作者：金茂律师事务所  金文玮 律师

2021年9月30日，上海市人大常委会发布了《上海市数据条例（草案）》（以下简称“数据条例”），公开向社会征求意见。“数据条例”虽然是上海的地方立法，但其显示出上海在数据发展领域不小的野心——互联网时代来临后，上海并没有诞生BATJ这样级别的互联网“大厂”，数据法领域频频出台新的法律法规，让上海看到了实现弯道超车的可能性，所以“数据条例”诸多地方就是在为上海发力数据领域做着规范上的准备。

由于“数据条例”只是草案，而且还在征求意见，所以字斟句酌的解读并无太多实际的意义，本文的解读主要集中在“数据条例”的亮点上。

一、公共数据是“数据条例”关注的重点

据笔者不完全统计，“数据条例”提到“公共数据”四个字共92次（含标题），而且还单独设立第三章规定公共数据的内容——第三章“公共数据”共二十二条，3369字，条文数量占全部九十一条的24.17%，字数占全文13676字的24.63%，无论条文数量还是字数差不多都接近“数据条例”的四分之一。其实如果算上其他章节中关于公共数据的内容，实际上“数据条例”中涉及“公共数据”的规定内容远超四分之一的比例。

“数据条例”之所以会在公共数据一章规定那么多内容，除了公共数据本身需要规制以外，还因为国家上位法中缺少针对公共数据的法律法规，上海的地方立法只能“万丈高楼平地起”，或者说给了上海地方立法在法律法规空白处立法的机会。

另外，本章规定有很多内容在2019年颁布的《上海市公共数据开放暂行办法》中已经有所体现，“数据条例”的层级更高，而且规定涵盖的范围也更广。

1. 公共数据的基础：第二十五条（大数据资源平台）、第二十六条（公共数据目录）第二十七条（公共数据分类管理）

上海公共数据体系的基础由三大件构成，分别是大数据资源平台（ 二十五条）、公共数据目录（第二十六条）与公共数据分类管理（第二十七条）。

第二十五条的核心就是要建立统一的大数据资源平台。这条在《上海市公共数据开放暂行办法》已经有所表述，但数据条例的规定用语更精确，规定更详细。

公共数据如何进行管理？第二十六条和第二十七条就是上海的方法。建立数据目录，根据目录搭建数据库，然后进行分类管理——相当于市府统筹各部门造了个文件柜，文件柜里每个抽屉分别装若干不同的文件夹，每个文件夹又分别装不同的数据。

上海公共数据的体系基础就是这三件构成，其他所有的收集、共享、开放都建立在这三件套的基础之上。

2. 公共数据就是为了共享（第三十六条共享原则和机制）和开放（第三十九条分类开放、第四十条开放清单）

第三十六条规定公共数据以共享为原则，不共享为例外，预计除了涉及敏感信息外，大量的信息会进入共享——但这种共享仅限于公共管理和服务机构之间，并不会全部向公众开放。

第三十九条指向的不是公务机构之间的数据共享，而是公共数据向公众的开放。公共数据在公务机构之间以共享为原则，不共享为例外；公共数据对公众分级开放——个人敏感信息与涉密信息不开放，非涉密的专业信息对有相应需求和处理能力的对象开放，普通信息无条件开放。

本条对公共数据分类开放的表述与《上海市公共数据开放暂行办法》第十一条相同，而且《上海市公共数据开放暂行办法》第十二条至第十五条对数据开放做了更详细的规定。可以看出，上海对公共数据开放的总体思路早在2019年就已经厘清了。

“数据条例”第四十条关于开放清单的规定与《上海市公共数据开放暂行办法》第十二条开放清单的规定侧重点并不完全相同。“数据条例”的规定更原则化，《上海市公共数据开放暂行办法》的规定更具体；还有一个区别是《上海市公共数据开放暂行办法》关于“市经济信息化部门会同数据开放主体建立开放清单审查机制”在“数据条例”中不再提及。

