深圳拟对个人数据尤其是涉及隐私数据实行保护。12月28日,《深圳经济特区数据暂行条例(草案)》(下称《条例(草案)》)提请深圳市六届人大常委会第四十六次会议审议,其中拟规定,收集、处理涉及隐私的个人数据应征得自然人或其监护人的明示同意,否则将承担相应法律责任。
随着信息技术的进步,大数据作为重要的生产要素和战略资源,在逐步渗透到社会生活和生产各个领域的同时,也引发了人们对数据安全、个人隐私保护问题的担忧。此次立法旨在保护自然人、法人和非法人组织的数据权益,促进数据资源开发利用和共享开放,加快数据要素市场培育和高质量发展。
《条例(草案)》包括个人数据保护、公共数据管理和应用、数据要素市场培育、数据安全管理措施、法律责任等内容,可以说是国内数据领域第一部基础性、综合性立法。
其中《条例(草案)》一大亮点是在国内数据领域立法中首次提出“数据权益”保护的问题。一直以来,关于“数据是谁的”问题备受争议和讨论。据了解,由于数据自身无形性、可复制性、可共享性等特点,且数据的价值正在于其流动,与其他权利类型有着本质区别,现阶段尚难以用统一的“数据权”涵盖所有情形。
对此,相较于“确认数据是谁的”,《条例(草案)》侧重“确认可以对数据行使哪些权利”,规定自然人、法人、非法人组织依据本条例享有对特定数据的自主决定、控制、处理、收益和利益损害受偿等数据权益。
虽然数据权属难以清晰界定,但对于附着于数据之上的权益保护则十分必要和迫切。对此,《条例(草案)》规定,收集、处理涉及隐私的个人数据应征得自然人或其监护人的明示同意,即必须是自然人通过书面、口头等方式主动做出声明或自主做出肯定性动作予以明确授权的同意,否则将按照有关法律法规有关规定进行处罚。
法律法规未作规定的,由有履行个人数据保护的责任部门责令改正,拒不改正并处10万元以上100万元以下罚款,对直接负责的主管人员和其他直接责任人处1万元以上10万元以下罚款。
但《条例(草案)》同时规定,如为了自然人履行合同的必要,为了执行公共管理和服务的职责,或为了维护国家安全、公共利益、企业正当利益等情形,数据收集、处理者可以无需征得个人同意。这也是立法平衡数字经济发展与个人数据之间关系的体现。
此外,《条例(草案)》还填补国家立法空白,规定在自然人撤回同意后,数据收集、处理者应当主动或根据自然人的请求对其存储的可单独或者结合其他数据可识别特定自然人的数据及时有效删除,但是不应影响在撤回前基于同意作出的合法的数据处理,从而在保护个人数据权益的同时,保护企业的数据权益。
公共数据管理也此次立法的重点和亮点之一。《条例(草案)》规定,市政府服务数据主管部门统筹全市数据资源目录体系建设和管理工作,制定公共数据资源目录编制要求。
同时设计了共享负面清单制度,公共数据应无条件提供共享,特殊情况不能提供共享的,公共管理和服务机构应提供明确的法律依据,经审核后列入负面清单。负面清单以外的公共数据都应无偿在公共管理和服务机构之间共享。
在数据要素市场体系方面,《条例(草案)》规定,禁止利用技术手段进行不正当竞争。针对“大数据杀熟”,规定“市场主体不得通过分析消费者的个人信息、消费记录、偏好等数据,对商品或服务设置不公平的交易条件,侵犯消费者合法权益”。