數據治理觀察 | 深圳數據立法若干問題述評【走出去智庫】_風聞

走出去智庫觀察

由走出去智庫（CGGT）提供學術資源支持的《深圳法治評論》2021年第三期已經付印，本期主題聚焦法治助推粵港澳大灣區建設。

推進粵港澳大灣區建設，是以習近平同志為核心的黨中央作出的重大決策和國家戰略。習近平總書記在深圳經濟特區建立 40 週年慶祝大會上強調，把粵港澳大灣區建設成為紮實推進高質量發展的示範，打造國際一流灣區和世界級城市羣。

《深圳法治評論》由中共深圳市委全面依法治市委員會辦公室、深圳市司法局主辦，定位於高端領導決策讀物，聚焦深圳法治建設，刊發高水平、可實操的應用性政策研究，輔助市領導及本市黨政機關領導幹部法治建設方面決策，為支持深圳建設中國特色社會主義法治先行示範城市建言獻策。

自2020年創刊起，走出去智庫（CGGT）即為該高端決策讀物提供學術資源支持。

深圳市司法局立法一處副處長劉雪妮的文章《深圳數據立法若干問題述評》刊登在《深圳法治評論》2021年第三期策論欄目，今天走出去智庫（CGGT）刊發該文，供關注數據監管的讀者參考。

要 點

CGGT，CHINA GOING GLOBAL THINKTANK

1、《深圳經濟特區數據條例》着力構建個人數據處理原則的同時，也充分注意到了用户授權在特定場景中的合理性。需要注意的是，違反處理個人數據的基本原則，即使是對用户進行了告知和取得同意，數據處理行為也不合規。

2、《深圳經濟特區數據條例》旗幟鮮明地對數據權的權利類型歸屬進行了區分，並以法益保護替代了權利創設：規定自然人對個人數據享有人格權益；自然人、法人和非法人組織對其合法處理數據形成的數據產品和服務享有財產權益。

3、《深圳經濟特區數據條例》是對《深圳建設中國特色社會主義先行示範區綜合改革試點實施方案（2020—2025 年）》提出的“加快培育數據要素市場”的戰略任務，以特區立法方式在數據領域的先行先試。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

文/劉雪妮

深圳市司法局立法一處副處長

2021 年 6 月 , 深圳市第七屆人民代表大會常務委員會第二次會議通過了《深圳經濟特區數據條例》（以下簡稱《條例》）。《條例》以保護相關主體的數據權益、加強政府數據治理能力、促進數據開放流動和開發利用、規範數據處理全生命週期活動為切入點，力圖在實現個人數據保護的基礎上最大程度釋放數據作為生產要素的價值，為深圳數字經濟的發展提供良好的制度環境。

一以貫之的立法指導思想：保護與發展的平衡

作為全球重要的電子信息和數據產業基地，深圳已形成較為完善的大數據產業鏈。然而，伴隨着數字化轉型加速 , 數據的流動給個人隱私、公共利益、商業秘密以及國家安全帶來巨大挑戰。而只有在法律約束下規範有序的數據要素市場，才能夠在尊重個人數據權益的前提下，形成可持續的產業競爭力。因此，如何通過科學的制度安排，在對個人數據進行保護的同時推動技術創新和社會發展，成為深圳數據立法的核心問題。可以看到，在保護與發展之間求平衡的主旨貫穿了《條例》的整個內容。

數據處理基本原則的平衡

《條例》確立了處理個人數據的基本原則，即處理個人數據應當具有明確、合理的目的，並遵循最小必要原則。在此基礎上，針對現實中移動互聯網應用程序（APP）通過“一攬子協議”將收集個人數據與其功能或服務進行捆綁，迫使用户同意全面授權的問題，規定數據處理者不得以自然人不同意處理個人數據為由，拒絕向其提供相關核心功能或者服務。但是，《條例》同時也規定，如果該個人數據為提供相關核心功能或者服務所必需的數據，則不受前述規定所約束。可以看到，《條例》着力構建個人數據處理原則的同時，也充分注意到了用户授權在特定場景中的合理性。需要注意的是，違反處理個人數據的基本原則，即使是對用户進行了告知和取得同意，數據處理行為也不合規。

