时间:2021-06-03 16:34:38 来源:深圳商报、数据法盟 责任编辑:商密君
5月27日至28日,《深圳经济特区数据条例(草案修改一稿)》(下称《条例(草案修改一稿)》)提请深圳市七届人大常委会第一次会议审议。与一审稿相比,《条例(草案修改一稿)》增设了不少亮点内容,例如在提出“数据权益”的基础上进一步明确了个人数据的具体属性,新增对用户画像、个性化推荐的规制以及数据公平竞争的规范等,同时规定违规处理个人数据的,将按照每处理一个自然人的个人数据处以二百元以上一千元以下的罚款。
个人可享数据知情决定权
由于数据自身无形性、可复制性、可共享性等特点,一直以来,关于“数据是谁的”问题备受争议和讨论,目前立法上也尚难以确定“数据权”问题。“但是‘个人数据具有人格权属性’已经取得普遍共识,而且过往的一些司法判例也认可了‘企业对其投入大量智力劳动成果形成的数据及其产品和服务具有财产性权益’。”深圳市人大法制委员会相关负责人指出,基于上述认识,《条例(草案修改一稿)》明确规定自然人对其个人数据享有人格权益,自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及该条例规定的财产权益,可以依法自主使用,通过向他人提供获得收益,依法进行处分。
《条例(草案修改一稿)》还明确自然人对其个人数据享有知情决定权、查阅复制权、补充更正权、删除权等权利;在权利的行使方面,规定数据处理者应当建立自然人行使权利申请和投诉举报的受理处理机制。
不得对未成年人进行用户画像
如何平衡数字经济发展与个人数据之间的关系,是此次立法的重点。记者注意到,该条例在多处制度设计上都为大数据拧紧了“安全栓”。例如随着用户画像和个性化推荐的普遍应用,用户享受更加精准、个性化的商品和服务,但这些技术应用建立在处理商品和服务接受者的个人数据的基础之上,“信息茧房”等问题对个人数据的保护提出了新的挑战。《条例(草案修改一稿)》对用户画像和个性化推荐进行规制,明确数据处理者可以进行用户画像和个性化推荐,但应当明示用户画像的规则和用途,并采用足以引起注意的特别标识等易获取的方式为被画像主体提供拒绝的途径;自然人有权随时拒绝对其进行的用户画像和个性化推荐。同时,《条例(草案修改一稿)》将未成年个人数据视作敏感个人数据,并规定不得对未成年人进行用户画像以及基于用户画像对未成年人进行个性化推荐。
人脸识别数据不能滥用
《条例(草案修改一稿)》还规定,敏感个人数据处理者在处理前应当征得该自然人或者其监护人的明示同意;同时新增规定,人脸识别、指纹解锁、虹膜识别等生物识别数据作为敏感个人数据的一种重要类型,处理生物识别数据不仅要遵守处理敏感个人数据的规定,处理的生物识别数据还不能为其他个人数据所替代;生物识别数据的数据处理者也应当具备相应的数据安全防护能力。对于违规处理个人数据或者处理个人数据未采取必要安全保护措施的行为,《条例(草案修改一稿)》规定,按照每处理一个自然人的个人数据处以二百元以上一千元以下的罚款;违法行为造成数据安全事件、未成年人数据和敏感个人数据的,应从重处罚。
明确数据公平竞争原则
随着数字经济的发展,企业间的不正当数据竞争日益增多,一定程度上制约了数据市场的培育和发展。《条例(草案修改一稿)》明确了数据公平竞争原则,规定市场主体不得以不正当手段收集或者利用其他市场主体的数据,侵害其他市场主体或者消费者的合法权益;不得通过数据分析,无正当理由对交易条件相同的交易相对人实施差别待遇;不得通过达成垄断协议、滥用在数据市场的支配地位、实施经营者集中,排除、限制数据市场竞争。
《条例(草案修改一稿)》还规定,依法开放公共数据,不得收取任何费用;法律、行政法规另有规定的,从其规定。
关于《深圳经济特区数据条例(征求意见稿)》
公开征求意见的公告
为了规范数据处理活动,保护自然人、法人和非法人组织的数据权益,促进数据资源开放流动和开发利用,市人民政府组织起草了《深圳经济特区数据暂行条例(草案)》,该条例已经市六届人大常委会第四十六次会议、市七届人大常委会第一次会议审议。市人大常委会法制工作委员会根据常委会审议意见,对条例进行修改形成了《深圳经济特区数据条例(征求意见稿)》(以下简称《条例(征求意见稿)》)。为深入推进科学立法、民主立法、依法立法,保证立法质量,现将《条例(征求意见稿)》和有关说明在“深圳人大网”“深圳政府在线”“深圳新闻网”“i深圳”全文公布,广泛征求社会各方面的意见和建议。有关意见和建议可通过寄送、电邮或者传真等方式反馈至市人大常委会法制工作委员会办公室。征求意见截至日期为2021年6月15日。地址:深圳市福田区市民中心A区市人大常委会法制工作委员会办公室
第一条 为了规范数据处理活动,保护自然人、法人和非法人组织的数据权益,促进数据资源开放流动和开发利用,根据有关法律、行政法规的基本原则,结合深圳经济特区实际,制定本条例。第二条 本条例所称数据,是指任何以电子或者非电子形式对信息的记录。本条例所称数据处理,是指数据的收集、存储、加工、使用、提供、开放、交易等活动。第三条 自然人对载有其个人信息的数据享有法律、行政法规及本条例规定的人格权益。自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及本条例规定的财产权益。但是,不得危害国家安全和公共利益,不得损害自然人人格权益,不得侵害他人知识产权。第四条 市人民政府应当建立健全数据治理制度和标准体系,统筹推进个人数据保护、公共数据开放共享利用、数据市场培育发展及数据安全管理工作。第五条市人民政府设立市数据工作委员会,负责研究、协调本市数据管理工作中的重大事项。市数据工作委员会下设办公室,由市政务服务数据管理部门承担日常工作。第六条市网信部门负责本市个人数据保护、数据安全、跨境数据流通等工作的指导、协调和监督管理。市工业和信息化部门负责本市数据产业发展和信息基础设施建设工作。