但笔者没有想明白的是，为什么不索性将第十三条至第十五条其他关于数据开放内容也一并纳入“数据条例”中？毕竟暂行办法的效力层级低，而且有时效限制。或许立法者认为还需要实践来验证这些规定是否行之有效，以免浪费立法资源。

二、数据流通交易将是上海市关注的“弯道超车”的重点

虽然，“公共数据”占了“数据条例”很大的比重，貌似是重点，但实际上“数据流通交易”才是上海市真正关注的重点。据笔者不完全统计，“数据条例”提到数据流通共11次，提到数据交易共50次（含标题），提到数据共享共48次；从覆盖面来看，从第一章总则到第九章法律责任都有提及这三点。单纯从提及次数及频率来看，“数据条例”对数据流通交易的重视丝毫不逊于“公共数据”。从具体的制度安排来看，“数据条例”更是有很大的突破。

“数据条例”单独设立了第四章规定数据交易——虽然名称用了“数据要素市场”，但核心就是“数据交易”。另外，第六章“浦东新区数据改革”总共只有七条，但有五条提到“数据交易流通”，这章几乎可以被称为“浦东新区数据交易改革”。

1. 第十五条（数据交易权益）原则上规定了数据的交易权

数据交易权益呼应了《数据安全法》的第十九条，而且相比于《数据安全法》对数据交易的语焉不详，数据条例直接明确“以合法方式获取的数据，以及经过合法处理数据形成的数据产品和服务，可以依法进行交易”，这可以说是数据交易的“松绑条款”。

不过，个人认为，虽然本条并未特别区分个人信息数据与其他数据，而且将“数据”与“处理数据形成的产品和服务”并列为可以交易的内容，但在实践中对个人信息数据的交易还是要谨慎而为，毕竟《刑法》第二百五十三条对个人信息数据交易还没有“松绑”。

2. 第五十四条（数据交易内容）突破性的规定了可交易的数据范围

虽然《数据安全法》第十九条是数据交易合法化的法律依据（其实在《数据安全法》颁布前，国内就已经有很多数据交易平台了），但《数据安全法》并没有对数据交易作更多的规定，只是提了个原则，连什么数据可以交易都没说。

哪些数据可以交易是大家最为关注的内容，因为这直接关系到是否涉刑的问题。“数据条例”第五十四条不仅做了规定，而且将可以交易的数据范围放得非常宽——只要获取数据以及处理数据都合法，那么无论是获取的数据还是形成数据产品和服务都可以买卖。不可交易的数据有三种：1.未获授权的个人信息；2.未开放的公共数据；3.其他法律法规禁止的。

其实，这三种情形归纳起来就是一种情形——违法。未获授权收集个人信息不合法，未开放的数据除了用非法手段是不可能获取的。

进一步细品未获授权那条，反过来想想，如果获得了个人的授权（授权可以交易），那数据处理者是否就可以交易了？如果是这样，那突破确实真的非常大。

3. 第六十五条（数据交易所）规定了上海鼓励的数据交易方式

解决了哪些数据可以交易之后，上海又在第六十五条规定了上海准备发展的数据交易的核心——就是落地在浦东新区的数据交易所。

“数据交易所提供场所与设施，组织和监管数据交易”与“数据交易所制订规则组织、合规性审查、登记清算、信息披露”等都是数据交易所应有之义，没有什么出乎意外的内容。

笔者曾在《数据安全法》的解读中指出，政府希望的数据交易模式是便于监管的大型公开交易市场的“公交”模式，而非不易监管的企业或组织之间“点对点”的“私交”模式。第六十五条的第四款与第五款印证了这点——第四款规定自然人、法人和非法人组织之间的数据交易是鼓励和引导通过数据交易所进行；第五款规定政府部门和国有企业之间的数据交易应当通过数据交易所进行。

