近日，《深圳经济特区数据条例》（下称“条例”）对外正式发布，将于明年1月1日正式实施。对于当地企业来说，合规进入倒计时。对于其他地方，条例则具有引领作用。

据深圳市人大常委会法工委介绍，这是国内数据领域首部基础性、综合性立法。作为先行示范区，深圳在数据法律制度构建方面也先行先试，为国家立法积累经验。随着条例的正式实施，或将出现典型的执法案例。

对于条例，企业存在哪些合规难点和困惑？如果条例中的规定与即将出台的个人信息保护法不一致，企业应如何应对？对此，南都个人信息保护课题组采访了一线从业者和从事合规工作的律师。

个人数据已成为经济社会发展的重要数据资源类型，企业开发的数据产品在便利民众的同时，未经同意收集个人数据、超出必要获取用户权限等侵权问题屡见不鲜。

参考个人信息保护法草案和《信息安全技术 个人信息安全规范》等，条例确立了数据处理者处理个人数据的基本原则，即应当具有明确、合理的目的，并遵循最小必要和合理期限原则。

针对公众普遍关注的上述原则的具体内涵，条例进一步明确，应限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式处理个人数据，并列举了五种符合最小必要原则的具体情形，包括处理个人数据的频率应当为实现处理目的所必需的最低频率、个人数据存储期限应当为实现处理目的所必需的最短时间、建立最小授权的访问控制策略等。

对于 “最低频率、最短时间”等“最小”要求的合规情况，广东广和律师事务所合伙人、讼狮团队负责人丁振赣直言，目前这些要求对企业“尚有难度”——企业想要达到要求，应当在个人信息处理活动中自行或委托律所开展“个人信息安全影响评估”常态化工作。

虽然“可能不是那么容易实现”，但仍有规可循。深耕业务一线、某大厂的法务万然（化名）对南都个人信息保护课题组表示，实现“最少”等要求需要评估数据类型、法定义务、业务的运作模式等，比如网络安全法要求对登录日志保留6个月、电子商务法要求对订单信息存储3年等。

对于用户来说，通常难以感知企业是否达到“最小”等要求，无法得知自身权益是否被保护。对此，丁振赣建议，企业可通过对外公布个人信息保护机制以及发布个人信息安全影响评估报告等形式增加透明度，让用户感知到企业的合规努力。

条例规定，市场主体开展数据处理活动，应当落实数据管理主体责任，建立健全数据治理组织架构、管理制度和自我评估机制，对数据实施分类分级保护等。

具体来看，数据处理者对所收集的个人数据进行去标识化或者匿名化处理，并与可用于恢复识别特定自然人的数据分开存储；针对敏感个人数据、国家规定的重要数据制定并实施去标识化或者匿名化处理等安全措施，采取加密存储、授权访问或者其他更加严格的安全保护措施；还应建立重要系统和核心数据的容灾备份制度。

也就是说，根据上述规定，企业首先需要对数据进行分级分类，区分一般个人数据、敏感个人数据、重要数据和核心数据。

即将于今年9月实施的数据安全法也规定——国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护；对关系国家安全、国民经济命脉等核心数据实行更加严格的管理制度。

“这些是需要各政府部门出具目录的，目前还没有出来。”广东卓建律师事务所高级合伙人律师、合规研究院数据合规中心主任李兰兰表示，目前的数据分类主要基于网络安全等级保护的标准，虽然金融数据有行业推荐标准，即去年9月中国人民银行发布的《金融数据安全 数据安全分级指南》，但还未上升到法律效力层级。

万然则表示，其所在公司内部会对个人数据进行分类，按照保密程度对信息资产进行划分等。让他担忧的是，数据安全法正式实施及国家对数据分级分类的标准发布后，公司面临重新整合、划分数据的工作，但“另起炉灶可能会有点困难”。

“这确实是一个问题。”李兰兰表示，企业按照自己对数据分级分类的标准进行合规，未来可能出现与国家标准不相符的情况。

据了解，《重要数据识别指南》标准草案即将公开征求意见，届时会给企业合规提供进一步指引。

互联网在给未成年人的学习和生活提供无限可能的同时，暴力、色情等内容也极易损害未成年人的身心健康。

6月1日，未成年人保护法正式实施，设网络保护专章维护未成年人的网络安全，规定信息处理者处理不满十四周岁未成年人个人信息的，应当征得未成年人的父母或者其他监护人同意。

与未成年人保护法保持一致，条例将未满十四周岁未成年的个人数据视作敏感个人数据。针对未成年人用户画像问题，条例首次在地方立法中明确，除为了维护未满十四周岁未成年人的合法权益并征得其监护人明示同意外，不得向其进行个性化推荐。

而一直以来，如何辨别未成年用户对企业来讲是一道难题。

对此，上海市锦天城律师事务所律师张丹建议，企业可通过行动轨迹、浏览内容、前置弹窗、短信确认等方式来判断是否为未成年用户。她也强调，确实存在不能准确识别和识别滞后的情况，还不存在百分百行之有效的方法。

不过她强调，“只要企业采用了行业已有的识别方法，尽到了应有的识别责任，就应该认为企业已经履行了合规义务”。

作为一线的从业者，令万然最为困惑的是，如果条例和未来的个人信息保护法不同且相较宽松，是否可以按照条例去做合规。

南都个人信息保护课题组观察到，与已发布的个人信息保护法草案二次审议稿不同的是，条例对于对外提供个人数据，并不要求取得用户的单独同意，对于去标识化个人数据，要求也有所不同。

在万然看来，这种基于风险的法律要求更有利于数据的流通和交易，但“企业能不能这么做，其实是存疑的。”他强调，如何遵循可能还需要等待个人信息保护法的出台，是否给地方立法留出空间。

文/南都个人信息保护研究中心研究员 尤一炜

编辑：蒋琳