读特客户端·深圳新闻网7月6日讯(记者 张玲)不得滥用人脸识别数据、不得向14岁以下未成年人进行个性化推荐……深圳已经完成国内数据领域首部基础性、综合性立法工作,并将于明年施行。《深圳经济特区数据条例》(以下简称《条例》)经深圳市第七届人民代表大会常务委员会第二会议于2021年6月29日通过,自2022年1月1日起施行。7月5日,深圳市人大常委会法工委副主任林正茂对该条例进行了解读。
(更多法治新闻,请点击 深圳法治发布)
立法一举三得:保护个人数据推进公共数据共享规范市场行为
深圳对数据进行立法正当其时。自然人作为数据的重要来源主体之一,其个人数据已经成为经济社会发展的重要数据资源类型。处理个人数据的技术手段不断更新迭代,相应的个人数据应用也在迅猛发展。林正茂表示,由于个人数据保护相关法律规范的缺失,未经个人同意收集个人数据、超出必要获取用户权限、非法交易个人数据、滥用个人数据等侵权问题屡见不鲜,严重影响公民私人生活的安宁,有的甚至严重损害公民名誉和人身、财产安全。为了有效遏止个人数据侵权行为,切实维护个人数据主体的合法权益,有必要通过经济特区立法,规范个人数据处理活动,强化对个人数据的保护。
与此同时,公共数据呈现出“数据总量规模小、数据质量较差、可利用率不高、用户参与度低”的特点,公共数据的管理规范体系尚未建立,公共数据的共享标准未统一,公共数据的开放程度不充分等问题亟需解决,“有必要通过经济特区立法,在将公共数据相关改革创新经验转化为制度成果的同时,着力解决现有公共数据共享开放的瓶颈难题,充分开发利用公共数据资源,加快智慧城市和数字政府建设,提升政府数据治理能力。”林正茂说。
据介绍,深圳作为全球重要的电子信息和数据产业基地,其商贸、金融、物流、通信等数据的生产量处于全国前列,同时汇聚了超过300家大数据企业,基本形成了较为完善的大数据产业链,在数据催生下的数字经济新产业、新业态和新模式也正蓬勃发展。但由于现阶段相关法律制度的不健全,深圳的数字经济发展也面临着巨大挑战,如数据交易机制不完善阻碍了数据交易的规模扩张、企业间数据不正当竞争纠纷多发等,也同样亟需通过立法,规范数据要素市场化行为,推动数据的有序流动和数据产业的健康发展,促进数据要素市场的培育和发展。
国内数据领域首部基础性、综合性立法
不同于数据相关法律以及其他省市地方性法规、规章从涉及数据的某个具体领域制定单项、专门性数据规范的做法,《条例》内容涵盖了个人数据、公共数据、数据要素市场、数据安全等方面,是国内数据领域首部基础性、综合性立法。
林正茂表示,虽然目前就数据权属问题还未形成统一认识,难以通过地方性法规旗帜鲜明地创设“数据权”这一新的权利类型,但是对于“个人数据具有人格权属性”“企业对其投入大量智力劳动成果形成的数据产品和服务具有财产性权益”已经取得普遍共识。基于这一认识,《条例》率先在立法中探索数据相关权益范围和类型,明确自然人对个人数据依法享有人格权益,包括知情同意、补充更正、删除、查阅复制等权益;自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及条例规定的财产权益,可以依法自主使用,取得收益,进行处分。
数据处理者应当提供撤回同意途径不得附加不合理条件
《条例》确立了处理个人数据的基本原则,即处理个人数据应当具有明确、合理的目的,并遵循最小必要和合理期限原则;同时,针对公众普遍关注的最小必要原则的具体内涵,《条例》进一步明确,即限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式处理个人数据,并例举了五种符合最小必要原则的具体情形,简而言之就是:
①种类、范围应当与目的有直接关联②数量应当为实现目的所必须的最少数量③频率应当为实现目的所必须的最低频率④存储期限应当为实现目的所必需的最短时间,超出存储期限的,应当予以删除或者匿名化⑤建立最小授权的访问控制策略。