市市场监督管理部门负责本市数据市场的监督管理工作。市政务服务数据管理部门负责本市公共数据管理工作的指导、协调和监督管理。市各行业主管部门负责本行业数据管理工作的统筹、指导、协调和监督。市发展改革、公安、财政、人力资源保障、规划和自然资源、审计、国家安全等部门依照有关法律、法规,在各自职责范围内履行数据资源管理的相关职能。第七条 市人民政府应当充分发挥数据的基础资源作用和创新引擎作用,加快构建以数据为关键要素的数字经济,创新运用大数据提升城市治理现代化水平,促进保障和改善民生,并切实保障数据安全。第八条 本条例所称个人数据,是指载有自然人个人信息的数据,包括载有个人身份信息、生物特征信息和其他敏感个人信息的数据,但是不包括匿名化处理后的数据。本条例所称敏感个人数据,是指一旦泄露、非法提供或者滥用,可能导致自然人受到歧视或者人身、财产安全受到严重危害的个人数据,包括种族、民族、宗教信仰、生物特征、医疗健康、金融账户、个人行踪等数据。本条例所称生物识别数据,是指对自然人的相关身体、生理、行为等生物特征进行技术处理而得出的能够识别自然人独特标识的个人数据,包括自然人的基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等数据。本条例所称匿名化处理,是指通过对个人数据进行技术处理使得个人数据主体无法被识别,且处理后的数据不能被复原的活动。(一)严格遵守法律、法规规定,处理个人数据的目的和方式合法、正当;(二)限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式,不得进行与处理目的无关的个人数据处理;(三)遵循公开、透明的原则,明示个人数据处理的目的、方式、范围和规则等;(四)保证个人数据的准确性和必要的完整性,避免因个人数据不准确、不完整给当事人造成损害;前款所称处理个人数据应当限于实现处理目的所必要的最小范围,采取对个人权益影响最小的方式,具体包括但是不限于下列情形:(一)处理的个人数据的种类、范围应当与处理目的有直接关联,不处理该个人数据则处理目的无法实现;(二)自动处理个人数据的频率应当是实现处理目的所必需的最低频率;(三)处理个人数据的数量应当是实现处理目的所必需的最少数量;(四)存储的期限应当为实现处理目的所必需的最短时间,超出存储期限的,应当对个人数据进行删除或者匿名化处理,法律、法规另有规定或者自然人另行同意的除外;(五)应当建立最小授权的访问控制策略,使被授权访问个人数据的人员仅能访问职责所需的最少的个人数据,且仅具备完成职责所需的最少的数据操作权限。第十条 公共管理和服务机构处理个人数据,应当仅限于履行法定职责和提供公共服务所必需,并按照规定采取安全保护措施,充分保障数据安全。本条例所称公共管理和服务机构,是指本市国家机关和法律、法规授权管理公共事务和提供公共服务的组织。第十一条 自然人发现数据处理者违反法律、法规规定或者双方约定处理其个人数据的,可以向市网信部门投诉举报,市网信部门应当及时依法处理。自然人认为数据处理者违反法律、法规规定或者双方约定处理其个人数据并造成损害的,可以依法向人民法院提起诉讼。第十二条 数据处理者应当在处理个人数据前征得自然人或者其监护人的同意,并在其同意范围内处理其个人数据,但是法律、行政法规以及本条例另有规定的除外。本条例所称同意,是指当事人自主、明确地表示允许处理其个人数据的意思表示。数据处理者不得通过误导、欺骗、胁迫等违背自然人真实意愿的方式获取其同意。第十三条 处理个人数据的种类、范围、目的和方式变更的,应当重新征得自然人或者其监护人的同意。第十四条 处理敏感个人数据的,应当在处理前征得该自然人或者其监护人的明示同意。第十五条 生物识别数据处理者处理生物识别数据应当为处理个人数据的目的所必需,且不能为其他个人数据所替代,并应当具备相应的数据安全防护能力。生物识别数据处理管理办法由市政务服务数据管理部门会同市公安机关另行制定。第十六条 处理未成年人个人数据的,按照处理敏感个人数据的有关规定执行;处理不满十四周岁的未成年人个人数据的,应当在处理前征得其监护人的明示同意。处理无民事行为能力或者限制民事行为能力的成年人个人数据的,应当在处理前征得其监护人的明示同意。第十七条 处理个人数据有下列情形之一的,可以在处理前不征得自然人或者其监护人的同意:(一)处理自然人自行公开或者其他已经合法公开的个人数据,且符合该个人数据公开时的目的;(二)为了订立或者履行自然人作为一方当事人的合同所必需;(三)公共管理和服务机构为了履行法定职责或者提供服务所必需;第十八条 自然人有权随时撤回部分或者全部处理其个人数据的同意。自然人撤回同意的,数据处理者不得继续处理其个人数据,但是不影响数据处理者在自然人撤回同意前基于同意进行的合法数据处理;法律、法规另有规定的,从其规定。第十九条 处理个人数据应当采用足以引起注意的特别标识等易获取的方式提供自然人撤回处理其个人数据的同意的途径,不得利用服务协议或者技术等手段对其撤回同意进行不合理限制或者附加不合理条件。第二十条 处理个人数据应当在征得自然人或者其监护人处理其个人数据的同意前以通俗易懂、明确具体、易获取的方式向其完整、真实、准确地告知下列事项:(五)处理个人数据可能存在的安全风险以及对其个人数据采取的安全保护措施;(六)自然人依法享有的权利以及行使权利的方式和程序;处理敏感个人数据应当依照前款规定,以更加显著的标识或者突出显示的形式将处理敏感个人数据的必要性以及对其可能产生的影响进行单独告知。第二十一条 处理个人数据有法律、行政法规规定应当保密或者不宜告知的情形的,不适用本条例第二十条的规定。紧急情况下为了保护自然人的人身、财产安全等重大合法权益,不能按照本条例第二十条的规定进行事前告知的,应当在紧急情况消除后及时告知。第二十二条 数据处理者向他人提供其处理的个人数据的,应当对数据进行去标识化处理,使得被提供的个人数据在不借助其他数据的情况下无法识别特定的自然人。