如何把握个人数据保护与数据开发利用之间的平衡?12月28日,深圳市六届人大常委会第四十六次会议首次审议了《深圳经济特区数据暂行条例(草案)》(下称《草案》),这是国内数据领域第一部基础性、综合性立法,在个人数据保护、数据要素市场培育和公共数据管理应用等方面均先行先试,为国家数据立法积累经验。
窃取个人数据事件时有发生
深圳数字产业具备良好基础,拥有一批实力较强的数据企业,聚集了海量数据,在催生新经济形态和商业模式方面发挥了重大作用。但由于现阶段缺乏相关法律制度规范,数字经济发展也面临着严重挑战:
一是随意收集、不当使用、违规披露和窃取个人数据事件时有发生;二是企业之间因数据引起的法律纠纷不断,数据主体隐私保护问题备受关注;三是深圳已初步建成较为统一高效的信息基础设施支撑和资源共享体系,但公共数据开放共享仍存在壁垒,各类数据流通、融合机制不够健全,不利于数据资源整合,影响政府数据治理能力提升。
“近年来,国家正在陆续制定出台网络安全法、数据安全法、个人信息保护法等一系列法律法规,但数据保护与管理方面的法律规定仍比较笼统,缺乏关于数据领域综合性的专门立法。”深圳市人大常委会经济工作委员会主任何锐军说,“以保护为基础”是此次立法的重要理念,力图在实现个人数据保护的基础上,最大程度挖掘释放数据经济价值,为深圳数字产业数字经济发展提供良好的法治环境。
首次提出“数据权益”保护
由于现阶段很难用一个统一的“数据权”涵盖所有情形,而数据具有的无形性、可无限复制传播且价值不减损的特征,目前国际上的数据立法也没有提出“数据权”概念。《草案》认为,现阶段比“确认数据是谁的”更现实的应是“确认可以对数据行使哪些权利”,因此在国内立法中首次提出了“数据权益”保护,也为立法所涉内容提供了法理基础。
《草案》拟规定,收集、处理涉及隐私的个人数据应当征得自然人或者其监护人的明示同意,即必须是通过书面、口头等方式主动做出声明或者自主做出肯定性动作予以明确授权的同意。但在自然人撤回同意后,应当主动或者根据自然人的请求及时有效删除。但不应影响在撤回前基于同意做出的合理数据处理,从而在保护个人数据权益的同时,保护企业的数据权益。
在上述同意规则之外,《草案》还拟规定两个例外情况,一是如果数据是为了自然人履行合同的必要,或为了执行公共管理和服务的职责,或为了维护国家安全、公共利益、企业正当利益等情形下,数据收集、处理者可以无需征得个人同意。其中,将企业正当利益纳入合法数据收集处理是国内首创,主要是考虑到有些数据是企业基于保障自身生产经营活动所必须的人力资源管理、行政管理、业务联系等正当利益的需要,这也是保障企业经营活动和发展的重要环节。
设计共享负面清单制度
在公共数据管理制度方面,《草案》提出公共数据全面共享深度开放,充分释放公共数据的资源价值。为此,拟首先建立纵向到底、横向到边、覆盖深圳各类各级公共管理和服务机构的数据管理委员会体系。
其次,由市政务服务数据主管部门统筹全市数据资源目录体系建设和管理,制定公共数据资源目录编制要求。通过数据收集目录,落实“一数一源”原则,从源头规范公共管理和服务机构数据收集行为,解决多头收集造成的数据冗余、不一致等问题。
再者,设计共享负面清单制度,即公共数据应无条件提供共享,特殊情况不能提供的,应提供明确的法律依据,经审核后列入负面清单。负面清单以外的公共数据,都应无偿在公共管理和服务机构之间共享。
此外,主动适应数据领域的技术发展特点,除通过传统的政府数据开放平台开放原始数据外,还可以综合利用区块链、隐私计算、联邦学习等技术建立专业化数据定向开放平台,提供“可用不可见”和按规定用途与用量使用数据的安全可信环境,满足专业机构对高价值数据的需求,进一步扩大公共数据开放范围,带动公共数据与社会数据融合应用,释放公共数据的经济价值和社会价值,促进深圳数字经济发展。