我国互联网用户量已达9亿,应用程序数量数百万个,然而,APP“不全面授权就不让用”、大数据“杀熟”、个人信息收集任性、强制个性化广告推荐等问题,长时间困扰着广大用户。
我国互联网用户量已达9亿,应用程序数量数百万个,然而,APP“不全面授权就不让用”、大数据“杀熟”、个人信息收集任性、强制个性化广告推荐等问题,长时间困扰着广大用户。
7月6日,《深圳经济特区数据条例》公布并将于明年1月1日起实施。这是国内数据领域首部基础性、综合性立法。对于以上问题,《条例》明确进行了限制,违反相关条例的内容将给予重罚。
然而,面对没有区域限制的流动性数据,一个地方性法规如何明确管辖权限?能否保证条例中的针对性措施得以落实?相关专家也发出了不同声音。
禁止APP“不全面授权就不让用”
近年来,不少手机用户发现,某些APP存在过度收集个人信息、强制索要用户授权等现象,甚至出现了不授权就无法使用的情况。针对这些备受诟病的问题,《条例》进行了规范。
首先,《条例》确立个人数据处理应当以“告知-同意”为前提,即处理个人信息应当在事先充分告知的前提下取得个人同意,数据处理者应当提供撤回同意的途径,不得对撤回同意进行不合理限制或者附加不合理条件。同时,明确建立最小授权的访问控制策略,使被授权访问个人数据的人员仅能访问完成职责所需的最少个人数据,且仅具备完成职责所需的最少数据处理权限。
一些移动互联网应用程序(APP)将收集个人数据与其功能或服务进行捆绑,用户不同意全面授权,就无法使用该APP。深圳市人大常委会法工委相关负责人认为,不少用户往往被迫接受“一揽子协议”,这严重损害了用户作为个人数据主体的决定权。
为此,《条例》专门规定,数据处理者不得以自然人不同意处理其个人数据为由,拒绝向其提供相关核心功能或者服务。但是,该个人数据为提供相关核心功能或者服务所必需的除外。
北京师范大学法学院教授刘德良认为,在规范个人信息数据收集使用时,应当明确区分涉及主体尊严名誉的个人信息和具备社会性用途的个人数据,在此基础上,既保证企业有序收集数据、有效促进大数据产业发展,也能防止个人信息被滥用的情况。
“人脸识别”不能强制使用
“人脸识别”“指纹验证”“声音解锁”“虹膜识别”等
生物识别技术在治安、金融、医疗、交通、学校、支付等场景大范围使用,改变了我们的生产生活方式。但因其唯一性,一旦泄露或者被滥用可能造成更为严重的损害。
因此,《条例》对处理生物识别数据作出更严格的规定:除了该生物识别数据为处理个人数据目的所必需且不能替代外,应当同时提供处理其他非生物识别数据的替代方案。
基于特定目的处理生物识别数据的,未经自然人明示同意,不得将该生物识别数据用于其他目的。同时,生物识别数据具体管理办法由市人民政府另行制定。
各平台的个性化推荐,也是让广大网民烦恼的来源之一。阅读过某条信息后,被推送多条相关内容;网购过一件物品后则被频频推荐相关产品,己经成为一个手机用户的日常情况。
深圳市人大常委会法工委相关负责人表示,用户画像和个性化推荐的应用,为人们提供了更加精准、个性化的商品和服务,但同时也带来了一些负面影响。《条例》首创性地规定,数据处理者基于提升产品或者服务质量的目的,对自然人进行用户画像的,应当明示用户画像的主要规则和用途;自然人有权拒绝数据处理者对其进行上述用户画像和基于用户画像进行的个性化推荐,数据处理者应当为其提供拒绝的途径。
同时,《条例》将未满十四岁未成年人的个人数据视作敏感个人数据,首次在国内立法中明确,除为了维护未满十四周岁未成年人的合法权益且征得其监护人明示同意外,不得向其进行个性化推荐。
追问1
地方性法规效力范围如何划归?
