前言
9月30日,上海市人大公布《上海市数据条例(草案)》(“《条例》”)并公开向社会征求意见。学习新法规最全面的介绍肯定是官方的立法说明。(详见:)本文旨在用较小的篇幅,分享笔者浏览《条例》后,“眼前一亮”的感悟及“看不明白”的疑问。
感悟:
(1)隐私政策应注意“文字大小、颜色、清晰度”。
(2)“无人超市”等人脸识别场景可考虑以“语音”的方式进行事前告知。
(3)临港未来数据出境可能会更加便利。
疑问:
(1)数据交易如何落地,个人信息权利人是否可以分享个人信息处理者因交易数据而产生的利益?
悟
1.1“清晰易懂”的具体要求
《个人信息保护法》(“《个保法》”)第17条对于“告知”的要求为“以显著方式、清晰易懂的语言真实、准确、完整地向个人告知”,还是略显抽象。
《条例》第20条第2款对于如何告知,进行进一步的规范:“数据处理者在向自然人告知前款事项时,不得使用晦涩难懂、冗长繁琐、难以理解的文字。通过网络方式进行告知的,应当提供简体中文版,文字大小、颜色、清晰度等设置应当便于阅读,访问路径应当便捷。”
“简体中文版”的隐私政策,相比大部分厂商都能够做到。但相关“文字大小”是否便于阅读,重点部分是否加粗或标红,并非每一家厂商都做到了。部分厂商的隐私政策为PDF格式在线浏览,不但不能复制还打满了水印,可能不满足“清晰度”这一要求。
我们逆向思维一下,这几项要求是否很有可能成为未来监管机构检查时的重点呢?我猜测大概率是的。
1.2“人脸识别”场景可语音告知
《个保法》第26条要求,在公共场所安装图像采集、个人身份识别设备,用于维护公共安全之外目的的,应当取得“单独同意”。
根据之前的研究,“单独同意”落实成本极高。同时,根据与相关公司法务的交流,如何进行“事前告知”也是十分麻烦的。以“无人超市”为例,即使张贴了大大的说明,也很难保证客户在进入人脸识别采集范围前就进行告知。
《条例》第22条第2款规定:“在公共场所及相关区域安装人脸识别设备的,应当充分保障自然人的知情权,设置显著标识,并以书面或者语音等形式明示告知人脸识别设备应用的责任主体、使用目的、方式、范围、存储时间及技术应用者的联系方式等信息。”
看到“语音”二字时,我顿时眼前一亮,之前从未想到过,“告知”还可以用语音的方式。如果用简短生动的文字语音告知相关事宜,在入场时让客户按下“已听清告知”的按钮,是否就完整地履行了“事前告知-单独同意”的要求呢?
具体如何落地我并没有细想,但我认为既然有了地方立法的“背书”,那么在上海范围内,“语音告知”是可以探索的。
1.3 临港数据跨境流动有期待
近日多次讨论到数据如何合规出境这一问题,囿于相关出境的规范均处于“征求意见”阶段,如何实操确实缺乏指引性。可相关WOFE必然有大量的数据、个人信息要传输给境外的股东。
《条例》第67条规定:“本市按照国家相关法律、法规的规定,在临港新片区内探索制定低风险跨境流动数据目录,促进数据跨境安全、自由流动。”
这是否意味着,未来在临港新片区若向境外传输“低风险跨境流动数据目录”的数据,即可无需审批或者简便地进行审批呢?有了法规里的一句,实操中就有无限遐想空间了。
这么看来,那些设立临港办公室的律所确实非常有先见之明,未来在临港设立公司或私募管理人的需求可能会大大增加。
问
2.1“数据交易”如何落地
与《深圳经济特区数据条例》类似,《条例》亦肯定了相关主体对数据的财产权益。
《条例》第12条第2款规定:“自然人、法人和非法人组织对其以合法方式获取的数据,以及合法处理数据形成的数据产品和服务,依法享有财产权益。”
《条例》第15条第1款规定:“自然人、法人和非法人组织对其以合法方式获取的数据,以及经过合法处理数据形成的数据产品和服务,可以依法进行交易。”
《条例》第54条规定:“市场主体以合法方式获取的数据,以及合法处理数据形成的数据产品和服务,可以依法交易,但有下列情形之一的除外:
(一)包含未依法获得授权的个人信息;
(二)包含未经依法开放的公共数据;
(三)法律、法规规定禁止交易的其他情形。”
根据上文,我们可以推断出,依法得到授权的个人信息是可以进行交易的。并且根据第55条,相关市场主体可以依法自主进行定价。
数据是否具有物权属性是一个具有争议性的话题,但不可否认的是数据具备极强的商业价值。但是,数据也具备极强的可复制性,如何保障数据交易后不被多次流转呢?
根据《个保法》第23条的要求,向其他人提供个人信息的,应取得个人的“单独同意”。
那么我自然而然的会想问一个问题,对数据或数据衍生品进行交易,其中包含个人信息的,理应取得个人的“单独同意”,在实践中是否具备可履行性?
在取得“单独同意”的过程中,个人信息主体必然会问一个问题,你都要把我个人信息拿去卖了,不得分我点钱吗?
囿于知识储备有限,这个问题我根本不敢展开想,静候未来落地。
结语
十一假期前的最后一个工作日,数据合规领域新规频出。
工信部公布《工业和信息化领域数据安全管理办法(草案)(征求意见稿)》。
全国信息安全标准化技术委员会公布《网络安全标准实践指南——数据分类分级指引(征求意见稿)》。
在《个保法》11月1日正式生效前,相关新规必然会呈井喷状出台。
读《上海市数据条例(草案)》的悟与问
作者:何琛没有以来源:数据何规

前言 9月30日,上海市人大公布《上海市数据条例(草案)》(“《条例》”)并公开向社会征求意见。学习新法规最全面的介绍肯定是官方的立法说明。