【律师解读】

本条明确了公共数据安全的责任主体。市级责任部门负责:本系统、行业的公共数据安全管理制度制定;对公共数据进行安全分级;在数据收集、使用和人员管理等业务环节承担安全责任。

市大数据中心负责:对公共数据的传输、存储、加工等技术环节承担安全责任;按照数据安全等级提供安全防护措施。

其实早在2019年8月上海市政府就发布了《上海市公共数据开放暂行办法》,其中也明确提出了公共数据安全保障的相关内容,且相比《条例》,《暂行办法》的规定更加全面,也更加具体。

第八十三条 本市按照国家统一部署,建立健全集中统一的数据安全风险评估、报告、信息共享、监测预警机制,加强本地区数据安全风险信息的获取、分析、研判、预警工作。

【律师解读】

本条与《数据安全法》第二十二条的规定一致,通过市级层面建立统一的数据安全风险机制,努力做到提前发现风险、预防风险、解决风险。

在《条例(草案)》中,八十三条还规定了第二款“数据处理者应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施。”但在正式版本中删除了该款,个人认为,原因应该是该第二款与第七十九条第四款的规定重复。

第八十四条 本市按照国家统一部署,建立健全数据安全应急处置机制。发生数据安全事件,市网信部门应当会同市公安机关依照相关应急预案,采取应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。

【律师解读】

本条与《数据安全法》第二十三条的规定一致,明确了安全应急处置机制的实施主体:市网信部门和市公安机关。应急处置的好坏,会较大程度地影响数据安全事件所造成的后果。建立数据安全应急机制,在数据安全事件发生后,及时启动应急预案并采取相应的应急处置措施,并及时向公众发布与公众有关的警示信息,能够有效减少事件造成的损失和危害。

第八十五条 本市支持数据安全检测评估、认证等专业机构依法开展服务活动。

本市支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。

【律师解读】

本条与《数据安全法》第十八条的规定一致,对于企事业单位而言,数据安全必将成为企事业单位的一张名牌,数据安全工作做得好,对企事业单位的形象而言绝对是添光加彩,反之则会影响声誉,降低公众的信任以及好感度。数据安全检测评估、认证等服务构成了数据安全的社会化服务体系,有助于协助企事业单位发现数据安全方面存在的问题并加以改进和完善。

第九章  法律责任

第八十六条 违反本条例规定,法律、行政法规有规定的,从其规定。

【律师解读】

从效力层级来看,条例的法律位阶低于法律及行政法规,故冲突部分当然的适用上位法规定。

第八十七条 国家机关、履行公共管理和服务职责的事业单位及其工作人员有下列行为之一的,由本级人民政府或者上级主管部门责令改正;情节严重的,由有权机关对直接负责的主管人员和其他直接责任人员依法给予处分:

(一)未按照本条例第十六条第二款规定收集或者使用数据的;

(二)违反本条例第二十七条第二款规定,擅自新建跨部门、跨层级的数据资源平台、共享、开放渠道,或者未按规定进行整合的;

(三)未按照本条例第二十八条规定编制公共数据目录的;

(四)未按照本条例第三十条、第三十三条、第三十八条、第三十九条、第四十条、第四十二条规定收集、归集、共享、开放公共数据的;

(五)未按照本条例第三十五条第一款规定履行公共数据质量管理义务的;

(六)未通过公共数据开放或者授权运营等法定渠道,擅自将公共数据提供给市场主体的。

【律师解读】

《条例》的法律责任方面与其他法律不同,仅明确规定了国家机关、履行公共管理和服务职责的事业单位的法律责任,却未提及其他相关主体的法律责任。

同时,本条六项的行为均涉及公共数据的管理,这也从侧面体现出《条例》对以公共管理与服务机构为主导的公共数据尤为重视。

第八十八条 违反本条例规定,依法受到行政处罚的,相关信息纳入本市公共信用信息服务平台,由有关部门依法开展联合惩戒。

【律师解读】

《条例》规定将违例行为纳入征信系统,以信用惩戒作为新的处罚措施。对于企业来说,这一处罚措施的后果首先是受到政府各相关部门的处罚和限制,其次企业经营异常名录的相应记载公示也可能导致企业失去市场商业机会。因为以上原因,信用惩戒的处罚效果会比罚款等传统处罚措施的效果更为明显。

第八十九条 违反本条例规定处理个人信息,侵害众多个人的权益的,人民检察院、市消费者权益保护委员会,以及由国家网信部门确定的组织,可以依法向人民法院提起诉讼。

【律师解读】

本条与《个人信息保护法》第七十条的规定一致,确定了“个人信息公益诉讼制度”。

我国公益诉讼的提出一般较为严格,需要具备一定的社会性,也需要明确的法律依据作为支撑。因此,本条设置的目的是给检察机关、市消费者权益保护委员会、国家网信部门确定的组织等单位提起个人信息公益诉讼的权利,为维护众多个人权益遭到侵害的个体,提供了获取救济的可能。

第十章  附则

第九十条 除本条例第二条第四项规定的公共管理和服务机构外,运行经费由本市各级财政保障的单位、中央国家机关派驻本市的相关管理单位以及通信、民航、铁路等单位在依法履行公共管理和服务职责过程中收集和产生的各类数据,参照公共数据的有关规定执行。法律、行政法规另有规定的,从其规定。

【律师解读】

在《条例》第二条公共数据的【律师解读】中有提到,相较于深圳和浙江,本《条例》对于公共数据的定义中未提及海关、统计、税务、人民银行、银保监等国家有关部门的数据。本条规定则对此进行了回应。个人认为,可能是因为在第六章新区数据改革提及了相关单位,为了体系完整而增加本条。

第九十一条 本条例自2022年1月1日起施行。

【律师解读】

本条规定了《条例》具体的施行时间。《条例》施行时间尚未到来,但是《条例》中的部分规定在数据实践中已经出现。例如,上海数据交易所已于11月25日在浦东新区揭牌成立。故在此建议相关企业,抓住实施前的空档期,做好企业规划,争取把握政策红利,成为数据领域领跑者。

相关研究