.png)
.png)
.png)
.png)
2021年9月30日,上海市人大常委会法制工作委员会于解放日报、上海法治报、东方网(www.eastday.com)、新民网(www.xinmin.cn)、上海人大网、“上海人大”微信公众号上全文公布了《上海市数据条例(草案)》(征求意见稿)(下称《条例》)及相关说明,向社会广泛征求意见。
2021年10月14日,浦东人大代表工作小组、上海瀛泰律师事务所数据合规业务委员会成员在上海瀛泰律师事务所大会议室召开了《上海市数据条例(草案)》(征求意见稿)研讨会,对各成员前期提出的修改意见进行深入研讨。
首先,上海瀛泰律师事务所高级合伙人、浦东人大代表工作小组负责人、瀛泰数据合规业务委员会主任章煦春律师就本次研讨会的会议背景进行了介绍。她表示,2021年是我国数据合规的元年。《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》陆续出台,这三部法律构筑了我国数据合规的法律基础。国家相关部门加大了对重点企业的网络安全审查和数据合规监管,包括2021年7月国家网络安全审查办公室对部分互联网上市企业启动网络安全审查。数字化转型时代,这一系列数据合规监管行动对各行业带来极为重大而深远的影响。当前,上海制定一部数据领域的综合性地方法规,是落实体现国家政策和上位法精神,固化数字改革创新经验,为上海全面推进城市数字化转型提供基础性制度保障的重要举措。今天的研讨会希望大家结合自己的专业领域,针对《条例》发表修改建议,我们会后将总结研讨成果,向上海市人大常委会法制工作委员会反馈意见。
之后,与会律师各抒己见,逐条对《条例》的修改发表了自己的看法。
章煦春律师指出,2016年11月7日通过、2017年6月1日起施行的《中华人民共和国网络安全法》(下称《网络安全法》)在保障网络安全、维护网络数据的完整性、保密性和可用性,以及促进数据资源开发利用及网络运营者个人信息保护义务等方面均作了相应规定,该法与《中华人民共和国数据安全法》(下称《数据安全法》)和《中华人民共和国个人信息保护法》(下称《个人信息保护法》)之间相辅相成,构建了网络安全、数据安全、个人信息保护的完整体系。因此,从立法目的角度考虑,《条例》第1条(立法目的)应加入《网络安全法》作为立法依据之一。
江军律师认为,《条例》第2条(基本定义)第2项中应增加“提供”和“删除”。首先,《中华人民共和国民法典》(下称《民法典》)第1035条、《数据安全法》第3条、《个人信息保护法》第4条均在个人信息的处理中规定了“提供”。其次,《个人信息保护法》第4条更是明确增加了“删除”,这使得个人信息处理活动的范围更为周延,同时对个人信息保护中存在的“不当删除”、“不便删除”、“怠于删除”和“无效删除”等侵犯个人信息权益的行为,起到了更好的规制效果。更何况,本条例第18条亦明确赋予了自然人享有数据删除权,在定义中理应予以明确。
黄顺刚律师建议《条例》应明确“重要数据”的定义。本条例第78条(数据分类分级保护制度)中特别指出本市将建立重要数据目录管理机制,对列入目录的数据进行重点保护。本条例第79条(重要数据安全)更进一步指出“重要数据处理者应当明确数据安全责任人和管理机构,定期对其数据处理活动开展风险评估,并向行业主管部门、市网信部门和公安机关报送风险评估报告。处理重要数据应当按照法律、行政法规及国家有关规定执行。”鉴此,建议在第2条后增加第5项,依据国家互联网信息办公室关于《个人信息和重要数据出境安全评估办法(征求意见稿)》第17条的规定,对重要数据的定义加以明确。
张进律师对《条例》中一些条款的语义表达作了分析。第一,《条例》第2条第4项的“提供”与“供水、供电、供气”中的“供”字,语义明显冲突,建议修订。第二,《个人信息保护法》第4条对个人信息的概念予以明确定义,即“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”因此,在文义描述上,无须再强调“自然人个人信息”。同时,基于《数据安全法》第3条明确“数据,是指任何以电子或者其他方式对信息的记录”,既然本条是对自然人提供个人信息的知情权、同意权的保障,更不建议描述为“自然人个人信息的数据的”。此外,将“收集自然人非公开数据”重新定义为“收集非公开个人信息”更为准确,符合法律用语的规范性和严谨性。同时,他对第18条(更正和删除)提出了同样的意见,建议将“个人信息的数据的”,统一修改为“个人信息”更为严谨。
王华律师首先对章煦春律师提出的第1条应增加《网络安全法》作为立法依据之一表示赞同。因为《条例》第77条第6项“利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务;”的规定,明显源引于《网络安全法》第21条之国家实行网络安全等级保护制度的相关规定。其次,王华律师对第22条(人脸识别技术运用规范)第1款提出了修改建议。她认为,根据《个人信息保护法》第26条的规定,在个人图像和身份识别信息的保护原则上,取得告知同意是原则,不需要取得同意是例外。因此,即便处于维护公共安全所必需,也必须限制在“遵守国家有关规定”的范畴内。更何况,根据最高人民法院已经颁布实施的《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第2条明确“在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析;……”的行为属于侵害自然人人格权益的行为。由此,数据处理者即使出于维护公共安全所必需,也应当在国家规定的范畴内进行人脸识别的安装和信息采集。
