专业研究

数据作为和土地、资本、劳动力、技术等并列的全新的生产要素，已经上升到基础战略资源的地位。但数据在引领经济发展、促进行业变革的同时，也带来了个人隐私泄漏、数据安全风险等诸多新问题，亟需通过立法手段予以规范。

2021年6月，《中华人民共和国数据安全法》出台，将于9月1日正式实施。《数据安全法》聚焦于数据安全层面，在保证安全的前提下对数据的使用做出规定，但在数据权益层面还没有进行过多的探索。

2020年10月，中办、国办印发《深圳建设中国特色社会主义先行示范区综合改革试点实施方案（2020-2025年）》，要求深圳在数据产权制度、数据产权保护和利用新机制、数据隐私保护制度、政府数据共享开放以及数据交易等方面先行探索。

深圳作为全球重要的电子信息和数据产业基地，汇聚了超过300家大数据企业，基本形成了较为完善的大数据产业链，数字经济新产业、新业态和新模式蓬勃发展。在此背景下，深圳先行先试，于6月29日通过《深圳经济特区数据条例》（以下简称《条例》）。其内容涵盖个人数据、公共数据、数据要素市场、数据安全等多个方面，是国内数据领域首部基础性、综合性立法，可以为全国立法积累宝贵经验，也为企业数据合规指明了方向。

一、数据权益归属

《条例》在一审稿中创新性地提出“数据权”。一审稿拟规定，自然人、法人和非法人组织依据法律、法规和本条例的规定享有数据权，任何组织或者个人不得侵犯。数据权是权利人依法对特定数据的自主决定、控制、处理、收益、利益损害受偿的权利。此外，数据要素市场主体对其合法收集的数据和自身生成的数据享有数据权，任何组织或者个人不得侵犯。

在征求意见过程中，“数据权”的提出引发了各界讨论。一方面，创设“数据权”这一新的权利类型，有益于深圳在个人数据、公共数据属性、数据交易等方面做出突破性尝试；但另一方面，“数据权”属于民事基本权利，根据《立法法》的规定，涉及民事基本制度和基本经济制度只能通过法律予以规制，这超出了深圳的立法权限。

综合各方意见，《条例》二审稿指出，目前公众对数据权属问题的认识还不统一，难以在法规中旗帜鲜明地创设“数据权”。但是“个人数据具有人格权属性”已经取得普遍共识，而且过往的一些司法判例也认可了“企业对其投入大量智力劳动成果形成的数据产品和服务具有财产性权益”。

基于这一认识，正式出台的《条例》率先在立法中探索数据相关权益范围和类型，明确自然人对个人数据依法享有人格权益，包括知情同意、补充更正、删除、查阅复制等权益；自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及条例规定的财产权益，可以依法自主使用，取得收益，进行处分。

赋予自然人对数据的人格权益，是《民法典》及正在制定中的《个人信息保护法》确立的立法方向；而考虑到数字经济、数字要素市场的建设和发展，赋予自然人、法人和非法人组织在数据产品和服务上的财产权益也是很必要的。从数据产品和服务的角度来确定数据的经济价值，这样的规定务实地回应了现实需求，也能较好地平衡和保护个人权益。

数据合规建议

企业使用数据时应保证数据的来源合法合规：

1）企业在提供数据产品和服务时，在相关的合同中应对数据有关的权益做出明确约定，尤其要注意与用户约定收集于用户的数据的权益归属。

2）如果企业的数据来源于第三方提供者，企业应重点审核第三方提供者是否具有相关数据的所有权，以及使用该第三方提供者的数据是否还需要获得其他企业或个人的授权。

二、强化个人数据保护

1. 《条例》对个人数据的分类

《条例》按不同的数据特征以及一旦泄露对个人造成的危害程度，将涉及个人的数据分为“个人数据”“敏感个人数据”和“生物识别数据”。个人数据，是指载有可识别特定自然人信息的数据，不包括匿名化处理后的数据；敏感个人数据，是指一旦泄露、非法提供或者滥用，可能导致自然人受到歧视或者人身、财产安全受到严重危害的个人数据，具体范围依照法律、行政法规的规定确定；而生物识别数据，是指对自然人的身体、生理、行为等生物特征进行处理而得出的能够识别自然人独特标识的个人数据，包括自然人的基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等数据。

2. 《条例》中处理个人数据的基本原则

《条例》参考《个人信息保护法（二审稿）》及《个人信息安全规范》，确立处理个人数据的基本原则，即处理个人数据应当具有明确、合理的目的，并遵循“最小必要”和“合理期限”原则。

同时，《条例》对“最小必要”原则的具体内涵予以明确，即限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式处理个人数据，并列举了五种符合“最小必要”原则的具体情形：

1）处理个人数据的种类、范围应当与处理目的有直接关联，不处理该个人数据则处理目的无法实现；

2）处理个人数据的数量应当为实现处理目的所必需的最少数量；

3）处理个人数据的频率应当为实现处理目的所必需的最低频率；

4）个人数据存储期限应当为实现处理目的所必需的最短时间，超出存储期限的，应当对个人数据予以删除或者匿名化，法律、法规另有规定或者经自然人同意的除外；

5）建立最小授权的访问控制策略，使被授权访问个人数据的人员仅能访问完成职责所需的最少个人数据，且仅具备完成职责所需的最少数据处理权限。

3. 《条例》中处理个人数据的规则

为进一步规范个人数据处理活动，《条例》确立了以“告知—同意”为基础的个人数据处理规则：处理个人数据具有告知义务，应当在处理前向自然人告知数据处理者的基本信息，处理个人数据的种类、范围、目的和方式，存储个人数据的期限，可能存在的安全风险、采取的安全保护措施，以及自然人依法享有的权利、行使权利的方式等事项；对于敏感个人数据的，应以更加显著的标识或者突出显示的形式告知处理的必要性，以及对自然人可能产生的影响。