法律、法规规定或者自然人与数据处理者约定应当进行匿名化处理的,数据处理者应当依照法律、法规规定或者双方约定进行匿名化处理。数据处理者向他人提供其处理的个人数据有下列情形之一的,可以不进行去标识化处理:(一)应公共管理和服务机构履行法定职责需要且书面要求提供的;(二)基于自然人或者其监护人的同意向他人提供其个人数据的;第二十三条 数据处理者可以基于提升产品质量或者服务体验的目的,对自然人进行用户画像,为其推荐个性化的产品或者服务。本条例所称用户画像,是指为了评估自然人的某些条件而对其个人数据进行的自动化处理,包括为了评估自然人的工作表现、经济状况、健康状况、个人偏好、兴趣、可靠性、行为方式、位置、行踪等而进行的处理。第二十四条 数据处理者对自然人进行用户画像时,应当向其明示用户画像的规则和用途,并采用足以引起注意的特别标识等易获取的方式向其提供拒绝的途径。自然人有权随时拒绝对其进行的用户画像和基于用户画像向其进行的个性化产品或者服务推荐。禁止对未成年人进行用户画像以及基于用户画像向未成年人推荐个性化的产品或者服务。第二十五条 自然人对其个人数据的处理享有知情权、决定权,有权限制或者拒绝他人处理其个人数据。法律、行政法规另有规定的,从其规定。第二十六条 自然人有权向数据处理者要求查阅、复制其个人数据,数据处理者应当按照有关规定提供。第二十七条 自然人发现其个人数据不准确或者不完整的,有权要求数据处理者补充、更正,数据处理者应当予以核实,并及时补充、更正。第二十八条 有下列情形之一的,自然人有权要求数据处理者删除其个人数据,数据处理者应当删除其个人数据:(二)处理个人数据的目的已经实现或者处理的个人数据对于处理的目的已经不再必要;(四)数据处理者违反法律、法规的规定或者双方约定处理数据;第二十九条 自然人撤回处理其个人数据的同意,要求数据处理者删除其个人数据的,数据处理者可以留存告知和同意的证据,但是不得超过其履行法定义务、应对诉讼或者纠纷的必要限度。第三十条 数据处理者应当建立自然人行使权利申请和投诉举报的受理处理机制,并采用足以引起注意的特别标识等易获取的方式提供有效的行使权利和投诉举报的途径。数据处理者收到相关行使权利申请或者投诉举报的,应当及时受理,并依法采取相应处理措施;拒绝申请事项的,应当说明理由。第三十一条 本条例所称公共数据,是指公共管理和服务机构在依法履行公共管理和服务职责过程中,产生、处理的各类数据。第三十二条 市数据工作委员会设立公共数据管理委员会,负责协调、处理公共数据管理工作中的重大事项。市政务服务数据管理部门承担市公共数据管理委员会日常工作,并负责统筹全市公共数据管理工作,建立和完善公共数据资源管理体系,推进公共数据共享、开放和综合利用。区政务服务数据管理部门在市政务服务数据管理部门指导下,统筹本辖区公共数据管理工作。第三十三条 市人民政府应当建立城市大数据中心,并依托城市大数据中心建设全市公共数据资源共享平台和开放平台,实现对全市公共数据资源统一、集约、安全、高效管理和利用。市政务服务数据管理部门负责推动公共管理和服务机构将所管理的公共数据资源向城市大数据中心汇聚,组织公共管理和服务机构依托城市大数据中心开展公共数据资源管理和利用。各区人民政府可以按照全市统一规划,建设城市大数据中心分中心,将公共数据资源纳入城市大数据中心统一管理。第三十四条 公共数据资源按照基础数据资源、主题数据资源和业务数据资源实行分类管理制度。市政务服务数据管理部门负责统筹本市公共数据资源体系整体规划和建设,并会同相关部门建设和管理人口、法人、房屋、自然资源与空间地理、电子证照、公共信用等基础数据库。各行业主管部门应当按照公共数据资源体系整体规划和相关制度规范要求,规划本行业公共数据资源体系,建设并管理相关主题数据库。公共管理和服务机构应当按照公共数据资源体系整体规划、行业专项规划和相关制度规范要求,建设、管理本机构业务数据库。市政务服务数据管理部门负责建立全市统一的公共数据资源目录体系,制定公共数据资源目录编制要求,组织公共管理和服务机构按照公共数据资源目录规范处理各类公共数据。公共管理和服务机构应当按照公共数据资源目录编制要求,对本机构所处理的数据进行目录管理。第三十六条 实行公共数据全面共享制度。公共数据在公共管理和服务机构之间以共享为原则,不共享为例外。市人民政府应当制定公共数据共享负面清单,并及时进行动态调整。未纳入负面清单的公共数据应当共享。第三十七条 市政务服务数据管理部门应当建立以公共数据资源目录体系为基础的公共数据共享需求对接机制和相关管理制度,并组织实施。公共数据使用部门可以根据履行职责需要提出共享申请,明确数据使用的依据、目的、范围、方式及相关需求,并按照本级政务服务数据管理部门和数据提供部门要求,加强共享数据使用管理,不得超出范围使用或者用于其他目的。公共数据提供部门应当在规定时间内,回应公共数据使用部门的共享需求,并可以对公共数据使用部门提出数据使用要求。第三十八条 公共管理和服务机构应当通过全市公共数据资源共享平台开展数据共享。公共管理和服务机构可以通过共享方式获得数据的,不得向自然人、法人和非法人组织重复收集。第三十九条 市政务服务数据管理部门应当组织制定公共数据质量管理制度和规范,建立健全质量监测和评估体系,并组织实施。公共管理和服务机构应当按照公共数据质量管理制度和规范,建立和完善本机构数据质量管理体系,加强数据质量管控,保障数据真实、准确、完整、及时、可用。市公共数据管理委员会定期对公共管理和服务机构数据管理工作进行评价,并向市数据工作委员会报告评价结果。第四十条 公共管理和服务机构履行职责所需的数据无法通过城市大数据中心共享且难以自行收集的,由市人民政府统筹对外采购,具体工作由市政务服务数据管理部门承担。公共管理和服务机构所需采购的数据经市政务服务数据管理部门纳入公共数据资源目录后,可以由其自行采购,或者由市政务服务数据管理部门统一采购。