作者：余嘉美、艾勇陶、张之锦

我们身处于当下这个大数据时代，受益于数据给生活带来的便利，但由于数据的非法收集、滥用、泄露、个人数据的窃取、非法买卖等事件频发，也对个人生活造成了不利影响，导致个人隐私权和财产权被侵犯，不利于整个数字产业持续健康发展。

为此，自2017年以来，我国陆续出台了以《网络安全法》为核心的与信息保护相关的法律法规及指引性文件，如《儿童个人信息网络保护法》、《个人金融信息保护试行办法》、《互联网个人信息安全保护指南》等。这些法律文件共同构建了国内现行数据安全、信息保护体系，而尚在征求意见中的《数据安全法（草案）》将进一步填补相关领域的立法空白。

但是，不论是现行有效的各类法律法规，还是拟出台的《数据安全法》，从名称及立法目的即可知“安全”与“保护”是主题，而在大数据时代，亟待解决的另一个问题是如何促使数据有效地开发和充分利用，为数据流动创建良好的市场环境。

2020年7月15日，深圳市司法局发布《深圳经济特区数据条例（征求意见稿）》（以下称《数据条例》）。《数据条例》是一部在立法目的上显著区别于以往数据保护领域的法律法规的地方性规范文件，其不仅在文件名称中去掉了“保护”字样，更是在立法目的中将“规范数据活动，促进数据资源共享开放和全面深度开发利用”作为该条例追求的首要价值目标。

我国现有的数据安全、信息保护法律法规规定较为原则性，令市场主体欠缺在实操层面的具体指引。《数据条例》在很大程度上进行了细化及完善，将数据保护的具体方式和责任落实到数据收集及处理的主体上。

为保障数据活动的有序和高效，《数据条例》明确了相关主体的数据安全责任及安全保障义务、数据流动中相关主体的行为规范等等。

《数据条例》第九条规定，法人、非法人组织为数据管理责任主体，应当建立健全数据治理架构和管理制度，设置或委托专门数据管理机构，按照市数据统筹部门制定的数据分类分级保护规范和指南，对数据实施分类分级保护和管理，加强数据质量控制，推动数据开发应用，保障数据安全，并实行内部审计监督制度。

数据管理责任主体：

法人、非法人组织作为数据管理责任主体对数据收集、处理、开放共享、销毁的数据全生命周期过程中应履行的数据安全保障义务。法人、非法人组织在进行数据活动的过程中，也往往承担着数据收集、处理者的角色。

《数据条例》对数据管理责任主体施加以下三项义务：

1、必须建立数据治理架构和管理制度，设置专门的数据管理机构

《数据条例》强制要求数据管理责任主体必须建立内部数据治理架构和管理制度，这一规定将以往较为宽泛的数据安全、数据保护义务内化到企业主体内部的流程管控，以具体流程要求来降低数据管理风险。同时，《数据条例》中明确了数据收集者、处理者的数据安全责任要求，包括通过要求实施安全技术手段防护、建立重要系统和核心数据容灾备份制度、对数据存储过程中重要内容及相关操作进行安全审计等。

从事数据活动的众多大型企业已意识到数据安全在业务发展及市场拓展中的重要性，并建立了针对数据安全的相关内部制度，后续需根据《数据条例》的相关要求，继续进一步更新、梳理及完善内部数据治理架构等。从事数据活动的中小型企业，在目前内部数据治理架构和管理制度尚未搭建或尚不完善的情况下，亟需搭建相关治理架构及制度系统，以确保业务的合规发展。

值得注意的是，对于小微企业而言，强制性的内部数据治理要求可能成为企业经营初期不小的负担，因此未来市场上或将出现为数不少的数据托管机构。

2、数据分类分级制度

数据收集者应当对数据源进行身份鉴别和记录，并对收集的数据进行分类分级编码标识，按照数据级别确定并实施必要的安全管理策略和保障措施。根据目前的《数据条例》，市数据统筹部门会制定数据分类分级保护规范和指南，数据管理责任主体需要对数据实施分类分级保护和管理。

后续数据管理责任主体需按照市数据统筹部门制定的数据分类分级保护规范和指南，对数据实施分类分级保护和管理。

3、实行内部审计制度

《数据条例》要求数据管理责任主体实行内部审计监督制度。数据收集、处理者应当对数据收集、处理过程实施数据安全技术防护，并建立重要系统和核心数据的容灾备份制度。数据收集、处理者还应当对数据存储过程中身份鉴别、安全策略、异地备份、恢复等重要内容及相关操作进行安全审计。

通过上述三项义务，数据安全责任将能更好的得以落实，为数据市场建立有效的秩序提供了强而有力的保障。

数据是一座金矿，蕴含着巨大经济价值和战略价值，而深圳通过《数据条例》来告诉人们如何合理、规范地开采这座金矿，率先承担起为各类市场主体投资数字产业营造稳定、公平、透明、可预期的营商环境的重任。

纵览《数据条例》全文，除了个人数据保护要求、数据安全管理等数据保护领域的规范要求之外，《数据条例》也将更多的篇幅放在了公共数据的管理和应用以及数据要素市场的培育两部分，足见这是一部重视市场、数据应用及其流动的法律文件。尽管现阶段《数据条例》在立法技术上可能仍有缺失与不足，但其立意仍值得大加赞扬。