7月6日，《深圳经济特区数据条例》（以下简称《条例》）正式出台，将于2022年1月1日起实施，成为我国内地首部涵盖了个人数据、公共数据、数据要素市场、数据安全等数据安全领域的地方立法。

一方面，《条例》强化个人数据保护，对于用户深恶痛绝的App“不全面授权就不让用”、“大数据杀熟”、个人信息收集任性、强制个性化广告推荐等问题说“不”，并给予重罚；另一方面，在多地制度、立法竞争的背景下，深圳的《条例》具有很强的示范效应。

但也有专家表示，在权利人和数据双重流动的状态下，地域切分式的立法可能难以避免与他地的法律冲突。各地须明确立法边界，既要先试先行，积极适应数据市场，也要避免因数据立法的分裂造成数据市场的割裂。

强化个人数据保护

长期以来，App“不全面授权就不让用”、强制个性化广告推荐等问题困扰着广大用户。

《条例》对此明确，数据处理者不得以自然人不同意处理其个人数据为由，拒绝向其提供相关核心功能或者服务，该个人数据为提供相关核心功能或者服务所必需的除外。

同时，自然人有权拒绝数据处理者对其进行基于提升产品或者服务质量的目的的用户画像和基于用户画像进行的个性化推荐，数据处理者应当明示用户画像的主要规则和用途并为其提供拒绝的途径。

对比征求意见稿，《条例》新增确立了以“告知——同意”为前提的个人数据处理规则。

一是处理个人数据具有告知义务，需告知数据处理者的基本信息，处理个人数据的种类、范围、目的和方式，存储期限，可能存在的安全风险、采取的安全保护措施等；二是处理个人数据应当征得同意，不得通过误导、欺骗、胁迫等方式获取同意；三是规定数据处理者应提供撤回同意的途径；并在立法中首次认可了数据处理者在自然人撤回同意前基于同意进行的合法数据处理的有效性。

“这事实上反映了深圳立法机关强调源头治理，在数据收集环节强化保护力度的治理理念和机制考虑。”北京师范大学网络法治国际中心执行主任吴沈括评价。

《条例》还规定更加严格地处理生物识别数据、首次在国内立法中明确不得向未满14周岁未成年人进行个性化推荐等。

针对一审和二审稿中关于“数据权”的争议，《条例》最终并未将“数据权益”单列为一小节，而是在总则中提出了“自然人对个人数据享有法律、行政法规及本条例规定的人格权益。”

深圳市人大常委会法工委在对《条例》的解读中表示，目前就数据权属问题还未形成统一认识，难以通过地方性法规旗帜鲜明地创设“数据权”这一新的权利类型，但对于“个人数据具有人格权属性”“企业对其投入大量智力劳动成果形成的数据产品和服务具有财产性权益”已取得普遍共识。

基于这一认识，《条例》率先在立法中探索数据相关权益范围和类型，明确自然人对个人数据依法享有人格权益，包括知情同意、补充更正、删除、查阅复制等权益；自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及条例规定的财产权益，可以依法自主使用，取得收益，进行处分。

促进公共数据共享

一方面，《条例》强调对个人数据的保护，另一方面，推进公共数据资源开放利用、加快培育数据要素市场也成为了此次立法的应有之义。

对比二审稿，《条例》新增了“公共数据共享”小节，明确“公共数据应当以共享为原则，不共享为例外”。

“政府各部门掌握的公共数据资源蕴藏着巨量的经济信息，通过增值开发，不仅给市民带来便利，也能产生巨大的经济效益。”吴沈括表示，在该制度设计下，深圳追求最大限度释放公共数据流转利用的渠道范围及价值作用，全市公共数据的统一存储、聚合、共享、开放和安全监管将通过城市大数据中心实现，以进一步加快智慧城市的建设步伐，提升政府数据治理能力。

《条例》提到，建立以公共数据资源目录体系为基础的公共数据共享需求对接机制和相关管理制度，这是北京市安理律师事务所高级合伙人王新锐一直支持的。

“在数字经济发展中，地方政府最能提供的公共资源就是数据，但这需要立法为基础。”王新锐分析，中央层面的数据立法，如《数据安全法》和《个人信息保护法（草案）》等，其管控规则是赋权给个人而限制企业和政府的权力。一旦立法到了地方层面，核心就变成了地方政府能够利用数据做什么、应该做什么。 

