宝安日报全媒体记者 罗慧怡 

《深圳经济特区数据条例》（以下简称“条例”）经深圳市第七届人民代表大会常务委员会第二次会议于2021年6月29日通过，将自2022年1月1日起施行。条例近2万字，分为七章，共100条，主要涵盖个人数据保护、公共数据管理和应用、数据要素市场培育和数据安全管理四个方面，是我国数据领域首部基础性、综合性立法。

宝安日报邀请深圳市人大代表、深圳市人大法制委员会委员、广东深宝律师事务所律师黄振辉结合市人大常委会日前发布的条例，对条例的几大亮点进行剖析。

亮点1

个人数据处理以“告知-同意”为前提

长期以来，我国一些APP一直存在过度收集个人信息、强制索要用户授权等问题，甚至有的APP还将收集个人数据与其功能或服务进行捆绑，用户若不同意全面授权，就无法使用该APP。以上种种，都严重损害了用户作为个人数据主体的决定权。

为了进一步规范个人数据处理活动，条例借鉴了国际主流中关于个人数据立法的规定，确立了以“告知—同意”为基础的个人数据处理规则，以最大化保护个人数据：一、数据处理者处理个人数据前应当履行告知义务（第14条、15条）。二、数据处理者处理个人数据前应当征得自然人同意（第16条至第21条）。三、数据处理者在自然人撤回同意时应提供撤回途径（第22条、23条），并且数据处理者不得对撤回同意进行不合理限制或者附加不合理的条件。

亮点2

用户有权拒绝被画像和被推荐

用户画像和个性化推荐为人们提供了更加精准、个性化的商品和服务，但同时也带来了一些负面影响，应当予以规范。

条例第29条首创性规定了数据处理者对自然人进行用户画像的，应当向其明示用户画像的具体用途和主要规则。自然人也有权要求拒绝数据处理者对其进行用户画像或者基于用户画像推荐个性化产品或者服务；而当自然人提出拒绝的要求后，数据处理者应当以易获取的方式向其提供拒绝的有效途径。

亮点3

“人脸识别”不能强制使用

为了在拓展生物识别技术应用的同时，避免生物识别数据的滥用，《条例》第19条规定了除该生物识别数据为处理个人数据目的所必需并且不能替代外，数据处理者在处理生物识别数据时，应当同时提供处理其他非生物识别数据的替代方案。而基于特定目的处理生物识别数据的，未经自然人明示同意，数据处理者也不得将该生物识别数据用于其他目的。

亮点4

数据不正当竞争的高额罚款

掌握丰富数据资源的平台往往更容易对其他竞争者形成碾压态势，进而将数据优势转化成市场占有率的提高、合作机会的增加、成本的降低与利润率的提高等竞争优势，最终在竞争中取得优势地位甚至是市场支配地位，市场中野蛮生长的无序竞争行为也与日俱增，平台“大数据杀熟”、收集和滥用个人信息、强化“信息茧房”等现象屡见不鲜。上述行为不仅损害了市场公平竞争和消费者合法权益，亦不利于充分激发创新活力。面对数据不正当竞争行为，条例规定情节严重的将处上一年度营业额5％以下罚款，最高不超过5000万元，用高额罚款来遏制和震慑野蛮生长的无序竞争行为势头，保护数字经济的竞争有序发展。

亮点5

数据领域的公益诉讼制度

每一位公民是数据的生产者，也是数据安全的保护对象，然而数据侵权具有很强的专业性，数据收集、使用和处理的主动权往往被平台以技术和专业优势牢牢掌控，普通公民存在取证困难、维权时间长、经济成本太高等问题。为及时有效保护遭受数据侵权的普通公民，在没有其他适格主体可以提起诉讼，难以通过普通民事、行政、刑事诉讼有效实现公益保护的前提下，条例首次在地方立法中确立了数据领域的公益诉讼制度，规定检察院和法律、法规规定的组织可以就违规处理数据致使国家利益或者公共利益受到损害的行为，依法提起民事公益诉讼，该规定在全国具有积极的风向标意义。