为进一步规范个人数据处理活动,《条例》借鉴国际主流个人数据立法的规定,确立了以“告知——同意”为基础的个人数据处理规则。记者注意到,针对自然人撤回同意的情形,规定数据处理者应当提供撤回同意的途径,不得对撤回同意进行不合理限制或者附加不合理条件;并在立法中首次认可了数据处理者在自然人撤回同意前基于同意进行的合法数据处理的有效性。
避免滥用人脸识别严格限制生物识别数据处理
“人脸识别”“指纹验证”“声音解锁”“虹膜识别”等生物识别技术在刑侦、治安、金融、医疗、交通、学校、支付等场景大范围使用,深刻改变了人们的生产生活方式。但是由于生物识别数据具有唯一性、终生性、不可更改性,一旦泄露或者被滥用,将造成较一般个人数据更为严重的损害后果。
林正茂介绍说,为了在拓展生物识别技术应用的同时,避免生物识别数据的滥用,《条例》对处理生物识别数据作出了较处理其他数据更加严格的规定,要求处理生物识别数据时,除该生物识别数据为处理个人数据目的所必需,且不能为其他非生物识别数据所替代的情形外,应当同时提供处理其他非生物识别数据的替代方案。
用户画像应当明示规则和用途不得向未成年人进行个性化推荐
用户画像和个性化推荐的应用,为人们提供了更加精准、个性化的商品和服务,但同时也带来了一些负面影响,如“信息茧房”。为了在尽可能尊重和保障自然人对处理其个人数据的决定权的同时,不阻碍用户画像和个性化推荐等新兴数据应用技术的发展,《条例》首创性地规定,数据处理者基于提升产品或者服务质量的目的,对自然人进行用户画像的,应当明示用户画像的主要规则和用途;自然人有权拒绝数据处理者对其进行上述用户画像和基于用户画像进行的个性化推荐,数据处理者应当为其提供拒绝的途径。
为加强对未成年人个人数据的保护,在数字时代为其创造更有利的成长环境,《条例》借鉴《个人信息安全规范》关于“十四岁以下儿童的个人信息属于敏感个人信息”的规定,并与《中华人民共和国未成年人保护法》以及国家网信办《儿童个人信息网络保护规定》均将十四周岁作为加强未成年人个人信息保护临界年龄的规定保持一致,将未满十四周岁未成年的个人数据视作敏感个人数据,适用敏感个人数据的有关规定。
此外,针对未成年人用户画像问题,虽然未成年人用户画像有诸多有益应用,如在线教育APP针对不同特征的学生有的放矢地制定相应的教学方案,但由于未成年人缺乏基本的辨识认知能力,难以辨别对其进行的个性化推荐是否符合其自身利益,因此,《条例》首次在国内立法中明确,除为了维护未满十四周岁未成年人的合法权益并征得其监护人明示同意外,不得向其进行个性化推荐。
公共数据不得收取任何费用市场主体不得“大数据杀熟”
此外,《条例》设计了公共数据治理的顶层框架:包括公共数据运行管理机制、公共数据资源管理制度,并确立公共数据收集的基本原则,建立公共数据开放管理制度,建立公共数据开放目录和调整机制。《条例》明确公共数据以共享为原则,不共享为例外,建立公共数据共享需求对接机制。
《条例》还规定,公共数据依照法律、法规规定开放,不得收取任何费用。
《条例》在国内立法中首次确立数据公平竞争有关制度,针对数据要素市场“搭便车”“不劳而获”“大数据杀熟”等竞争乱象,创新性规定市场主体不得以非法手段获取其他市场主体的数据,或者利用非法收集的其他市场主体数据提供替代性产品或者服务,侵害其他市场主体的合法权益;不得利用数据分析,无正当理由对交易条件相同的交易相对人实施差别待遇;不得通过达成垄断协议、滥用在数据要素市场的支配地位、违法实施经营者集中,排除、限制数据要素市场竞争;并对数据不正当竞争行为规定了相应的法律责任。
缓解数据维权难建立数据领域公益诉讼制度
现实中,数据侵权具有较高的隐秘性,即便被侵权人察觉,由于取证困难,出于时间或经济成本的考量,也难以实现有效维权。
为缓解当前数据维权艰难的现状,《条例》在地方立法中首次确立了数据领域的公益诉讼制度,规定人民检察院和法律、法规规定的组织可以就违规定处理数据致使国家利益或者公共利益受到损害的行为,依法提起民事公益诉讼;人民检察院还可以对违法行使职权或者不作为致使国家利益或者公共利益受到损害的行政机关,提出检察建议或者提起行政公益诉讼。