App“不全面授权就不让用”、大数据“杀熟”、个人信息收集任性等问题长时间困扰互联网用户。7月6日,《深圳经济特区数据条例》(以下简称《条例》)公布并将于明年1月1日起实施,这是国内数据领域首部基础性、综合性立法。对于以上问题,《条例》明确进行了限制,对于违反相关条例的内容将给予重罚。
禁止App“不全面授权就不让用”
《条例》确立个人数据处理应当以“告知-同意”为前提,即处理个人信息应当在事先充分告知的前提下取得个人同意,数据处理者应当提供撤回同意的途径,不得对撤回同意进行不合理限制或者附加不合理条件。
同时,《条例》明确处理个人数据应当具有明确、合理的目的,并遵循最小必要和合理期限原则。建立最小授权的访问控制策略,使被授权访问个人数据的人员仅能访问完成职责所需的最少个人数据,且仅具备完成职责所需的最少数据处理权限。
当前,一些移动互联网应用程序(App)通过“一揽子协议”将收集个人数据与其功能或服务进行捆绑,用户不同意全面授权,就无法使用该App。
为此,《条例》专门规定,数据处理者不得以自然人不同意处理其个人数据为由,拒绝向其提供相关核心功能或者服务。但是,该个人数据为提供相关核心功能或者服务所必需的除外。
“人脸识别”不能强制使用
“人脸识别”“指纹验证”“声音解锁”“虹膜识别”等生物识别技术在治安、金融等场景大范围使用,但因其唯一性,一旦泄露或者被滥用可能造成更为严重的损害。
因此,《条例》对处理生物识别数据作出更严格的规定:除了该生物识别数据为处理个人数据目的所必需且不能替代外,应当同时提供处理其他非生物识别数据的替代方案。
深圳市人大常委会相关负责人表示,用户画像和个性化推荐的应用,为人们提供了更加精准、个性化的商品和服务,但同时也带来了一些负面影响。《条例》首创性地规定,数据处理者基于提升产品或者服务质量的目的,对自然人进行用户画像的,应当明示用户画像的主要规则和用途;自然人有权拒绝数据处理者对其进行上述用户画像和基于用户画像进行的个性化推荐,数据处理者应当为其提供拒绝的途径。
同时,《条例》将未满十四岁未成年人的个人数据视作敏感个人数据,首次在国内立法中明确,除为了维护未满十四周岁未成年人的合法权益且征得其监护人明示同意外,不得向其进行个性化推荐。
大数据“杀熟”最高可罚五千万元
此外,《条例》明确将提供教育、卫生、社会福利、供水、供电、供水、环保、公交等公共服务的组织纳入公共管理和服务机构范围,其在提供服务过程中产生、处理的数据均属公共数据。公共数据应当在法律、法规允许范围内最大限度地开放,不得收取任何费用。
在加强个人数据保护的基础上,《条例》在国内立法中首次确立数据公平竞争有关制度,针对数据要素市场“搭便车”“不劳而获”“大数据杀熟”等竞争乱象作出专门规定。违反相关规定拒不改正的,处五万元以上五十万元以下罚款,情节严重的,处上一年度营业额百分之五以下罚款,最高不超过五千万元。
■ 追问:数据具有流动性管辖范围如何明晰?
《条例》发布后有网友提问,规范的究竟是注册地在深圳的企业,还是人在深圳的物联网使用者?管辖范围似乎难以明晰。
“数据具有流动性,互联网也没有地域限制,因而在数据管辖问题上,各国之间一直存在无法明晰的争议。”北京师范大学法学院教授刘德良指出。对外经济贸易大学数字经济与法律创新研究中心执行主任许可表示,从地域角度考量相对便于操作,但从个人角度来说相对困难,是以使用者的纳税地还是户籍地为准?难以明确。
深圳市人大法工委相关负责人公开解释,虽然目前就数据权属问题还未形成统一认识,难以通过地方性法规旗帜鲜明地创设“数据权”这一新的权利类型,但是对于“个人数据具有人格权属性”“企业对其投入大量智力劳动成果形成的数据产品和服务具有财产性权益”已经取得普遍共识。基于这一认识,《条例》率先在立法中探索数据相关权益范围和类型,明确自然人对个人数据依法享有人格权益,包括知情同意、补充更正、删除、查阅复制等权益;自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及《条例》规定的财产权益,可依法自主使用,取得收益,进行处分。