《深圳经济特区数据条例征求意见稿》.docx
《《深圳经济特区数据条例征求意见稿》.docx》由会员分享,可在线阅读,更多相关《《深圳经济特区数据条例征求意见稿》.docx(125页珍藏版)》请在冰点文库上搜索。
《深圳经济特区数据条例征求意见稿》
《深圳经济特区数据条例(征求意见稿)》
公众意见汇总表
序号
个人/单位
意见或建议
1
个人
第1章总则
1)建议明确条例的适用性:
是注册在特区的法人,对于未注册在特区,但在特区有分支机构,或仅数据仓库、服务器在特区是否适用?
注册在特区,但实际运营场所不在特区是否适用?
2)建议明确“数据权”与上位法的关系:
《条例》对数据权属的定义,存在超越立法权限的争议。
数据权在目前的《民法典》和《数据安全法》(征求意见稿)没有提,关于数据权与国家立法的衔接关系需要进一步明确。
3)建议《条例》对数据权属进行更加细致的划分:
“数据权”的定义造成隐私权与财产性的数据权属的混同:
《条例》规定,个人数据包括个人信息数据和隐私数据,同时也规定,自然人享有对特定数据的处分、收益、损害赔偿权利。
根据《民法典》,隐私权作为具体人格权,个人信息作为重要的人格法益,与财产权有着完全不同的属性。
隐私权侧重保护不为人知的个人私密信息,数据权侧重于数据的流通与利用。
建议《条例》对数据权属进行更加细致的划分。
一是在肯定基于某些特定个人信息获得收益的权利的同时,禁止基于隐私数据的收益。
二是对个人敏感信息的收集、使用、收益等问题进行更深入的研究。
第二章个人数据保护
1)建议明确“数据处理者”的具体定义;
2)建议明确“个人衍生数据”的具体内容和范围。
第三章公共数据管理和应用
1)建议明确“公共数据”的范围:
金融行业个人金融数据、自身经营数据等是否属于公共数据需要进一步界定,建议进一步明确公共数据的范围;
2)建议明确三类公共数据的界限:
公共数据分为无条件共享、有条件共享和不予共享三类,未有效明确三种类别界限,在数据治理实务中会存在分歧。
需进一步明确金融业公共数据中无条件共享、有条件共享和不予共享的数据定义和范围;
3)建议明确公共数据向社会开放的具体含义,以及具体开放方式、开放对象。
第四章数据要素市场培育
1)建议明确“数据要素市场主体”与“公共管理和服务机构”的关系和区别。
如银行是否属于“数据要素市场主体”范畴?
2)建议进一步细化数据价值以及价格的确定机制。
数据作为生产要素尽管有其特殊性,比如其可无限复制,不具有使用上的排他性,但其价格生成仍然应遵从市场交易原则确定。
另外,同一个数据,对不同人会具有不同价值,也会有不同的对价,第三方无论如何公正公平,也难以洞察所有这些约束条件,从而给出一个均衡价格。
2
个人
1.条例第二条关于适用范围的条款规定“法律、法规另有规定的从其规定。
”请问,如果条例与国家层面的立法或非强制性指南不完全一致,则是否只需按照国家层面的立法或指南执行?