同时，针对目前越来越普遍的用户画像和个性化推荐，《条例》明确规定，数据处理者可以进行用户画像和个性化推荐，但应当明示规则和用途，并采用足以引起注意的特别标识等易获取的方式为被画像主体提供拒绝的途径。而用户有权随时拒绝对其进行的用户画像和个性化推荐。

4. 《条例》对生物识别数据和未成年人数据的特殊保护

对于“人脸”“指纹”“声音”“虹膜”等生物识别数据，其具有唯一性、终生性、不可更改性，一旦泄露或者被滥用，将对个人造成严重的损害后果。为此，《条例》对处理生物识别数据做出更加严格的规定，要求处理生物识别数据时，除该生物识别数据为处理个人数据目的所必需，且不能为其他非生物识别数据所替代外，数据处理者也应当具备相应的数据安全防护能力。

同时，为了进一步加强对未成年人的保护，《条例》将未成年人的个人数据视作敏感个人数据，适用敏感个人数据的有关规定，且不得对未成年人进行用户画像和个性化推荐。

数据合规建议

企业收集、处理个人数据应注意以下问题：

1）收集个人信息应当采用合法方式，不得通过隐瞒、欺诈、误导等不正当手段收集个人信息。

2）收集个人信息目的应当明确、合理，并符合“最小必要”原则，如收集的个人信息与实现数据产品或服务的功能应当直接相关，不得以优化体验、定向推送为目的收集用户的个人信息。

3）收集、处理个人信息应当明示个人信息处理规则，不得向用户提供冗长、复杂的用户协议，也不得要求用户提供“一揽子”授权，建议使用弹窗、隐私条款、常见问题等更容易送达用户的形式，且上述形式的文字排版不应造成用户阅读困难。

4）处理个人信息时应保证准确无误，避免出现错误、歪曲，从而对用户的个人权益造成不利影响。

5）应采取必要的措施保证所收集、处理的个人信息处于安全状态。

三、挖掘公共数据的价值

数据的价值在于流通，数据流通不畅一直是制约数据发展的关键障碍。要实现数据流通，专家认为首先在于政府将公共数据开放共享，继而才能引领全社会数据的开放共享。据专家测算，政府及其部门掌握的公共数据占全社会数据总量的80%以上，但绝大多数公共数据都处于“沉睡”的状态，成为一个个信息孤岛，其应有的价值未能得到很好挖掘利用。

公共数据资源是公共资源，治理公共数据的最终目标是推动公共数据资源的开放利用。应当将公共数据资源开放纳入公共服务，减少政府对于公共数据开发利用的干预，充分发挥市场对公共数据资源的高效配置作用，由市场主体对公共数据进行开发利用，将公共数据资源转化为生产要素和生产力，从而最大程度地实现公共数据的价值。

《条例》就公共数据的开放确立了分类分级、需求导向、安全可控的原则，要求公共数据应当在法律法规允许的范围内最大限度开放。公共数据依照法律、法规规定开放，不得收取任何费用。

一是最大限度地拓展公共数据的范围。《条例》规定，公共管理和服务机构在依法履行公共管理职责或者提供公共服务过程中，产生、处理的数据均属于公共数据。而且《条例》明确，公共管理和服务机构是指本市国家机关、事业单位和其他依法管理公共事务的组织，以及提供教育、卫生健康、社会福利、供水、供电、供气、环境保护、公共交通和其他公共服务的组织。即上述机构在履行公共管理职责或提供公共服务时产生处理的数据均在公共数据的范围内，都应该依法开放。

二是建设统一、高效的公共数据开放平台，组织公共管理和服务机构通过平台向社会开放公共数据。除通过传统的政府数据开放平台来共享公共数据外，还可以综合利用区块链、隐私计算等技术建立专业化数据定向开放平台，提供“可用不可见”和按规定用途使用数据的安全可信环境，满足专业机构对高价值数据的需求，带动公共数据与社会数据融合应用。公共数据开放平台应当根据公共数据开放类型，提供数据下载、应用程序接口和安全可信的数据综合开发利用环境等多种数据开放服务。

对于公共数据的处理，应当遵循依法收集、统筹管理、按需共享、有序开放、充分利用的原则，充分发挥公共数据资源对优化公共管理和服务、提升城市治理现代化水平、促进经济社会发展的积极作用。

数据合规建议

企业在数据产品和服务中共享数据时应注意以下方面：

1）企业委托第三方开发ERP系统、网站、App等时，应在委托合同中明确第三方开发此系统过程中获悉的企业相关数据能否共享于彼系统，使用该数据是否应取得最终用户的同意或授权。

2）企业为实现数据产品和服务的版本迭代、升级目的，将收集到的用户数据共享于第三方，是否符合“用户协议”等描述的收集用户数据的目的。

数据在当今生产生活、经济发展中扮演的角色越来越重要，《条例》是深圳根据地方经济特点，因地制宜地制定的数据监管法规，回应了国家大数据战略实施过程中的现实需求，在数据权属、数据保护、公共数据共享开放等方面做出了有益的探索。各企业应对照《条例》的规定，调整、完善企业的各项制度，确保业务合法合规，防范法律风险。

（本文为原创文章，作者为王俊林律师、石陇辉律师助理。欢迎转载，转发请注明出处，侵权必究）