条例发布后有网友提问,规范的究竟是注册地在深圳的企业,还是人在深圳的物联网使用者?管辖范围似乎难以明晰。
“数据具有流动性,互联网也没有地域限制,因而在数据管辖问题上,从国际层面来讲,各国之间一直存在无法明晰的争议。”刘德良指出。对外经济贸易大学数字经济与法律创新研究中心执行主任许可表示,从地域角度考量相对便于操作,即企业注册地在深圳的遵守本条例;但从个人角度来说相对困难,以使用者的纳税地还是户籍地为准?难以明确。
深圳市人大法工委相关负责人公开解释,虽然目前就数据权属问题还未形成统一认识,难以通过地方性法规旗帜鲜明地创设“数据权”这一新的权利类型,但是对于“个人数据具有人格权属性”“企业对其投入大量智力劳动成果形成的数据产品和服务具有财产性权益”已经取得普遍共识。基于这一认识,《条例》率先在立法中探索数据相关权益范围和类型,明确自然人对个人数据依法享有人格权益,包括知情同意、补充更正、删除、查阅复制等权益;自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及条例规定的财产权益,可以依法自主使用,取得收益,进行处分。
但同时许可提出,地区之间割裂的规范依据有可能带来不公平现象。他举例解释,非深圳人(企业)与深圳人(企业)发生纠纷,是否可以享有与当地相同的权利?若该法律是授权性法律,那么显然实际在执法上就出现了问题。
“我不赞成地方层面做这种全面性立法的核心原因就在此”,许可称,条例中对于地方政府的数据开放、相关政策扶持等问题作出规范是合理的,但超出这个范围,规定企业数据权益和个人数据权益,则超出了地方事项范畴。
2018年,欧洲联盟层面出台《通用数据保护条例》,以避免各成员国各行其是,许可认为,如果我国各省各自出台相关地方性法规,反而削减了中国作为单一制国家的最大的优势。
追问2
14岁以下未成年人个性推荐应被禁止吗?
由于未成年人缺乏基本的辨识认知能力,难以辨别对其进行的个性化推荐是否符合其自身利益,因此,《条例》首次在国内立法中明确,除为了维护未满十四周岁未成年人的合法权益并征得其监护人明示同意外,不得向其进行个性化推荐。
基于个人信息的画像和个性化推荐分为两种,一是进行信息内容的推荐,最典型的就是新闻或阅读材料的推荐;二是产品和服务的推荐。
许可认为,未成年时期是一个世界观、人生观、价值观形成阶段,需要接受不同方面的知识和信息,所以对于信息内容的推荐加以严格限制,防止信息茧房是合理的。
但符合年龄画像的服务和产品推荐,对于儿童来说是很有必要的。“六岁、八岁、十四岁的孩子,需要的玩具产品有一定科学区分,不够明确的推荐显然是不合理的。”许可指出,遗憾的是,条例的重点限制规范放在了对于产品和服务的个性化推荐上,“其实恰恰相反,应该放在禁止信息内容的个性化推荐上。”
声音
条例对推动地方数字经济有促进作用
许可指出,该条例对于地方数字经济的推动有一定的促进作用。
首先,第一次明确承认了个人数据的处理者,对于数据享有财产性权益;第二,相较于个人信息保护法,条例进一步规定了更多的个人信息处理事由,特别是包括为了保护商业秘密和人力资源管理,对于雇员信息的处理;第三,明确规定了个人数据处理者对于去标识化的数据,有权提供第三方而不需要再获授权,对于数据产业、数据要素流动有较大的正面推动效果。
《条例》设计了公共数据治理的顶层框架,明确将提供教育、卫生、社会福利、供水、供电、环保、公交等公共服务的组织纳入公共管理和服务机构范围,其在提供服务过程中产生、处理的数据均属公共数据。规定公共数据应当在法律、法规允许范围内最大限度地开放,不得收取任何费用。
在加强个人数据保护的基础上,《条例》探索培育数据要素市场,在填补目前数据交易相关法律规范空白的同时,在国内立法中首次确立数据公平竞争有关制度,针对数据要素市场“搭便车”“不劳而获”“大数据杀熟”等竞争乱象作出专门规定。违反相关规定拒不改正的,处五万元以上五十万元以下罚款,情节严重的,处上一年度营业额百分之五以下罚款,最高不超过五千万元。
许可认为,条例明确了在数据要素市场中政府的角色和边界。政府不是作为数据要素的直接参与者,而是发挥提供公共产品的职能,就数据交易市场的基础性内容、认证标准、环境保护等提供一些公共产品和公共服务,更有助于数据要素的培育。
链接
多地就大数据发展应用立法,北京数据立法已在路上
目前国家层面的数据条例尚不在“十四五”立法计划中,但数据作为新型生产要素,各地立法已然起步。
国家法律法规数据库显示,今年3月1日正式实施的《浙江省数字经济促进条例》,是目前唯一一部涉及数字经济且已生效的法律法规;同时,吉林、山西、海南、贵州、天津等地已出台大数据发展应用相关条例。
目前,北京、上海等地数据立法工作已在路上。
“上海市数据条例”(暂定名)草案也已经形成,草案拟在今年9月提交市人大一审,力争在数据确权和数据交易等关键瓶颈问题方面取得突破。
2021年3月31日,北京市委常委、副市长殷勇在北京国际大数据交易所成立发布会上提出,北京市在今年的立法计划中,明确将研究制定数字经济促进条例列入日程,要积极对接国际数字贸易规则,深入研究数据的法律权属和使用权交易问题,为促进和规范数据要素流动提供更好的法规保障。