數據處理合法性基礎的平衡

《條例》構建了處理個人數據的七種合法性基礎。排在首位的當然是知情同意，即數據處理者應當在處理前向自然人告知相關事項且在自然人同意範圍內處理個人數據。其他六種合法性基礎即條例規定的“可以在處理前不徵得自然人的同意” 的法定例外，法定例外的規定體現了立法者對於作為基本權利的個人數據之外的企業利益、社會利益的考慮，體現了利益平衡和協調的立法理念。其中，處理自然人自行公開或者其他已經合法公開的個人數據可以視為實際同意；“合同履行”考慮的是自然人與數據處理者之間的合意，其本質仍然是自然人同意，“合同履行”的情形在現實生活中常見，最典型如手機裏的導航軟件，使用時每時每刻都在獲取、處理用户的位置信息，倘若立法不將其作為法定例外，恐怕將大大增加企業的合規成本；值得一提的是，《條例》最終採納了企業意見，將企業的正當利益納入個人數據處理合法性基礎，考慮到企業生產經營環境的保障也是企業發展的重要環節，《條例》對這類數據處理行為提供了立法上的支持，但此類情形應當嚴格限於企業基於保障自身生產經營活動所必需的正當利益且不得損害自然人依法享有的數據權益；依法履行公共管理職責或者提供公共服務、依法進行新聞報道以及兜底條款這三項法定例外的規定則反映了基於公共利益、公共安全等價值目標，個人數據保護制度不能僅限於私權的保護，而是需要超越個人同意的合法性基礎，在個人權利保護和公共利益、公共安全之間取得平衡。

撤回同意權與企業合法利益的平衡

《條例》規定了自然人撤回同意權。與此同時，對於企業最關心的“自然人撤回同意時，企業之前基於其同意進行的數據處理怎麼辦”的問題，《條例》認可了數據處理者在自然人撤回同意前基於同意進行的合法數據處理的有效性，使數據處理者對於相關法律後果有明確的預期。立法固然是為了規範目前無序生長的數字經濟，但同時也應該保護企業合法的經營行為和權益。

算法推薦與自然人拒絕權的平衡

目前在購物、短視頻、新聞等領域，算法推薦，即利用算法和大數據對用户進行畫像並基於用户畫像實現信息的個性化精準推送已廣泛存在。算法推薦可以幫助數據處理者快速完成用户與信息的匹配，有效提升其產品或者服務的質量。雖然算法推薦是否導致信息繭房效應尚有一定爭議，但是在算法推薦中，用户將自身對信息的選擇權和決策權在某種程度上讓渡給了算法是毋庸置疑的，這也意味着數據立法將算法納入法律監管的必要性。因此，《條例》規定數據處理者應當以易獲取的方式向自然人提供拒絕用户畫像以及精準推薦的有效途徑。

可以看到，在數據收集、存儲、使用、加工、刪除等全生命週期的每個環節，《條例》都體現了大數據時代保護個人數據權利與促進數據自由流動的雙重價值導向。

基於同一認識基礎上的數據權益和公共數據開放利用

深圳數據立法中，立法者基於對數據及其價值的認識，以同樣的邏輯設計了數據權益以及公共數據開放利用的制度。

立法的焦點：數據權

能否在特區立法中創設“數據權”，是深圳數據立法之初各方爭議的焦點。民法典確立的民事權利包括物權、債權、人格權等，均屬於權利指向特定，內涵外延清晰。而數據兼具物、人身、智力成果的特點，在法律上的客體屬性並不明確。民法典將個人信息保護的具體規定與隱私權並列，規定於人格權編，但民法典總則同時也規定了自然人的個人信息受法律保護。從中可以看出，國家立法似乎更傾向於將個人信息保護限於人格權範疇 , 但也並未排除個人信息的財產權性質。民法典的這一體例安排對於數據權法律屬性的認定影響深遠。

個人數據源於個人信息的行為留痕，而數據處理者通過對數據的合法佔有以及勞動和投入增加了數據作為生產要素的價值 , 從而使數據兼具人格權和財產權雙重屬性，成為多主體共享的權利體系。但最大的問題是，現行法律框架下對作為數據來源的個人與作為數據處理者的組織在同一數據集合上的權利優先程度並無規定，且技術的發展使得權利邊界並不清晰。因此，籠統地創設一個“數據權”並無法律上的意義和價值。

立法的突破：數據權的權利類型歸屬之區分數據的人格權屬性和財產權屬性

互聯網時代，當我們説“個人數據”的時候，它體現的是一種與個人高度相關的表達，姓名、電話、性別，住址、宗教、種族、基因、指紋、面部識別特徵以及消費記錄、瀏覽記錄等，前者體現身份，後者體現行為。因此 , 個人數據的本質特徵是可識別性，人格利益成為個人數據保護的核心價值。而當企業付出“汗水”、投入勞動將合法收集的個人數據處理形成大數據產品或者服務，並且將之作為企業重要的競爭性商業資源時，是否應該賦予其財產性權益成為現實中迫切需要解決的問題。

國外法律對個人數據的保護以歐美為代表：一是基於傳統的隱私權保護的美國模式，隨着技術的發展不斷擴大隱私權的範圍；二是一貫秉持將個人數據作為基本權利進行強化保護立場的歐盟模式。歐美在個人信息保護路徑、監管力度、大數據和人工智能產業政策促進等方面存在很大差異，但在保護個人對數據的控制權方面卻具有

一致性。

根據申軍《法國及歐盟視角下個人數據的法律性質》的研究，在法國法中個人數據的確切稱謂是“個人性質的數據”，強調的是個人與數據的關聯，而非個人對數據的所有。這在某種程度上也對應了法國對於個人數據屬性的主流看法，即個人數據是個人人格權的無形延伸，揭示個人的身份，體現與個人相關的不可轉讓的權利，而不是法國民法典中所規定的財產的客體，因而沒有設定於其上的財產權。

