《深圳经济特区数据条例》解读

《深圳经济特区数据条例》解读

张晓宇 罗旷怡

导

语

《深圳经济特区数据条例》（以下简称《条例》）经深圳市第七届人民代表大会常务委员会第二次会议于2021年6月29日通过，自2022年1月1日起施行。不同于数据相关法律以及其他省市地方性法规规章从涉及数据的某个具体领域制定单项、专门性数据规范的做法，《条例》涵盖了个人数据、公共数据、数据要素市场、数据安全等方面的内容，是国内数据领域首部基础性、综合性立法。以下从7问7答解读《条例》的亮点和重点，为相关企业提供数据合规指引。

Q1

《条例》率先在立法中提出的“数据权益”为何？

《条例》明确了个人数据的人格权益和财产权益，即（1）自然人对个人数据依法享有人格权益，包括知情同意、补充更正、删除、查阅复制等权益，对个人数据的处理应遵循目的明确合理、方式合法正当、最小必要、知情同意、准确完整和确保安全的原则及要求；（2）自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有财产权益，可以依法自主使用，不得危害国家安全、公共利益或者损害他人的合法权益。（第3、4、10条）

Q2

处理个人数据“最小必要”原则的具体内涵为何?

“最小必要”原则指的是处理个人数据限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式，具体体现在种类、范围、数量、频率、存储期限、访问控制等方面。（第11条）

Q3

关于APP不得对不同意全权收集个人数据的用户拒绝提供服务，《条例》是如何具体规定的？

自然人对其个人数据有自由决定权，数据处理者不得以自然人不同意处理个人数据为由，拒绝向其提供相关核心功能或者服务，除非该个人数据为提供相关核心功能或者服务所必需。（第12条）

Q4

关于告知-同意制度，《条例》是如何规定的？

对于数据处理者告知义务的具体要求如下：（第14、15条）

（1）时间：处理前

（2）对象：自然人

（3）方式：通俗易懂、明确具体、易获取、完整、真实、准确

（4）事项：

①数据处理者姓名（名称）、联系方式；

②处理个人数据的种类、范围、目的、方式；

③存储期限；

④可能存在的安全风险以及采取的安全保护措施；

⑤自然人依法享有的相关权利及行使权利的方式；

⑥依法应当告知的其他事项。（处理敏感个人数据的，还应当以更加显著的标识或者突出显示的形式告知处理敏感个人数据的必要性以及对自然人可能产生的影响。）

（5）例外情形：紧急情况下为保护自然人的人身、财产安全等重大合法权益，无法事前告知的，应当在紧急情况消除后及时告知；处理个人数据有法律、行政法规规定应当保密或无需告知的情形。

关于同意制度的相关规定如下：（第16-23条）

（1）时间：处理前

（2）范围：在同意范围内处理，征得同意的事项变更的，应重新征得同意

（3）征得同意的方式：不得以误导、欺骗、胁迫等违背自然人真实意愿的方式获取同意

（4）处理特殊数据的额外要求（均需获得明示同意）：

①对于敏感个人数据，处理前应征得自然人的明示同意；

②对于“人脸识别”等生物识别数据，除了该生物识别数据为处理个人数据目的所必需且不能替代外，应当同时提供处理其他非生物识别数据的替代方案；基于特定目的处理生物识别数据的，未经该自然人明示同意，不得将其生物识别数据用于其他目的。生物识别数据具体管理办法由市政府另行制定；

