当你下载安装软件时,如果不同意授权协议就不能使用,深圳将立法对此类APP霸王条款说“不”!6月29日,《深圳经济特区数据条例》(下称《条例》)获市七届人大常委会第二次会议通过,拟自2022年1月1日起实施。针对上述现象,《条例》规定数据处理者不得以自然人不同意处理其个人数据为由,拒绝向其提供相关核心功能或者服务。
率先提出“数据权益”
大数据作为新的生产要素,已经上升到基础战略资源地位。数据在赋能行业发展的同时,也引发了人们对个人隐私泄漏、数据安全问题的担忧,亟需通过立法对数据确权、数据保护等予以规范。
据了解,《条例》内容涵盖了个人数据、公共数据、数据要素市场、数据安全等方面,是国内数据领域首部基础性、综合性立法。
其中,数据确权问题一直颇受争议。虽然目前公众对数据权属问题的认识还不统一,难以通过地方性法规创设“数据权”这一新的权利类型,但是“个人数据具有人格权属性”已经取得普遍共识,过往的一些司法判例也认可了“企业对其投入大量智力劳动成果形成的数据产品和服务具有财产性权益”。
基于这一认识,《条例》率先在立法中提出“数据权益”,明确自然人对个人数据依法享有人格权益,包括知情同意、补充更正、删除、查阅复制等权益;自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及本条例规定的财产权益,可以依法自主使用。
确立处理个人数据“最小必要”原则
如何平衡发展数字经济与保护个人信息、数据开发利用与数据安全之间的关系,是此次立法最大的难点。对此,《条例》多项制度设计强化了个人数据的保护。例如,明确处理个人数据的基本原则,即目的明确合理、方式合法正当、最小必要、知情同意、准确完整和确保安全。
针对公众普遍关注的“最小必要”原则的具体内涵,《条例》进一步明确,即限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式处理个人数据,并列举了五种符合“最小必要”原则的具体情形。
《条例》还规定,处理个人数据具有告知义务,应当在处理前向自然人告知数据处理者的基本信息。同时,处理个人数据应当征得自然人的同意,在其同意的范围内处理其个人数据,不得通过误导、欺骗、胁迫等违背自然人真实意愿的方式获取同意。
APP不得“任性”拒绝向用户提供服务
当在手机上下载安装APP时,一般需要先阅读《用户服务协议》和《隐私政策》,并选择“同意”和“已阅读全部条款”,才能使用该APP及其服务;如果选择“不同意”,将无法使用。
“一些APP通过‘一揽子协议’将收集个人数据与其功能或服务进行捆绑,用户不同意其收集个人数据,就无法使用该APP。为了使用该APP,用户往往被迫接受‘一揽子协议’,这严重损害了用户作为个人数据主体的决定权。”有市人大常委会组成人员提出。
对此,《条例》规定,“数据处理者不得以自然人不同意处理其个人数据为由,拒绝向其提供相关核心功能或者服务。但是,该个人数据为提供相关核心功能或者服务所必需的除外。”
大数据“杀熟”最高可罚5000万元
同样的送餐时间、送餐地点,平台会员所需的配送费却比非会员还要高;同样叫车,起始点和距离一样,不同用户价格却显示不一样……这种被大数据“算计”的“大数据杀熟”现象在交通、餐饮行业时有发生。
据了解,“大数据杀熟”就是利用大数据技术,在行为数据和消费者身份信息分析基础上,通过人工智能、个性化展示和消费能力预测,对最终末端市场进行价格差异化对待,在经济学语境下,又被形象地称为价格歧视。
对此,《条例》创新性规定市场主体不得以非法手段获取其他市场主体的数据,或者利用非法收集的其他市场主体数据提供替代性产品或者服务,侵害其他市场主体的合法权益;不得通过数据分析,无正当理由对交易条件相同的交易相对人实施差别待遇。违法者情节严重的,处上一年度营业额5%以下罚款,最高不超过5000万元。
自然人有权拒绝个性化推荐
“前不久刚和朋友聊天说要买粉底液,转眼就有APP推荐各种品牌的粉底液和彩妆了。”市民黄女士告诉记者,身边不少朋友都有过类似经历,有时自己在网上搜索一款商品,很快会在一些APP上收到相关广告推送,仿佛被“偷听”和“围观”了。
用户画像和个性化推荐的应用,为人们提供了更加精准、个性化的商品和服务,同时也带来了“信息茧房”、个人隐私泄漏等负面影响。
对此,《条例》规定,数据处理者可以进行用户画像和个性化推荐,但是应当明示用户画像的主要规则和用途;自然人有权拒绝对其进行的用户画像和个性化推荐,数据处理者应当为其提供拒绝的途径。
《条例》还首次明确,除为了维护未满十四周岁未成年人的合法权益且征得其监护人明示同意外,不得向其进行个性化推荐。
“人脸识别”数据不可滥用
“人脸识别”“指纹验证”“声音解锁”“虹膜识别”等生物识别技术,在改变人们生产生活方式的同时,易引起个人数据的泄漏或被滥用。
为了在拓展生物识别技术应用的同时,避免生物识别数据滥用,《条例》对处理生物识别数据作出了较处理其他数据更加严格的规定,要求处理生物识别数据时,除该生物识别数据为处理个人数据目的所必需,且不能为其他非生物识别数据所替代的情形外,应当同时提供处理其他非生物识别数据的替代方案。