2021-06-28 07:17:42
投融资简报
科技电信 | 深圳市人大常务委员会办公厅发布《深圳经济特区数据条例(征求意见稿)》
2021-06-28 07:17:42

2021年5月31日深圳市人大常务委员会办公厅发布《深圳经济特区数据条例(征求意见稿)》,主要内容如下:

(a)数据交易被纳入数据处理范畴

二稿第二条新增(与一稿对比,下同)了“数据处理”的定义,首次规定“数据处理”包含“数据交易”,并未直接引用相关上位法的规定。我们认为,二稿做出该规定是落实国家相关政策法规(如《实施方案》要求深圳在数据交易方面先行探索、数安法二审稿规定“培育数据交易市场”等),也是充分发挥深圳“双区”驱动优势,加快推进数据交易、释放数据资源价值、促进数字经济发展的重要举措。

  (b)推荐性国标被赋予法律约束力

二稿中多处参考援引了《个人信息安全规范》相关条款,同时第六十七条中规定“数据处理者应当依照相关法律、法规规定以及国家标准的要求,……”,可见,推荐性国家标准《个人信息安全规范》的部分条款被赋予了法律约束力。

(c)强调生物识别数据的保护

二稿第八条新增了“生物识别数据”的定义,同时第十五条特别强调了处理生物识别数据的必要性原则,若处理生物识别数据非为实现处理目的所必需或者可为其他个人数据所替代,则数据处理者就不应当处理生物识别数据。由于生物识别数据的高度敏感性,此前《广东省社会信用条例》已明确要求有关主体在采集市场信用信息时禁止采集自然人基因、指纹等生物识别信息,二稿亦呼应了国家重视生物识别数据保护的要求。

(d)加强未成年人个人数据保护

二稿第十六条新增了未成年人个人数据的特殊保护要求,同时第二十四条明确禁止使用未成年人用户画像。此前,相关上位法及《儿童个人信息网络保护规定》仅强调对不满十四周岁未成年人个人数据的特殊保护,但是二稿未限定在不满十四周岁的未成年人,一方面将未成年人个人数据均视为敏感个人数据,要求依法予以特别保护;另一方面,提出了禁止使用未成年人用户画像的要求。

(e)完善撤回同意规则

二稿第十八条新增了“撤回部分同意”的规定,此前相关上位法仅规定了“撤回同意”,未明确“撤回部分同意”。从个人数据处理的不同环节来分析,撤回同意包括撤回收集、存储、加工、使用、提供、开放、交易等同意,当自然人仅撤回部分同意(如交易的同意)时,数据处理者仍可基于自然人对其他环节的同意而进行相应的个人数据处理。

因此,撤回同意并不当然产生删除个人数据的法律后果,在自然人撤回某个环节的同意时并不影响数据处理者进行其他环节相应的个人数据处理,数据处理者不一定需要删除个人数据。即使自然人撤回全部同意,基于相关上位法及二稿规定的撤回同意不具有溯及力原则,撤回同意前基于同意的个人数据处理不受影响,数据处理者也不一定需要删除个人数据。

(f)要求明示用户画像的规则和用途

二稿第二十四条新增“明示用户画像的规则和用途”的要求,与个保法二审稿第二十五条关于自动化决策的规定基本一致,即强调规则的透明性。在实践中,自然人不易知悉数据处理者对其用户画像的使用情况以及用户画像设计的逻辑规则、背后所蕴含的复杂技术等,也难以直观感受到对其个人权益带来的潜在影响。因此,二稿对待使用用户画像问题十分审慎,与第一条规定的“保护自然人的数据权益”立法目的相契合。 

明确政企数据流通规则

二稿第四十条新增了“政府采购外部数据”的规定,公共管理和服务机构可以通过政府采购方式合法获取外部数据。

此前,《国务院办公厅关于促进平台经济规范健康发展的指导意见》提出了“畅通政企数据双向流通机制”要求,在政务数据向企业流通方面,目前公共数据资源共享相关政策法规在逐渐完善,各地公共数据资源目录、公共数据资源共享平台在逐步建立;但是,在企业数据向政府流通方面,因数据产权制度不完善,政府如何合法获取企业数据仍处于模糊地带。二稿明确了企业数据向政府流通的规则,为政府获取企业数据提供了合法性基础。

强调禁止差别性待遇

二稿第六十一条新增了“禁止差别性待遇”的规定,并且明确了四种例外情形以及“交易条件相同”的含义。该条款从算法结果控制的角度强调对自然人数据权益的保障,也是对实践中大数据杀熟、算法歧视等热点问题的回应,亦与个保法二审稿第二十五条关于自动化决策的规定基本一致,即强调结果的公平、合理。

同时,二稿第八十六条中规定违反上述“禁止差别性待遇”规定的,最高可被处五千万元以下或者上一年度营业额百分之五以下罚款。虽然二稿规定的“禁止差别性待遇”存在四种例外情形,但是建议相关企业谨慎评估、适用,避免承担高额罚款风险。

(i)对法律责任规定进行了大幅调整

二稿第八十二条、第八十三条、第八十五条、第八十六条、第八十七条、第八十九条为新增条款,对一稿的法律责任章节进行了大幅调整,并且删除了一稿中的“容错机制”。二稿主要调整的部分体现在:

1. 从具体的违规处理个人数据行为角度,强调不同违规处理个人数据行为对应的具体法律责任,并首次提出按照所处理个人数据的人数作为处罚标准;

2. 对市场主体应当遵循公平竞争原则、禁止实施差别待遇以及禁止开展垄断行为等方面提出合规要求,并规定相应的法律责任。该部分条款从反不正当竞争、消费者权益保护、反垄断等方面对一稿的相关内容进行了补充,极大地丰富了二稿的内涵;

3. 明确了不同监管部门(包括市网信部门、市市场监督管理部门等)的职责分工,有利于促进相关监管部门之间形成合力,加大对违规处理数据行为的执法力度,全力保障相关主体的数据权益。

(j)新增行政公益诉讼制度

二稿第八十九条新增了行政公益诉讼制度,针对数据领域的相关监管部门违法行使职权或者不作为,检察院可以依法提起行政公益诉讼。2020年12月29日最高人民法院、最高人民检察院发布的《关于检察公益诉讼案件适用法律若干问题的解释》中并未直接提及针对数据领域的行政公益诉讼问题,二稿在数据领域新增行政公益诉讼制度,我们认为,一定程度上能够督促相关监管部门在数据领域严格执法,使相关主体的数据权益切实得到保障,数据泄露问题可能会得到进一步遏制。

【《简评<深圳经济特区数据条例(征求意见稿)>》(王艺 赵艳明 莫愁北京植德律师事务所)】