個人資料保護有新規,《深圳經濟特區資料條例》釋放了哪些訊號?

買賣虛擬貨幣
2021年6月29日深圳市人大常委會透過
了《深圳經濟特區資料條例》(以下簡稱《條例》),將於2022年1月1日起實施。引人注目的是,《條例》基於我國《網路安全法》和將於2021年9月1日實施的《資料安全法》,以及正在審議的《個人資訊保護法》相關規定和精神,針對個人資料保護可謂“招數盡出”,擴充套件和延伸了個人資料相關權益,具體和細化了個人資料保護基本原則和保護義務,並對個人資料保護相關制度進行了配套落實。

一、
個人資料相關權益的界定與延伸


與《資料安全法》相比,其在立法目的中就把保護自然人、法人和非法人組織的合法權益放到“促進資料開發利用”之前,顯示出其對權益保護的重視(第一條)。具體而言,《條例》對個人資料相關權益的特別規定體現以下幾個方面。
一是明確規定了“個人資料”概念(第二條)。我國《資料安全法》和《網路安全法》並沒有定義“個人資料”,我國《個人資訊保護法(草案二審稿)》也只是規定了“個人資訊”。根據《條例》,
個人資料是指載有可識別特定自然人資訊的資料,不包括匿名化處理後的資料。
我們認為這裡規定的個人資料,其內容與個人資訊相當,但是有了個人資料的定義,可以將其納入資料安全治理體系來規制,還是有一定的意義。
二是《條例》規定了敏感個人資料、生物識別資料、匿名化、使用者畫像等概念,這是根據實踐中存在的各種應用場景中規範相關資料處理活動的需要,對上述處理物件和處理行為作出的規定,可以更加有針對性地保護合法權益。
三是

條例

強調了
自然人
享有的
人格權益

第三條


處理個人資料應當充分尊重和保障自然人與個人資料相關的各項合法權益

第九條
)。
四是《條例》規定資料產品和服務的相關權益。
自然人、法人和非法人組織對其合法處理資料形成的資料產品和服務享有法律、行政法規及本條例規定的財產權益

第四條

。但是,不得危害國家安全和公共利益,不得損害他人的合法權益。

二、
個人資料保護原則和保護義務的明確與細化


《條例》在《資料安全法》和相關法律規定框架下,對基本原則和保護義務進行了明確與細化。


(一)
基本原則


我國《資料安全法》第三十二條規定,任何組織、個人收集資料,應當採取合法、正當的方式,不得竊取或者以其他非法方式獲取資料。我國《個人資訊保護法(草案二審稿)》第五至第七條分別規定了個人資訊處理的基本原則,包括採用合法、正當的方式,具有明確、合理的目的,遵循公開、透明的原則等。《條例》則對這些原則進行了明確和細化。
《條例》對相關基本原則進行了細化,具體體現在以下幾個方面。
一是細化了個人資料處理的基本要求(第十條)
。規定處理個人資料應當符合下列要求:(一)處理個人資料的目的明確、合理,方式合法、正當;(二)限於實現處理目的所必要的最小範圍、採取對個人權益影響最小的方式,不得進行與處理目的無關的個人資料處理;(三)依法告知個人資料處理的種類、範圍、目的、方式等,並依法徵得同意;(四)保證個人資料的準確性和必要的完整性,避免因個人資料不準確、不完整給當事人造成損害;(五)確保個人資料安全,防止個人資料洩露、毀損、丟失、篡改和非法使用。
二是明確了必要最小範圍的含義(第十一條),分別從個人資料的種類、範圍、數量、儲存期限、處理頻率、授權訪問的控制策略等進行了細化明確。《條例》規定,
限於實現處理目的所必要的最小範圍、採取對個人權益影響最小的方式,包括但是不限於下列情形:(一)處理個人資料的
種類、範圍
應當與處理目的有直接關聯,不處理該個人資料則處理目的無法實現;(二)處理個人資料的
數量
應當為實現處理目的所必需的最少數量;(三)處理個人資料的
頻率
應當為實現處理目的所必需的最低頻率;(四)個人資料
儲存期限
應當為實現處理目的所必需的最短時間,超出儲存期限的,應當對個人資料予以刪除或者匿名化,法律、法規另有規定或者經自然人同意的除外;(五)建立
最小授權的訪問控制策略
,使被授權訪問個人資料的人員僅能訪問完成職責所需的最少個人資料,且僅具備完成職責所需的最少資料處理許可權。
三是針對使用者畫像進行了規定(第二十九條、第三十條)。《條例》規定使用者畫像應基於提升使用者體驗,同時使用者有權拒絕,並要求原則上不應對未滿十四周歲未成年提供個性化產品或服務。
資料處理者基於提升產品或者服務質量的目的,對自然人進行使用者畫像的,應當向其明示使用者畫像的具體用途和主要規則。自然人可以拒絕資料處理者根據前款規定對其進行使用者畫像或者基於使用者畫像推薦個性化產品或者服務,資料處理者應當以易獲取的方式向其提供拒絕的有效途徑。資料處理者不得基於使用者畫像向未滿十四周歲的未成年人推薦個性化產品或者服務。但是,為了維護其合法權益並徵得其監護人明示同意的除外。


