经济参考报|禁止App过度索权 数据安全重典专治隐私泄露

编者按
从大数据杀熟到需求被手机偷听 , 从不全面授权就不让使用的App到被画像的用户……人们苦网络隐私泄露顽疾久矣 。 如何在技术进步与隐私保护当中寻求一个最佳平衡点?如何消除人们的隐私焦虑?当下我国正在紧锣密鼓地构建数据安全、个人信息与隐私保护的法律体系 , 加大不法分子窃取隐私的违法成本 , 个人隐私保护水平有望持续提高 。
 禁止App过度索权 重罚大数据杀熟 数据保护细则将落地
□采访人员 郭倩 北京报道
大数据杀熟最高可罚5000万元;用户有权拒绝被画像和个性化推荐;未满十四周岁未成年人数据视作敏感个人数据……近日《深圳经济特区数据条例》(以下简称《条例》)正式公布 , 《条例》将于明年1月1日起施行 , 内容涵盖了个人信息数据、公共数据、数据市场、数据安全等方面 , 被称为是国内数据领域首部基础性、综合性立法 。
接受《经济参考报》采访人员采访的多位专家表示 , 《条例》在制度设计方面有较多突破 , 《条例》的出台是在数据法律法规层面的先行先试 , 是对《数据安全法》的地方落实及进一步细化 , 对于我国其他地区进行地方性数据立法具有重要借鉴意义 。
强化个人数据保护
明明只是一款音乐App , 却一定要读取地理位置、通讯录 , 否则就不能使用 。 骚扰电话太多了 , 上来就能叫出我的名字 , 有的还能报出身份证号码和家庭住址 。 在移动互联时代 , 个人信息被网络平台泄露和滥用的忧虑不绝于耳 。
针对App过度收集个人信息、强制索要用户授权的问题 , 《条例》确立以告知-同意为前提的个人数据处理规则 , 即处理个人信息应当在事先充分告知的前提下取得个人同意 , 数据处理者应当提供撤回同意的途径 , 不得对撤回同意进行不合理限制或者附加不合理条件 。 在规范用户画像和个性化推荐的应用上 , 《条例》首创性地规定 , 数据处理者基于提升产品或者服务质量的目的 , 对自然人进行用户画像的 , 应当明示用户画像的主要规则和用途;自然人有权拒绝数据处理者对其进行上述用户画像和基于用户画像进行的个性化推荐 , 数据处理者应当为其提供拒绝的途径 。
值得关注的是 , 当前人脸识别指纹验证声音解锁虹膜识别等生物识别技术 , 在治安、金融、医疗、交通、学校、支付等场景被大范围使用 。 为避免生物识别数据的滥用 , 《条例》对处理生物识别数据作出了相较于处理其他数据更加严格的规定 , 要求处理生物识别数据时 , 除该生物识别数据为处理个人数据目的所必需 , 且不能为其他非生物识别数据所替代的情形外 , 应当同时提供处理其他非生物识别数据的替代方案 。
在强化对未成年人个人数据的保护方面 , 《条例》将未满十四周岁未成年人的个人数据视作敏感个人数据 , 首次在国内立法中明确 , 除为了维护未满十四周岁未成年人的合法权益且征得其监护人明示同意外 , 不得向其进行个性化推荐 。
《条例》及时回应了民众关心的App过度索权等问题 , 同时还与欧盟《通用数据保护条例》(GDPR)等国际主流个人数据立法的规定相接轨 。 特别针对未成年人个人数据做出相关规定 , 进一步充实了我国未成年人个人信息网络保护的法律依据 , 也为其他地方性数据安全立法的制定提供了借鉴 。 中国电子信息产业发展研究院网络安全所所长刘权对《经济参考报》采访人员表示 。
促进数据要素市场公平竞争
值得一提的是 , 在确保数据安全、保护个人数据的基础上 , 《条例》还探索培育数据要素市场 , 最大程度激发、释放数据作为生产要素的经济价值 。
《条例》从五个方面探索培育数据要素市场 , 并填补目前数据交易相关法律规范的空白 。 具体包括 , 建立健全数据标准体系 , 推动数据质量评估认证和数据价值评估 , 探索建立数据要素统计核算制度 , 拓宽数据交易渠道 , 明确数据交易范围为合法处理数据形成的数据产品和服务等 。
在填补目前数据交易相关法律规范空白的同时 , 在国内立法中首次确立数据公平竞争有关制度 , 针对数据要素市场搭便车不劳而获大数据杀熟等竞争乱象作出专门规定 。 例如 , 针对数据要素市场大数据杀熟等竞争乱象 , 《条例》明确规定处罚上限设为5000万元 。
哈尔滨工业大学-奇安信数据安全研究院执行院长刘川意对《经济参考报》采访人员表示 , 数据真正能起到新时代的新型生产要素作用 , 需要明确权属和定价两个问题 , 《条例》在这两个方面都给出了可落地、可实施的建设性方案 , 其关键制度性创新在于通过构建两级数据要素市场结构 , 其中一级市场以政府行政机制为主 , 通过管理和运行适度分离 , 解决公共数据权属界定的难题;二级市场以市场竞争机制为主 , 规范数据进场交易 , 解决企业数据交易定价难题 。