新规解读 |《深圳经济特区数据条例》明年1月1日正式实施

《深圳经济特区数据条例》（以下简称《条例》）是决定某些特殊地区、特殊部门或特殊物品专门性的管理规则或地方性法规，属于地区性和局部性法规，其法律效力仅限于地区管辖的范围，即其仅适用于深圳经济特区的数据处理活动的规范和保护。

《条例》共分为七章共一百条，内容涵盖了个人数据、公共数据、数据要素市场、数据安全等方面，是国内首部具有典型代表性的地方综合性、基本性数据立法。一方面，着重解决数据开发利用中的隐私保护、数据要素产权配置、数据要素市场体系构建、公共数据管理权责明晰、公共数据开发应用瓶颈等核心问题，直面数据权利需求与呼唤；另一方面，根植于贯彻落实国家战略决策的需要和服务深圳经济特区数据事业发展的需要，为推进数据要素市场化配置、数据跨区域融通和跨境流通提供法治保障和制度环境，助力深圳经济特区新型智慧城市和“数字政府”建设，同时也为地方区域性立法及实践工作的开展提供示范。其主要框架如下[3]：

1.率先提出数据权属

数据权（Right to Data）是一种新型权利，指权利人依法对特定数据的自主决定、控制、处理、收益、利益损害受偿的权利[4]。在实践中，关于数据是何种权益，权益的边界和范围如何界定、权利归属如何划分存在很大的争议。《条例》首次对数据权属进行了明确界定：“具有人格权和财产权属性。”[5]从个人、市场主体和国家维度而言，具体表现为自然人的个人数据所有权、数据要素市场主体合法收集与生产数据的所有权、公共数据的国家所有权3个方面。《条例》也构建了数据权的权利体系，规定自然人对个人数据依法享有知情决定权、查阅复制权、补充更正权、删除权等数据权力；规定公共数据必须处于公共管理和服务机构控制状态；规定数据要素市场主体对其合法收集的数据和自身生成的数据享有数据权等。这一规定属于对数据权确定、数据权属划分、数据权利体系构建的先行先试。

2.明确个人数据“最小必要”原则

《条例》除明确自然人对其个人数据依法享有数据权，还规范个人数据收集、处理、撤回同意、明示等方面的原则以及合法与违法行为等。其规范的个人数据保护机制与《网络安全法》、《数据安全法》、《个人信息保护法（草案）》有关个人数据处理的原则基本一致。即个人数据的收集、处理须遵循“合法、正当、必要”的原则[6]，数据处理、收集者一方面要履行明示义务，向授权主体以通俗易懂、明确具体、易获取的书面方式完整、真实、准确地披露必要的非隐私数据（隐私数据不受明示义务约束）；另一方面需征得自然人或其监护人同意（同意规则），且自然人有权随时依规撤回同意。同时，《数据条例》还明确了7类以上的个人数据收集、处理合法行为，5类以上的个人数据收集、处理违法行为。在我国数据权保障立法缺位的情况下，这些探索不失为一个值得借鉴的工作思路。

3.App不得“任性”拒绝向用户提供服务

随着互联网的发展，应用程序App的数量与日俱增，极大便利了大众的生活。然而，在提供便利的同时，App同样带来一系列的问题，其中就包括个人信息收集的问题。长期以来，部分App过度收集个人信息、强制索要用户授权、授权撤回难等现象令人深恶痛绝。针对这一问题，《条例》构建起以“告知-同意”为前提的个人数据处理规则，即事先充分告知-取得个人同意-处理数据，数据处理过程中应当提供撤回同意的途径，且不得对撤回同意进行不合理限制或者附加不合理条件，以保障用户对个人数据的决定权。

从目前来看，大部分App均会要求用户在下载安装时先阅读《用户服务协议》和《隐私政策》，并勾选“同意”和“已阅读全部条款”，履行了“告知-同意”的义务。然而，如果用户选择“不同意”，则将无法使用App。为了使用App，用户实际上并无选择的权利，只能接受上述的协议与政策，这实质上损害了用户作为个人数据主体的决定权。对此，《条例》第十二条规定，“数据处理者不得以自然人不同意处理其个人数据为由，拒绝向其提供相关核心功能或者服务。但是，该个人数据为提供相关核心功能或者服务所必需的除外。”

4.不得对未成年人进行用户画像

随着用户画像[7]和个性化推荐的普遍应用，用户能够享受越来越多更加精准、个性化的商品和服务。这种个性化的信息服务极大地满足了网络用户的信息需求，受到网络用户的欢迎。但与此同时，网络用户长期享受个性化的信息推送服务，很可能会造成信息来源和信息渠道的窄化和固化，很可能会错过一些不感兴趣但是很有价值的信息。长时间沉浸在同质化的信息世界中，接触不到异质信息，很容易出现信息茧房效应。《条例》对此进行规定，明确数据处理者可以进行用户画像和个性化推荐，但应当采用足以引起注意的特别标识等方式事先告知用户画像的规则和用途，并为被画像主体提供拒绝的途径；自然人有权随时拒绝对其进行的用户画像和个性化推荐。同时，《条例》将未成年人的个人数据视作敏感个人数据，并规定不得对未成年人进行用户画像以及基于用户画像的个性化推荐。[8]

