读创/深圳商报记者 陈小慧
当你在下载安装软件时,如果不同意授权协议就不能使用?深圳将立法对此类APP霸王条款说“不”!6月29日,《深圳经济特区数据条例》(下称《条例》)获深圳市七届人大常委会第二次会议通过,拟自2022年1月1日起实施。针对上述现象,《条例》规定,数据处理者不得以自然人不同意处理其个人数据为由,拒绝向其提供相关核心功能或者服务。
此外,《条例》还有不少制度创新备受关注,例如大数据“杀熟”最高可罚5000万元,自然人有权拒绝对其进行的用户画像和个性化推荐,明确处理个人数据“最小必要”原则等。
国内数据领域首部综合性立法
大数据作为新的生产要素,已经上升到基础战略资源地位。但数据在赋能行业发展的同时,也引发了人们对个人隐私泄漏、数据安全问题的担忧,亟需通过立法手段对数据确权、数据保护等问题予以规范。
事实上,从国家层面到各级政府,数据立法早已提上日程。今年6月,《中华人民共和国数据安全法》正式出台。北京、上海等地也启动了数据立法。深圳作为先行示范区,也先行先试探索数据领域的立法。
据了解,深圳是全球重要的电子信息和数据产业基地,汇聚了超过300家大数据企业,基本形成了较为完善的大数据产业链。但由于现阶段相关法律制度的不健全,深圳的数字经济发展也面临着巨大挑战,如数据交易机制不完善阻碍了数据交易的规模扩张、企业间数据不正当竞争纠纷多发等。
“亟需通过立法,规范数据要素市场化行为,推动数据的有序流动和数据产业的健康发展,促进数据要素市场的培育和发展。”深圳市人大常委会法工委相关负责人表示。
据介绍,不同于数据相关法律以及其他省市地方性法规规章从涉及数据的某个具体领域制定单项、专门性数据规范的做法,《条例》内容涵盖了个人数据、公共数据、数据要素市场、数据安全等方面,是国内数据领域首部基础性、综合性立法。
率先明确提出“数据权益”
数据确权的问题一直颇受争议。虽然目前公众对数据权属问题的认识还不统一,难以通过地方性法规创设“数据权”这一新的权利类型,但是“个人数据具有人格权属性”已经取得普遍共识,而且过往的一些司法判例也认可了“企业对其投入大量智力劳动成果形成的数据产品和服务具有财产性权益”。
基于这一认识,《条例》率先在立法中提出“数据权益”,明确自然人对个人数据依法享有人格权益,包括知情同意、补充更正、删除、查阅复制等权益;自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及本条例规定的财产权益,可以依法自主使用,取得收益,进行处分。
确立处理个人数据“最小必要”原则
如何平衡发展数字经济与保护个人信息、数据开发利用与数据安全之间的关系,是此次立法最大的重点难点。
记者注意到,今年全国两会期间,全国人大代表马化腾曾表示,“数字经济治理是全球性挑战。面对垄断与竞争、数据与隐私、创新与发展、发展与共享等重大问题,需要坚持系统观念,既不能放任负面效应无序泛滥,也不能将‘婴儿和洗澡水一同倒掉’。”
发展与安全并重,无疑成为了数字经济时代人们思考的共识。
对此,《条例》多项制度设计强化了个人数据的保护。例如,明确处理个人数据的基本原则,即目的明确合理、方式合法正当、最小必要、知情同意、准确完整和确保安全。
针对公众普遍关注的最小必要原则的具体内涵,《条例》进一步明确,即限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式处理个人数据,并列举了五种符合最小必要原则的具体情形。
《条例》还规定,处理个人数据具有告知义务,应当在处理前向自然人告知数据处理者的基本信息,处理个人数据的种类、范围、目的和方式,存储个人数据的期限,可能存在的安全风险、采取的安全保护措施,以及自然人依法享有的权利、行使权利的方式等事项。
同时,处理个人数据应当征得自然人的同意,在其同意的范围内处理其个人数据,不得通过误导、欺骗、胁迫等违背自然人真实意愿的方式获取同意,并对同意规则的例外情形作出了规定。
自然人有权拒绝个性化推荐