4. 第六十六条（国际数据港建设）、第六十七条（数据跨境流动）规定了数据的跨境交易

第六十六条和第六十七应该放在一起看，其实把这两条规定合二为一也不是不可以。中国拟建设的国际数据港会落地在临港新片区，区内会推进数据跨境业务的开展——有点类似于数据交易的自贸区，当然数据是非常特殊的商品，所以其贸易规则、监管制度都与自贸区其他商品贸易不同。

第六十七条的第一款值得玩味——制定低风险跨境流动数据目录，是否意味着被列入低风险目录的数据出境可能就不用再进行报送了呢？如果真是这样，那么算是我国在数据交易领域上非常大的突破了。

紧跟着数据交易所，上海还会在数据跨境流通上有较大的动作，如果这政策具有唯一性，那上海在中国数据领域的地位将不可撼动。

5. 第八十七条规定了违反规定交易数据的处罚

《数据安全法》提到了数据交易，但一没说数据交易如何进行，二没说哪些数据可以交易，三没说违规数据交易如何处罚；数据条例不仅规定了主管部门（市市场监督管理部门或者相关行业主管部门），而且还规定了处罚的尺度。

交易金额不足一万元的，处五万以上二十万以下罚款；交易金额一万元以上（含一万元），处二十万以上一百万以下罚款——从比例上看，罚金最少也是与交易金额的五倍以上，但是如果违法进行数据交易，能处以罚款而不是课以刑责，相比于过去本身就是从轻了。

三、其他制度创新亮点

1. 数据深度共享的创新

第六十四条（公共数据深度共享）有别于第三章第二节对公共数据共享的规定，其规定浦东新区具体哪些部门进行数据共享（海关、统计、税务、人民银行、银保监、证监等，主要是与资金有关的部门），如何共享（通过接口调用等）作出了相当明确的规定。

如果通过接口调用的方式进行数据共享，那么其共享程度比按照目录清单上传数据要更加直接。这种共享模式如果试点成功而得以推广的，其未来产生的影响将是巨大的——尤其会反应在税收制度上。

2. 长三角合作

第七章“长三角区域数据合作”是政策性的内容，而非规范性内容。长三角的发展属于国家战略，绝不是上海说了算，而且上海市的地方立法也不可能给其他省市设定规范，所以上海将长三角的数据合作纳入地方立法之中，某种程度上算是在“透题”——国家的长三角数据一体化发展的构想。

从发展构想来看，未来长三角会拥有统一标准的数据共享、数据质量、数据安全管理，会有一体化数据共享交换平台，数字认证体系、电子证照等跨区域互认互通。

3. 处罚规定的创新

按理来说，在《网络安全法》《数据安全法》《个人信息保护法》接连出台施行的情况下，对数据违法违规行为的处罚体系已经具有了一定的体系，“数据条例”在处罚罚则领域找到创新点的机会应该不多，但是“数据条例”依然找到了几个创新点。

第八十五条（公共管理和服务机构的法律责任）——和其他法律相比，“数据条例”第八十五条的位置有点特殊。其他法律在法律责任一章，都是将公共管理机构、服务机构、国家主管机关的处罚放在最后，而将其他市场主体的法律责任放在前面；但是上海将公共管理机构和服务机构的法律责任放在罚则的最前面——这也从一个侧面体现出“数据条例”对以公共管理与服务机构为主导的公共数据业务的重视程度。

第八十六条（设置不公平交易条件的处罚）——关于滥用技术设置不公平交易条件的，虽然《个人信息保护法》已经有类似的禁止性规定，但没有设置相应的罚则；数据条例注意到了这点，所以设置了处罚措施以及罚金金额与比例。

第八十七条（违反规定交易数据的处罚）——参加前文。

第八十九条（公益诉讼）——侵害众多个人信息权益的，可以提起公益诉讼，这在之前的法律法规中均没有规定，这是上海的首创。

《上海数据条例（草案）》虽然仍在征求意见阶段，但其体现出了上海市在数据领域的关注重点，也表露出了上海市在数据领域发展方向上的野心。