（一）管理单位的问题

第五条 市人民政府设立市数据工作委员会，负责研究、协调本市数据管理工作中的重大事项。

市数据工作委员会下设办公室，由市政务服务数据管理部门承担日常工作。

第六条 市网信部门负责本市个人数据保护、数据安全、跨境数据流通等工作的指导、协调和监督管理。

市工业和信息化部门负责本市数据产业发展和信息基础设施建设工作。

市市场监督管理部门负责本市数据市场的监督管理工作。

市政务服务数据管理部门负责本市公共数据管理工作的指导、协调和监督管理。

市各行业主管部门负责本行业数据管理工作的统筹、指导、协调和监督。

市发展改革、公安、财政、人力资源保障、规划和自然资源、审计、国家安全等部门依照有关法律、法规，在各自职责范围内履行数据资源管理的相关职能。

有了上文对《数据安全法》的提示，这两条的意思就很容易懂了。第五条所称的委员会，就是一个办事机构，不见得有专职的人员（就算有，人也不多）。其发挥的是一个特殊问题的协调作用，日常工作中指望不上。而第六条的规定才是常规工作的管理授权，与《网络安全法》的实施落地一样，最有特色的、专业程度最高的数据工作落在网信办。从专业能力、管理经验的角度来看，网信办来承担相关工作是理所当然的。对于实务中的民事主体与行政主管单位的沟通来看，这样分工也是成本最低、惯性最好的方式，无可非议。但如果非要从学术角度指摘话，就是这样的分工再次体现出一个自《网络安全法》就存在的内在的疑问和混淆：数据和网络（数据）难道是一回事吗？当然不是。（一个相关的趣谈是：网络安全法的英文名定名《Cybersecurity Law》可是条文使用的尽是“Network”——可见这个毛病一时半会儿是改不了了）

说得远一些，在国家网信办参与的国务院的数据安全法实施条例中，相信也会具有类似授权，理顺国家安全管理机关和网信办在数据安全工作中的的权责分配问题，网信办的职权将会更加明确。

（二）数据交易和中介服务问题

首先值得注意的是深圳条例第二章第三节的命名“个人数据权益”，这是与《民法典》规定相一致的。在个人数据的权利属性不明的情况下，数据确权问题牵一发动全身，不是短时间内能够有定论的。

第五十六条 市场主体合法处理数据形成的数据产品和服务，可以依法交易，但是具有下列情形之一的除外：

1、交易的数据产品和服务包含个人数据而未经相关权利人同意的；

2、交易危害国家安全、公共利益的；

3、法律、法规规定禁止交易的其他情形。

第五十七条 引导市场主体通过依法设立的数据交易平台进行数据交易。

要读懂这两条规定，需要结合两个背景。一是前述已经提到的《数据安全法》对数据交易中介服务机构的含糊其辞。二是一个历史事实：2015年贵阳建立了大数据交易所，然后武汉东湖大数据交易中心、上海数据交易中心建立起来，再后是重庆、杭州、哈尔滨等地。而上海交易中心是“中介”，撮合供需双方；而贵阳交易中心是“倒爷”，低价买、高价卖赚差价。而深圳的数据交易所进度如何呢？——“筹备工作进行中”。

现在再看两个条文，五十六条中“数据产品和数据服务”涵盖甚广（很明显包括了诸如身份核验、用户标签、定位等），而排除的仅有“危害国家安全、公共利益”和“其它”两个说了和没说似的类型；而五十七条的用词是“引导市场主体”。由此观之，深圳对数据交易问题的倾向，我们应该可以领略一二。

（三）数据安全管理措施

本部分我们只看“关基”和“等保”措施之外的规定。

第六十六条 数据处理者应当记录其收集数据的合法来源，保障数据来源清晰、可追溯。

首先这是对接《数据安全法》第三十三条的规定，也是数据合规的一般要求。仅提示一点，在六十六条规定的前提下，采购企业的审查义务已经非常明确。但是，是仅要求对数据供应商的数据合法来源进行审查，还是要对其可追溯链条一并审查，是存在模糊空间的。