5.探索建立数据交易制度

数据的价值在于流动，而数据交易是数据流通的基本方式。探索建立数据交易制度是此次立法的一大亮点。首先，培育要素市场的关键是实现“数据供给的市场化”[9]，要求打造“公平、高效、有序”的数据市场化流通环境以充分释放数据价值，《数据条例》明确了数据的权属和交易规则，鼓励采用自主交易、交易平台（具有交易、披露等业务规则的制定权）等合法方式进行数据交易，并对数据资产估值定价作出原则性规定；其次，明确规定应形成数据资源整合的3种机制，即数据要素融合、地区数据融通和数据跨境国际合作的机制；最后，建立数据质量管理、价值评估的体系，采取适当的市场保障措施以促进数据要素市场的培育。[10]

6.严惩“大数据杀熟”

目前，部分企业在用户画像和个性化推荐的基础上，进一步根据消费者的消费习惯和消费需求，向消费者精准推送商品和服务的行为，限制了消费者比较和挑选商品和服务的范围，使消费者受困于经营者为其编织的“信息茧房”，侵害了消费者的选择权；此外，将之前为完成交易而收集到的消费者个人信息，用于对消费者精准画像以区别定价，突破了个人信息利用的场景限制，侵害了消费者的个人信息权。这种现象在经济学语境下称为价格歧视，而在互联网语境下则被形象地称为“大数据杀熟”。

对于这类情况，《条例》也作出规定，规定市场主体不得以非法手段获取其他市场主体的数据，或者利用非法收集的其他市场主体数据提供替代性产品或者服务，侵害其他市场主体的合法权益；不得通过数据分析，无正当理由对交易条件相同的交易相对人实施差别待遇。违反上述规定的，除没收违法所得外，违法所得不足1万元的，并处5万元以上20万元以下罚款；违法所得1万元以上的，并处20万元以上100万元以下罚款；情节严重或者造成严重后果的，处5000万元以下或者上一年度营业额5%以下罚款，并可以给予暂扣许可证件、降低资质等级、吊销许可证件，限制开展生产经营活动、责令关闭等处罚。[11]

7.生物识别数据不能滥用

此前，明星的“健康宝”照片被在网上“叫卖”就引发热议，多位明星的核酸检测结果照片遭到泄露并在网上传播，该事件也引起了网友对于自己包括人脸数据在内的生物识别数据泄露的担忧。对此，《条例》规定，敏感个人数据处理者在处理前应当征得该自然人或者其监护人的明示同意；同时新增规定，人脸识别、指纹解锁、虹膜识别等生物识别数据作为敏感个人数据的一种重要类型，处理生物识别数据不仅要遵守处理敏感个人数据的规定，处理的生物识别数据还不能为其他个人数据所替代；生物识别数据的数据处理者也应当具备相应的数据安全防护能力。对于违规处理个人数据或者处理个人数据未采取必要安全保护措施的行为，《条例》规定，按照每处理一个自然人的个人数据处以二百元以上一千元以下的罚款；违法行为造成数据安全事件、未成年人数据和敏感个人数据的，应从重处罚。[12]

8.公共数据应当依法最大限度免费开放

公共数据资源蕴藏着海量的信息，通过群体画像等手段总结出消费习惯与需求趋势，不仅可以给市民带来便利，还可以产生巨大的经济效益。《条例》专门以单独一章对公共数据进行规定，明确将提供教育、卫生、社会福利、供水、供电、供水、环保、公交等公共服务的组织纳入公共管理和服务机构范围，其在提供服务过程中产生、处理的数据均属公共数据。同时规定公共数据治理的顶层框架，要求政府建立城市大数据中心，实现对全市公共数据资源统一、集约管理。明确公共数据以共享为原则，不共享为例外，建立以公共数据资源目录体系为基础的公共数据共享需求对接机制。公共数据应当在法律、法规允许范围内最大限度地开放，不得收取任何费用。[13]

《深圳经济特区数据条例》将于2022年1月1日开始施行，距离目前还有半年不到的时间，当下企业尤其是深圳地区企业应当积极针对该条例中规定的相关条款积极对自身的数据处理活动的合规性展开自查，并针对其中不完善、不合规，或存在制度性空缺的地方尽快加以填补和修正，以适应大数据时代下对于数据处理的全新监管趋势与要求，并为我国建立有序规范的数据体系贡献自己的力量。