2.我国现有的立法、规范性文件并没有严格界定“数据”的法律内涵和外延。
《数据安全法(草案)》规定,数据是指任何以电子或者非电子形式对信息的记录。
条例首次提出“数据权”的概念,但条例中“数据”的定义为,关于客体(如事实、事件、事物、过程或思想)的描述和归纳,是可以通过自动化等手段处理或再解释的素材。
条例对数据的定义似乎更广。
鉴于条例第二条规定“法律、法规另有规定的从其规定。
”建议能统一对数据的法律内涵和外延的理解,以利于对数据主体权利的保护。
3.条例第五十二条规定,数据要素市场主体收集重要数据或隐私数据应向市网络安全主管部门备案。
备案内容包括收集、处理规则,收集、处理的目的、规模、方式、范围、类型、期限、安全管理措施等,不包括数据内容本身。
第五十四条规定,数据要素市场主体应对收集、处理个人数据的合法性、正当性、必要性向市网络安全主管部门备案。
建议明确该等备案要求的性质、适用范围(如特区外自然人、法人和非法人组织以特区内自然人、法人和非法人组织为对象开展的数据活动是否也需向深圳市网络安全主管部门备案)、适用条件(如达到何种标准的数据收集、处理才需要备案)、时间要求等,使上述备案要求更具有可操作性。
4.条例第六十九至七十二条明确了“深港澳数据融通机制”,鼓励深港澳企业数据的融通,通过企业数据跨区域融通促进深港澳地区数据开发、数据技术发展和科技创新合作。
建议细化鼓励深港澳企业数据融通的措施,例如,考虑在第九十四条中明确:
符合第六十九至七十二条明确的“深港澳数据融通机制”的数据跨境,可以豁免审批。
5.第九十四条中规定:
因业务需要,确需向境外提供个人数据的应当获得该自然人明示同意,并向市网络安全主管部门申请个人数据出境安全评估。
对于重要数据的出境,数据收集、处理者经行业主管部门同意后报市网络安全主管部门批准。
建议将具体评估原则和标准予以明确。
此外,请问上述安全评估与《信息安全技术数据出境安全评估指南》要求的安全评估之间的关系?
3
个人
【公共数据国家所有的规定与现行法律相抵触】《深圳经济特区数据条例(征求意见稿)》第21条确立了公共数据国家所有的权属制度,明确规定“公共数据属于新型国有资产,其数据权归国家所有。
”该规定本质上是对公共数据所有权的规定,这一规定与《物权法》和《民法典》的规定相抵触。
根据《物权法》第45条和《民法典》第246条的规定,只有法律才能够对“国家所有即全民所有”加以规定,经济特区法规显然无法对公共数据国家所有加以创设性规定。
事实上,作为“公共数据能否归属国有资产”的依据,《国有资产产权界定和产权纠纷处理暂行办法》、《行政事业单位国有资产管理办法》均不属于行政法规,前者属于部门规章,后者则仅为规范性文件;而且,根据《行政事业单位国有资产管理办法》第2条的规定,国有资产应在法律上确认为国家所有(这恰好与《物权法》和《民法典》的规定一致)。
由此可见,公共数据国家所有的规定与现行法律相抵触,进而违反了《立法法》第90条的规定。
4
个人
第一条为了规范数据活动,促进数据资源共享开放和全面深度开发利用,保护自然人、法人和非法人组织数据权利和其它合法权益,加快新型智慧城市建设进程,提高市民生活品质,推动政府、企业数字化转型,提升城市治理和公共服务水平,加快数据要素市场培育,促进数字经济高质量发展,服务粤港澳大湾区和中国特色社会主义先行示范区建设,根据法律、法规的规定,结合深圳经济特区实际,制定本条例。
数据活动包括:
数据的生成(或创造)、数据存储、数据加工、数据提供、数据收集、数据使用、数据交易、数据公开和数据销毁等。
第四条【数据权】
数据是用于对自然人、组织机构、非人类生物、物体等本身以及与之相关内容进行记录或描述的符号。
单个数据或多个数据共同构成具有明确含义的表述为信息。
自然人、法人和非法人组织依据法律、法规和本条例的规定享有数据权,任何组织或者个人不得侵犯。
数据权是权利人依法对其自身或与之相关的数据的自主决定、控制、使用、处理、提供、收益、销毁、利益损害受偿的权利。
自然人本身以及与之相关的数据的数据权属于自然人,组织机构本身以及与之相关的数据的数据权属于组织机构,非人类生物、物体本身以及与之相关的数据的数据权属于生成或创造该数据的自然人或组织机构。
