【安全圈】App收集数据只能点同意？深圳出台国内数据领域首部基础性、综合性立法

关键词

数据安全

深圳落实综合改革试点又一成果落地——《深圳经济特区数据条例》7月6日在深圳市人大常委会网站公布，并将于2022年1月1日起正式实施，这也是国内数据领域首部基础性、综合性立法。

《条例》坚持个人信息保护与促进数字经济发展并重，将对大家深恶痛绝的移动互联网应用程序（App）“不全面授权就不让用”、“大数据杀熟”、个人信息收集任性、强制个性化广告推荐等问题说“不”，并给予重罚。

个人数据处理规则

以“告知-同意”为前提

《条例》确立以“告知-同意”为前提的个人数据处理规则，即处理个人信息应当在事先充分告知的前提下取得个人同意，数据处理者应当提供撤回同意的途径，不得对撤回同意进行不合理限制或者附加不合理条件。

为此，《条例》专门规定，数据处理者不得以自然人不同意处理其个人数据为由，拒绝向其提供相关核心功能或者服务。但是，该个人数据为提供相关核心功能或者服务所必需的除外。

用户有权拒绝被画像和被推荐

《条例》规定，数据处理者基于提升产品或者服务质量的目的，对自然人进行用户画像的，应当向其明示用户画像的具体用途和主要规则。自然人有权拒绝对其进行的用户画像或者基本用户画像推荐个性化产品或者服务，数据处理者应当以易获取的方式向其提供拒绝的有效途径。

《条例》将未满十四岁未成年人的个人数据视作敏感个人数据，首次在国内立法中明确，除为了维护未满十四周岁未成年人的合法权益且征得其监护人明示同意外，不得向其进行个性化推荐。

用户有权拒绝被画像和被推荐

“人脸识别”“指纹验证”“声音解锁”“虹膜识别”等生物识别技术在治安、金融、医疗、交通、学校、支付等场景大范围使用，深刻改变了人们的生产生活方式。但是由于生物识别数据具有唯一性、终生性、不可更改性，一旦泄露或者被滥用，将造成较一般个人数据更为严重的损害后果。

为了在拓展生物识别技术应用的同时，避免生物识别数据的滥用，《条例》对处理生物识别数据作出更严格的规定——除了该生物识别数据为处理个人数据目的所必需且不能替代外，应当同时提供处理其他非生物识别数据的替代方案。

公共数据应最大限度免费开放

《条例》设计了公共数据治理的顶层框架，要求政府建立城市大数据中心，实现对全市公共数据资源统一、集约管理。明确公共数据以共享为原则，不共享为例外，建立以公共数据资源目录体系为基础的公共数据共享需求对接机制。

《条例》明确将提供教育、卫生、社会福利、供水、供电、环保、公交等公共服务的组织纳入公共管理和服务机构范围，其在提供服务过程中产生、处理的数据均属公共数据。公共数据应当在法律、法规允许范围内最大限度地开放，不得收取任何费用。

对“大数据杀熟”等乱象作出规定

随口一提的商品，下一秒就出现在了购物App的首页；相册里的打卡，扭头就能在种草App上看到一堆同款……说过的话、拍过的照，你可能早就遗忘，但互联网总会帮你记住。在万物互联的时代里，在数不胜数的巧合面前，用户苦“数据劫持”久矣。

在加强个人数据保护的基础上，《条例》探索培育数据要素市场，在填补目前数据交易相关法律规范的空白的同时，在国内立法中首次确立数据公平竞争有关制度，针对数据要素市场“搭便车”“不劳而获”“大数据杀熟”等竞争乱象作出专门规定。

《条例》明确规定，市场主体不得使用非法手段获取其他市场主体数据，不得非法收集其他市场主体数据提供替代性产品或者服务，不得通过数据分析无正当理由对交易条件相同的交易相对人实施差别待遇。违反上述规定拒不改正的，处5万元以上50万元以下罚款，情节严重的，处上一年度营业额5%以下罚款，最高不超过5千万元。

几十年的发展，互联网早已过了收割人口红利的草莽时代，但流量至上的逻辑还在。从抢人头到抢数据，从拉增量到开发存量，格局既定的互联网行业，无一不是循着类似的路子在开疆拓土。得流量者得天下，平台对数据的渴求与日俱增，既是培养用户粘性的需要，也是激烈竞争下的生存法则。

于是，不安分的手越伸越长，想知道的内容也越来越多。头像、昵称、通话、好友、相册、搜索记录、备忘录，在用户点选“同意”的那一刻，平台便获得了解码的钥匙，抽丝剥茧之后，勾勒出一个素未谋面却尽在掌握中的你。就此，用户则在不知不觉中，坠入了平台量身定制的“温柔乡”。

平台得到信息和流量，用户收获知心和便捷，交易看似公平，但总有些秘密被一目十行地忽略了。哪些信息会被收集、开放的权限有何用处、泄露的风险有多大，长篇又复杂的协议书，没有谁能会仔细辨析。

告知不等于同意，但没人能拒绝。毕竟，若不同意，可能会丧失网上冲浪的入场券。从购物到外卖，从租房到打车，从点餐到点歌，衣食住行，吃喝玩乐，步履维艰。就连与他人的交流渠道也掐断。

一座独立于网络世界之外的孤岛，便是用户拒绝交出信息的代价。那些流向黑产的个人隐私，那些被肆意叫卖的身份背景，那些被默许储存的账户密码，深渊凝视着你，一览无余，而你一无所知。

发展所需也好，利益诱惑也罢，平台的欲望在膨胀，用户的话语权被压缩，互联网让物物交易信息对称，却掩盖了数据交易的透明性，一句“解释权归平台方所有”便能将作恶成本降到最低。

深圳的重拳之前，《民法典》明确了对数据信息权的保护，工信部也接连发文，强调加强网络数据和用户个人信息安全保护；另外，天津、贵州、安徽等多地的数据立法正在落地，或者已经提上了日程。作为数据的载体，手机厂商也频频出招，隐私保护相关功能已经上线。

毫无底线的信息索取应该被发现、被警惕、被拒绝。当科技滑向另一个极端，当人被异化为数据拼凑的个体，隐私曝露日下，没有人希望从互联网的窗口望出去，目之所及，一览无余。

   END