了《深圳經濟特區資料條例》(以下簡稱《條例》),將於2022年1月1日起實施。引人注目的是,《條例》基於我國《網路安全法》和將於2021年9月1日實施的《資料安全法》,以及正在審議的《個人資訊保護法》相關規定和精神,針對個人資料保護可謂“招數盡出”,擴充套件和延伸了個人資料相關權益,具體和細化了個人資料保護基本原則和保護義務,並對個人資料保護相關制度進行了配套落實。
個人資料相關權益的界定與延伸
個人資料是指載有可識別特定自然人資訊的資料,不包括匿名化處理後的資料。
我們認為這裡規定的個人資料,其內容與個人資訊相當,但是有了個人資料的定義,可以將其納入資料安全治理體系來規制,還是有一定的意義。
《
條例
》
強調了
自然人
享有的
人格權益
(
第三條
)
和
處理個人資料應當充分尊重和保障自然人與個人資料相關的各項合法權益
(
第九條
)。
自然人、法人和非法人組織對其合法處理資料形成的資料產品和服務享有法律、行政法規及本條例規定的財產權益
(
第四條
)
。但是,不得危害國家安全和公共利益,不得損害他人的合法權益。
個人資料保護原則和保護義務的明確與細化
基本原則
。規定處理個人資料應當符合下列要求:(一)處理個人資料的目的明確、合理,方式合法、正當;(二)限於實現處理目的所必要的最小範圍、採取對個人權益影響最小的方式,不得進行與處理目的無關的個人資料處理;(三)依法告知個人資料處理的種類、範圍、目的、方式等,並依法徵得同意;(四)保證個人資料的準確性和必要的完整性,避免因個人資料不準確、不完整給當事人造成損害;(五)確保個人資料安全,防止個人資料洩露、毀損、丟失、篡改和非法使用。
限於實現處理目的所必要的最小範圍、採取對個人權益影響最小的方式,包括但是不限於下列情形:(一)處理個人資料的
種類、範圍
應當與處理目的有直接關聯,不處理該個人資料則處理目的無法實現;(二)處理個人資料的
數量
應當為實現處理目的所必需的最少數量;(三)處理個人資料的
頻率
應當為實現處理目的所必需的最低頻率;(四)個人資料
儲存期限
應當為實現處理目的所必需的最短時間,超出儲存期限的,應當對個人資料予以刪除或者匿名化,法律、法規另有規定或者經自然人同意的除外;(五)建立
最小授權的訪問控制策略
,使被授權訪問個人資料的人員僅能訪問完成職責所需的最少個人資料,且僅具備完成職責所需的最少資料處理許可權。
資料處理者基於提升產品或者服務質量的目的,對自然人進行使用者畫像的,應當向其明示使用者畫像的具體用途和主要規則。自然人可以拒絕資料處理者根據前款規定對其進行使用者畫像或者基於使用者畫像推薦個性化產品或者服務,資料處理者應當以易獲取的方式向其提供拒絕的有效途徑。資料處理者不得基於使用者畫像向未滿十四周歲的未成年人推薦個性化產品或者服務。但是,為了維護其合法權益並徵得其監護人明示同意的除外。
處理者相關義務
《條例》規定,
資料處理者向他人提供其處理的個人資料,應當對個人資料進行去標識化處理,使得被提供的個人資料在不借助其他資料的情況下無法識別特定自然人。法律、法規規定或者自然人與資料處理者約定應當匿名化的,資料處理者應當依照法律、法規規定或者雙方約定進行匿名化處理。
條例
》
規定,
資料處理者向他人提供其處理的個人資料有下列情形之一的,可以不進行去標識化處理:(一)應公共管理和服務機構依法履行公共管理職責或者提供公共服務的需要且書面要求提供的;(二)基於自然人的同意向他人提供相關個人資料的;(三)為了訂立或者履行自然人作為一方當事人的合同所必需的;(四)法律、行政法規規定的其他情形。
。《條例》規定,
資料處理者不得以自然人不同意處理個人資料為由,拒絕向其提供相關核心功能或者服務。但是,該個人資料為提供相關核心功能或者服務所必需的除外。
條例
》
規定了告知的具體內容。
處理個人資料應當在處理前以通俗易懂、明確具體、易獲取的方式向自然人完整、真實、準確地告知下列事項:(一)資料處理者的姓名或者名稱以及聯絡方式;(二)處理個人資料的種類和範圍;(三)處理個人資料的目的和方式;(四)儲存個人資料的期限;(五)處理個人資料可能存在的安全風險以及對其個人資料採取的安全保護措施;(六)自然人依法享有的相關權利以及行使權利的方式;(七)法律、法規規定應當告知的其他事項。
條例
》
規定應取得自然人的真實意思的同意。
《條例》規定,
數
據處理者不得透過誤導、欺騙、脅迫或者其他違背自然人真實意願的方式獲取其同意。
條例
》
規定了敏感個人資料處理者取得使用者同意的加重義務。
處理敏感個人資料的,應當在處理前徵得該自然人的明示同意
。
處理敏感個人資料的,應當依照前款規定,以更加顯著的標識或者突出顯示的形式告知處理敏感個人資料的必要性以及對自然人可能產生的影響。
條例
》