第十一条【个人数据权属】
自然人对其自身以及与之相关的数据享有数据权,任何组织或者个人不得侵犯。
自然人的数据权包括:
自由决定个人数据的生成、存储、加工、使用、提供、交易、公开、销毁等。
自然人有权知悉并决定数据收集、加工、使用者能否收集、存储、加工、使用、提供、公开、销毁其个人数据,以及收集、存储、加工、使用的目的、方式、范围等;除法律、法规另有规定外,自然人有权拒绝数据收集、加工者收集、存储、加工、使用、提供、公开、销毁其个人数据及衍生数据。
自然人可以向数据收集、存储、加工、使用者查阅或者复制其个人数据;发现个人数据有错误的,有权提出异议并请求及时采取更正等必要措施。
自然人发现数据收集、存储、加工、使用者违反法律、行政法规的规定或者双方的约定收集、存储、加工、使用其个人数据的,有权请求数据收集、存储、加工、使用者及时删除。
第十二条【收集、处理个人数据原则】
任何机构或个人收集、存储、加工、使用、提供个人数据应当遵循合法、正当、必要的原则,不得违反法律、法规和本条例的规定或双方的约定收集、存储、加工、使用、提供个人数据。
第十三条【收集、处理同意规则】
任何机构或个人收集、存储、加工、使用、提供个人数据应当征得自然人或者其监护人同意,但是法律、行政法规另有规定的除外。
同意包括明示同意和默示同意。
收集、存储、加工、使用、提供年满14周岁未成年人的个人数据应征得未成年人或其监护人的明示同意;不满14周岁的应征得其监护人的明示同意。
第十四条【撤回同意规则】
自然人有权随时撤回根据法律、法规和本条例的规定作出或被视为已经作出的同意,但不应影响在撤回前基于同意作出的合法的数据处理。
数据收集、存储、加工、使用、提供者不得利用服务协议以及技术等手段,对自然人撤回同意进行不合理限制或者附加不合理条件,不得向该自然人收取费用。
自然人撤回同意后,数据收集、存储、加工、使用、提供者应当对存储的数据及时有效销毁,法律、法规另有规定的除外。
第十六条【明示义务】数据收集、存储、加工、使用、提供者应当对数据收集、存储、加工、使用、提供者的基本信息,收集、存储、加工、使用、提供的目的、方式和范围,风险,安全保护措施,数据存储期限,以及数据权行使方式等个人数据收集、存储、加工、使用、提供规则以通俗易懂、明确具体、易获取的书面方式完整、真实、准确的向数据权享有者披露。
第十八条【收集、处理隐私数据】
除法律另有规定外,收集、存储、加工、使用、提供个人隐私数据应征得自然人的明示同意。
收集、存储、加工、使用、提供隐私数据时,应提供特别保护。
隐私数据适用有关隐私权的规定;没有规定的,适用有关个人数据保护的规定。
第二十条【个人数据收集、处理合法行为】
有下列情形之一的,数据收集、存储、加工、使用、提供者不承担民事责任:
(1)在该自然人或者其监护人同意的范围内合理实施的行为;
(2)收集、存储、加工、使用、提供该自然人自行公开的或者其他已经合法公开的个人数据,但是该自然人明确拒绝或者收集、存储、加工、使用、提供该个人数据侵害其重大利益的除外;
(3)收集、存储、加工、使用、提供个人数据是为了维护国家安全、公共利益、该自然人的合法权益;
(4)收集、存储、加工、使用、提供个人数据是为了该自然人履行合同的必要,或者收集、存储、加工、使用、提供个人数据是基于该自然人在签订合同前的请求;
(5)收集、存储、加工、使用、提供个人数据是为了履行数据收集、存储、加工、使用、提供者的法定义务;
(6)收集、存储、加工、使用、提供个人数据是为了执行公共领域的任务或履行数据收集、存储、加工、使用、提供者既定的公务职责;
(7)法律、法规规定的其他事项。
第二十二条【个人数据收集、处理违法行为】
数据收集、存储、加工、使用、提供者不得有以下行为:
(1)以欺诈、误导的方式收集、存储、加工、使用、提供个人数据;
(2)以强迫的方式收集、存储、加工、使用、提供个人数据;
(3)收集、存储、加工、使用、提供与其提供的服务无关的个人数据;
(4)隐瞒产品或服务所具有的收集、存储、加工、使用、提供个人数据的功能;
