“先行一步”｜国内首部《数据条例》公布，商机和风险有哪些？（附全文）

《数据条例》共7章100条，是国内首部涵盖了数据处理一般原则、个人数据、公共数据、数据要素市场、数据安全等方面的立法。深圳作为建设中国特色社会主义先行示范区，在数据立法上先行一步，在“数据权益归属”“用户数据决定权”“生物识别类数据”“数据类民事公益诉讼”等领域作出了探索性、创新性的立法。

本文结合《数据条例》原文，洞悉企业商机，剖析法律风险，与读者交流。

一、数据权益归属，“一锤定音”

数据权属问题虽未达成共识，但《数据条例》对数据权益归属已暂时“一锤定音”了。用户对携带个人信息的上网数据享有什么权利/权益？对此，涉及的各方利益主体分歧意见较大。虽然用户的上网数据是企业对数据进行收集、加工的“原料”，但是用户相较于企业平台而言属于弱势方，单个用户与企业进行数据谈判，实力地位悬殊。

《数据条例》第3条规定，自然人对个人数据人享有法律、行政法规及本条例规定的人格权益。

从立法上赋予网民数据人格权益，这种定性作出了较好的利益平衡，对数据携带的身份利益归于用户所有，体现了以人民为中心的立法思想，为用户享有数据人格权益向数据人格权利发展作了有益探索。同时，为了促进数据资源开放流动和开发利用，赋予企业对合法处理数据形成的数据产品和服务享有财产权益，为企业对数据的“劳动贡献”在立法上予以定性、保护。这种立法模式为数据企业分析数据、提供数据产品和服务有提纲挈领的作用，引导数据企业合法合规经营。

对企业而言，应从《数据条例》的原则性规定中预测未来规则的发展走向。建议数据企业在提供服务时，相关的服务合同对数据有关的权益作出明确、醒目的提示性合同约定。数据产品和服务的发展还处于初期阶段，未来数据相关的纠纷将主要集中在企业与企业之间的数据财产权益纷争。因此，在企业提供数据产品和服务时，要特别注意与用户约定用户数据的权益归属，这将从源头上降低企业经营风险。

二、用户数据谁做主？—— 用户

“只要你上网，每个数据都会被记录。”上网是绝大多数人生活的重要组成部分，广大用户上网行为的“有迹可循”，往往让企业“有利可图”，各种根据大数据进行的信息推送使用户不胜其扰。那么，用户数据谁做主？

《数据条例》第16条规定，数据处理者应当在处理个人数据前，征得自然人的同意，并在其同意范围内处理个人数据。

此外，用户还有对数据处理表示同意、取消同意、补充更正的权利。《数据条例》的第2章整体基调是强化用户数据保护，即用户数据用户做主，用户说了算。

对企业而言，此前苹果推出的App Store保护隐私和安全功能算是技术对产业的自发变革（详情请看：“我已阅读并同意用户使用协议”是谎言？——谈APP用户信息保护），深圳《数据条例》则是立法层面、制度层面、监管层面对用户数据、用户隐私保护的新要求。此前，用户协议复杂、冗长，让用户不能看、不想看的乱象要改改了；那种“告知——同意”，不同意就不能下载或使用软件的现象要治治了；那种过度收集用户信息、过分侵扰用户隐私的行为要付出代价了。市场竞争，机遇稍纵即逝；商战似海，规则卷帙浩繁。哪些企业尊重用户隐私，尊重用户对数据“做主”，哪些企业就能赢得市场。相反，哪些企业依赖数据杀熟、用算法算计用户、侵害用户隐私，在数据市场的蓝海中，一定会触礁搁浅，折戟商业战场。

三、公共数据挖掘，做数据产品和服务是财富的新风口

2020年3月30日中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》，意见指出，“引导培育大数据交易市场，依法合规开展数据交易”。2020年10月11日中共中央办公厅、国务院办公厅印发《深圳建设中国特色社会主义先行示范区综合改革试点实施方案（2020－2025年）》，方案指出，“支持建设粤港澳大湾区数据平台，研究论证设立数据交易市场或依托现有交易场所开展数据交易。开展数据生产要素统计核算试点。”数据交易并非是无序数据、无加工数据的交易，而是数据产品和服务的交易。政府收集、管理的公共数据是现阶段数据产业的空白地，数据的公开、开发、利用对数据要素市场的培养发展有基础性作用。

《数据条例》第58条规定，市场主体对合法处理数据形成的数据产品和服务，可以依法自主使用，取得收益，进行处分。

《数据条例》第2章、第4章对公共数据作了详细规定，推动构建数据收集、加工、共享、开放、交易、应用等数据要素市场体系。可见，在《数据条例》落地实施后，深圳几百家大数据企业会在政府开放共享的数据赛道上，围绕数据加工、分析、定制数据产品和服务等进行竞赛。

数据像是燃料，数据分析则是内燃机。目前比较成熟的有30多个数据品种，如政府大数据、医疗大数据、金融大数据、企业大数据、电商大数据、能源大数据、交易大数据、交通大数据、商品大数据、消费大数据、信用卡数据、教育大数据、社交大数据、社会大数据等，值得大数据企业关注。