采购的数据应当通过城市大数据中心向公共管理和服务机构提供统一服务。第四十一条 本条例所称公共数据开放,是指公共管理和服务机构依法通过统一的公共数据平台或者由本单位直接面向社会提供可机器读取的公共数据的活动。第四十二条 公共数据开放应当遵循分类分级、需求导向、安全可控的原则,在法律、法规允许范围内最大限度开放。公共数据依照法律、法规规定开放,不得收取任何费用;法律、行政法规另有规定的,从其规定。第四十三条 公共数据按照开放条件分为无条件开放、有条件开放和不予开放三类。无条件开放公共数据,是指可以无条件提供给自然人、法人和非法人组织的公共数据。有条件开放公共数据,是指可以部分提供或者需要按照特定条件提供给自然人、法人和非法人组织的公共数据。不予开放公共数据,是指涉及国家安全、商业秘密和个人隐私,或者法律、法规等规定不得开放的公共数据。第四十四条 建立以公共数据资源目录体系为基础的公共数据开放管理制度,建立公共数据开放清单和调整机制,推动公共管理和服务机构的数据开放工作。有条件开放的公共数据,应当在编制公共数据开放清单时明确开放条件、使用要求及安全保障措施等。第四十五条 市政务服务数据管理部门应当依托城市大数据中心建设公共数据开放平台,统一向社会开放公共数据。公共数据开放平台应当根据开放数据类型,提供数据下载、应用程序接口、安全可信的数据综合开发利用环境等多种数据开放方式。第四十六条 市人民政府应当通过政策引导、经费支持等方式,支持社会力量对开放的公共数据进行开发利用。第四十七条 市人民政府应当加快推进数字政府改革,深化数据在经济调节、市场监管、社会管理、公共服务、生态环境保护中的应用,建立和完善运用数据进行管理的制度规则,创新政府决策、监管及服务模式,推动政府数字化转型,实现主动、精准、整体式、智能化的政府管理和服务。第四十八条 市人民政府应当依托城市大数据中心建设基于统一架构的业务中枢、数据中枢和能力中枢,形成统一的城市智能中枢平台体系,为政府管理服务以及各区域各行业应用提供统一、全面的数字化服务,促进技术融合、业务融合、数据融合。市人民政府依托城市智能中枢平台建设政府管理服务指挥中心,建立和完善政府管理服务指挥中心的建设和运营管理机制,推动政府整体数字化转型,深化跨层级、跨地域、跨系统、跨部门、跨业务的数据共享和业务协同,建立统一指挥、一体联动、智能精准、科学高效的政府运行体系。各行业主管部门应当依托城市智能中枢平台建设本行业管理服务平台,推动本行业管理服务全面数字化。各区人民政府应当依托城市智能中枢平台,以服务基层为目标,整合数据资源、优化业务流程、创新管理模式,推进基层治理与服务科学化、精细化、智能化。第四十九条 市人民政府应当依托城市智能中枢平台,从服务对象视角推动业务整合和流程再造,深化前台统一受理、后台协同审批、全市一体运作的整体式政务服务模式创新。市政务服务数据管理部门应当推动公共管理和服务机构加强公共数据在政务服务、公共服务过程中的创新应用,精简办事材料、环节,优化办事流程。对于可以通过数据比对作出审批决定的事项,应当开展基于数据的无人干预智能审批,推动政务服务智能高效。第五十条 市人民政府应当依托城市智能中枢平台,加强监管数据和信用数据归集、共享,充分利用公共数据和各领域监管系统,建立全市统一的监管平台,探索非现场监管、信用监管、风险预警等新型监管模式,提升监管智能化水平。第五十一条 市政务服务数据管理部门可以组织建设数据融合应用服务平台,向社会提供安全可信的数据综合开发利用环境,推动公共管理和服务机构、企业及其他各类社会组织和个人,共同开展智慧城市应用创新第五十二条 市人民政府应当科学统筹规划,加快培育数据市场,推动构建数据资源收集、加工、开放、共享、交易、应用等数据市场体系,促进数据资源有序、高效流动与利用。第五十三条 市场主体开展数据处理活动,应当建立健全数据治理组织架构和自我评估机制,组织开展数据治理活动,加强数据质量管理,确保数据的真实性、准确性、完整性、时效性,促进数据价值实现。第五十四条 市场主体对合法处理数据形成的数据产品和服务,可以依法自主使用,通过向他人提供获得收益,依法进行处分。第五十五条 市场主体通过开放、共享、交易等方式流通数据、数据产品或者服务的,应当明确各方当事人的权利和义务;超出权利人授权范围的,应当重新取得相应权利人授权。第五十六条 市场主体合法处理数据形成的数据产品和服务,可以依法交易,但是具有下列情形之一的除外:(一)交易的数据产品和服务包含个人数据而未经相关权利人同意的;第五十七条 引导市场主体通过依法设立的数据交易平台进行数据交易。第五十八条 数据交易平台应当建立安全可信、管理可控、可追溯的数据交易环境,制定数据交易、信息披露、自律监管等规则,并采取有效措施保护个人数据、商业秘密和国家规定的重要数据。第五十九条 支持数据价值评估、数据交易技术研发和数据交易模式创新,拓宽数据交易渠道,促进数据资源高效流通。第六十条 市场主体应当遵守公平竞争原则,不得实施下列侵害其他市场主体或者消费者合法权益的行为:(一)使用非法手段破坏其他市场主体所采取的保护数据的技术措施;(三)利用非法收集的他人数据提供替代性产品或者服务;(四)未经其他市场主体或者消费者同意,将其他市场主体的数据直接进行商业利用;(五)法律、法规规定禁止侵害其他市场主体或者消费者合法权益的其他行为。第六十一条 市场主体不得利用数据分析,对交易条件相同的交易相对人实施差别待遇,但是有下列情形之一的除外:(一)根据交易相对人的实际需求,且符合正当的交易习惯和行业惯例,实行不同交易条件;(三)基于公平、合理、无歧视的规则实施随机性交易;前款所称交易条件相同,是指交易相对人之间在交易安全、交易成本、信用状况、所处交易环节、交易持续时间等方面不存在实质性影响交易的差别。第六十二条 市场主体不得达成垄断协议,不得滥用在数据市场的支配地位、不得实施经营者集中,不得排除、限制数据市场竞争。