作者:楼仙英 虞磊珉 王兴华 叶凯 金杜律师事务所知识产权部
四个关键词表达主要内容
加强个人信息保护
管理数据出境风险
培育数据要素市场
促进数字经济发展
近日,深圳出台了《深圳经济特区数据条例》,将于2022年1月1日起正式实施,这被称为国内数据领域首部基础性、综合性立法。
当下社会,数据和信息毫无疑问是最有价值的资源与资产,但同时隐私保护、网络安全、国家安全和国际冲突环境等问题也带来了诸多不确定的挑战。近年来,各国和我们国家,从国家到地方层面,数据立法均提上日程。
目前国内的个人信息保护与数据安全相关的监管要求散见于各类法律法规中,而《深圳经济特区数据条例》的一大特征就是按照一定的数据归类标准,将这些监管规则进行了整合与梳理,并结合现有市场情况对部分原则性要求进行了细化。这有助于在国家既有数据立法体系内建立符合地方执法需求的数据监管制度,对有效落实地方数据合规监管而言,具有十分重要的意义。
从内容上来看,《深圳经济特区数据条例》在全国性数据保护规则的基础上,结合日常生活工作中处理个人信息的不同场景做了一定的灵活性处理,例如,在《民法典》以及国家标准《个人信息安全规范》规定的“授权例外”范围之外,增加了“数据处理者因人力资源管理、商业秘密保护所必需,在合理范围内处理其员工个人数据”的个人信息主体授权例外情况,填补了针对企业员工的个人信息处理活动的立法空白。
《深圳经济特区数据条例》有不少条款涉及加强个人信息保护,例如明确处理个人数据的“最小必要”原则,确立以“告知—同意”为前提的个人数据处理规则,自然人有权拒绝数据处理者对其进行用户画像和基于用户画像进行的个性化推荐,大数据“杀熟”最高可罚5000万等等。
以上内容并未脱离既有监管框架,延续并重申了国家立法所确定的“最小必要”原则、“告知—同意”、个人信息主体选择权等个人信息保护监管规则;同时也体现了自身在规则细节设置方面的灵活性与先行性。
数据出境的风险主要体现在国家安全、个人信息保护以及跨境产业发展等方方面面。
数据出境风险需要高度重视。关于数据出境主要的风险如何管理,《深圳经济特区数据条例》也有相关规定,数据处理者向境外提供个人数据或者国家规定的重要数据,应当按照有关规定申请数据出境安全评估,进行国家安全审查。
我国对于可能影响国家以及居民安全的数据出境安排一直都采取严格监管态度,这在关键信息基础设施应当在本地存储数据,个人信息及重要数据出境应开展安全评估中均有所体现。
《深圳经济特区数据条例》还涉及了如何实现数据要素价值的问题。例如,建立健全数据标准体系,支持制定相关各类地方标准、行业标准、团体标准和企业标准等等。可以预见,该条例对加快培育数据要素市场,促进数字经济发展将起到重要作用。
最后,我们来研究一下数据权或者说数据产权的概念。《深圳经济特区数据条例》在2020年首次征求意见稿中,提及了“数据权”的概念,并针对市场主体就数据要素的应用规定了详细的规则,是全国范围内首个对综合性数据财产权做出明确规定的地方意见稿,在数据要素应用方面提出了很多积极意见。正式稿虽然大幅删减了与数据权有关的内容,但第四条仍保留了“数据财产权”的内容,认可自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及本条例规定的财产权益。同时,在征求意见稿的基础上,正式稿明确规定数据财产权的主张需以“不得危害国家安全和公共利益,不得损害他人的合法权益”为前提,厘清了数据财产权、人格权以及国家主权在权益保护层面的优先顺位问题,确定了后续数据要素的商业应用以及权益主张的基本原则。在公共数据的使用方面,正式稿删除了征求意见稿中提及的“公共数据属于新型国有资产,其数据权归国家所有”的规定,不再强调国家对公共数据的绝对所有权,体现了公共数据“取之于民、服务于民”的监管思路,有益于公共数据在商业领域的流通与应用。
可以说,与征求意见稿相比,正式稿在处理“监管、保护和发展”三者关系的问题上采取了更为科学、严谨的策略,在严格遵守国家数据安全与保护监管要求的同时,亦为数据要素的商业应用与市场发展预留了灵活性空间,更为贴合国家目前在个人信息保护以及数据安全方面的监管与市场发展综合需求。
就未来数字经济发展而言,后续的挑战仍将集中在如何平衡个人信息保护、数据安全、数据流动和价值利用上,以及如何平衡跨境数据流动与合作中的国际法律冲突。
综上,未来数据企业乃至整个数字行业发展,肯定是监管、保护和发展并重的局面,互联网经济前十年中数据裸奔的时代将不复存在。数据、数据要素,数字化、数字经济,这些词汇将每天都环绕在我们周围,数据和信息成为最有价值的资源和资产,但同时网络安全和国家安全两柄利剑高悬在上,加强隐私保护的呼声再加上多变的国际环境,让中国企业面临着境内外诸多不确定的挑战。
期待各位关注金杜数字经济国际法律服务中心,在这里我们一起研究、一起探索,迎接挑战、面向未来。