(5)法律、法规规定的其他禁止行为。
第二十三条【投诉举报】
自然人发现数据收集、存储、加工、使用、提供者违反法律、法规的规定或者双方的约定收集、存储、加工、使用、提供其个人数据的,可以向市网络安全主管部门投诉举报。
第五十六条【数据收集】
数据要素市场主体对其合法收集的数据享有根据其与数据权所有人之间达成的数据收集协议约定的权利,并承担根据数据协议的约定以及国家和省市相关法律法规规定的义务,但不享有该数据的数据权。
要素市场主体合法生成的自身以及与之有关的数据享有数据权,任何组织或者个人不得侵犯。
数据要素市场主体收集重要数据或个人隐私数据应向市网络安全主管部门备案。
备案内容包括收集、存储、加工、使用、提供、交易、公开、销毁数据的处理规则、目的、规模、方式、范围、类型、期限、安全管理措施等,但不包括数据内容本身。
第五十七条【数据存储】
数据要素市场主体应当对数据存储环境进行分域分级管理,选择安全性能、防护级别与其安全等级相匹配的存储载体,对重要数据进行加密存储。
第五十八条【个人数据收集、处理备案】
数据要素市场主体应对收集、存储、加工、使用、提供、交易、公开、销毁个人数据的合法性、正当性、必要性向市网络安全主管部门备案。
第五十九条【共享开放】
鼓励和引导数据要素市场主体共享、开放与民生紧密相关的数据,为公共管理和服务水平的提升提供数据支持。
数据要素市场主体共享、开放数据应当遵循合法、正当原则,不得损害国家和社会公共利益,不得损害自然人、组织机构或者他人合法权益。
第六十条【数据应用】
数据要素市场主体以其合法收集的数据和自身生成的数据为基础开发的数据产品的财产权益受法律、法规和本条例的保护,同时该财产权益也受数据要素市场主体与数据权利人之间达成的数据收集协议相关内容的约束。
第六十四条【交易定价】
数据交易平台应当从实时性、时间跨度、样本覆盖面、完整性、数据种类级别和数据挖掘潜能等多个维度构建数据定价指标,但数据交易价格应该由市场决定,即由数据交易双方协商决定。
第六十七条【服务平等要求】
数据要素市场主体不得利用技术手段,针对不同消费特征的自然人,对同一产品或服务在相同条件下设置差异化的价格。
(建议删除,交易价格由数据交易双方决定,市场主体无权决定价格。
)
第七节建立数据价值评估体系(建议删除,数据交易价格由市场决定,无需建立价值评估体系)
【名词解释】本条例下列用语的含义:
(1)数据活动,是指数据的生成(或创造)、数据存储、数据加工、数据提供、数据收集、数据使用、数据交易、数据公开和数据销毁等。
(二)个人数据包括个人隐私数据和个人非隐私数据。
个人隐私数据是指与自然人私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息密切相关的数据及其衍生数据。
个人非隐私数据是指个人隐私数据以外的其他数据。
5
个人
1、建议深圳打造“数据要素沙盒体系”,包括数权、科技、应急、产业、资本、治理、标准、跨境沙盒,形成创新与多元治理的产业发展体系,为数据要素赋能双区建设,提供制度层面保障。
2、建议区分数据主体权利和数据资产权利,按照数据生产或价值创设配置权利。
3、粤港澳大湾区数据跨区域、跨境流通存在一些独特障碍(法律制度不同、监管差异、标准不一致)。
建议利用多方计算、联邦学习、区块链等技术打通数据跨境、跨区域流通。
4、“数据要素市场主体收集重要数据或隐私数据应向市网络安全主管部门备案”的要求比较模糊,没有执行标准,会造成可操作性大幅降低。
企业备案后可以收集信息,而政府却难以监管,同时要考虑措施有可能给企业运营带来成本增加的风险。
5、“数据要素市场培育”一章有太多原则性的规定,让执行者无从下手。
6、传统的地域性科层制管理方式与数据的无边界流动之间存在的固有冲突有待弥合。
7、建议进一步加强数据定价方式研究。
8、数据应作为一种新型的财产形态,区别于物权和知识产权。
9、《条例》是数据条例,不是数据管理条例,规定内容不能首先就立足于管理。
10、建议对数据权的权利内容做进一步提炼和类别化。