第六十三条 数据安全管理遵循政府主导、责任主体负责、积极防御、综合防范的原则,坚持安全和发展并重,鼓励研发数据安全技术,保障数据全生命周期安全。市人民政府应当统筹全市数据安全管理工作,建立和完善数据安全协调治理体系。市网信部门具体负责本市数据安全管理工作的统筹、协调。第六十四条 数据处理者应当落实数据安全管理责任,按照数据的级别实施必要的安全管理策略和保障措施,不断提升技术手段,防止数据泄露、毁损、丢失、篡改和非法使用,确保数据安全。数据处理者因合并、分立、收购等方式变更的,由新的数据处理者继续落实数据安全管理责任。第六十五条 处理敏感个人数据或者国家规定的重要数据,应当按照规定设立数据安全管理机构或者明确数据安全管理责任人,并实施特别技术保护。第六十六条 数据处理者应当记录其收集数据的合法来源,保障数据来源清晰、可追溯。第六十七条 数据处理者应当依照相关法律、法规规定以及国家标准的要求,对所收集的个人数据进行去标识化或者匿名化处理,并与可恢复识别的个人数据分开存储。数据处理者应当针对敏感个人数据、国家规定的重要数据制定去标识化或者匿名化处理安全措施,并对数据去标识化或者匿名化处理过程进行记录。第六十八条 数据处理者应当对数据存储进行分域分级管理,选择安全性能、防护级别与其安全等级相匹配的存储载体,对敏感个人数据和国家规定的重要数据还应当进行加密存储、授权访问或者采取其他更加严格的安全保护措施。第六十九条 数据处理者应当对数据处理过程实施数据安全技术防护,并建立重要系统和核心数据的容灾备份制度。第七十条 数据处理者开放、共享数据的,应当建立数据开放、共享安全管理制度,建立和完善对外数据接口的安全管理机制。第七十一条 数据处理者应当建立数据销毁规程,对需要销毁的数据实施有效销毁,并对数据销毁过程的相关操作予以记录。数据处理者终止或者解散,没有数据承接方的,应当及时有效销毁其控制的数据;法律、法规另有规定的除外。第七十二条 数据处理者委托他人代为处理数据的,应当与其订立数据安全保密合同,明确双方安全保护责任和义务。受托方完成处理任务后,应当及时有效销毁其存储的数据,但是法律、法规另有规定或者双方另有约定的除外。第七十三条 数据处理者向境外提供个人数据或者国家规定的重要数据的,应当按照有关规定申请数据出境安全评估。但是,经自然人明示同意,仅为自然人或者其家庭生活目的向境外提供其个人数据的除外。第七十四条 数据处理者应当落实与数据级别相适应的监测预警措施,对数据泄露、毁损、丢失、篡改等异常情况进行监测和预警。监测到可能发生数据泄露、毁损、丢失、篡改等数据安全事件的,数据处理者应当立即采取预防补救措施。第七十五条 数据处理者应当建立应急处置机制,制定数据安全应急预案。数据安全应急预案应当按照数据安全事件的危害程度、影响范围等因素对数据安全事件进行分级,并规定相应的应急处置措施。第七十六条 发生数据泄露、毁损、丢失、篡改等数据安全事件的,数据处理者应当立即启动应急预案,采取相应的应急处置措施,及时告知相关权利人,并按照有关规定向市网信部门和有关行业主管部门报告。第七十七条 市网信部门应当依照有关法律、行政法规以及本条例规定负责统筹协调数据安全和相关监管工作,会同有关部门建立健全数据安全监督机制,组织对数据安全进行监督检查。第七十八条 市公安机关应当加强数据安全风险分析、预测、评估,收集相关信息;发现可能导致较大范围数据泄露、毁损、丢失、篡改等数据安全事件的,应当及时发布预警信息,提出防范应对措施,指导、监督相应主体做好数据安全防范工作。第七十九条 市网信部门以及其他履行数据安全监督职责的部门可以委托第三方机构,按照法律、法规规定和相关标准要求,对数据处理者开展数据安全管理认证以及数据安全评估工作,并对其进行安全等级评定。第八十条 市网信部门以及其他履行数据安全监督职责的部门在履行职责中,发现数据处理者未按照规定落实安全管理责任的,应当按照规定约谈数据处理者,督促其整改。第八十一条 市网信部门以及其他依法履行数据安全监督职责的部门及其工作人员,应当对在履行职责过程中知悉的个人数据、商业秘密和技术秘密严格保密,不得泄露、出售或者非法向他人提供。第八十二条 违规处理个人数据,有下列情形之一的,由市网信部门责令立即改正,没收违法所得,并按照每处理一个自然人的个人数据处以二百元以上一千元以下的罚款:(一)违反本条例第十二条、第十三条、第十四条、第十六条规定,未经自然人或者其监护人同意处理其个人数据的;(二)违反本条例第十五条规定,处理自然人生物识别数据的;(三)违反本条例第十八条规定,自然人撤回同意后继续处理其个人数据的;(四)违反本条例第二十条、第二十一条规定,未履行告知义务的;(五)违反本条例第二十二条规定,向他人提供处理的个人数据的;(六)违反本条例第二十三条、第二十四条规定,对自然人进行用户画像的;(七)违反本条例第二十七条规定,未及时核实并补充、更正个人数据的;(八)违反本条例第二十八条、第二十九条规定,未删除个人数据的;(九)违反本条例第三十条第二款规定,未依法及时处置相关行使权利申请或者相关投诉举报的;(十)违反本条例第五章规定,未对个人数据采取必要安全保护措施的。前款规定的违法行为,有下列情形之一的,依照前款规定的罚款额度从重处罚,并可以给予暂扣许可证件、降低资质等级、吊销许可证件,限制开展生产经营活动、责令停产停业、责令关闭、限制从业等处罚;构成犯罪的,依法追究刑事责任:(一)违法行为造成数据泄露、损毁、丢失、篡改等数据安全事件的;(三)违法行为人为提供基础性互联网平台服务的数据处理者的;第八十三条 违规处理个人数据,有下列情形之一的,由市网信部门责令立即改正,给予警告;拒不改正的,处五万元以上二十万元以下罚款;情节严重的,处二十万元以上一百万元以下罚款:(一)违反本条例第十九条规定,对自然人撤回同意进行不合理限制或者附加不合理条件的;(二)违反本条例第二十六条规定,未及时提供个人数据的查阅方式,或者未按照规定及时、免费提供个人数据的备份的;(三)违反本条例第三十条第一款规定,未建立自然人行使权利申请和投诉举报的受理处理机制的;(四)违反本条例第三十条第一款规定,未采用足以引起注意的特别标识或者其他易获取的方式提供有效的行使权利和投诉举报途径的。