大数据或人工智能相关企业在做测试或研发的过程中，常常缺乏数据作为基础，公共数据的开放、共享意味着能够带来更多的创新。但同时，也要考虑到数据安全乃至国家安全等因素，谨慎地开展工作。

深圳作为全球重要的电子信息和数据产业基地，汇聚了超过300家大数据企业，基本已形成了较为完善的大数据产业链，但仍面临着数据交易机制不完善阻碍了数据交易的规模扩张、企业间数据不正当竞争纠纷多发等挑战。

《条例》新增建立数据标准体系的相关规定，支持制定相关各类地方标准、行业标准、团体标准和企业标准，推动数据质量评估认证和数据价值评估等，同时推动建立数据交易平台，引导市场主体数据交易。

在对外经济贸易大学数字经济与法律创新研究中心执行主任许可看来，《条例》对于数据要素市场培育等内容的强调恰恰是它的亮点之一。“政府发展数据市场，除给数据从业者赋权外，更好的办法是完善底层的、基础的设施。”

促进数据要素市场发展的同时，也要保证公平的竞争。《条例》规定市场主体不得通过达成垄断协议、滥用在数据要素市场的支配地位、违法实施经营者集中等方式，排除、限制竞争。针对“大数据杀熟”等竞争乱象，《条例》作出了上限为5000万元的罚款规定。

地方立法需明确边界

作为中国数字经济发展的高地，深圳自身发展的需求推动了数据条例的立法。但如今，中国的数字经济立法已经走到国际上的“无人区”，面对许多我国独有的问题，需要更进一步探索。

“深圳希望通过一部条例规范与数据有关的各个方面，为此进行了一系列探索和创新，这是亮点，也是难点。”王新锐说。

北京大成律师事务所合伙人邓志松认可了条例在制度创新方面做出的有益尝试，但他指出，《条例》将个人信息等同于个人数据，背离我国顶层立法将个人信息保护与数据利用分为两种路径的做法，在未来的法律适用上可能会引起体系性的紊乱。另外，在权利人和数据双重流动的状态下，地域切分式的立法可能难以避免与他地的法律冲突。

许可同样表达了此担忧。随着广东省、上海市等地数据立法逐渐建立，他认为，在地方制度竞争、立法竞争的背景下，深圳的《条例》具有很强的示范效应。

“这是一种正向影响，但在实践中可能存在争议。如果深圳企业到上海打官司，两地法律条款完全不一样，既造成混乱，又破坏了数字经济的统一市场和规则。”许可说，明确各地的立法边界，中央层面在适当时期对数据权益做出规定是解决问题的最终方案。在此之前，各地既要先试先行，积极适应数据市场，也要避免因数据立法的分裂造成数据市场的割裂。

王新锐表示，地方数据立法应该思考的是，在《个人信息保护法（草案）》和《数据安全法》及其后续的配套规则下，什么样的空缺需要进行填补和细化。目前看来，地方可以通过立法，对地方级的监管机构和具体要求进行协调和拉齐，并为企业合规提供更多激励。同时，减少执法中的不确定性也能改善营商环境。

据悉，《条例》将于2022年1月1日起实施，它的生效将会给企业带来哪些影响？

邓志松认为，在《个人信息保护法（草案）》《数据安全法》均未生效的背景下，《条例》的出台为深圳相关企业开展数据相关活动提供了更明确的指引，也提醒了相关企业数据合规的重要性，并提出了更高的数据合规要求。

吴沈括则建议，企业需要打造更为全面、精细的合规风控体系，以及更为规范、科学的数据处理业务流程。 “遵循《条例》各章节的规定，理顺数据安全部门、网络安全部门、数据合规官以及网络安全负责人等部门和主体的业务关系，核心在于定岗定人、定岗定责，建立清晰、明确的业务边界与主体责任配置。”吴沈括说。