5月27日至28日,《深圳经济特区数据条例(草案修改一稿)》(下称《条例(草案修改一稿)》)提请市七届人大常委会第一次会议审议。与一审稿相比,《条例(草案修改一稿)》增设了不少亮点内容:在提出“数据权益”的基础上进一步明确了个人数据的具体属性,新增对用户画像、个性化推荐的规制以及数据公平竞争的规范等。同时规定违规处理个人数据的,将按照每处理一个自然人的个人数据,处以二百元以上一千元以下的罚款。
个人可享数据知情决定权
由于数据自身无形性、可复制性、可共享性等特点,一直以来,关于“数据是谁的”问题备受争议,目前立法上尚难以确定“数据权”问题。“但是‘个人数据具有人格权属性’已经取得普遍共识,过往的一些司法判例也认可了‘企业对其投入大量智力劳动成果形成的数据及其产品和服务具有财产性权益’。”市人大法制委员会相关负责人指出,基于上述认识,《条例(草案修改一稿)》明确规定,自然人对其个人数据享有人格权益,自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及该条例规定的财产权益,可以依法自主使用。
《条例(草案修改一稿)》还明确自然人对其个人数据享有知情决定权、查阅复制权、补充更正权、删除权等权利;在权利的行使方面,规定数据处理者应当建立自然人行使权利申请和投诉举报的受理处理机制。
不得对未成年人进行用户画像
如何平衡数字经济发展与个人数据之间的关系,是此次立法的重点。记者注意到,《条例(草案修改一稿)》对用户画像和个性化推荐进行规制,明确数据处理者可以进行用户画像和个性化推荐,但应当明示用户画像的规则和用途,并采用足以引起注意的特别标识等易获取的方式为被画像主体提供拒绝的途径;自然人有权随时拒绝对其进行的用户画像和个性化推荐。同时,《条例(草案修改一稿)》将未成年个人数据视作敏感个人数据,并规定不得对未成年人进行用户画像以及基于用户画像对未成年人进行个性化推荐。
人脸识别数据不能滥用
《条例(草案修改一稿)》规定,敏感个人数据处理者在处理前应当征得该自然人或者其监护人的明示同意;同时新增规定,人脸识别、指纹解锁、虹膜识别等生物识别数据作为敏感个人数据的一种重要类型,处理生物识别数据不仅要遵守处理敏感个人数据的规定,处理的生物识别数据还不能为其他个人数据所替代;生物识别数据的数据处理者应当具备相应的数据安全防护能力。对于违规处理个人数据或者处理个人数据未采取必要安全保护措施的行为,《条例(草案修改一稿)》规定,按照每处理一个自然人的个人数据处以二百元以上一千元以下的罚款。