第八十四条 公共管理和服务机构有下列情形之一的,由上级主管部门或者有关主管部门责令改正;拒不改正或者造成严重后果的,依法追究法律责任:(二)提供的公共数据不真实、不准确、不完整、不可用的;(三)向自然人、法人或者非法人组织重复收集可以通过数据共享获取的公共数据的;(四)未按照规定编制、更新、报送公共数据资源目录的;第八十五条 违反本条例第五十六条规定交易数据的,由市市场监督管理部门责令立即改正,没收违法所得,交易金额不足一万元的,处五万元以上二十万元以下罚款;交易金额一万元以上的,处二十万元以上一百万元以下罚款;并可以给予暂扣许可证件、降低资质等级、吊销许可证件,限制开展生产经营活动、责令停产停业、责令关闭、限制从业等处罚。第八十六条 违反本条例第六十条、第六十一条规定,侵害其他市场主体或者消费者合法权益,或者对交易条件相同的交易相对人实施差别待遇的,由市市场监督管理部门责令立即改正,没收违法所得,违法所得不足一万元的,并处五万元以上二十万元以下罚款;违法所得一万元以上的,并处二十万元以上一百万元以下罚款;情节严重或者造成严重后果的,由市市场监督管理部门责令立即改正,没收违法所得,处五千万元以下或者上一年度营业额百分之五以下罚款,并可以给予暂扣许可证件、降低资质等级、吊销许可证件,限制开展生产经营活动、责令停产停业、责令关闭、限制从业等处罚。市场主体有不正当竞争行为或者垄断行为的,依照反不正当竞争或者反垄断有关法律、法规的规定处罚。第八十七条 数据处理者违反本条例第五章规定,未落实数据安全保护责任的,依照有关法律、法规处罚。第八十八条 国家机关违反本条例规定,不履行或者不正确履行法定职责的,对直接负责的主管人员和其他直接责任人员依法给予处分;构成犯罪的,依法追究刑事责任。第八十九条 未依照法律、行政法规以及本条例规定落实数据安全保护责任,或者非法处理数据,致使国家利益或者公共利益受到损害的,有关行业组织可以依法提起民事公益诉讼。有关行业组织提起相关民事公益诉讼,人民检察院认为有必要的,可以支持起诉。前款规定的行业组织未提起民事公益诉讼的,人民检察院可以向人民法院提起民事公益诉讼。人民检察院在履行职责中发现负有数据领域监督管理职责的行政机关违法行使职权或者不作为,致使国家利益或者公共利益受到损害的,应当向有关行政机关提出监察建议;行政机关不依法履行职责的,人民检察院可以依法向人民法院提起行政公益诉讼。以下是《深圳经济特区数据条例(征求意见稿)》官方说明按照市人大常委会立法计划工作安排,市人民政府组织起草了《深圳经济特区数据暂行条例(草案)》。该条例已经市六届人大常委会第四十六次会议、市七届人大常委会第一次会议审议。市人大常委会法制工作委员会根据常委会审议意见,对条例进行修改形成了《深圳经济特区数据条例(征求意见稿)》(以下简称《条例(征求意见稿)》),现将有关情况说明如下。(一)是实施大数据战略,落实综合改革实施方案要求的需要党的十九届四中全会作出《关于坚持和完善中国特色社会主义制度推进国家治理体系和治理能力现代化若干重大问题的决定》,中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》等文件,将数据作为新的生产要素上升到基础战略资源地位。2020年10月,中共中央办公厅、国务院办公厅又印发了《深圳建设中国特色社会主义先行示范区综合改革试点实施方案(2020-2025年)》(以下简称《综合改革实施方案》),要求深圳在数据产权制度、数据产权保护和利用新机制、数据隐私保护制度、政府数据开放共享以及数据交易等方面先行探索。为了贯彻中共中央、国务院关于大数据战略的决策部署,落实《综合改革实施方案》有关要求,深圳有必要在数据法律制度构建方面先行先试,充分发挥数据的基础资源作用和创新引擎作用,培育资源配置高效的数据要素市场。(二)是规范个人数据处理活动,强化个人数据保护的需要自然人作为数据的重要来源主体之一,其个人数据已经成为经济社会发展的重要数据资源类型。处理个人数据的技术手段不断更新迭代,相应的个人数据应用也正迅猛发展。但是由于个人数据保护相关法律规范尚不健全,未经同意收集个人数据,超出必要获取用户权限,非法交易个人数据,滥用个人数据等侵权问题屡见不鲜,影响了公民私人生活的安宁,有些甚至严重损害公民名誉和人身、财产安全。深圳探索数据立法,正是要通过法规制度建设,规范个人数据处理活动,强化对个人数据的保护,从而有效遏止个人数据侵权行为,切实维护个人数据主体的合法权益。(三)是推进公共数据资源开放利用,提升政府数据治理能力的需要近年来,深圳以优化营商环境和提升民生服务为突破口,推出了系列公共数据开放共享、开发利用等方面的创新举措,取得了突出成效。然而,公共数据仍呈现出“数据总量规模小、数据质量较差、可利用率不高、用户参与度低”的特点,公共数据的管理规范体系尚未建立,公共数据的共享标准未统一,公共数据的开放不充分等问题亟需解决。有必要通过经济特区立法,在将公共数据相关改革创新经验转化为制度成果的同时,着力解决现有公共数据开放共享的难题瓶颈,提升政府数据治理能力,加快智慧城市和数字政府建设,充分开发利用公共数据资源。深圳作为全球重要的电子信息和数据产业基地,其商贸、金融、物流、通信等数据的生产量处于全国前列,同时汇聚了超过300家大数据企业,基本形成了较为完善的大数据产业链,数据催生下的数字经济新产业、新业态和新模式也正蓬勃发展。但由于现阶段相关法律制度的缺失,深圳的数字经济发展也面临着巨大挑战,如数据交易机制不完善、企业间数据不正当竞争纠纷多发等。亟需通过立法,规范数据市场化行为,推动数据的有序流动和数据产业的健康发展,促进数据要素市场的培育和发展。