作为“21世纪的石油”,数据是一个国家和地区提升竞争力的关键资源,数据经济、数据权利时代正在到来。2021年6月29日,《深圳经济特区数据条例》(以下简称《条例》)获深圳市七届人大常委会第二次会议表决通过,自2022年1月1日起实施。《条例》充实了数据权利时代的法律基础,内容涵盖个人数据、公共数据、数据安全等方面,是一部具有典型代表性的地方综合性、基础性数据立法。现就《条例》中主要亮点进行初步解读。
亮点一:首倡“数据权益”
数据确权问题,一直以来都是数据立法的难点。尽管目前公众对数据权属问题的认识还不统一,但在“个人数据具有人格权属性”这一问题上已经取得普遍共识。基于此,《条例》首倡数据权益并从个人数据、公共数据和数据市场三个层面构建了权利体系。如《条例》第三条规定,自然人对载有其个人信息的数据享有人格权益;自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及本条例规定的财产权益。同时,为保障自然人更好的维护自身数据权益,《条例》在第二十五条至第三十条中明确规定了自然人对其个人数据所享有的一系列权利,包括知情决定权、查阅复制权、补充更正权等。
亮点二:确立处理个人数据的五项基本原则
为平衡好数字经济发展与个人信息保护、数据开发利用与数据安全之间的关系,《条例》第九条明确提出,处理个人数据应当遵循合法正当、最小必要、公开透明、准确完整和确保安全五项基本原则。同时,为使公众对“最小必要”原则的内涵有更加清晰、准确的认识,强化对个人数据的保护,《条例》进一步列举了五种符合“最小必要”原则的具体情形,从种类范围、频率、数量、存储期限等方面对处理个人数据的行为作出了限制。此外,《条例》还构建了以“告知-同意”为核心的个人数据处理规则,即在处理数据之前应向自然人告知数据处理者的基本信息并征得其同意,禁止以误导、欺骗、胁迫等违背自然人真实意愿的方式获取其同意。
亮点三:特殊类型个人数据的特别保护
为强化对特殊类型个人数据的保护,在处理敏感个人数据、生物识别数据、未成年人以及其他无民事行为能力或者限制民事行为能力的成年人个人数据问题上,《条例》作出了更加严格的规定。如《条例》第十四条规定,处理敏感个人数据的,应当在处理前征得该自然人或者其监护人的明示同意。除此之外,还需以更加显著的标识或者突出显示的形式将处理敏感个人数据的必要性以及对其可能产生的影响进行单独告知。
亮点四:规范公共数据管理
《条例》在公共数据管理与共享方面作出了一系列创新规定,对推动公共数据的深度开放、全面共享有着重要意义,包括建立公共数据资源管理体系、引导公共数据开发与利用、鼓励公共数据共享与开发三个方面。例如《条例》第三十五、三十六条规定,公共数据资源实行目录管理、全面共享制度。公共数据在公共管理和服务机构之间以共享为原则,不共享为例外。市人民政府应当制定公共数据共享负面清单,并及时进行动态调整。未纳入负面清单的公共数据应当共享。
亮点五:禁止利用大数据“杀熟”
近年来,“大数据杀熟”现象时有发生,从电商平台、外卖平台到打车软件,多家知名互联网企业都曾被曝出利用大数据分析对不同群体进行差别定价,严重损害用户权益。对此,《条例》第六十、六十一条明确规定,市场主体应当遵守公平竞争原则,不得使用非法手段破坏其他市场主体所采取的保护数据的技术措施,侵害其他市场主体的合法权益以及不得利用数据分析,在没有正当理由的情况下,对交易条件相同的交易相对人实施差别待遇。同时,为确保制度的有效实施,《条例》进一步规定:情节严重或者造成严重后果的,由市场监督管理部门责令立即改正,没收违法所得,处五千万元以下或者上一年度营业额百分之五以下罚款,并可以给予暂扣许可证件、限制开展生产经营活动、责令停产停业、限制从业等处罚。
亮点六:禁止滥用“人脸识别”数据
当前,基于人工智能和大数据人脸识别等前沿技术的迅速发展,“刷脸”一度成为备受大众追捧的“新时尚”。然而,在“人脸识别”、“指纹验证”等技术给人们生产生活方式带来便利的同时,个人数据泄露及被滥用问题也不断发生。与姓名、手机号、住址等基本信息不同,面部信息属于个人不可更改的生物识别信息,一旦发生泄露便难以逆转。对此,《条例》第十五条对处理生物识别数据作出了较处理其他数据更加严格的规定,要求处理生物识别数据时,除应满足该生物识别数据为处理个人数据目的所必需且不能为其他非生物识别数据所替代的条件外,同时还应当具备相应的数据安全防护能力。
亮点七:鼓励培育数据市场
数据市场的培育有利于促进数据要素的通融,实现数据价值最大化。为加快培育数据市场,促进数据资源有序、高效流动与利用,《条例》从数据交易秩序、数据市场公平竞争两个方面为其提供了制度支撑。例如《条例》第五十八条规定,数据交易平台应当建立安全可信、管理可控、可追溯的数据交易环境,制定数据交易、信息披露、自律监管等规则,并采取有效措施保护个人数据、商业秘密和国家规定的重要数据。
亮点八:建立数据领域公益诉讼制度
为贯彻落实最高检关于“将个人信息保护作为网络侵害领域公益诉讼的办案重点”的意见,《条例》第八十八条确立了数据领域的公益诉讼制度,规定有关行业组织、人民检察院可以就未落实数据安全保护责任或者非法处理数据致使国家利益或者公共利益受到损害的行为,依法提起民事公益诉讼。此外,人民检察院还可以对在履行职责中发现负有数据领域监督管理职责的行政机关违法行使职权或者不作为,致使国家利益或者公共利益受到损害的,提出监察建议或者提起行政公益诉讼。
作为国内数据领域第一部基础性、综合性地方立法,《条例》对维护数据主体合法权益、提升政府数据治理能力、促进数据产业健康发展均具有重大意义。
近期,“滴滴下架”事件也给广大企业敲响了警钟,《条例》的颁布对企业合法、合规运营数据业务提出了更高要求。然而,由于存在数据保护与自由界限模糊、数据利益诉求分化等问题,数据立法工作依旧任重而道远。