(二)
處理者相關義務


一是規定了提供個人資料就當去標識化和例外情況(第二十六條、第二十七條)。
《條例》規定,
資料處理者向他人提供其處理的個人資料,應當對個人資料進行去標識化處理,使得被提供的個人資料在不借助其他資料的情況下無法識別特定自然人。法律、法規規定或者自然人與資料處理者約定應當匿名化的,資料處理者應當依照法律、法規規定或者雙方約定進行匿名化處理。

條例

規定,
資料處理者向他人提供其處理的個人資料有下列情形之一的,可以不進行去標識化處理:(一)應公共管理和服務機構依法履行公共管理職責或者提供公共服務的需要且書面要求提供的;(二)基於自然人的同意向他人提供相關個人資料的;(三)為了訂立或者履行自然人作為一方當事人的合同所必需的;(四)法律、行政法規規定的其他情形。
二是規定了不得隨意拒絕提供核心功能或服務(第十二條)
。《條例》規定,
資料處理者不得以自然人不同意處理個人資料為由,拒絕向其提供相關核心功能或者服務。但是,該個人資料為提供相關核心功能或者服務所必需的除外。
三是對取得使用者同意的各種情況進行了明確細化規定(第十四條、第十五條、第十六條、第十七條、第十八條、第十九條、第二十條)。

條例

規定了告知的具體內容。
處理個人資料應當在處理前以通俗易懂、明確具體、易獲取的方式向自然人完整、真實、準確地告知下列事項:(一)資料處理者的姓名或者名稱以及聯絡方式;(二)處理個人資料的種類和範圍;(三)處理個人資料的目的和方式;(四)儲存個人資料的期限;(五)處理個人資料可能存在的安全風險以及對其個人資料採取的安全保護措施;(六)自然人依法享有的相關權利以及行使權利的方式;(七)法律、法規規定應當告知的其他事項。

條例

規定應取得自然人的真實意思的同意。
《條例》規定,

據處理者不得透過誤導、欺騙、脅迫或者其他違背自然人真實意願的方式獲取其同意。

條例

規定了敏感個人資料處理者取得使用者同意的加重義務。
處理敏感個人資料的,應當在處理前徵得該自然人的明示同意

處理敏感個人資料的,應當依照前款規定,以更加顯著的標識或者突出顯示的形式告知處理敏感個人資料的必要性以及對自然人可能產生的影響。

條例

規定了處理生物識別資料應提供替代方案。
《條例》規定,
處理生物識別資料的,應當在徵得該自然人明示同意時,提供處理其他非生物識別資料的替代方案。但是,處理生物識別資料為處理個人資料目的所必需,且不能為其他個人資料所替代的除外。基於特定目的處理生物識別資料的,未經自然人明示同意,不得將該生物識別資料用於其他目的。生物識別資料具體管理辦法由市人民政府另行制定。

條例

規定了未成年人如何取得同意。
《條例》規定,

理未滿十四周歲的未成年人個人資料的,按照處理敏感個人資料的有關規定執行,並應當在處理前徵得其監護人的明示同意。處理無民事行為能力或者限制民事行為能力的成年人個人資料的,應當在處理前徵得其監護人的明示同意。

條例

規定了一些特殊情況。
緊急情況下無法事前告知的情形。緊急情況下為了
保護自然人的人身、財產安全等重大合法權益
無法依照本條例第十四條規定進行事前告知的,應當在緊急情況消除後及時告知。

條例

規定了無需告知或無需要徵得自然人同意的情形,
僅限於有法律、行政法規相關有規定。處理個人資料有下列情形之一的,可以在處理前不徵得自然人的同意:(一)處理自然人自行公開或者其他已經合法公開的個人資料,且符合該個人資料公開時的目的;(二)為了訂立或者履行自然人作為一方當事人的合同所必需;(三)資料處理者因人力資源管理、商業秘密保護所必需,在合理範圍內處理其員工個人資料;(四)公共管理和服務機構為了依法履行公共管理職責或者提供公共服務所必需;(五)新聞單位依法進行新聞報道所必需;(六)法律、行政法規規定的其他情形。