亮点6

公共数据应当最大限度免费开放

在数字经济时代，数据是最重要的生产要素和生产力之一，政府各职能部门掌握的大量公共数据信息资源中蕴藏着巨量的社会经济发展信息，通过这种增值数据开发不仅使其可以给广大市民生活带来许多便利，也可以产生巨大的社会经济效益。公共数据是如此重要的公共资源，如何防止公共资源被滥用的同时最大限度免费开放公共数据，甚至推动和鼓励对公共数据资源进行二次深度挖掘、开发利用综合信息服务创新产品、开展课题研究，充分释放数据的使用价值，提升公共服务能力，是条例将其纳入公共服务的目的之一（第51条至55条）。黄振辉认为，鉴于目前仍存在公共数据的管理规范体系未建立、公共数据的共享标准未统一、公共数据的开放程度不充分等问题，除了加快建设统一、高效的公共数据开放平台和城市大数据中心之外，政府部门还应多多听取有关民众对公共数据资源统一、集约管理的意见，真正做到取之于民、用之于民、造福于民。 

链接

人脸识别企业：监管趋严有利于营造公平竞争环境

“人脸识别”“指纹验证”“声音解锁”“虹膜识别”等生物识别技术在刑侦、治安、金融、医疗、交通、学校、支付等场景大范围使用，深刻改变了人们的生产生活方式。但是由于生物识别数据具有唯一性、终生性、不可更改性，一旦泄露或被滥用，将造成较一般个人数据更为严重的损害后果。为了在拓展生物识别技术应用的同时，避免生物识别数据的滥用，条例第19条规定：“处理生物识别数据的，应当在征得该自然人明示同意时，提供处理其他非生物识别数据的替代方案。但是，处理生物识别数据为处理个人数据目的所必需，且不能为其他个人数据所替代的除外。基于特定目的处理生物识别数据的，未经自然人明示同意，不得将该生物识别数据用于其他目的。”

深圳市人大代表、广东中熙（龙华）律师事务所刘南筠律师认为，目前最突出的问题是生物信息的采集层级过低，不少住宅小区、商业写字楼在门禁系统中使用人脸识别，有些还不提供其他方式。“条例中规定，人脸识别不能强制使用，需要自然人明示同意，并且通常需要提供处理其他非生物识别数据的替代方案，这个规定不仅是对信息处理者的教育，也是对市民的教育，不要仅仅为了方便就让渡对个人来说这么重要的数据。”

而在人脸识别行业创业者张旵看来，目前被滥用的人脸识别，并没有想象中那么无懈可击，其安全上的漏洞恰恰与其被滥用有关。“普通客户认为人脸识别具有识别上的唯一性，在管理上最为方便，因此为了方便无节制使用。但实际上，包括人脸识别在内的生物识别领域，目前缺乏统一标准，应用和数据管理相对混乱，不分场合地滥用会导致整个系统的安全指数下降。”张旵说，这种系统性风险的提高与过于依赖技术有关，与实体门锁管理作对比，由于管理者知道实体门锁容易复制、丢失、转让，管理过程中不会仅仅依赖于钥匙的独一性，而会设置一整套制度来防范风险，如备案、网格管理等，而一旦使用生物识别技术，不少人便认为万事大吉，疏于管理，进而导致有意利用这种疏忽者如入无人之境。

普通人担心隐私泄露，保障数据安全对企业来说也是巨大的压力，“万物互联的时代，要做到完全没有安全技术漏洞很难，企业完善管理制度、只让核心人员接触数据也很难。”张旵说，人脸识别行业存在一个畸形现状：前期为商家、住宅小区免费安装人脸识别设备，后期依靠贩卖隐私数据盈利，违法者反而获得不正当的竞争优势，若相关立法完善，对于守法商家来说自然是利好消息。只是张旵仍担心，中小企业，尤其是创业公司，无力负担过高的数据安全管理成本。条例中“数据安全”一章对数据安全管理做了详细规定，如数据处理者应当对其数据处理全流程进行记录，保障数据来源合法以及处理全流程清晰、可追溯；数据处理者应当对所收集的个人数据进行去标识化或匿名化处理。但对张旵来说，这些规定并未给企业如何管理数据提供具体的指引。

对此，刘南筠律师建议，企业应在制度和技术层面做好数据安全管理，前者的重点是做好数据合规制度建设，后者可以依托专门的网络安全机构建立技术层面的管理系统，双管齐下构建起相对完善的数据安全防护机制。

