为加强对未成年人保护,深圳拟将未成年个人数据视作敏感个人数据,且不得对未成年人进行用户画像以及基于用户画像对未成年人进行个性化推荐。5月28日,深圳市七届人大常委会第一次会议审议《深圳经济特区数据条例(草案修改一稿)》(下称“《条例(草案修改一稿)》”)时透露了这一信息,该法也是国内数据领域第一部基础性、综合性立法。
用户拟有权随时拒绝被画像
深圳市人大法制委员会副主任委员林正茂说,用户画像和个性化推荐的应用已越来越普遍,这些数据技术能让人享受更加精准、个性化的商品和服务,蕴藏着巨大的商业价值。但是,这些技术应用也对个人数据的保护提出了新挑战。同时,用户画像和个性化推荐也带来一些负面影响,如“信息茧房”,即人们关注的领域习惯性地被兴趣所引导,将自己的生活桎梏于像蚕茧一般的“茧房”现象等。
因此,《条例(草案修改一稿)》拟新增规定,数据处理者可以进行用户画像和个性化推荐,但应当明示用户画像的规则和用途,并采用足以引起注意的特别标识等易获取的方式,为被画像主体提供拒绝的途径;自然人有权随时拒绝对其进行的用户画像和个性化推荐。
为进一步加强对未成年人的保护,还拟将未成年个人数据视作敏感个人数据,处理其个人数据时,适用敏感个人数据的有关规定,且不得对未成年人进行用户画像以及基于用户画像对未成年人进行个性化推荐。
对于违规处理个人数据,或者处理个人数据未采取必要安全保护措施的行为,拟由市网信部门责令立即改正,没收违法所得,并按照每处理一个自然人的个人数据,处以200元以上1000元以下的罚款。违法行为造成数据安全事件的,涉及未成年人数据和敏感个人数据的,或者违法行为人为提供基础性互联网平台服务的数据处理者的,均拟从重处罚。
个人敏感数据应特别保护
人脸识别、指纹解锁、虹膜识别等生物识别技术的广泛应用,对人工智能和数字经济的发展发挥着至关重要的作用。《条例(草案修改一稿)》拟新增规定,生物识别数据作为敏感个人数据的一种重要类型,处理这类数据不仅要遵守处理敏感个人数据的规定,还不能为其他个人数据所替代,其数据处理者也应当具备相应的数据安全防护能力。
同时,鉴于敏感个人数据和重要数据一旦泄露、毁损、丢失、篡改或者被非法使用,将威胁到国家安全、经济发展、公共利益,导致自然人人身、财产安全受到严重危害,应该设置更加严格的安全保护要求。因此,拟规定敏感个人数据或者国家规定的重要数据处理者应当按照规定设立数据安全管理机构或者明确数据安全管理责任人,并实施特别技术保护。