个人数据处理的基本原则及法律责任
发布日期:2021-06-16 来源:《民主与法制时报》2021年6月16日第02版 作者:高通 王钰点

  近日,公开征求意见的《深圳经济特区数据条例(征求意见稿)》(以下简称《条例》),在完善个人信息保护规则等方面有诸多亮点,尤其重要的是,它完善了个人数据处理的基本原则和数据使用者的法律责任。

  个人数据处理基本原则的完善

  近年来,我国数字经济快速发展,但数据领域中侵犯公民基本权利的现象时有发生。比如用户无法充分知晓平台收集、使用了哪些数据,也无法控制平台对数据的使用用途。为平衡数据利用与数据保护之间的关系,《条例》在合法、正当、必要的个人信息处理原则基础上,进一步进行了细化。

  第一,将“必要”原则升级为“最小必要”原则,并细化“最小必要”原则的内容。《中华人民共和国民法典》《中华人民共和国网络安全法》等均将必要作为个人信息处理的基本原则,《条例》在此基础上确立了个人信息收集的“最小必要”原则。信息收集的最小必要原则之前在相关行业协会规范中也有一定体现,如电信终端产业协会2020年公布的《App收集使用个人信息最小必要评估规范总则》,明确App收集使用个人信息需坚持“最小必要”原则。依照该原则,个人信息处理者不得收集、处理与处理目的无关的个人数据。在此基础上,《条例》列举了最小必要原则适用的五种场景,如与信息处理目的直接相关的数据、最低的处理频率、最小的信息数量、最短的存储时间、最小的访问控制策略等。

  第二,确立公开透明、准确完整的原则。《条例》规定,个人数据处理者在处理数据时应遵循公开透明、准确完整的原则。首先,公开透明原则的核心是要明示个人数据处理的目的、方式、范围和规则等,特别是要向当事人公开透明。以该原则为基础,《条例》构建了以“告知—同意”为核心的个人数据处理规则。其次,准确完整原则要求数据处理者要保证个人数据的准确性和必要的完整性,避免因个人数据不准确、不完整给当事人造成损害。依照该规定,个人数据处理主体不仅要承担更多的确保数据真实的义务,自然人也享有更广泛的个人数据异议权,这对确保个人数据真实性大有裨益。

  第三,确立数据安全原则。《条例》将数据安全作为数据处理的基本原则之一,要求数据处理者要确保个人数据安全,积极维护自然人合法权益。数据安全原则的确立对确保数字经济健康有序发展大有必要。基于此,《条例》在维护数据安全的情况下,提出应促进数据利用。如《条例》第一条明确,“为了规范数据处理活动,保护自然人、法人和非法人组织的数据权益,促进数据资源开放流动和开发利用……制定本条例”。同时,《条例》允许对自然人进行用户画像等。

  完善数据使用者的法律责任

  《条例》对数据使用者的法律责任进一步进行规范,完善了“大数据杀熟”行为的罚则、提出建立数据领域公益诉讼制度。

  第一,完善“大数据杀熟”行为的罚则。“大数据杀熟”常见于打车、旅游、购物等在线平台,是平台通过挖掘消费者的搜索、浏览、消费记录,推导出消费者的购买能力与消费偏好,确定目标用户,再通过算法对消费者定向推送价格各异的同一产品或服务。“大数据杀熟”在给商家带来巨大经济效益的同时,也可能对普通公民的合法权益造成严重损害。如商家可能通过算法推送的特定内容构建信息茧房,从而侵害消费者的知情权;算法“黑箱”的存在,可能侵犯消费者的公平交易权等。此次《条例》试图通过建立更严厉的惩罚机制,规制“大数据杀熟”行为。如依据该条例第八十六条的规定,如果“大数据杀熟”等损害公平竞争的行为情节严重或造成严重后果,市场监督管理部门可对其处5000万元以下或者上一年度营业额5%以下罚款,并暂扣许可证件、降低资质等级、吊销许可证件、限制其开展生产经营活动、责令停产停业、责令关闭、限制从业等。

  第二,建立数据领域公益诉讼制度。网络时代的数据侵权很可能是大规模的侵权行为,可能会侵犯不特定多数公民的合法权益。且由于双方力量悬殊,公民的维权过程会相对艰难。对此,《条例》规定有关行业组织、人民检察院可以就未落实数据安全保护责任或者非法处理数据致使国家利益或者公共利益受到损害的行为,提起民事公益诉讼;人民检察院也可对违法行使职权或者不作为致使国家利益或者公共利益受到损害的行政机关,提出检察建议或者提起行政公益诉讼。

  当然,《条例》作为一部先行先试的地方性法规,有些规定也需要进一步细化,如进一步明确消费者享有的数据权利、厘清数字领域中政府监管与企业管理的边界、明确“大数据杀熟”的认定标准等。

  (作者单位:南开大学法学院)

责任编辑:徐子凡
本站系非盈利性学术网站,所有文章均为学术研究用途,如有任何权利问题请与我们联系。
^