条例刚刚出台还未施行，但在数据安全管理越来越严格的整体趋势下，张旵已经感受到了严监管对行业的影响，“我们公司一个快签合同的项目目前暂停采购了，客户要先进行数据风险评估。但我认为严监管是一件好事，让自始至终无意利用数据二次变现的企业面临更公平的市场竞争环境。”

圆桌

特区数据条例：国内数据领域第一部基础性、综合性立法

《深圳经济特区数据条例》（以下称“条例”）经深圳市七届人大常委会第二次会议通过，拟自2022年1月1日起实施。而国家层面的《数据安全法》于今年6月通过，将于9月1日施行，《个人信息保护法（草案）》也已经在征求意见。可以看出，数据相关立法层出不穷，那么为何说特区数据条例是国内数据领域第一部基础性、综合性立法？本报邀请广东深宝律师事务所黄振辉律师和广东中熙（龙华）律师事务所刘南筠律师就特区立法及其效力进行探讨。

记者：数据相关立法是近年来的热点，为什么说条例是国内数据领域第一部基础性、综合性立法？

刘南筠：不同于数据相关法律以及其他省市地方性法规、规章从涉及数据的某个具体领域制定单项、专门性数据规范的做法，从目录就可以看出，条例内容涵盖了个人数据、公共数据、数据要素市场、数据安全等方面，对数据领域涵盖的范围比《数据安全法》和《个人信息保护法（草案）》要大得多。

仔细看具体章节，《数据安全法》颁布更早，特区条例中涉及数据安全的章节并不是简单重复上位法的规定，而是在《数据安全法》的基础上做了一些细化，创新性地提出数据安全管理、数据安全监督等。再看条例和《个人信息保护法（草案）》的比较，特区条例中有一个章节叫个人数据，其立法宗旨与《个人信息保护法（草案）》在根本上是一致的，立法时参考了草案的一些内容，比如处理个人数据应当具有明确、合理的目的，并遵循最小必要和合理期限原则。

黄振辉：首先，条例是立足深圳实际的，更接近深圳的社会情况，其规范调整的范围也比较广。其次，相对于《数据安全法》和《个人信息保护法（草案）》，条例的保护对象侧重点不同。条例保护自然人、法人和非法人组织数据权利和其他合法权益；《数据安全法》主要是规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益；《个人信息保护法（草案）》主要是保护个人信息权益，规范个人信息处理活动，是针对个人信息部分的。

再次，三者均规定了个人信息数据记录的部分，相对《数据安全法》，条例中数据规定的范围要更广一些，不仅包括了信息的记录部分，还涵盖了归纳部分；《个人信息保护法》针对的是自然人有关的各种信息，而条例不仅调整自然人的数据活动，也调整法人、非法人组织的数据活动。

记者：数据的流转是不分城市界限的，而条例是特区立法，我们应当如何看待其效力问题？

黄振辉：数据易于流动，跨境流动都不困难，更不要说流淌于深圳内外。如果条例仅针对位于深圳的机构，可能意味着给深圳机构新增了其他地区没有的合规负担，这也是条例在适用过程中的难点。条例将于明年施行，具体的适用问题可能还需要相关的实施细则、规章制度加以完善。

刘南筠：我认为，条例在特区范围内适用，并不是针对哪一类主体，比如深圳企业或深圳市民，而是只要和数据有关的活动，如采集、处理等，发生在深圳，就可以适用。一旦发现违法行为，个人和企业都可以向有关部门举报、起诉或寻求社会组织的协助，引用条例来维护自己的权益。只是对于条例涉及的监管部门，肯定要是深圳的，可以说，条例给监管部门的行政工作提供了一个坚实的法律基础。

黄振辉：根据《立法法》第74条的规定，经济特区所在地的省、市的人民代表大会及其常务委员会根据全国人民代表大会的授权决定，制定法规，在经济特区范围内实施。条例作为特区立法，在深圳经济特区范围内适用实施。对其上位法而言，条例是将其原则性规定变得更为具体化、是依法治精神在空白处拾遗补缺的表现。尽管条例只是一份地方性立法，但我相信，它的示范效应将及于全国。