数据作为生产要素具有高动态性,只有最大范围的流动和汇聚,形成“大数据”,才能体现其作为战略性基础资源的巨大价值,才能推动数字经济发展,助力城市治理体系和治理能力现代化,促进保障和改善民生。与此同时,随着自然人、法人和非法人组织的信息最大程度地数字化,数据的流动也对国家安全、商业竞争以及个人隐私提出新的挑战。如何平衡发展数字经济与保护个人信息、数据开发利用与数据安全之间的关系,是数据立法的最大难点。《条例(征求意见稿)》坚持“保护与发展并重,以保护为基础,以发展为目标,以保护促发展”的基本指导思想,构建数据治理的具体制度,力图在确保数据安全,保护个人数据的基础上,最大程度挖掘、释放数据的经济价值,为我市数字产业、数字经济的发展提供良好的法治环境。虽然目前公众对数据权属问题的认识还不统一,难以在经济特区法规中旗帜鲜明地创设“数据权”这一新的权利类型,但是“个人数据具有人格权属性”已经取得普遍共识,而且过往的一些司法判例也认可了“企业对其投入大量智力劳动成果形成的数据产品和服务具有财产性权益”。基于这一认识,《条例(征求意见稿)》落实《综合改革实施方案》提出“率先完善数据产权制度,探索数据产权保护和利用新机制”的要求,明确规定自然人对其个人数据享有人格权益,自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及本条例规定的财产权益,可以依法自主使用,通过向他人提供获得收益,依法进行处分。(第三条、第五十四条)《条例(征求意见稿)》参考《个人信息保护法(二次审议稿)》以及国家推荐性标准《信息安全技术 个人信息安全规范》(GB/T 35273—2020)等相关规定,确立了处理个人数据的五项基本原则,即合法正当、最小必要、公开透明、准确完整和确保安全原则;同时,为让公众对最小必要原则有更加清晰、确切的认识,《条例(征求意见稿)》进一步明确,“最小必要”即是限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式处理个人数据,并规定了五种符合最小必要原则的具体情形。(第九条)2.构建以“告知——同意”为核心的个人数据处理规则为进一步规范个人数据处理活动,《条例(征求意见稿)》借鉴国际主流数据立法的规定,构建了以“告知——同意”为核心的个人数据处理规则,规定处理个人数据应当在处理前告知数据处理者的基本信息,处理个人数据的种类、范围、目的和方式,存储个人数据的地点和期限,可能存在的安全风险以及采取的安全保护措施,以及自然人依法享有的权利以及行使权利的方式和程序等事项;处理个人数据还应当征得自然人或者其监护人的同意,在其同意的范围内处理其个人数据。《条例(征求意见稿)》又进一步明确该同意应当是自主、明确地表示允许处理其个人数据的意思表示,数据处理者不得通过误导、欺骗、胁迫等违背自然人真实意愿的方式获取同意。(第十二条、第十三条、第二十条、第二十一条)同时,针对自然人撤回同意的情形,《条例(征求意见稿)》规定数据处理者应当提供撤回同意的途径,不得对撤回同意进行不合理限制或者附加不合理条件。自然人撤回同意,数据处理者虽不得继续处理其个人数据,但不影响其在自然人撤回同意前基于同意进行的合法数据处理。(第十八条、第十九条)此外,考虑到处理个人数据场景的多样性,《条例(征求意见稿)》还对同意规则的例外情形作出了例外规定。(第十七条)为加强对敏感个人数据、生物识别数据、未成年人以及其他无民事行为能力或者限制民事行为能力的成年人个人数据的保护,《条例(征求意见稿)》对处理这些个人数据作出了更加严格的规定。一是针对处理敏感个人数据,要求数据处理者应当在处理前征得自然人或者其监护人的明示同意;除履行一般的告知义务外,还应当以更加显著的标识或者突出显示的形式将处理敏感个人数据的必要性以及对其可能产生的影响进行单独告知。(第十四条、第二十条第二款)二是针对处理生物识别数据,要求不仅要遵守处理敏感个人数据的规定,处理的生物识别数据还不能为其他个人数据所替代;数据处理者也应当具备相应的数据安全防护能力。(第十五条)三是针对处理未成年人的个人数据,将未成年的个人数据视作敏感个人数据,适用敏感个人数据的有关规定,且不得对未成年人进行用户画像和个性化推荐。(第十六条第一款、第二十四条第三款)四是针对处理无民事行为能力或者限制民事行为能力的成年人个人数据,要求应当在处理前征得其监护人的明示同意。(第十六条第二款)用户画像和个性化推荐的普遍应用,让我们享受到了更加精准、个性化的商品和服务,但同时也带来了一些负面影响,如“信息茧房”。为规制用户画像和个性化推荐,在促进新兴数据应用技术发展的同时,尽可能的保护个人数据权益,《条例(征求意见稿)》规定,数据处理者可以进行用户画像和个性化推荐,但是应当明示用户画像的规则和用途,并为被画像主体提供拒绝的途径;自然人有权随时拒绝对其进行的用户画像和个性化推荐。(第二十三条第一款,第二十四条第一款、第二款)为形成个人数据权益保护闭环,便于自然人维护自身个人数据权益,《条例(征求意见稿)》根据《个人信息保护法(二次审议稿)》,并借鉴《欧盟个人数据保护法》(GDPR)有关规定,明确赋予自然人对其个人数据享有知情决定权、查阅复制权、补充更正权、删除权。在权利的行使方面,《条例(征求意见稿)》规定,数据处理者应当建立自然人行使权利申请和投诉举报的受理处理机制,提供有效的行使权利和投诉举报的途径,及时受理,并依法采取相应处理措施,拒绝申请事项的,应当说明理由。(第二十五条至第三十条)为加强公共数据统筹管理,构建高质量的公共数据资源体系,《条例(征求意见稿)》从组织架构、基础设施、管理体系、质量要求等方面,着手设计了公共数据治理的顶层框架。一是确立公共数据管理机构;二是建设以城市大数据中心为核心的公共数据基础设施;三是建立公共数据资源管理制度,实行公共数据分类管理、目录管理;四是实行公共数据全面共享,明确公共数据以共享为原则,不共享为例外,不得重复收集可以通过共享方式获得的数据;五是实行公共数据统筹采购,避免公共数据重复采购。