四、生物识别类数据“另起炉灶”，企业用户画像和个性化推荐应明示

“人脸识别”“指纹验证”“声音解锁”“虹膜识别”等生物识别技术在刑侦、治安、金融、医疗、交通、学校、支付等场景大范围使用，深刻改变了人们的生产生活方式。但是由于生物识别数据具有唯一性、终生性、不可更改性，一次泄露便是终身泄露。如果用户生物识别数据被滥用，将造成比一般个人数据更为严重的损害后果。为此，《数据条例》第19条规定，处理生物识别数据的，除了应当征得用户明示同意外，还要提供处理其他非生物识别数据的替代方案。同时，另行制定生物识别数据具体管理办法。对生物识别数据过度收集、强制收集等问题作出特别规定。

用户画像和个性化推荐固然有便利用户寻找信息，购买商品等优势，但其本质仍然是资本逐利的附带功能。“数据让机器比人更了解人”，用户在网上的行踪被记录，各式各样的算法把用户当作分析的对象，长此以往并不利于用户接受信息的多样性、丰富性，更是忽略了“人是万物的尺度”。

《数据条例》第29条规定，用户可以拒绝数据处理者对其进行用户画像，或者基于用户画像推荐个性化产品或者服务。

上述规定，并非“沉睡法律”，《数据条例》考虑到《个人信息保护法》仍在制定中、与其他相关法律责任规定的可能存在的衔接问题，将对新闻资讯类平台、网络购物类平台、短视频平台等行业模式产生较大影响。本文认为，虽然《个人信息保护法》还在审议之中，但互联网弱监管的阶段已经过去，法律侧重保护用户隐私，强化平台监管责任的立法阶段已然到来。《数据条例》的出台对企业而言是很好的缓冲期、转型期。

五、数据类民事公益诉讼——“为民撑腰”

数据相关的侵权行为具有技术性、隐蔽性、广泛性的特点，一般用户难以察觉，往往发现后也面临取证难、维权难、诉讼成本高等难题。2020年9月最高检出台《关于积极稳妥拓展公益诉讼案件范围的指导意见》，意见规定，将个人信息保护作为网络侵害领域公益诉讼的办案重点。

《数据条例》第98条规定，违反规定处理数据，致使国家利益或者公共利益受到损害的，法律、法规规定的组织、人民检察院可以提起民事公益诉讼。

人民检察院还可以对违法行使职权或者不作为致使国家利益或者公共利益受到损害的行政机关，提出检察建议或者提起行政公益诉讼。

一般而言，公益诉讼具有法定性、特殊性与广泛性，公益诉讼是相对于私益诉讼而言的。在数据领域规定民事公益诉讼制度是一种制度创新，对广大的用户具有积极意义，由组织或检察机关为用户权益“撑腰”。对企业而言，以往那种因为用户分散，“团结不起来”，诉讼利益小，缺乏维权动力的商业视角要彻底放弃。回顾过往环境公益诉讼、消费者权益保护公益诉讼案例，民事公益诉讼案件带来的影响不仅是判决结果，还会被媒体、消费者广泛关注，对企业运营至关重要，这里提请企业注意。

六、商业机会的背面——法律风险

有戏言称：“所有挣大钱的机会都写在刑法分则里。”尽管数据产业是一片蓝海，蕴藏丰富的商业机会。但就数据产业而言，数据产品和服务容易侵权、违法、犯罪却并非戏言。由于数据领域、个人信息保护领域的上位法还在制定中，《数据条例》中规定的民事责任、行政责任、刑事责任有些转引条款还需要结合上位法配套适用。但是涉及数据交易，尤其是跨境数据流动的法律风险极高，这一点是毋庸置疑的。以近日国家网信办对部分企业安全审查为例，一旦有跨境数据违规行为，国家必定是高度重视，严肃处理，轻则影响企业经营，重则可能面临最高额5000万元的罚款，还有可能触犯刑法。

《数据条例》第82条规定，数据处理者向境外提供个人数据或者国家规定的重要数据，应当按照有关规定申请数据出境安全评估，进行国家安全审查。本文提请企业对此高度重视，随着《区域全面经济伙伴关系协定（RCEP）》的推进（详情请看：《RCEP》全文发布！知识产权专章解读！14节，共83条），区域跨境贸易中的数据风险当属民事法律风险之首。企业应当关注监管动态，聘请专业的数据合规律师做好合规管理。

结语

看似寻常最奇崛。深圳《数据条例》的出台回应了全面实施大数据战略，落实综合改革实施方案要求的需要，也是立法追赶社会发展的尝试，可圈可点之处有很多。面对技术日新月异的发展，技术向善的企业会在产品和服务上守住底线，不越红线，探索创新，用技术提高商业效率，推动社会朝着便利化、科技化的方向发展。用户在享受科技发展红利的同时，也会为技术的商业应用、迭代升级赋能，从而形成数据企业与用户良性互动，数据产业朝气蓬勃的景象。

一花独放不是春，百花齐放春满园。数据在当今生产生活、经济发展中扮演的角色越来越重要，深圳《数据条例》的落地是地方因地制宜制定数据监管的开端，其他地方势必有所关注。强监管的号角已经吹响，作为企业应对照《条例》，对业务认真做“体检”，于规则中寻求商机，于商机中防范风险。

以下为《《深圳经济特区数据条例》全文：

（本文为授权发布，未经许可不得转载）