③对于未满十四周岁的未成年人个人数据，按照处理敏感个人数据的有关规定执行，并应在处理前征得其监护人的明示同意；

④对于无民事行为能力或限制民事行为能力的成年人个人数据，处理前征得其监护人的明示同意。

（5）例外情形（有其一，即可在处理前不征得自然人同意）

①　处理自然人自行公开或其他已合法公开的个人数据，且符合该个人数据公开时的目的

②　为了订立或履行自然人作为一方当事人的合同所必需

③　数据处理者因人力资源管理、商业秘密保护所必需，在合理范围内处理其员工个人数据

④　公共管理和服务机构为了履行法定职责或提供公共服务所必需

⑤　新闻单位依法进行新闻报道所必需

⑥　法律法规规定的其他情形

（6）同意的撤回

①　自然人有权撤回部分或全部处理其个人数据的同意。

②　自然人撤回同意的，数据处理者不得继续处理该个人数据，但是不影响数据处理者在自然人撤回同意前基于同意进行的合法数据处理。

③　法律、法规另有规定的，从其规定。

④　应采用易获取的方式提供自然人撤回其同意的途径，不得利用服务协议或者技术等手段对其撤回同意进行不合理限制或者附加不合理条件。

Q5

用户画像和个性化推荐的应用，为人们提供了更加精准、个性化的商品和服务，同时也带来了“信息茧房”、个人隐私泄漏等负面影响。对此，《条例》是如何规定的？

《条例》对用户画像的相关要求包括：数据处理者可以对自然人进行用户画像，但是应当向其明示用户画像的具体用途和主要规则。自然人有权拒绝对其进行的用户画像和个性化推荐，数据处理者应当以易获取的方式向其提供拒绝的有效途径。对于未满十四周岁未成年人予以特别保护，除为了维护未满十四周岁未成年人的合法权益且征得其监护人明示同意外，不得向其进行个性化推荐。（第29、30条）

Q6

对于“大数据杀熟”，《条例》是如何规制的？

”大数据杀熟“是指市场主体通过利用数据分析，对交易条件相同（即交易相对人在交易安全、交易成本、信用状况、交易环节、交易持续时间等方面不存在实质性差别）的交易相对人实施差别待遇。《条例》创新性规定市场主体不得无正当理由进行“大数据杀熟”的行为。违法者情节严重的，处上一年度营业额5%以下罚款，最高不超过5000万元。但有下列情形之一的除外：①根据交易相对人的实际需求，且符合正当的交易习惯和行业惯例，实行不同交易条件的；②针对新用户在合理期限内开展优惠活动的；③基于公平、合理、非歧视规则实施随机性交易的；④法律、法规规定的其他情形。

此外，为了促进市场公平竞争，《条例》还规定市场主体不得以非法手段获取其他市场主体的数据，或者利用非法收集的其他市场主体数据提供替代性产品或者服务，侵害其他市场主体的合法权益。违法者情节严重的，同样要处上一年度营业额5%以下罚款，最高不超过5000万元。（第68、69、95条）

Q7

在数据安全管理方面，相关企业应该注意什么？

《条例》从四个方面对进行数据处理的企业作如下规定：

（1）数据处理、存储方面：数据处理者应对其数据处理全流程进行记录，保障数据来源合法以及处理全流程清晰、可追溯。对所收集的个人数据进行去标识化或者匿名化处理，并与可用于恢复识别特定自然人的数据分开存储。针对敏感个人数据、国家规定的重要数据制定并实施去标识化或者匿名化处理等安全措施。对数据存储进行分域分级管理，选择安全性能、防护级别与安全等级相匹配的存储载体；对敏感个人数据和国家规定的重要数据还应当采取加密存储、授权访问或者其他更加严格的安全保护措施。对数据处理过程实施安全技术防护，并建立重要系统和核心数据的容灾备份制度。（第75-78条）

（2）数据销毁方面：应当建立数据销毁规程，对需要销毁的数据实施有效销毁。数据处理者终止或者解散，没有数据承接方的，应当及时有效销毁其控制的数据。法律、法规另有规定的除外。（第80条）

（3）数据共享方面：应当建立数据共享、开放安全管理制度，建立和完善对外数据接口的安全管理机制。委托他人代为处理数据的，应当与其订立数据安全保护合同，明确双方安全保护责任。受托方完成处理任务后，应当及时有效销毁其存储的数据，除非法律、法规另有规定或者双方另有约定。向境外提供个人数据或者国家规定的重要数据，应当按照有关规定申请数据出境安全评估，进行国家安全审查。（第79、81、82条）

（4）对数据异常情况的监测、评估、预警与应急预案方面：落实与数据安全防护级别相适应的监测预警措施，对数据泄露、毁损、丢失、篡改等异常情况进行监测和预警。监测到发生或者可能发生数据泄露、毁损、丢失、篡改等数据安全事件的，应当立即采取补救、预防措施。处理敏感个人数据或者国家规定的重要数据，应当按照有关规定定期开展风险评估，并向有关主管部门报送风险评估报告。建立数据安全应急处置机制，制定数据安全应急预案。数据安全应急预案应当按照危害程度、影响范围等因素对数据安全事件进行分级，并规定相应的应急处置措施。发生数据泄露、毁损、丢失、篡改等数据安全事件的，应当立即启动应急预案，采取相应的应急处置措施，及时告知相关权利人，并按照有关规定向市网信、公安部门和有关行业主管部门报告。（第83-86条）