数据合规，山雨欲来？——《深圳经济特区数据条例》要点解读 

吴月琴团队  王建英律师

《深圳经济特区数据条例》于2021年07月06日发布，并将于2022年01月01日生效。本文简要对其要点进行解读如下：

要点一：确认了数据权益

1）条例明确：自然人对个人数据人格权益，自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有财产权益（但是，不得危害国家安全和公共利益，不得损害他人的合法权益。）

2）自然人对个人数据有要求补充、更正的权利,有要求查阅、复制个人数据的权利，有撤回部分或者全部其处理个人数据的同意的权利，有拒绝数据处理者进行用户画像和进行个性化广告推荐的权利。

要点二：保护数据全生命周期安全

条例设专章对数据安全进行规范。

1） 明确数据安全管理工作由市人民政府进行统筹，明确由数据处理者落实数据安全管理责任，对敏感个人数据、重要数据进行特别技术保护；

2） 明确数据处理者在数据收集、加工、存储、共享开放，销毁、委托处理、出境等阶段的安全管理义务，其中包括明确：处理敏感个人数据或者国家规定的重要数据，应当定期开展风险评估，并向有关主管部门报送风险评估报告。数据处理者向境外提供个人数据或者国家规定的重要数据，应当申请数据出境安全评估，进行国家安全审查。

3） 明确了数据安全监测、预警、应急处置工作的规定。

要点三：在地方立法层面，首次明确规定数据领域公益诉讼制度

继最高检2020年9月在《关于积极稳妥拓展公益诉讼案件范围的指导意见》中将个人信息保护作为网络侵害领域的办案重点之后，该条例就九十八条明确规定了数据领域的民事公益诉讼制度。

对于法律、法规规定的组织未提起民事公益诉讼的，人民检察院可以依法提起民事公益诉讼。另外，规定检察院对于履行数据监督管理职责的部门违法行使职权或者不作为，致使国家利益或者公共利益受到损害的，应当提出检察建议或者提起行政公益诉讼。

要点四：规范了公共数据管理

条例明确，除了本市国家机关、事业单位和其他依法管理公共事务的组织之外，提供教育、卫生健康、社会福利、供水、供电、供气、环境保护、公共交通和其他公共服务的组织也属于公共管理和服务机构范围，规定其在依法履行公共管理职责或者提供公共服务过程中产生、处理的数据属于公共数据。

1）《条例》规定公共数据实行分级分类管理、目录管理，以共享为原则，不共享为例外。

2）无法通过公共数据共享平台共享获得的，实行统一对外采购。

3）明确了加强共享数据使用管理。

4）公共数据开放以需求导向、安全可控的原则，在法律、法规允许范围内最大限度开放。开放条件分为无条件开放、有条件开放和不予开放三类。

要点五：规范了数据要素市场

数据要素市场体系覆盖数据收集、加工、共享、开放、交易、应用等。明确市场主体对合法处理数据形成的数据产品和服务可自主使用和处分。

明确培育数据市场，通过依法设立的数据交易平台进行数据交易或者自行交易。明确包含未依法获得授权的个人数据以及包含未经依法开放的公共数据不得交易，违反该规定的最高可处一百万元罚款。 

要点六：对“去标识化处理”的适用予以明确

条例明确，数据处理者向他人提供其处理的个人数据，应当对个人数据进行去标识化处理，使得被提供的个人数据在不借助其他数据的情况下无法识别特定自然人。自然人要求去标识化的，也应当进行匿名化处理。

下述情况可以不进行去标识化处理：

1）在公共管理和服务机构依法履行公共管理职责或者提供公共服务的需要且书面要求提供的；

2）基于自然人的同意向他人提供相关个人数据的；

3）为了订立或者履行自然人作为一方当事人的合同所必需的，

4）法律、行政法规规定的其他情形。

要点七：明确了处理个人数据的原则

条例明确处理个人数据的原则包括：

1）限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式，包括但是不限于下列情形：
　　（一）处理个人数据的种类、范围应当与处理目的有直接关联，不处理该个人数据则处理目的无法实现；
　　（二）处理个人数据的数量应当为实现处理目的所必需的最少数量；
　　（三）处理个人数据的频率应当为实现处理目的所必需的最低频率；
　　（四）个人数据存储期限应当为实现处理目的所必需的最短时间，超出存储期限的，应当对个人数据予以删除或者匿名化，法律、法规另有规定或者经自然人同意的除外；
　　（五）建立最小授权的访问控制策略，使被授权访问个人数据的人员仅能访问完成职责所需的最少个人数据，且仅具备完成职责所需的最少数据处理权限。

针对APP不全面授权就不让用，条例明确予以禁止（除非该个人数据为提供相关核心功能或者服务所必需的）。

2）以告知-同意为前提

条例明确个人数据处理前应向自然人告知数据处理者的信息，个人数据的种类和范围，处理的目的和方式，存储个人数据的期限，相关安全风险和安全保护措施，自然人依法享有的权利和行使权力的方式。处理敏感个人数据的，应征得自然人的明示同意，以突出显示的形式告知处理敏感个人数据的必要性以及对自然人可能产生的影响。

明确不得通过误导、欺骗、胁迫或者其他违背自然人真实意愿的方式获取其同意。

明确处理生物识别数据的，应当在征得该自然人明示同意时，提供处理其他非生物识别数据的替代方案。但是，处理生物识别数据为处理个人数据目的所必需，且不能为其他个人数据所替代的除外。这是对人脸识别滥用的一个很好规制。

明确数据处理者应当提供自然人撤回同意处理个人数据的途径，不得对自然人撤回同意进行不合理限制或者附加不合理条件。

要点八：大数据杀熟最高可罚款5000万

大数据杀熟为：市场主体不得利用数据分析，对交易条件相同的交易相对人实施差别待遇。明确下述情形不属于大数据杀熟：

　　（一）根据交易相对人的实际需求，且符合正当的交易习惯和行业惯例，实行不同交易条件的；
　　（二）针对新用户在合理期限内开展优惠活动的；
　　（三）基于公平、合理、非歧视规则实施随机性交易的；
　　（四）法律、法规规定的其他情形。

条例规定大数据杀熟最高可罚5000万。　　

要点九：强化对未成年人个人数据的保护

《未成年人保护法》对未成年人个人信息保护进行了规定，包括：信息处理者通过网络处理未成年人个人信息的，应当遵循合法、正当和必要的原则；处理不满十四周岁未成年人个人信息的，应当征得未成年人的父母或者其他监护人同意；未成年人、父母或者其他监护人要求信息处理者更正、删除未成年人个人信息的，信息处理者应当及时采取措施予以更正、删除。

在此技术上，条例进一步明确，处理未满十四周岁的未成年人个人数据的，按照处理敏感个人数据的有关规定执行，并应当在处理前征得其监护人的明示同意，处理无民事行为能力或者限制民事行为能力的成年人个人数据的，应当在处理前征得其监护人的明示同意。