六是严格落实公共数据质量管理。(第三十二条至第四十条)为进一步扩大公共数据开放程度,推动公共数据与社会数据融合应用,释放公共数据资源价值,《条例(征求意见稿)》规定公共数据开放遵循分类分级、需求导向、安全可控的原则,在法律、法规允许范围内最大限度开放,不得收取任何费用;并将公共数据按照开放条件分为无条件开放、有条件开放和不予开放三类(第四十二条、第四十三条)。在优化公共数据开放模式,为公众提供便捷、高效、安全获取公共数据的渠道方面,《条例(征求意见稿)》规定在编制公共数据开放清单时应当明确有条件开放的公共数据的开放条件、使用要求及安全保障措施等;同时,还细化了公共数据的开放方式,即由市政务服务数据管理部门依托城市大数据中心建设公共数据开放平台,在该平台中提供数据下载、应用程序接口、安全可信的数据综合开发利用环境等多种开放方式,统一向社会开放公共数据。(第四十四条、第四十五条)数据的价值在于流动,而数据交易是数据流通的基本方式。为规范数据交易秩序,《条例(征求意见稿)》从两个方面探索建立数据交易制度:一是明确数据交易范围。规定可以交易的范围为“合法处理数据形成的数据产品和服务”,并从反面禁止交易“包含个人数据而未经相关权利人同意或者危害国家安全、公共利益的”数据产品和服务。二是提供数据交易配套支持。引导市场主体通过依法设立的数据交易平台进行数据交易,要求数据交易平台建立安全可信、管理可控、可追溯的数据交易环境,制定数据交易、信息披露、自律监管等规则,并采取有效措施保护个人数据、商业秘密和国家规定的重要数据;支持数据价值评估、数据交易技术研发和数据交易模式创新,拓宽数据交易渠道,促进数据资源高效流通。(第五十六条至第五十九条)随着数字经济的发展,企业间的不正当数据竞争日益增多,严重制约了数据市场的健康发展。为建立有序的数据市场竞争规则,保障市场主体和消费者的合法权益,《条例(征求意见稿)》在《反不正当竞争法》现行规定的基础上,总结近年来数据市场不正当竞争司法审判实践,借鉴国务院反垄断委员会印发的《关于平台经济领域的反垄断指南》,确立了数据公平竞争原则,规定市场主体不得以不正当手段收集或者利用其他市场主体的数据,侵害其他市场主体或者消费者的合法权益;不得通过数据分析,无正当理由对交易条件相同的交易相对人实施差别待遇;不得通过达成垄断协议、滥用在数据市场的支配地位、实施经营者集中,排除、限制数据市场竞争。(第六十条至第六十二条)《条例(征求意见稿)》明确市人民政府负责统筹数据安全管理工作、市网信部门负责具体统筹、协调的职责,以及数据处理者的数据安全管理责任。同时,为强化对敏感个人数据和重要数据的保护,《条例(征求意见稿)》对敏感个人数据或者重要数据处理者设置了更加严格的安全管理责任,要求其按照规定设立数据安全管理机构或者明确数据安全管理责任人,并实施特别技术保护。(第六十三条至第六十五条)为保障数据全生命周期安全,《条例(征求意见稿)》要求数据处理者落实在数据收集、加工、存储、开放共享、销毁等阶段的安全保护义务,并做好数据安全事件的监测、预警和应急处置工作。此外,为了促进跨境数据的合法有序流动,《条例(征求意见稿)》在确保数据安全的前提下,建立相对宽松的个人数据跨境流动制度,允许经自然人明示同意仅为个人或家庭事务向境外提供其个人数据。(第六十六条至第七十六条)保障数据安全不仅要压实数据处理者的责任,还应当不断完善数据安全监督机制,加强对数据处理活动的安全监督。因此,《条例(征求意见稿)》明确了数据安全监督部门的职责,通过公安机关开展数据安全预警工作,对数据处理者进行数据安全管理认证和评估,约谈违规数据处理者等措施强化数据安全监督,并强调履行数据安全监督职责的部门及其工作人员必须对在履职过程中知悉的个人数据、商业秘密和技术秘密严格保密,不得泄露、出售或者非法向他人提供。(第七十七条至第八十一条)当前,由于缺乏有效的惩处手段,个人数据侵权行为在商业利益的驱使下屡禁不止。为严厉打击个人数据侵权行为,保护个人数据权益,《条例(征求意见稿)》加大对违规处理个人数据或者处理个人数据未采取必要安全保护措施的行为的处罚力度,规定由市网信部门责令立即改正,没收违法所得,并按照每处理一个自然人的个人数据处以二百元以上一千元以下的罚款。同时,为了避免数据安全事件的发生,体现对未成年人数据和敏感个人数据更加严格的保护,压实提供基础性互联网平台服务的数据处理者的责任,《条例(征求意见稿)》还规定,违法行为造成数据安全事件的,违法行为涉及未成年人数据和敏感个人数据的,或者违法行为人为提供基础性互联网平台服务的数据处理者的,应当从重处罚。而对于一些未对自然人行使数据权益提供途径,或者限制自然人行使数据权益的违法行为,则由市网信部门责令改正,给予警告;拒不改正的,处五万元以上二十万元以下罚款;情节严重的,处二十万元以上一百万元以下罚款。(第八十二条至第八十三条)现实中,数据侵权行为具有高度隐蔽性,受侵害主体往往难以察觉其数据权益被侵犯,即便察觉,由于取证难,出于时间或经济成本的考量,也难以实现有效维权。为缓解当前数据维权艰难的现状,《条例(征求意见稿)》参考2020年9月最高检出台《关于积极稳妥拓展公益诉讼案件范围的指导意见》关于“将个人信息保护作为网络侵害领域公益诉讼的办案重点”的意见,确立了数据领域的公益诉讼制度,规定有关行业组织、人民检察院可以就未落实数据安全保护责任或者非法处理数据致使国家利益或者公共利益受到损害的行为,依法提起民事公益诉讼;人民检察院还可以对违法行使职权或者不作为致使国家利益或者公共利益受到损害的行政机关,提出监察建议或者提起行政公益诉讼。(第八十九条)此外,《条例(征求意见稿)》针对违规交易数据、数据不正当竞争也规定了相应的法律责任。(第八十五条、第八十六条)
(文章来源:深圳商报、数据法盟)
注:来源于互联网内容,版权归作者所有,如有侵权,请联系告知,我们将尽快处理。