刘榕律师对第67条(数据跨境流动)的修改提出了建议。她指出,《中国(上海)自由贸易试验区临港新片区发展“十四五”规划》在第三篇章“主要任务”的第(四)部分“发展配置全球高端要素资源的现代服务业”的第4点“加快发展数字经济”中提到:“探索建设国家数据跨境流动试验示范区......开展数据跨境流动安全评估,搭建跨境数据流通公共服务平台,确保数据跨境安全可控。”可见,数据跨境的重要前提是要进行数据跨境流动安全评估。原条文仅规定了要制定跨境流动数据目录,没有提到安全评估的必要性,建议予以修改,毕竟数据跨境首先应在保障安全的前提下流动,而非完全的自由流动。
冯忞律师针对《条例》第5条(部门职责)发表了看法。《网络安全法》第31条第1款规定:“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。”此外,《数据安全法》第6条第2款也规定交通主管部门应承担本行业、本领域数据安全监管职责。可见,“交通”是关键信息基础设施的运行安全体系中的重要行业和领域,比如拥有大量数据且涉及到数据跨境的航运物流业,以及涉及到海量个人信息收集的车联网行业,均属于交通领域。鉴此,建议在“物价”后增加“交通”部门。
戴书晖律师对第13条(数据收集权益)提出了修改意见,她认为《数据安全法》明确指出数据处理活动应当遵循合法、正当、必要之原则,但《数据安全法(二审稿)》删除了一审稿中“不得超过必要限度”的表述,避免了与“应当在法律、行政法规规定的目的和范围内”产生歧义,从而要求法律法规对收集、使用数据的目的、范围有规定的必须严格按照规定进行,不必再考量“何为必要限度”的问题,对数据处理活动的必要性给予了更严格的要求,体现了法律用语的规范性和严谨性。最终颁布的《数据安全法》亦完全采纳了《数据安全法(二审稿)》的提法。因此,为避免与上位法相冲突,建议删除“不得超过必要的限度”该用语。戴书晖律师接着指出第15条(数据交易权益)第2款的表述易引起歧义。从文义来看,数据交易包括合法的数据交易和非法的数据交易。必然只有通过合法的数据交易获取的财产利益才会受到法律保护,故建议在“数据交易”前增加“合法”二字。
杜逸文律师指出,《数据安全法》第21条规定:“国家建立数据分类分级保护制度”,其后各款中也是采用“分类分级”的表述;本条例第78条亦使用了“分类分级”的表述。因此,建议第65条(数据交易所)条中的“分类分层”改为“分类分级”,以同上位法保持一致。
许运平律师认为,除了仲裁,处理争议的方式常见的还有协商、调解、诉讼等。例如,2021年9月26日,全国首个涉数据纠纷专业合议庭在广州互联网法院挂牌成立。因此,对于本《条例》第46条(建设目标)单单载明通过仲裁途径解决争议,与我国多元化纠纷解决机制改革的方向不符,故而建议将该条中的“争议仲裁”改为“争议解决”。
在本次研讨会的尾声,几位律师对于《条例》第12条(通用原则)第1款中规定的个人信息数据的权益属性,展开了热烈的讨论。最后,大家统一意见认为,《民法典》第1034条第1款规定,“自然人的个人信息受法律保护。”该条虽然在《民法典》第四编“人格权”之第六章,但条文本身并未明确个人信息为人格权。《个人信息保护法》第1条开宗明义明确规定:“根据宪法,制定本法”。可见,《个人信息保护法》所赋予公民的个人信息权益的类型和内涵较《民法典》中的规定更为宽广和丰富。据《全国人民代表大会宪法和法律委员会关于〈中华人民共和国个人信息保护法(草案)〉审议结果的报告》所载明,在全国人大常委会对《个人信息保护法草案(三次审议稿)》进行审议时,全国人大宪法和法律委员会在关于《个人信息保护法》修改情况的汇报中提到:“我国宪法规定,国家尊重和保障人权,公民的个人尊严不受侵犯,公民的通信自由和通信秘密受法律保护。制定实施本法对于保障公民的人格尊严和其它权益具有重要意义。”由此可以看出,《个人信息保护法》所保护的个人信息权益与宪法所规定的公民基本权利具有密切关系,《个人信息保护法》的方方面面都体现了对公民基本权利的尊重与保护,该权利并非仅仅是人格权益。为保持和上位法规定的一致性,建议予以修改,在“人格权益”后增加“和其它合法权益”。
最后,章煦春律师对各位与会律师对《条例》的认真研究表示赞扬。经过2021年10月2日、10月6日以及10月12日三次会议讨论,加上本次研讨会的交流,浦东人大代表工作小组、上海瀛泰律师事务所数据合规业务委员会形成了《〈上海市数据条例(草案)〉(征求意见稿) - 瀛泰意见反馈》,该《意见反馈》针对《条例》的12个条文提出了15个修改建议,并于同日向上海市人大常委会法制工作委员会提交。