“前不久刚和朋友聊天说要买粉底液,转眼就有APP推荐各种品牌的粉底液和彩妆了。”市民黄女士告诉记者,身边不少朋友都有过类似的经历,有时自己在网上搜索一款商品,很快也会在一些APP上收到相关广告推送,仿佛被“偷听”和“围观”了。
用户画像和个性化推荐的应用,为人们提供了更加精准、个性化的商品和服务,但同时也带来了“信息茧房”、个人隐私泄漏等负面影响。
为了在尽可能尊重和保障自然人对处理其个人数据的决定权的同时,不阻碍用户画像和个性化推荐等新兴数据应用技术的发展,《条例》首创性地规定,数据处理者可以进行用户画像和个性化推荐,但是应当明示用户画像的主要规则和用途;自然人有权拒绝对其进行的用户画像和个性化推荐,数据处理者应当为其提供拒绝的途径。
《条例》还首次在国内立法中明确,除“为了维护未满十四周岁未成年人的合法权益且征得其监护人明示同意”外,不得向其进行个性化推荐。
APP不得“任性”拒绝向用户提供服务
当在手机上下载安装App时,一般会需要先阅读《用户服务协议》和《隐私政策》,并选择“同意”和“已阅读全部条款”,才能使用该App及其服务;如果选择“不同意”,将无法使用。
“一些APP通过‘一揽子协议’将收集个人数据与其功能或服务进行捆绑,用户不同意其收集个人数据,就无法使用该APP。为了使用该APP,用户往往被迫接受‘一揽子协议’,这严重损害了用户作为个人数据主体的决定权。”有常委会组成人员提出。
对此,《条例》规定,“数据处理者不得以自然人不同意处理其个人数据为由,拒绝向其提供相关核心功能或者服务。但是,该个人数据为提供相关核心功能或者服务所必需的除外。”
大数据“杀熟”最高可罚5000万
同样的送餐时间送餐地点,平台会员所需的配送费却比非会员还要高;同样叫车,起始点和距离一样,不同用户价格却显示不一样……这种被大数据“算计”的“大数据杀熟”现象在交通、餐饮行业时有发生。美团、飞猪、携程等知名企业都曾被“点名”大数据“杀熟”。
据了解,“大数据杀熟”就是利用大数据技术,在行为数据和消费者身份信息分析基础上,通过人工智能、个性化展示和消费能力预测,对最终末端市场进行价格差异化对待,在经济学语境下,又被形象地称为价格歧视。
这种“价格歧视”,不仅影响数据公平竞争,也损害了用户的利益。
针对数据要素市场“搭便车”“不劳而获”“大数据杀熟”等竞争乱象,《条例》创新性规定市场主体不得以非法手段获取其他市场主体的数据,或者利用非法收集的其他市场主体数据提供替代性产品或者服务,侵害其他市场主体的合法权益;不得通过数据分析,无正当理由对交易条件相同的交易相对人实施差别待遇。违法者情节严重的,处上一年度营业额5%以下罚款,最高不超过5000万元。
“人脸识别”数据不可滥用
不久前,央视“3·15”晚会上曝光的“人脸识别技术被滥用”的新闻引起了广泛关注。据报道,科勒卫浴、宝马等知名企业在线下门店使用带有人脸识别的摄像头,顾客在不知情的情况下被采集个人信息,并生成一串编码。从此以后顾客去了哪家门店、去了几次,商户都能知道,从而达到精准营销。
“人脸识别”“指纹验证”“声音解锁”“虹膜识别”等生物识别技术,在改变人们的生产生活方式同时,也易引起个人数据的泄露或被滥用。
为了在拓展生物识别技术应用的同时,避免生物识别数据的滥用,《条例》对处理生物识别数据作出了较处理其他数据更加严格的规定,要求处理生物识别数据时,除该生物识别数据为处理个人数据目的所必需,且不能为其他非生物识别数据所替代的情形外,应当同时提供处理其他非生物识别数据的替代方案。
建立数据领域公益诉讼制度
《条例》还在提升公共数据治理水平、探索培育数据要素市场等方面作出规定,如规定公共数据应当在法律、法规允许范围内最大限度地开放,不得收取任何费用;为促进数据要素价值实现,明确建立健全数据标准体系,支持制定相关各类地方标准、行业标准、团体标准和企业标准;建立数据领域公益诉讼制度。规定人民检察院和法律、法规规定的组织可以就违规定处理数据致使国家利益或者公共利益受到损害的行为,依法提起民事公益诉讼。
审读:喻方华