提交成功
2021-10-15

《深圳经济特区数据条例》为个人数据保护出了哪些招?

导 语:2021年6月29日深圳市人大常委会通过了《深圳经济特区数据条例》(以下简称《条例》),将于2022年1月1日起实施。引人注目的是,《条例》基于我国《网络安全法》和将于2021年9月1日实施的《数据安全法》,以及正在审议的《个人信息保护法》相关规定和精神,针对个人数据保护可谓“招数尽出”,扩展和延伸了个人数据相关权益,具体和细化了个人数据保护基本原则和保护义务,并对个人数据保护相关制度进行了配套落实。

一、个人数据相关权益的界定与延伸



与《数据安全法》相比,其在立法目的中就把保护自然人、法人和非法人组织的合法权益放到“促进数据开发利用”之前,显示出其对权益保护的重视(第一条)。具体而言,《条例》对个人数据相关权益的特别规定体现以下几个方面。


一是明确规定了“个人数据”概念(第二条)。我国《数据安全法》和《网络安全法》并没有定义“个人数据”,我国《个人信息保护法(草案二审稿)》也只是规定了“个人信息”。根据《条例》,个人数据是指载有可识别特定自然人信息的数据,不包括匿名化处理后的数据。我们认为这里规定的个人数据,其内容与个人信息相当,但是有了个人数据的定义,可以将其纳入数据安全治理体系来规制,还是有一定的意义。


二是《条例》规定了敏感个人数据、生物识别数据、匿名化、用户画像等概念,这是根据实践中存在的各种应用场景中规范相关数据处理活动的需要,对上述处理对象和处理行为作出的规定,可以更加有针对性地保护合法权益。


三是《条例》强调了自然人享有的人格权益(第三条)和处理个人数据应当充分尊重和保障自然人与个人数据相关的各项合法权益(第九条)。


四是《条例》规定数据产品和服务的相关权益。自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及本条例规定的财产权益(第四条)。但是,不得危害国家安全和公共利益,不得损害他人的合法权益。

二、个人数据保护原则和保护义务的明确与细化


《条例》在《数据安全法》和相关法律规定框架下,对基本原则和保护义务进行了明确与细化。


(一)基本原则


我国《数据安全法》第三十二条规定,任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。我国《个人信息保护法(草案二审稿)》第五至第七条分别规定了个人信息处理的基本原则,包括采用合法、正当的方式,具有明确、合理的目的,遵循公开、透明的原则等。《条例》则对这些原则进行了明确和细化。


《条例》对相关基本原则进行了细化,具体体现在以下几个方面。


一是细化了个人数据处理的基本要求(第十条)。规定处理个人数据应当符合下列要求:(一)处理个人数据的目的明确、合理,方式合法、正当;(二)限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式,不得进行与处理目的无关的个人数据处理;(三)依法告知个人数据处理的种类、范围、目的、方式等,并依法征得同意;(四)保证个人数据的准确性和必要的完整性,避免因个人数据不准确、不完整给当事人造成损害;(五)确保个人数据安全,防止个人数据泄露、毁损、丢失、篡改和非法使用。


二是明确了必要最小范围的含义(第十一条),分别从个人数据的种类、范围、数量、存储期限、处理频率、授权访问的控制策略等进行了细化明确。《条例》规定限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式,包括但是不限于下列情形:(一)处理个人数据的种类、范围应当与处理目的有直接关联,不处理该个人数据则处理目的无法实现;(二)处理个人数据的数量应当为实现处理目的所必需的最少数量;(三)处理个人数据的频率应当为实现处理目的所必需的最低频率;(四)个人数据存储期限应当为实现处理目的所必需的最短时间,超出存储期限的,应当对个人数据予以删除或者匿名化,法律、法规另有规定或者经自然人同意的除外;(五)建立最小授权的访问控制策略,使被授权访问个人数据的人员仅能访问完成职责所需的最少个人数据,且仅具备完成职责所需的最少数据处理权限。


