长期以来,一些APP过度收集个人信息、强制索要用户授权令人深恶痛绝。
就在今天,深圳市终于对这类APP下狠手!
7月6日,《深圳经济特区数据条例》在深圳市人大常委会网站公布,并将于明年1月1日起实施,这是国内数据领域首部基础性、综合性立法。《条例》坚持个人信息保护与促进数字经济发展并重,对市民深恶痛绝的APP“不全面授权就不让用”、大数据“杀熟”、个人信息收集任性、强制个性化广告推荐等问题说“不”,并给予重罚。
深圳:禁止APP“不全面授权就不让用”
据悉,《深圳经济特区数据条例》经深圳市第七届人民代表大会常务委员会第二次会议于2021年6月29日通过,自2022年1月1日起施行。
7月5日下午,市人大常委会召开法规解读会,对该条例进行解读。
我国互联网用户量已达9亿,应用程序数量数百万个。长期以来,一些APP过度收集个人信息、强制索要用户授权令人深恶痛绝。针对这一问题,《条例》确立以“告知-同意”为前提的个人数据处理规则,即处理个人信息应当在事先充分告知的前提下取得个人同意,数据处理者应当提供撤回同意的途径,不得对撤回同意进行不合理限制或者附加不合理条件。
当前,一些移动互联网应用程序(APP)通过“一揽子协议”将收集个人数据与其功能或服务进行捆绑,用户不同意全面授权,就无法使用该APP。不少用户往往被迫接受“一揽子协议”,这严重损害了用户作为个人数据主体的决定权。为此,《条例》专门规定,数据处理者不得以自然人不同意处理其个人数据为由,拒绝向其提供相关核心功能或者服务。但是,该个人数据为提供相关核心功能或者服务所必需的除外。
《条例》称,有下列情形之一的,数据处理者应当及时删除个人数据:
(一)法律、法规规定或者约定的存储期限届满;
(二)处理个人数据的目的已经实现或者处理个人数据对于处理目的已经不再必要;
(三)自然人撤回同意且要求删除个人数据;
(四)数据处理者违反法律、法规规定或者双方约定处理数据,自然人要求删除;
(五)法律、法规规定的其他情形。
此规定公布后,相关话题立即登上微博热搜:
网友纷纷表示:大快人心,建议全国推广!
不得向未满14周岁未成年人
进行个性化推荐
“刚和朋友聊天提到生孩子,转眼就有APP推荐各种品牌的母婴用品。”正在怀孕期的李女士认为自己的生活正在被“窃听”。而此类案例并不鲜见,不少人都经历过搜索某个商品,随后在一些APP上便可收到相关推送的情况。
这就是大数据时代,所谓的为“用户画像和个性化推荐”功能,尽管这一定程度上提供了更加精准、个性化的商品和服务,但同时也带来了如“信息茧房”等负面影响。
对此,《条例》首创性地规定,允许数据处理者基于提升产品或者服务质量的目的,对自然人进行用户画像,但应明示主要规则和用途。同时,自然人有权拒绝对其进行用户画像和基于此的个性化推荐,数据处理者应为其提供拒绝的途径。
为加强对未成年人个人数据的保护,《条例》不仅将未满14周岁未成年的个人数据视作敏感个人数据,还首次在国内立法中明确,除征得这类人群监护人明示同意外,不得向其进行个性化推荐。
“人脸识别”不能强制使用
“人脸识别”“指纹验证”“声音解锁”“虹膜识别”等生物识别技术在治安、金融、医疗、交通、学校、支付等场景大范围使用,深刻改变了人们的生产生活方式。但是由于生物识别数据具有唯一性、终身性、不可更改性,一旦泄露或者被滥用,将造成较一般个人数据更为严重的损害后果。
为了在拓展生物识别技术应用的同时,避免生物识别数据的滥用,《条例》对处理生物识别数据作出更严格的规定——除了该生物识别数据为处理个人数据目的所必需且不能替代外,应当同时提供处理其他非生物识别数据的替代方案。
大数据“杀熟”,最高可罚5000万元
同一时间,且相同起、终点,新老两位用户通过同一APP叫车,却显示出不同价格,且老用户更贵。这就是近年来,网络购物、交通餐饮等多个平台均被曝光的“杀熟”情况。
对此,《条例》在国内立法中首次确立数据公平竞争有关制度,针对数据要素市场“搭便车”“不劳而获”“大数据杀熟”等竞争乱象,创新性规定市场主体不得以非法手段获取其他市场主体的数据,或者利用非法收集的其他市场主体数据提供替代性产品或者服务,侵害其他市场主体的合法权益;不得利用数据分析,无正当理由对交易条件相同的交易相对人实施差别待遇;不得通过达成垄断协议、滥用在数据要素市场的支配地位、违法实施经营者集中,排除、限制数据要素市场竞争。
对数据不正当竞争行为,《条例》规定了相应的法律责任。违法者情节严重的,将处上一年度营业额5%以下罚款,最高不超过5000万元。
全国多地数据立法进行中
近年来,数据要素越来越成为我国经济增长重要力量,天津、贵州、安徽等多地都将数据立法落地或提上日程。这些立法对于个人信息保护、数据权益、数据垄断等备受社会关注的问题,也进行了相关立法探索。
今年5月末,上海召开了数据立法研讨会,聚焦《上海市数据条例(暂定名)》。此前,天津、贵州、安徽等地的政府大数据或公共数据相关立法先后发布,山东、黑龙江、北京等地也处于征求意见或启动立法阶段。
在这些相关立法中,同样对个人信息保护做出要求。如5月1日起实施的《安徽省大数据发展条例》规定,开展涉及个人信息的数据活动,应当遵守法律、法规,遵循合法、正当、必要原则,不得窃取或者以其他方式非法获取个人信息,不得泄露或者篡改其收集的个人信息,不得过度处理;未经被收集者同意,除经过处理无法识别特定个人且不能复原的以外,不得向他人非法提供其个人信息。
据悉,《上海市数据条例(暂定名)》草案已经形成,它在不触碰数据权属的前提下,依据现行《民法典》和正在审议中的《个人信息保护法》有关立法内容和精神,从确认各方主体可以对数据行使哪些权利的角度,对数据主体和数据处理者的“数据权益”作出了明确规定,明确市场主体在不违反法律、行政法规禁止性规定以及与被收集人约定的情况下,对自身产生和依法收集的数据,以及开发形成的数据产品和服务,有权进行管理、收益和转让,解决权益不清带来的数据流通不畅、利用不足的问题。
《天津市促进大数据发展应用条例》和《安徽省大数据发展条例》在此前先后落地,其中均提及采取安全保护技术措施、制定数据安全应急预案等。
例如,《安徽省大数据发展条例》强调了数据安全责任制的实行,按照“谁所有谁负责、谁持有谁负责、谁管理谁负责、谁使用谁负责、谁采集谁负责”的原则确定数据安全责任。如果数据基于复制、流通、交换等同时存在多个安全责任人的,则分别承担各自安全责任。
来源丨公开信息、21世纪经济报道、南方日报、深圳特区报、本地宝
本文首发于微信公众号:21世纪经济报道。文章内容属作者个人观点,不代表和讯网立场。投资者据此操作,风险请自担。
(马金露 HF120)