深圳落实综合改革试点又一成果落地——《深圳经济特区数据条例》(以下简称《条例》)今天在市人大常委会网站公布,并将于明年1月1日起实施,这是国内数据领域首部基础性、综合性立法。《条例》坚持个人信息保护与促进数字经济发展并重,对市民深恶痛绝的APP“不全面授权就不让用”、大数据“杀熟”、个人信息收集任性、强制个性化广告推荐等问题说“不”,并给予重罚。
昨天下午,市人大常委会召开法规解读会,对该条例进行解读。
个人数据处理规则以“告知—同意”为前提
我国互联网用户量已达9亿,应用程序数量数百万个。长期以来,一些APP过度收集个人信息、强制索要用户授权令人深恶痛绝。针对这一问题,《条例》确立以“告知-同意”为前提的个人数据处理规则,即处理个人信息应当在事先充分告知的前提下取得个人同意,数据处理者应当提供撤回同意的途径,不得对撤回同意进行不合理限制或者附加不合理条件。
当前,一些移动互联网应用程序(APP)通过“一揽子协议”将收集个人数据与其功能或服务进行捆绑,用户不同意全面授权,就无法使用该APP。不少用户往往被迫接受“一揽子协议”,这严重损害了用户作为个人数据主体的决定权。为此,《条例》专门规定,数据处理者不得以自然人不同意处理其个人数据为由,拒绝向其提供相关核心功能或者服务。但是,该个人数据为提供相关核心功能或者服务所必需的除外。
用户有权拒绝被画像和被推荐
很多市民有这样的经历:在网上买过一个东西,就频频被推相关产品的广告。市人大常委会相关负责人表示,用户画像和个性化推荐的应用,为人们提供了更加精准、个性化的商品和服务,但同时也带来了一些负面影响,应该给予规范。《条例》规定,数据处理者基于提升产品或者服务质量的目的,对自然人进行用户画像的,应当向其明示用户画像的具体用途和主要规则。自然人有权拒绝对其进行的用户画像或者基本用户画像推荐个性化产品或者服务,数据处理者应当以易获取的方式向其提供拒绝的有效途径。
《条例》将未满十四岁未成年人的个人数据视作敏感个人数据,首次在国内立法中明确,除为了维护未满十四周岁未成年人的合法权益且征得其监护人明示同意外,不得向其进行个性化推荐。
“人脸识别”不能强制使用
“人脸识别”“指纹验证”“声音解锁”“虹膜识别”等生物识别技术在治安、金融、医疗、交通、学校、支付等场景大范围使用,深刻改变了人们的生产生活方式。但是由于生物识别数据具有唯一性、终身性、不可更改性,一旦泄露或者被滥用,将造成较一般个人数据更为严重的损害后果。
为了在拓展生物识别技术应用的同时,避免生物识别数据的滥用,《条例》对处理生物识别数据作出更严格的规定——除了该生物识别数据为处理个人数据目的所必需且不能替代外,应当同时提供处理其他非生物识别数据的替代方案。
公共数据应当最大限度免费开放
政府各部门掌握的公共数据资源蕴藏着巨量的经济信息,通过增值开发不仅可以给市民带来便利,也可以产生巨大的经济效益。《条例》设计了公共数据治理的顶层框架,要求政府建立城市大数据中心,实现对全市公共数据资源统一、集约管理。明确公共数据以共享为原则,不共享为例外,建立以公共数据资源目录体系为基础的公共数据共享需求对接机制。
《条例》明确将提供教育、卫生、社会福利、供水、供电、供水、环保、公交等公共服务的组织纳入公共管理和服务机构范围,其在提供服务过程中产生、处理的数据均属公共数据。公共数据应当在法律、法规允许范围内最大限度地开放,不得收取任何费用。
大数据“杀熟”最高可罚五千万元
在加强个人数据保护的基础上,《条例》探索培育数据要素市场,在填补目前数据交易相关法律规范的空白的同时,在国内立法中首次确立数据公平竞争有关制度,针对数据要素市场“搭便车”“不劳而获”“大数据杀熟”等竞争乱象作出专门规定。
《条例》明确规定,市场主体不得使用非法手段获取其他市场主体数据,不得非法收集其他市场主体数据提供替代性产品或者服务,不得通过数据分析无正当理由对交易条件相同的交易相对人实施差别待遇。违反上述规定拒不改正的,处五万元以上五十万元以下罚款,情节严重的,处上一年度营业额百分之五以下罚款,最高不超过五千万元。