三是针对用户画像进行了规定(第二十九条、第三十条)。《条例》规定用户画像应基于提升用户体验,同时用户有权拒绝,并要求原则上不应对未满十四周岁未成年提供个性化产品或服务。数据处理者基于提升产品或者服务质量的目的,对自然人进行用户画像的,应当向其明示用户画像的具体用途和主要规则。自然人可以拒绝数据处理者根据前款规定对其进行用户画像或者基于用户画像推荐个性化产品或者服务,数据处理者应当以易获取的方式向其提供拒绝的有效途径。数据处理者不得基于用户画像向未满十四周岁的未成年人推荐个性化产品或者服务。但是,为了维护其合法权益并征得其监护人明示同意的除外。


(二)处理者相关义务


一是规定了提供个人数据就当去标识化和例外情况(第二十六条、第二十七条)。《条例》规定,数据处理者向他人提供其处理的个人数据,应当对个人数据进行去标识化处理,使得被提供的个人数据在不借助其他数据的情况下无法识别特定自然人。法律、法规规定或者自然人与数据处理者约定应当匿名化的,数据处理者应当依照法律、法规规定或者双方约定进行匿名化处理。


《条例》规定,数据处理者向他人提供其处理的个人数据有下列情形之一的,可以不进行去标识化处理:(一)应公共管理和服务机构依法履行公共管理职责或者提供公共服务的需要且书面要求提供的;(二)基于自然人的同意向他人提供相关个人数据的;(三)为了订立或者履行自然人作为一方当事人的合同所必需的;(四)法律、行政法规规定的其他情形。


二是规定了不得随意拒绝提供核心功能或服务(第十二条)。《条例》规定,数据处理者不得以自然人不同意处理个人数据为由,拒绝向其提供相关核心功能或者服务。但是,该个人数据为提供相关核心功能或者服务所必需的除外。


三是对取得用户同意的各种情况进行了明确细化规定(第十四条、第十五条、第十六条、第十七条、第十八条、第十九条、第二十条)。


《条例》规定了告知的具体内容。处理个人数据应当在处理前以通俗易懂、明确具体、易获取的方式向自然人完整、真实、准确地告知下列事项:(一)数据处理者的姓名或者名称以及联系方式;(二)处理个人数据的种类和范围;(三)处理个人数据的目的和方式;(四)存储个人数据的期限;(五)处理个人数据可能存在的安全风险以及对其个人数据采取的安全保护措施;(六)自然人依法享有的相关权利以及行使权利的方式;(七)法律、法规规定应当告知的其他事项。


《条例》规定应取得自然人的真实意思的同意。《条例》规定,数据处理者不得通过误导、欺骗、胁迫或者其他违背自然人真实意愿的方式获取其同意。


《条例》规定了敏感个人数据处理者取得用户同意的加重义务。处理敏感个人数据的,应当在处理前征得该自然人的明示同意。处理敏感个人数据的,应当依照前款规定,以更加显著的标识或者突出显示的形式告知处理敏感个人数据的必要性以及对自然人可能产生的影响。


《条例》规定了处理生物识别数据应提供替代方案。《条例》规定,处理生物识别数据的,应当在征得该自然人明示同意时,提供处理其他非生物识别数据的替代方案。但是,处理生物识别数据为处理个人数据目的所必需,且不能为其他个人数据所替代的除外。基于特定目的处理生物识别数据的,未经自然人明示同意,不得将该生物识别数据用于其他目的。生物识别数据具体管理办法由市人民政府另行制定。


《条例》规定了未成年人如何取得同意。《条例》规定,处理未满十四周岁的未成年人个人数据的,按照处理敏感个人数据的有关规定执行,并应当在处理前征得其监护人的明示同意。处理无民事行为能力或者限制民事行为能力的成年人个人数据的,应当在处理前征得其监护人的明示同意。


《条例》规定了一些特殊情况。紧急情况下无法事前告知的情形。紧急情况下为了保护自然人的人身、财产安全等重大合法权益,无法依照本条例第十四条规定进行事前告知的,应当在紧急情况消除后及时告知。


《条例》规定了无需告知或无需要征得自然人同意的情形,仅限于有法律、行政法规相关有规定。处理个人数据有下列情形之一的,可以在处理前不征得自然人的同意:(一)处理自然人自行公开或者其他已经合法公开的个人数据,且符合该个人数据公开时的目的;(二)为了订立或者履行自然人作为一方当事人的合同所必需;(三)数据处理者因人力资源管理、商业秘密保护所必需,在合理范围内处理其员工个人数据;(四)公共管理和服务机构为了依法履行公共管理职责或者提供公共服务所必需;(五)新闻单位依法进行新闻报道所必需;(六)法律、行政法规规定的其他情形。