11、《条例》草案第二章规定的“个人数据保护”建议用“自然人数据权保护”这一措辞。
12、深圳经济特区立法权内含了先行权、创造权、优先试验权,深圳通过特区立法确定数据权,属于先行先试的范畴。
13、数据权是大数据时代和数字经济时代催生出来的特殊权利,数据权就是数据权,人格权、财产权和知识产权都不能涵盖数据权权利性质的全部。
14、关于自然人、法人和其他组织数据权的平衡保护问题,《条例》第4条规定了数据权的主体为自然人、法人和其他组织。
《条例》草案第二章规定了“个人数据保护”,而按照正常的逻辑,《条例》接下来就应该规定“法人数据权保护”和“其他组织数据权保护”。
但是《条例》并未这样做,建议增加相应条款。
15、深圳没有国际条约缔约权,《条例》要么只涉及大湾区数据流动的合作机制,要么争取全国人大特别授权,赋予深圳在跨境数据流通领域的国际条约缔约权。
16、民法典已经对个人信息有了一个初步的规定,个人数据权会与民法典产生冲突,为个人设计数据权不合适。
17、《条例》区分个人数据与个人信息两个概念并且认为个人数据的范畴更广,认为个人数据包含了个人信息和隐私数据。
这个区分和当前理论界的普遍认识区别很大。
18、《条例》主张构建一个绝对权性质的的数据权,这种设置对数据的流通和利用来说不合理,其他企业或机构,再获取数据就会很不容易。
通过这一权利的构建并没有解决一个数据流通和利用的问题。
19、公共数据属于新型国有资产,认为数据权属于国家所有,但在条例解释中,公共数据也包含了个人数据,这跟条例中规定的个人数据权冲突了。
20、《条例》采用公共数据概念,而《数据安全法》采用的是政务数据。
这两者到底有什么区别?
有必要进一步研究。
21、建议引入新三板做市商制度解决交易定价的问题,最终实现数据资产要素的资本化、证券化。
22、建议对数据权的定义、性质、内容作严格、具体、限缩性的规定,同时严格界定个人数据与公共数据的范围。
23、《条例》应当对数据产权、数据利用秩序、数据要素产业化在不同时期各有侧重,目前应当以确立数据权为出发点,以建立健全良好的数据使用秩序为核心,以培育和发展数据要素市场为重点。
24、《条例》对数据概念或定义的表述不够明确、严谨、精准,也忽视了数据与信息不可分割的的关联关系。
25、对“衍生数据”的含义表述缺乏解释,《条例》中也没有表述“衍生数据”如何界定、确权、使用、限制、防控、保护、监管等。
26、《条例》对数据要素市场主体的解释为经营性商事主体,但现实生活活动中往往自然人在各种活动和在网上留下大量数据踪迹,这些大量数据实际上掌握在那些数据收集者和加工者手上;这些数据又如何确权,值得探讨明确。
27、《条例》开地方性数据立法之先河,在我国首次对数据权进行了明确的界定,具有重大的历史意义,堪与美国《加州消费者隐私法案》媲美。
28、《条例》对个人数据跟公共数据界限不够清晰,直接将个人医疗信息等数据划分为公共数据可能会存在隐私问题,但是如果将个人数据进行脱敏再汇总加工后,是可以成为公共数据的。
29、对数据要素的流通,可以以区块链技术不可篡改的特性对数据的监管、问题取证等进行一些技术的支持。
30、对《条例》的体例安排及逻辑性,建议专门设立组织机构一章,将现在散落在不同章节的包括政府职责,数据工作管理委员会,数据的统筹,数据的监管,数据的保障等等,归纳到组织机构一章中来。
31、立法的重点应该是政府掌握的公共数据的使用管理,市场主体的数据不是本条例主要应该考虑的,因为市场主体的数据已经使用多年,管理多年,也有现成法律约束。
政府公共数据的使用管理已经迫在眉睫,企业因为长期得不到有效数据而不能推进很多有利于国计民生的应用落地,而政府部门又因为没有相关规定,担心放出数据担责任,或者给政府数据管理人员产生了寻租空间,也不利于数字政府、阳光政府的早日实现。
6
市民
1、建议征集意见稿的第六条改为:
在市人大设立宪法法律和数据监督委员会或数据监督专门委员会,同时赋予市政府办公厅(或考虑政务服务局)相关决策会议召集及落实协调职责并赋予市审计监察机构政府数据审计职责。
由市政府办公厅(或考虑政务服务局)牵头召集市长或副市长负责的相关决策协调联系会议制度,对全市数据发展和保护工作中的重大事项进行决策,协调解决相关重大问题。
