本文转载自公众号“北京植德律师事务所”

2021年7月6日，一周前通过的《深圳经济特区数据条例》（以下简称“《条例》”）正式发布，将于2022年1月1日起实施。这是我国第一部地方性的数据条例。

在《条例》第二次公开征求意见时，我们与相关深圳地方企业、技术专家结合大家的数据合规实务经验，对征求意见稿相关热点问题进行了深入交流、探讨，并于2021年6月15日以书面形式向市人大常委会法制工作委员会办公室提交了《关于<深圳经济特区数据条例（征求意见稿）>的修订意见和建议》，共计15条修订意见和建议，其中8条内容部分或全部被《条例》采纳，包括在法律责任部分删除“按照每处理一个自然人的个人数据处以二百元以上一千元以下的罚款”的规定等。

本文主要就《条例》规定的企业数据安全合规义务六大难点进行简要分析并提出相关建议，以供相关企业参考。

一、如何把握“必要、最小”要求？

《条例》第十条规定了企业处理个人数据的五大要求，具体包括：

在实务中，企业往往对“必要、最小”要求难以准确把握，我们可以看到，在网信办发布的App违法违规收集使用个人信息情况通报中，“违反必要原则”是App普遍存在的问题。

《条例》第十一条吸收了《信息安全技术 个人信息安全规范》的相关规定，将“必要、最小”要求细化为五项具体要求（即直接关联、最少数量、最低频率、最短时间、最小授权），为企业把握“必要、最小”要求提供了操作指南。

另外，我们注意到，在处理个人数据的基本原则方面，《条例》第三条除了明确“最小必要”原则外，还新增了“合理期限”原则，这两个原则是什么关系呢？我们认为，“最小必要”原则主要指向个人数据处理行为（如收集、存储、使用等），“合理期限”原则主要指向个人与数据相关的权益（如撤回同意、查阅、复制、更正、删除个人数据等）的保障，两者不仅不冲突，而且相辅相成。

在个人信息保护、数据安全立法、执法趋严形势下，我们认为，企业有必要根据《条例》的规定，结合《常见类型移动互联网应用程序必要个人信息范围规定》的相关规定、《信息安全技术个人信息安全影响评估指南》的相关要求，对其相关业务功能或服务涉及的个人数据处理进行必要性分析论证，以及开展个人信息安全影响评估，以提前防范法律风险。

二、如何合法处理生物识别数据？

《条例》第十九条对处理生物识别数据提出了新的合规要求，即企业处理生物识别数据时应当“提供处理其他非生物识别数据的替代方案”，但是处理生物识别数据是为处理个人数据目的所必需的且不能为其他个人数据所替代的，则无需提供“替代方案”。该规定回应了社会广泛关注、讨论的人脸识别信息安全问题。

此前，征求意见稿规定“生物识别数据处理者处理生物识别数据应当为处理个人数据的目的所必需，且不能为其他个人数据所替代”，即若企业处理生物识别数据不是为处理个人数据的目的所必需的，或者能够为其他个人数据所替代的，则不应当处理生物识别数据。相较于征求意见稿，《条例》关于处理生物识别数据的规定有所放松，但这并不意味着处理生物识别数据只要提供了“替代方案”就可以不遵守“必要、最小”要求。若处理生物识别数据与处理目的无关，则不应当处理生物识别数据。

在实务中，企业相关业务功能或服务涉及处理生物识别数据的（如常见的指纹解锁、刷脸支付以及智能网联汽车中的疲劳驾驶自动识别等），建议及时进行合规评估。一方面需要对相关业务功能或服务涉及的生物识别数据处理进行必要性分析论证，另一方面需要结合业务模式设计并提供“替代方案”。

三、处理员工个人数据有哪些限制？

《条例》第二十一条新增了一种征得同意的例外情形，即“数据处理者因人力资源管理、商业秘密保护所必需，在合理范围内处理其员工个人数据”，在一定程度上豁免了企业征得员工同意的义务。