(三)自然人
相關權利



條例

規定了自然人的相關權利,包括複製權、補充更正權、撤回同意權、刪除權、舉報投訴權等。
一是查閱複製權(第二十八條)。
《條例》規定,
自然人可以向資料處理者要求查閱、複製其個人資料,資料處理者應當按照有關規定及時提供,並不得收取費用。
二是補充更正權(第二十四條)。
《條例》規定,
個人資料不準確或者不完整的,資料處理者應當根據自然人的要求及時補充、更正。
三是撤回同意權(
第二十二條

第二十三條
)。

條例

規定,

然人有權撤回部分或者全部其處理個人資料的同意。自然人撤回同意的,資料處理者不得繼續處理該自然人撤回同意範圍內的個人資料。但是,不影響資料處理者在自然人撤回同意前基於同意進行的合法資料處理。法律、法規另有規定的,從其規定。處理個人資料應當採用易獲取的方式提供自然人撤回其同意的途徑,不得利用服務協議或者技術等手段對自然人撤回同意進行不合理限制或者附加不合理條件。
四是刪除權(第二十五條)。
《條例》規定,
有下列情形之一的,資料處理者應當及時刪除個人資料:(一)法律、法規規定或者約定的儲存期限屆滿;(二)處理個人資料的目的已經實現或者處理個人資料對於處理目的已經不再必要

(三)自然人撤回同意且要求刪除個人資料;(四)資料處理者違反法律、法規規定或者雙方約定處理資料,自然人要求刪除;(五)法律、法規規定的其他情形。有前款第一項、第二項規定情形,但是法律、法規另有規定或者經自然人同意的,資料處理者可以保留相關個人資料。資料處理者根據本條第一款規定刪除個人資料的,可以留存告知和同意的證據,但是不得超過其履行法定義務或者處理糾紛需要的必要限度。
五是投訴舉報權(第三十一條)。
《條例》規定,
資料處理者應當建立自然人行使相關權利和投訴舉報的處理機制,並以易獲取的方式提供有效途徑。資料處理者收到行使權利要求或者投訴舉報的,應當及時受理,並依法採取相應處理措施;拒絕要求事項或者投訴的,應當說明理由。

三、
個人資料保護基本制度的配套與落實


《條例》針對個人資料保護工作機制、重要資料目錄以及敏感個人資料保護等相關配套制度進行了配套落實。
一是建立個人資料保護監督管理聯合工作機制(第十三條)。
《條例》規定,
市網信部門應當會同市工業和資訊化、公安、市場監管等部門以及相關行業主管部門建立健全個人資料保護監督管理聯合工作機制,加強對個人資料保護和相關監督管理工作的統籌和指導;建立個人資料保護投訴舉報處理機制,依法處理相關投訴舉報。
二是要求相關部門行業制定重要資料目錄,並明確對個人資料和重要資料進行出境審查(第七十四條、第八十二條)。
《條例》規定,
市網信部門應當統籌協調相關主管部門和行業主管部門按照國家資料分類分級保護制度制定本部門、本行業的重要資料具體目錄,對列入目錄的資料進行重點保護。

條例

還規定個人資料和重要資料出境應進行國家安全審查,即
資料處理者向境外提供個人資料或者國家規定的重要資料,應當按照有關規定申請資料出境安全評估,進行國家安全審查。
三是規定了處理敏感個人資料的相關制度(第七十三條、第七十六條、第八十四條)。首先是落實相關責任制。
處理敏感個人資料或者國家規定的重要資料的,應當按照有關規定設立資料安全管理機構、明確資料安全管理責任人,並實施特別技術保護。
其次是進行匿名化處理。
資料處理者應當依照法律、法規規定以及國家標準的要求,對所收集的個人資料進行去標識化或者匿名化處理,並與可用於恢復識別特定自然人的資料分開儲存

資料處理者應當針對敏感個人資料、國家規定的重要資料制定並實施去標識化或者匿名化處理等安全措施。
再次是需要定期開展風險評估。
處理敏感個人資料或者國家規定的重要資料,應當按照有關規定定期開展風險評估,並向有關主管部門報送風險評估報告。

作者:,來源:算力智庫

免責聲明:

  1. 本文版權歸原作者所有,僅代表作者本人觀點,不代表鏈報觀點或立場。
  2. 如發現文章、圖片等侵權行爲,侵權責任將由作者本人承擔。
  3. 鏈報僅提供相關項目信息,不構成任何投資建議

推荐阅读