(三)自然人相关权利


《条例》规定了自然人的相关权利,包括复制权、补充更正权、撤回同意权、删除权、举报投诉权等。


一是查阅复制权(第二十八条)。《条例》规定,自然人可以向数据处理者要求查阅、复制其个人数据,数据处理者应当按照有关规定及时提供,并不得收取费用。


二是补充更正权(第二十四条)。《条例》规定,个人数据不准确或者不完整的,数据处理者应当根据自然人的要求及时补充、更正。


三是撤回同意权(第二十二条、第二十三条)。《条例》规定,自然人有权撤回部分或者全部其处理个人数据的同意。自然人撤回同意的,数据处理者不得继续处理该自然人撤回同意范围内的个人数据。但是,不影响数据处理者在自然人撤回同意前基于同意进行的合法数据处理。法律、法规另有规定的,从其规定。处理个人数据应当采用易获取的方式提供自然人撤回其同意的途径,不得利用服务协议或者技术等手段对自然人撤回同意进行不合理限制或者附加不合理条件。


四是删除权(第二十五条)。《条例》规定,有下列情形之一的,数据处理者应当及时删除个人数据:(一)法律、法规规定或者约定的存储期限届满;(二)处理个人数据的目的已经实现或者处理个人数据对于处理目的已经不再必要;(三)自然人撤回同意且要求删除个人数据;(四)数据处理者违反法律、法规规定或者双方约定处理数据,自然人要求删除;(五)法律、法规规定的其他情形。有前款第一项、第二项规定情形,但是法律、法规另有规定或者经自然人同意的,数据处理者可以保留相关个人数据。数据处理者根据本条第一款规定删除个人数据的,可以留存告知和同意的证据,但是不得超过其履行法定义务或者处理纠纷需要的必要限度。


五是投诉举报权(第三十一条)。《条例》规定,数据处理者应当建立自然人行使相关权利和投诉举报的处理机制,并以易获取的方式提供有效途径。数据处理者收到行使权利要求或者投诉举报的,应当及时受理,并依法采取相应处理措施;拒绝要求事项或者投诉的,应当说明理由。 

三、个人数据保护基本制度的配套与落实


《条例》针对个人数据保护工作机制、重要数据目录以及敏感个人数据保护等相关配套制度进行了配套落实。


一是建立个人数据保护监督管理联合工作机制(第十三条)。《条例》规定,市网信部门应当会同市工业和信息化、公安、市场监管等部门以及相关行业主管部门建立健全个人数据保护监督管理联合工作机制,加强对个人数据保护和相关监督管理工作的统筹和指导;建立个人数据保护投诉举报处理机制,依法处理相关投诉举报。


二是要求相关部门行业制定重要数据目录,并明确对个人数据和重要数据进行出境审查(第七十四条、第八十二条)。《条例》规定,市网信部门应当统筹协调相关主管部门和行业主管部门按照国家数据分类分级保护制度制定本部门、本行业的重要数据具体目录,对列入目录的数据进行重点保护。《条例》还规定个人数据和重要数据出境应进行国家安全审查,即数据处理者向境外提供个人数据或者国家规定的重要数据,应当按照有关规定申请数据出境安全评估,进行国家安全审查。


三是规定了处理敏感个人数据的相关制度(第七十三条、第七十六条、第八十四条)。首先是落实相关责任制。处理敏感个人数据或者国家规定的重要数据的,应当按照有关规定设立数据安全管理机构、明确数据安全管理责任人,并实施特别技术保护。其次是进行匿名化处理。数据处理者应当依照法律、法规规定以及国家标准的要求,对所收集的个人数据进行去标识化或者匿名化处理,并与可用于恢复识别特定自然人的数据分开存储。数据处理者应当针对敏感个人数据、国家规定的重要数据制定并实施去标识化或者匿名化处理等安全措施。再次是需要定期开展风险评估。处理敏感个人数据或者国家规定的重要数据,应当按照有关规定定期开展风险评估,并向有关主管部门报送风险评估报告。

文章分享
相关文章推荐