各区政府参照设立相应机构和制度。
2、建议征集意见稿的第十二条改为:
收集、处理个人数据应当遵循合法、正当、必要的原则,不得违反法律、法规和本条例的规定及双方的书面约定收集、处理个人数据。
3、建议征集意见稿的第二十条改为:
本条例所称“公共数据”是指本市各级行政机关和依法授权行使行政职能的组织以及具有公共管理和服务职能的企事业单位(以下统称“公共管理和服务机构”)在依法履职或提供公共管理和服务过程中收集或产生的,以一定形式记录、保存的各类数据及其衍生数据。
本条例所称具有公共公益职能的法人单位包括但不限于本市行政区域内与人民群众利益密切相关的教育、卫生健康、供水、供电、供气、供热、政策性金融、基础电信、公共交通等事业单位及市场法人单位。
4、建议征集意见稿的第二十一条改为:
非自然人的合法公共数据属于国有资产,其数据权归国家所有。
深圳市政府代为行使区域内公共数据的数据权,授权市数据统筹部门制定公共数据资产管理办法并组织实施。
维护国家安全、公共利益、该自然人的合法权益而收集的自然人和法人数据纳入政务数据收集清单目录并依法动态调整。
7
市民
1、市政府领导下的数据管理工作涉及的部门、机构、主体多,在数据安全、数据共享等具体方面政策、标准的制定中需要多个机构协同配合。
因此,为了确保《条例》相关规定的顺利落地并产生实效,建议对部门和机构间的职责、关系进行梳理,并从实施的角度进行推演、论证。
2、第五十四条个人数据收集、处理备案与第五十二、五十三条的关系需要梳理一下,收集备案的要求是否与第五十二条中提出的相同,“处理备案”有无具体要求?
3、个人数据与公共数据的权属不同,但中间的收集、处理、共享等环节共性的要求是否要考虑统一写,也可缩短篇幅。
8
单位
1、建议将第十六条【收集、处理隐私数据】修改为“除法律另有规定外,收集、处理隐私数据的数据控制者应征得自然人的明示同意。
收集、处理隐私数据时,应提供特别保护。
隐私数据适用有关隐私权的规定;没有规定的,适用有关个人数据保护的规定。
”
原因:
根据GB/T35273—2020《个人信息安全规范》及行业普遍实践情况,受托收集、处理个人数据的主体(“数据受托处理者”)在严格按照个人信息控制者的要求且该要求不超出已个人信息主体授权同意下,无需直接征得自然人授权同意。
建议此处明确需征得明示同意的主体类型为“数据控制者”。
2、建议将第二十一条【公共数据权属】修改为“公共数据属于新型国有资产,个人、数据要素市场主体可依法行使其数据权,国家在提供公共管理和服务范围内享有数据权。
深圳市政府代为行使区域内公共数据的数据权,授权市数据统筹部门制定公共数据资产管理办法并组织实施。
”
原因:
由于“公共数据”在本条例中被界定为在依法履职或提供公共管理和服务过程中收集或产生的、记录、保存的各类数据及其衍生数据,其中包含个人数据和企业数据,此条如果数据权归属国有,与第十一条、第五十二条数据权归属于个人、数据要素市场主体的规定存在潜在冲突。
比如个人公积金缴存数据、税务发票数据等,按照第二十条、第二十一条规定属于国有公共数据,将会产生数据权双重主体问题。
建议区分数据主体(个人、数据要素市场主体)和国家享有的数据权,前者是数据主体享有的完整权利;后者是在行政权限范围内享有数据权,基于该权利政府可以进行公共数据的公共管理和服务机构间共享和开放。
3、建议将第三十条【公共数据收集】修改为“公共管理和服务机构根据履职需要,可在公共数据资源目录范围内采取直接收集、委托第三方机构收集,或者通过与被收集主体协商的方式收集数据。
收集公共数据应遵循合法、必要、适度原则。
凡是能通过共享、开放方式获得的公共数据,不得通过其他方式重复收集。
自然人、法人和非法人组织的身份信息由市数据统筹部门组织汇集或收集,通过城市大数据中心的统一身份认证平台提供身份认证服务。
公共数据收集的具体办法,由市数据统筹部门制定。
”
原因:
自然人、法人和非法人组织的身份信息,很可能同时成为本条第一款、第三款下收集的内容。
根据本条第二款的要求,可能存在重复
升级会员 