第六十七条 数据处理者应当依照相关法律、法规规定以及国家标准的要求，对所收集的个人数据进行去标识化或者匿名化处理，并与可恢复识别的个人数据分开存储。

数据处理者应当针对敏感个人数据、国家规定的重要数据制定去标识化或者匿名化处理安全措施，并对数据去标识化或者匿名化处理过程进行记录。

六十七至少包含三个要点。第一，本条要求数据处理者依照“国家标准”的要求进行数据处理。而国家标准又分为强制国家标准和推荐标准，这里行政法规所要求的“国家标准”是包含推荐标准的吗？违反推荐标准是否就违反“行政法规”呢？恐怕是有可能的。深圳条例作为地方条例，这一问题可能还不突出。但如果国务院的数据安全法实施条例写入相同内容，那情况将大不一样：违反国家标准即“违反法律和行政法规”，那么将满足很多更严厉处罚的行政前置条件。

第二，第二款谓语“制定去标识化或者匿名化安全处理措施”的主语是“数据处理者”。这种自主行为有标准吗？为什么和第一款分开了？理由很清楚：因为现在“重要数据”的含义还不明确，分级分类标准还未规定，更没有相应的法律、法规或国家标准，所以这里只能让数据处理者自行制定措施，没有标准。

第三，第二款的规定是“国家规定的重要数据”，而《数据安全法》第二十三条第三款还要求各地区也设置各自地区的重要数据安全目录，那么这里的“国家规定”是否包括地方重要数据目录中的类型呢？这是需要进一步明确的。

第七十三条 数据处理者向境外提供个人数据或者国家规定的重要数据的，应当按照有关规定申请数据出境安全评估。但是，经自然人明示同意，仅为自然人或者其家庭生活目的向境外提供其个人数据的除外。

本条值得一提是其但书条款“经自然人明示同意，仅为自然人或者其家庭生活目的向境外提供其个人数据的”无需出境安全评估。这是上位法中没有明确出现过的例外条款。能否被国务院条例吸纳和承认，值得观察。

第七十六条 发生数据泄露、毁损、丢失、篡改等数据安全事件的，数据处理者应当立即启动应急预案，采取相应的应急处置措施，及时告知相关权利人，并按照有关规定向市网信部门和有关行业主管部门报告。

本条规定沿袭了《网络安全法》、《数据安全法》的一项奇怪的“传统”：要求企业向相关机关报告、备案，但是报告、备案之后有什么措施，可能产生什么后果，却没有任何规定。这是目前网络安全、数据安全工作中已经存在的现实问题。企业确实向地方相关单位报备了，但对企业不产生任何法律上的效果，也几乎不产生任何实际上的效果。发生安全事件时，如果有关部门决定对企业追责，该处罚还处罚，该怎么处罚还怎么处罚。，最终报备沦为为报备而报备。

第七十九条 市网信部门以及其他履行数据安全监督职责的部门可以委托第三方机构，按照法律、法规规定和相关标准要求，对数据处理者开展数据安全管理认证以及数据安全评估工作，并对其进行安全等级评定。

本条规定为“第三方机构”创造了市场，但目前却还是海市蜃楼的市场。因为“按照法律、法规规定和相关标准要求，对数据处理者开展数据安全管理认证以及数据安全评估工作，并对其进行安全等级评定。”的工作内容指向不明。如果是“等保”认证，那么早已有之，不是新东西。如果是什么新类型的认证，那么还有待“网信部门以及其他履行数据安全监督职责的部门”去创造。

第八十八条 国家机关违反本条例规定，不履行或者不正确履行法定职责的，对直接负责的主管人员和其他直接责任人员依法给予处分；构成犯罪的，依法追究刑事责任。

这是深圳条例中一个神奇的条款。《数据安全法》中，对“追究刑事责任”的表述仅有两处：第四十四条第三款规定的“违反国家核心数据管理制度，危害国家主权、安全和发展利益，构成犯罪的，依法追究刑事责任。”以及第五十二条“违反本法规定，构成犯罪的，依法追究刑事责任。”而“国家核心数据管理制度”目前并不存在，甚至连“核心数据”的定义都还不存在，所以四十四条不会导致刑事犯罪；而五十二条是一个注意规定，不包含任何实际内容。那么深圳条例第八十八条中国家机关究竟可以构成什么犯罪呢？真是令人非常疑惑。