大數據“殺熟”最高可罰五千萬元
App“不全面授權就不讓用”、大數據“殺熟”、個人信息收集任性等問題長時間困擾互聯網用戶。7月6日,《深圳經濟特區數據條例》(以下簡稱《條例》)公布并將于明年1月1日起實施,這是國內數據領域首部基礎性、綜合性立法。對于以上問題,《條例》明確進行了限制,對于違反相關條例的內容將給予重罰。
禁止App“不全面授權就不讓用”
《條例》確立個人數據處理應當以“告知-同意”為前提,即處理個人信息應當在事先充分告知的前提下取得個人同意,數據處理者應當提供撤回同意的途徑,不得對撤回同意進行不合理限制或者附加不合理條件。
同時,《條例》明確處理個人數據應當具有明確、合理的目的,并遵循最小必要和合理期限原則。建立最小授權的訪問控制策略,使被授權訪問個人數據的人員僅能訪問完成職責所需的最少個人數據,且僅具備完成職責所需的最少數據處理權限。
當前,一些移動互聯網應用程序(App)通過“一攬子協議”將收集個人數據與其功能或服務進行捆綁,用戶不同意全面授權,就無法使用該App。
為此,《條例》專門規定,數據處理者不得以自然人不同意處理其個人數據為由,拒絕向其提供相關核心功能或者服務。但是,該個人數據為提供相關核心功能或者服務所必需的除外。
“人臉識別”不能強制使用
“人臉識別”“指紋驗證”“聲音解鎖”“虹膜識別”等生物識別技術在治安、金融等場景大范圍使用,但因其唯一性,一旦泄露或者被濫用可能造成更為嚴重的損害。
因此,《條例》對處理生物識別數據作出更嚴格的規定:除了該生物識別數據為處理個人數據目的所必需且不能替代外,應當同時提供處理其他非生物識別數據的替代方案。
深圳市人大常委會相關負責人表示,用戶畫像和個性化推薦的應用,為人們提供了更加精準、個性化的商品和服務,但同時也帶來了一些負面影響。《條例》首創性地規定,數據處理者基于提升產品或者服務質量的目的,對自然人進行用戶畫像的,應當明示用戶畫像的主要規則和用途;自然人有權拒絕數據處理者對其進行上述用戶畫像和基于用戶畫像進行的個性化推薦,數據處理者應當為其提供拒絕的途徑。
同時,《條例》將未滿十四歲未成年人的個人數據視作敏感個人數據,首次在國內立法中明確,除為了維護未滿十四周歲未成年人的合法權益且征得其監護人明示同意外,不得向其進行個性化推薦。
大數據“殺熟”最高可罰五千萬元
此外,《條例》明確將提供教育、衛生、社會福利、供水、供電、供水、環保、公交等公共服務的組織納入公共管理和服務機構范圍,其在提供服務過程中產生、處理的數據均屬公共數據。公共數據應當在法律、法規允許范圍內最大限度地開放,不得收取任何費用。
在加強個人數據保護的基礎上,《條例》在國內立法中首次確立數據公平競爭有關制度,針對數據要素市場“搭便車”“不勞而獲”“大數據殺熟”等競爭亂象作出專門規定。違反相關規定拒不改正的,處五萬元以上五十萬元以下罰款,情節嚴重的,處上一年度營業額百分之五以下罰款,最高不超過五千萬元。
■ 追問:數據具有流動性管轄范圍如何明晰?
《條例》發布后有網友提問,規范的究竟是注冊地在深圳的企業,還是人在深圳的物聯網使用者?管轄范圍似乎難以明晰。
“數據具有流動性,互聯網也沒有地域限制,因而在數據管轄問題上,各國之間一直存在無法明晰的爭議。”北京師范大學法學院教授劉德良指出。對外經濟貿易大學數字經濟與法律創新研究中心執行主任許可表示,從地域角度考量相對便于操作,但從個人角度來說相對困難,是以使用者的納稅地還是戶籍地為準?難以明確。
深圳市人大法工委相關負責人公開解釋,雖然目前就數據權屬問題還未形成統一認識,難以通過地方性法規旗幟鮮明地創設“數據權”這一新的權利類型,但是對于“個人數據具有人格權屬性”“企業對其投入大量智力勞動成果形成的數據產品和服務具有財產性權益”已經取得普遍共識。基于這一認識,《條例》率先在立法中探索數據相關權益范圍和類型,明確自然人對個人數據依法享有人格權益,包括知情同意、補充更正、刪除、查閱復制等權益;自然人、法人和非法人組織對其合法處理數據形成的數據產品和服務享有法律、行政法規及《條例》規定的財產權益,可依法自主使用,取得收益,進行處分。