但是，这并不意味企业可以无任何限制的处理员工个人数据。首先，无需征得同意并不等于无需进行告知，在处理员工个人数据前，企业仍应当依法履行相应的告知义务。其次，征得同意义务的豁免需符合两个前提，一是处理员工个人数据是人力资源管理、商业秘密保护所必需的，二是仅在合理范围内处理员工个人数据的，否则，仍需征得同意。最后，无论征得同意义务是否豁免，在处理员工个人数据时，仍应当遵守《条例》关于个人数据保护、数据安全管理的其他规定，保障员工与数据相关的权益。

对于劳动密集型企业而言，员工个人数据保护问题不容忽视，建议对处理员工个人数据的必要性进行分析论证，以明确哪些个人数据种类和范围、哪些处理目的和方式等属于人力资源管理、商业秘密保护所必需的，哪些员工个人数据处理属于合理范围内的处理，并将相关内容纳入员工个人数据保护制度，同时建议在员工个人数据保护制度中明确面试人员、实习人员以及离职人员等个人数据的处理方式，降低相关法律风险。

四、如何保障用户的撤回同意权？

《条例》第二十二条规定了自然人的撤回同意权，同时明确了撤回同意的后果，一是企业不得继续处理撤回同意范围内的个人数据，二是自然人撤回同意且要求删除个人数据的，企业应当删除相应的个人数据（《条例》第二十五条）。但是，企业在撤回同意前的合法数据处理活动不受撤回同意的影响，即撤回同意不具有溯及力。同时，《条例》第二十三条要求企业应当采用易获取的方式提供撤回同意的途径，且不得进行不合理限制或附加不合理条件。

在实务中，我们建议，一是制定用户行使与个人数据相关的权益的规则（以下简称“外部规则”）以及企业内部处理规则，明确用户撤回同意的具体方式以及企业的处理方式，其中外部规则可以向用户公示；二是在用户操作页面设置撤回同意功能，可以由用户自行操作或联系客服操作，但均不得进行不合理限制或附加不合理条件（如向用户收取费用、要求用户提供非必要的资料等）；三是用户撤回同意后，企业应当停止相应的个人数据处理，但此前合法的个人数据处理不受影响，且并非一定需要删除个人数据，只有在用户提出删除要求时，才应当在合理期限内删除相应的个人数据或者进行匿名化处理。

五、如何合法使用用户画像？

《条例》第二十九条、三十条规定了用户画像的使用要求，一是企业应当明示用户画像的具体用途和主要规则，此前相关企业对于征求意见稿中规定的“明示用户画像的规则和用途”存在疑惑，用户画像规则需要明示到何种程度才符合规定？《条例》明确了企业明示用户画像的主要规则即可，并非要求企业完全公开算法、代码等；二是企业应当为用户提供拒绝基于其用户画像推荐个性化产品或服务的有效途径；三是企业不应当基于用户画像向未满十四周岁的未成年人推荐个性化产品或服务。

在实务中，我们建议，一是企业在使用用户画像前需结合使用场景明确具体的使用目的，且实际中也应用于该使用目的，若变更使用目的，则需及时告知用户甚至需重新征得用户同意；二是企业应当向用户告知用户画像的主要规则，同时需注意保护企业的商业秘密、知识产权等合法权益；三是在用户操作页面设置拒绝用户画像的功能，若用户选择拒绝后，则不应当再基于用户画像向其推荐个性化产品或服务；四是若企业面向的用户主要是儿童群体，则原则上不应使用用户画像。

六、如何建立数据治理自评估机制？

《条例》第五十七条规定企业应当建立数据治理自我评估机制，银行业金融机构对该机制应该不会陌生。

《银行业金融机构数据治理指引》第二十七条规定，“银行业金融机构应当建立数据治理自我评估机制，明确评估周期、流程、结果应用、组织保障等要素的相关要求。评估内容应覆盖数据治理架构、数据管理、数据安全、数据质量和数据价值实现等方面，并按年度向银行业监督管理机构报送。”

《条例》针对银行业金融机构的数据治理要求扩展适用于所有市场主体，体现了对数据治理工作的高度重视。在未出台具体操作指引前，我们建议，企业可以参考银行业金融机构制定数据治理内部评估制度，自行或聘请外部专业机构对企业内部的数据治理架构、数据管理、数据安全、数据合规等情况进行评估，及时对存在的风险进行整改，避免发生数据安全事件。