中联观点 | 《上海市数据条例》Q&A解读——法律与技术的双重视角

【编者按】

问题1：

《上海条例》出台之前，其实各地已经出台了不少数据相关条例，上海不是第一个。可以类比的例如《深圳经济特区数据条例》（以下简称“《深圳条例》”），它是今年7月出台的，生效时间和《上海条例》一样，都是从明年1月1号开始生效。从《深圳条例》我们也可以看出它的定位与重点也是在深圳如何去实施数据的流转和交易。除此以外，广东省人民政府也专门出了一部篇幅不短的《广东省公共数据管理办法》，重庆市大数据应用发展管理局出了《重庆市公共数据分类分级指南（试行）》。通过研读与比较，我们认为，地方上与数据相关的立法侧重点主要在对当地公共数据的管理。

另外，值得大家关注的是，地方与数据相关的立法理念在较短的时间内发生了不小的变化。例如，《深圳条例》，去年的征求意见稿里是写，“公共数据属于新型国有资产，其数据权归国家所有。深圳市政府代为行使区域内公共数据的数据权，授权市数据统筹部门制定公共数据资产管理办法并组织实施”。后来这条被删除了。现在《广东省公共数据管理办法》，关于公共数据的定义是“公共数据作为新型公共资源，任何单位和个人不得将其视为私有财产，或者擅自增设条件、阻碍，影响其共享、开放和开发利用”。而现在的《上海条例》，也是规定公共数据以共享为原则，不共享为例外。所以大家可以看这个转变还是很明显的。

就上海的《上海条例》而言，出台之后，很多客户会问是否需要将《上海条例》作为企业数据合规的重点研习对象，以及需要关注哪些问题。其实，如果从企业合规的角度出发，那基本上《上海条例》不是需要重点研究的方向，因为《上海条例》的定位不是指导大家怎么做合规。如果大家仔细关注《上海条例》里面的内容，会发现无论是关于个人信息保护还是数据安全合规，相关条文不多，且经过我们核对，发现这些条文基本上没有超出国家层面法律法规所要求的内容，也没有增加实质性的新内容。大家要了解合规的内容，其实更多要关注的是《数据管理条例》。因此我们认为，《上海条例》基本的定位和功能并不是合规，并且这个结论，我们认为也基本适用于大部分其他地方与数据相关的条例。当然，就上海的《上海条例》而言，它的定位更多是在上海做数据的流转试点，所以《上海条例》的关键词应该是公共数据和数据交易。当然对于我们身处浦东的律所和企业来讲，关于浦东新区的数据改革，也是我们要关注的内容。

问题2：

首先需要解释下《上海条例》的“共享”指的是什么。我们认为，指的是所有的公共事业单位之间去共享，如果面对的是私人和其他企业的话，不是用“共享”这个概念，它叫“向社会开放”。目前出台的各地数据相关的条例，也都表明了事业单位等组织、机构之间要相互共享。但是开放给社会企业、个人的公共数据，是说有一些数据，原则上是可以开放的，有一些是不宜开放的。至于具体如何开放，目前的条例都没有明确的规定。上海的《上海条例》中，也只写了“公共数据开放规则由市经济信息化部门制定”。所以关于个人和社会企业怎么去获取公共数据，具体的办法应该还在制定当中。

另外，需要提示的是，上海的《上海条例》还有一个重点是关于公共数据的授权运营。目前大家看到的《上海条例》其实是第三版了，此前曾经征求过两次意见，我们注意到这一块还是有比较大的改变的。根据现在的规定，我们理解接下来公共数据的运营模式是，原则上由上海市大数据中心进行统一管理，也就是数据要先统一归集到大数据中心，然后通过大数据中心去进行管理和开发利用。因此，大数据中心对公共数据而言是一个比较重要的机构。授权运营的问题是指，数据归集到大数据中心之后，如何进一步进行开发，以及实现对外交易和利用。我们理解，会有一批社会主体，可能是数据企业需要介入，并且会提供对外开放的数据目录。但是目前的管理细节还没有明确。此前几版的《上海条例》草稿中，对于这个授权运营的社会主体，是倾向于采取市场化竞争的方式来决定，也就是大家来竞标，并且明确提到这个主体可以因此获得收益。但现在出台的《上海条例》规定的比较简单，只说由市政府办公厅制定后面的管理办法，明确可以对哪些数据进行授权运营，以及相关程序等，一定程度上淡化了市场化的色彩。