規定了處理生物識別資料應提供替代方案。
《條例》規定,
處理生物識別資料的,應當在徵得該自然人明示同意時,提供處理其他非生物識別資料的替代方案。但是,處理生物識別資料為處理個人資料目的所必需,且不能為其他個人資料所替代的除外。基於特定目的處理生物識別資料的,未經自然人明示同意,不得將該生物識別資料用於其他目的。生物識別資料具體管理辦法由市人民政府另行制定。
條例
》
規定了未成年人如何取得同意。
《條例》規定,
處
理未滿十四周歲的未成年人個人資料的,按照處理敏感個人資料的有關規定執行,並應當在處理前徵得其監護人的明示同意。處理無民事行為能力或者限制民事行為能力的成年人個人資料的,應當在處理前徵得其監護人的明示同意。
條例
》
規定了一些特殊情況。
緊急情況下無法事前告知的情形。緊急情況下為了
保護自然人的人身、財產安全等重大合法權益,
無法依照本條例第十四條規定進行事前告知的,應當在緊急情況消除後及時告知。
條例
》
規定了無需告知或無需要徵得自然人同意的情形,
僅限於有法律、行政法規相關有規定。處理個人資料有下列情形之一的,可以在處理前不徵得自然人的同意:(一)處理自然人自行公開或者其他已經合法公開的個人資料,且符合該個人資料公開時的目的;(二)為了訂立或者履行自然人作為一方當事人的合同所必需;(三)資料處理者因人力資源管理、商業秘密保護所必需,在合理範圍內處理其員工個人資料;(四)公共管理和服務機構為了依法履行公共管理職責或者提供公共服務所必需;(五)新聞單位依法進行新聞報道所必需;(六)法律、行政法規規定的其他情形。
相關權利
條例
》
規定了自然人的相關權利,包括複製權、補充更正權、撤回同意權、刪除權、舉報投訴權等。
《條例》規定,
自然人可以向資料處理者要求查閱、複製其個人資料,資料處理者應當按照有關規定及時提供,並不得收取費用。
《條例》規定,
個人資料不準確或者不完整的,資料處理者應當根據自然人的要求及時補充、更正。
第二十二條
、
第二十三條
)。
《
條例
》
規定,
自
然人有權撤回部分或者全部其處理個人資料的同意。自然人撤回同意的,資料處理者不得繼續處理該自然人撤回同意範圍內的個人資料。但是,不影響資料處理者在自然人撤回同意前基於同意進行的合法資料處理。法律、法規另有規定的,從其規定。處理個人資料應當採用易獲取的方式提供自然人撤回其同意的途徑,不得利用服務協議或者技術等手段對自然人撤回同意進行不合理限制或者附加不合理條件。
《條例》規定,
有下列情形之一的,資料處理者應當及時刪除個人資料:(一)法律、法規規定或者約定的儲存期限屆滿;(二)處理個人資料的目的已經實現或者處理個人資料對於處理目的已經不再必要
;
(三)自然人撤回同意且要求刪除個人資料;(四)資料處理者違反法律、法規規定或者雙方約定處理資料,自然人要求刪除;(五)法律、法規規定的其他情形。有前款第一項、第二項規定情形,但是法律、法規另有規定或者經自然人同意的,資料處理者可以保留相關個人資料。資料處理者根據本條第一款規定刪除個人資料的,可以留存告知和同意的證據,但是不得超過其履行法定義務或者處理糾紛需要的必要限度。
《條例》規定,
資料處理者應當建立自然人行使相關權利和投訴舉報的處理機制,並以易獲取的方式提供有效途徑。資料處理者收到行使權利要求或者投訴舉報的,應當及時受理,並依法採取相應處理措施;拒絕要求事項或者投訴的,應當說明理由。
個人資料保護基本制度的配套與落實
《條例》規定,
市網信部門應當會同市工業和資訊化、公安、市場監管等部門以及相關行業主管部門建立健全個人資料保護監督管理聯合工作機制,加強對個人資料保護和相關監督管理工作的統籌和指導;建立個人資料保護投訴舉報處理機制,依法處理相關投訴舉報。
《條例》規定,
市網信部門應當統籌協調相關主管部門和行業主管部門按照國家資料分類分級保護制度制定本部門、本行業的重要資料具體目錄,對列入目錄的資料進行重點保護。
《
條例
》
還規定個人資料和重要資料出境應進行國家安全審查,即
資料處理者向境外提供個人資料或者國家規定的重要資料,應當按照有關規定申請資料出境安全評估,進行國家安全審查。
處理敏感個人資料或者國家規定的重要資料的,應當按照有關規定設立資料安全管理機構、明確資料安全管理責任人,並實施特別技術保護。
其次是進行匿名化處理。
資料處理者應當依照法律、法規規定以及國家標準的要求,對所收集的個人資料進行去標識化或者匿名化處理,並與可用於恢復識別特定自然人的資料分開儲存
。
資料處理者應當針對敏感個人資料、國家規定的重要資料制定並實施去標識化或者匿名化處理等安全措施。
再次是需要定期開展風險評估。
處理敏感個人資料或者國家規定的重要資料,應當按照有關規定定期開展風險評估,並向有關主管部門報送風險評估報告。
作者:,來源:算力智庫