沪深两地同时实施「数据条例」:企业需要关注这几个方面
一月 13, 2022
作者:董皓
2022年1月1日,《上海市数据条例》(简称“上海条例”)和《深圳经济特区数据条例》(简称“深圳条例”)于同一天正式实施。这两部条例是中国地方立法机关在他们的权力范围内,对数据治理、数据交易及它们与隐私保护之间的平衡的尝试。
总体而言,深圳在个人信息保护和信息安全等领域着墨较多,而上海则将重点放在公共(政府)数据的共享和利用方面。企业应选择既了解当地执法环境、又真正懂得数据处理技术原理的专业律师,对数据安全政策和个人信息保护措施进行梳理。
以下简要介绍两地数据条例中,值得企业管理层和法务部门特别关注的领域。
承认数据上的“财产权益”
上海条例承认了企业对其经营过程中所获取、生成的数据集享有一定的“财产权益”。企业将其所收集的原始个人数据进行清洗、筛选后的数据集也享有财产权益。由于中国的地方性立法机关无权新增法定财产权,上海条例使用了“保护法定或者约定的财产权益”的措辞,维持了模糊度。不过,这部条例中,鼓励经过去标识化和匿名化的数据的流动的目的,还是十分清楚的。
深圳条例也用了相同的立法技术,宣布当地会保护“法律规定”的财产权益。
对于从事企业并购、重组或风险投资的机构而言,如果投资对象属于较大规模的数据处理者,或者其商业模式和估值中,数据占有相当的地位,也应尽早引入数据法律顾问协助交易的完成。数据法律专家可以评估投资对象的数据资产的规模、数据的可交易性、数据交易前的“数据清洗”成本、数据存储和传输过程中的安全成本,以及交易完成后的合规风险水位等问题。然后对相应的交易框架、交易文件的内容以及交易条件的设定等事项,作出新的、贴地的安排。
建立“数据交易所”
上海条例明确说明其鼓励数据交易,支持数据交易服务机构的发展。并且明确数据交易主体可以自主对其数据集定价。深圳条例也规定,企业合法处理数据所形成的“数据产品”或“服务”,可以进行交易,但可交易的数据不能包括“未获授权”的个人数据和“未经依法开放的公共数据”。
两地条例中都特别提到了当地政府鼓励建立数据交易服务机构,也即“数据交易所”(Data Exchange)。事实上,政府背书的上海数据交易所已于2021年11月25日正式成立。除了为数据交易提供场所与设施外,上海数据交易所所还将承担组织和监管数据交易的职责。深圳政府也在非常积极地推动当地数据交易所的成立,相信在非常近的未来会正式挂牌。
便利数据跨境流动
中国中央政府一级的法律在总体上对数据跨境流动持开放态度。但是,对于哪些数据不能跨境流动,中央一级法律的规定较为概括、不够具体。这为执法机构提供了选择性执法的可能,也让企业增加了不确定性。
为缓解这个问题,上海条例尝试采用“低风险跨境流动数据目录”的方式,告知企业哪些数据可以跨境流动。这有利于企业在设计其数据处理方案的过程中,增加确定性。深圳条例在数据跨境方面,未有特别的规定。
公共(政府)数据的共享和利用
两地的条例都用较大篇幅对公共(政府)数据的共享和利用作出了规定。例如,两地都规定公共管理和服务机构的数据,以共享为原则,不共享为例外。上海条例还专门对怠于编制公共数据目录(以利于数据的共享)的政府部门及其人员作出了处罚规定。
为政府部门提供公共数据管理和处理服务的企业,宜聘请顾问仔细分析有关条款的精神,并追踪它们的实施情况,针对性地调整自己的商业策略和合规体系。
个人信息保护的额外要求
深圳条例用较大篇幅规定了收集、处理和使用个人信息的过程中所应当承担的合规义务。这些义务总体上与中国《个人信息保护法》的规定一致,但对某些特定的数据处理行为的规范更加细致。例如:除列明的例外情况外,企业在向他人提供个人数据前,需要进行去标识化处理,使得被提供的个人数据在不借助其他数据的情况下无法识别特定自然人。并且,企业还应将去标识后的数据与原始数据分开存储。此外,深圳条例在信息安全领域也有较多着墨。
上海条例也用了十余个条文规定个人信息的保护。其中尤其强调了公共场所的监控系统的限制、自动化决策系统的规则,以及与生物识别信息有关的合规要求等内容。因此,在与两地企业就数据传输和处理进行合作前,应联络专业的数据律师,审阅有关交易条款的合法性,并对交易对手的合规水位作出评估。
数据合规是系统工程,不同城市的执法机关的关注点各不相同。因此,企业除了对照法律文本在细节上修正自己的经营活动,还应聘请有全局经验的数据法律专家,从整体上梳理自己的数据处理体系,发现合法利用数据的价值增长点。这样的思路,不但可以排除当前的合规风险,而且能为大数据环境下的企业发展提供前瞻性的支持。
* * * * *
(作者董皓律师,系国际隐私从业者协会认证信息隐私管理人(IAPP/CIPM)、香港个人资料保护专员协会会员、数字亚洲研究中心指导委员会委员)
返回