问题3：

大家可以关注《上海条例》第33条，“本市国家机关、事业单位以及经依法授权具有管理公共事务职能的组织应当及时向大数据资源平台归集公共数据。其他公共管理和服务机构的公共数据可以按照逻辑集中、物理分散的方式实施归集，但具有公共管理和服务应用需求的公共数据应当向大数据资源平台归集”；以及《上海条例》的附则部分第90条，“运行经费由本市各级财政保障的单位、中央国家机关派驻本市的相关管理单位以及通信、民航、铁路等单位在依法履行公共管理和服务职责过程中收集和产生的各类数据，参照公共数据的有关规定执行。”

总结来说，《上海条例》这里其实留了口子，一方面， “其他公共管理和服务机构”只有具有公共管理和服务应用需求的公共数据才应当向大数据资源平台归集。另一方面，涉及一些垂直管理的领域，例如通信、民航、铁路等，本来也不是完全适用，只是参照执行。因此，我们理解，像民航、铁路这些国企，将来他们也可能出一个全国文件，由全国总公司来统一垂直管理，然后根据不同地方的要求进行内部协调。目前，涉及到重要公共事业的央企很多也是这么做的，他们都有自己的大数据中心，对各地的数据进行统一管理。其中，像水电煤这些企业，其实他们是有上海本地公司的，这些企业在内部协调进行数据归集的时候，可能并不困难。但是很多涉及到其他公共事业的央企，如果不在本地有公司，但又确实产生在本地或与本地相关的具有公共管理和服务应用需求的公共数据，他们的数据是否以及如何给到地方的大数据中心可能就会遇到一些问题。

问题4：

会的。举例来说，据我们了解，地图、交通的公共数据现在原则上做地图相关业务的企业全部都可以使用。但是在其他领域，例如医院，一般就不会给到市场或其他主体相关公共数据。当然，如果是涉及到防疫等目的，应该是需要共享的。而且根据我们了解到的情况，防疫过程中卫健委会给到有关单位相关数据，但卫健委其实自己单独开发了数据系统，它不会直接给相关单位原始数据，给到的是通过处理后的一些数据的统计结果。除防疫外，在其他场景下，医疗信息因为行业与性质的敏感性，可能很难会被共享。

其实数据的共享与开放是一个顶层设计的问题，涉及到数据权属划分的难题。对于数据权属，顶层的立法目前是空白的。当然，这是个世界难题，目前也没有哪个国家有很好的解决方案或进行明确规定，因此我们也没有可以借鉴的内容。但实际上数据的开发、共享与交易是一直在发生的。我们现在看到的上海数据交易所，将来就是要用来进行数据交易的。

问题5：

《上海条例》本身规定得很清楚，第56条规定“市场主体可以通过依法设立的数据交易所进行数据交易，也可以依法自行交易”，第57条规定“从事数据交易活动的市场主体可以依法自主定价”。

我们理解，首先，并没有规定哪些交易是必须要进场的。其次，我们觉得对数据交易所来说，将来它可能要去做一个市场竞争。只有它把相关的交易规则、制度设计得让企业愿意去交易所交易，提供服务更多样化与便捷化，那么交易所的交易活动才会活跃起来。否则大家还是会选择私下做对手交易。根据我们之前和相关机构以及行业内人士的交流，民营企业的数据目前看来大家并没有强烈的需求或必要性去交易所进行交易，所以真正会被拿到交易所去规范进行交易的，将来可能主要还是公共数据。交易所暂时还没有正式公开交易的规则，目前公布的案例也都是一些明显带有公共色彩的数据产品。

问题6：

我们前面提到过《上海条例》本身并没有对数据合规等要求提出实质性的新规定。因此，合规要求、标准与依据，我们认为主要还是根据已生效以及后续出台的法律法规，而不仅仅是地方条例。

另外，我们理解，这里所指的合规性是指，例如，数据资产在交易的时候，至少需要保障数据来源的合法性，以及有采取数据安全相关的合规措施。如果这些做不到，可能交易就做不了，或者一方就不愿意继续交易了。当然，肯定也会包括交易形式的合规，例如如何定价、怎么交付等。

问题7：

问题8：

安恒信息（科创板股票代码：688023）一直专注于网络信息安全领域，拥有超过数百人的国家级网络安全保障实战团队，具备一流的网络与信息安全技术能力和丰富的安全攻防经验，曾作为网络安全核心保障单位参与北京奥运会、上海世博会、中国共产党第十八及十九次全国代表大会、一带一路国际合作高峰论坛、金砖国家领导人厦门会晤、上合组织青岛峰会等重大活动网络安全保障工作。

中联律师事务所 2008年成立于上海，2020年成为前中世律所联盟发起创办的一体化全国性品牌所，是一家立足国内、面向全球的大型综合性律师事务所。上海中联网络安全和数据保护团队是国内此领域业务的开拓者，在多项业务上具有丰富的实务经验，并与国内外的网络安全与数据合规专家建立了深入合作，具有为客户提供全球网络安全与数据合规一站式服务的能力。