歐盟《通用數據保護條例》（GDPR）所規定的數據主體的同意權及其衍生權利 ( 知情權是同意權得以有效行使的基礎 ; 訪問權、糾正權、被遺忘權、限制處理權、可攜帶權、反對權等實際上是同意權在不同環節、場景下的具體體現 ) 皆是與個人相關的不可讓與的權利。尤其是 GDPR新設的可攜帶權（該權利是指數據主體有權獲得和要求移轉與其相關的特定數據），是個人信息自主決定的重要體現。由此可見，GDPR 也並不認可個人對個人性質的數據擁有財產權。

相對於立法回應技術發展的滯後性，近年來的司法實踐已經在研究區分原始數據和增值數據，從而對數據的財產權屬性做出判斷。淘寶訴美景案、新浪微博系列案件、大眾點評訴百度地圖等案件，在法官的判決中，並不支持企業所稱對數據產品享有財產所有權的主張，但通過《反不正當競爭法》的適用認定企業對其數據產品享有財產性權益。司法判決通過對行業競爭秩序的保護實現對企業數據權益的保護。

基於以上認識，《條例》旗幟鮮明地對數據權的權利類型歸屬進行了區分，並以法益保護替代了權利創設：規定自然人對個人數據享有人格權益；自然人、法人和非法人組織對其合法處理數據形成的數據產品和服務享有財產權益。以法益保護而非確定權屬體現了深圳在數據立法上的務實態度。依法保護權利人對數據控制、處理、受益等合法權益，是現階段立法在完善數據產權保護規則方面的有益探索。或許將來立法可能對個人數據賦予財產權或者其他法律屬性，或者立法為數據創設出其單獨適用的法律制度，但這需要實踐的不斷推動以及理論的更深入研究。

對數據作為要素的價值認識：公共數據開放利用

《中共中央 國務院關於構建更加完善的要素市場化配置體制機制的意見》意味着，數據作為重要的生產要素將對經濟和社會發展產生深刻的影響。如果從生產要素的角度理解，個人數據本身並不具有推動生產力發展的價值，這也是《條例》排除個人數據財產權性質的原因所在；另一方面，數據產業的興起和高速發展，技術、商業模式的創新和更迭，都要求對數據的開放式利用和整合。為了將數據的價值最大化，就必須對數據進行收集、聚合、評估、分析等處理，並促進數據在安全的前提下自由流動，即最大範圍的流動及融合，才能最大程度地釋放數據的經濟價值。

而公共數據不僅具有治理屬性，也具有價值屬性。要促進深圳大數據產業的發展，必須要擴大數據供給：一方面，政府必須發揮公共服務職能，釋放其掌握的公共數據資源，實現公共數據開放；另一方面，要促進數據交易，推動數據作為生產要素的自由流動。《條例》設計了一整套公共數據管理的頂層制度，其中特別着力於公共數據的開放。

《條例》將公共數據治理的最終目標確定為推動公共數據資源的開放利用。傳統的數據開放是指公共管理和服務機構向社會提供原始的可機讀數據。近幾年，隨着區塊鏈等技術逐步成熟，可以有效化解數據保護與利用之間的矛盾，為多方數據安全、可信地融合應用提供了技術支撐。《條例》主動適應數據領域的技術發展特點，不再強調原始數據的開放，賦予公共管理和服務機構在法律法規允許的最大範圍內開放公共數據的自主權。

值得注意的是，《條例》規定的“有條件開放”數據與上海等地規定的“有條件開放”不同。隨着技術的發展，可以綜合利用區塊鏈、隱私計算、聯邦學習等技術建立專業化數據定向開放平台，提供“可用不可見”和按規定用途與用量使用數據的安全可信環境，滿足專業機構對高價值數據的需求。因此，《條例》的有條件開放是按照特定方式向自然人、法人和非法人組織平等開放的公共數據。此外，公開數據開放不得收取任何費用的規定，也是深圳數據立法的一大特點，這是立法者基於建立類似現實世界中“公共圖書館”的理念而做出的規定。

《條例》是對《深圳建設中國特色社會主義先行示範區綜合改革試點實施方案（2020—2025 年）》提出的“加快培育數據要素市場”的戰略任務，以特區立法方式在數據領域的先行先試。《條例》始終圍繞“釋放數據作為生產要素的基礎作用”的核心目標，以個人數據保護為前提，以公共數據開放為基礎，以數據要素市場培育為關鍵環節，以數據安全為保障，構建其內在邏輯。作為國內首部數據領域綜合性立法，《條例》在許多方面做出了有價值的探索和創新，接下來，需要在數據領域工作機制建設、個人數據保護的監管及執法能力保障、公共數據目錄管理、公共數據開放等方面進一步開展工作，為《條例》的施行做好充分準備。