在“工业5.0”和中国制造“2025背景”下,数字技术作为推动制造业的高质量发展和高效的生产运作的内在驱动之一,被广泛应用在智能制造产业中。而随着数字技术应用场景的日益增多,智能制造企业对于数据的收集使用的规模也在日益扩大,如何有效平衡数据的开发利用与数据安全保护之间的关系,成为企业在发展过程中不得不面临的难题。作为智能制造指数位列国内前茅的城市——深圳,在日前率先为智能制造企业解决这一难题提供了答案。深圳市于日前正式发布公告,《深圳经济特区数据条例》(“《条例》”)于2021年6月29日经深圳市第七届人民代表大会常务委员会第二次会议通过,并将自2022年1月1日起施行。作为国内数据领域首部基础性、综合性的地方立法,《条例》坚持“保护与发展并重,以保护为基础,以发展为目标,以保护促发展”的基本指导思想,从个人数据保护、数据要素市场及数据安全等方面对数据处理活动的规范、自然人、法人和非法人组织的合法权益的保护,数据作为生产要素的开放流动和开发利用等明确提出了要求,为企业高效开发利用数据与保护数据安全提供了明确了指引。《条例》衔接了《中华人民共和国个人信息保护法(二次审议稿)》(以下简称《个人信息保护法(二稿审议稿)》)以及国家推荐性标准《信息安全技术 个人信息安全规范》(GB/T 35273—2020)(以下简称《个人信息安全规范》)等相关规定确立了处理个人数据的基本原则和处理要求。《条例》明确,对于个人数据的处理应当具有明确、合理的目的,并遵循最小必要和合理期限原则,同时进一步对最小必要原则应用的具体情形进行了列举:
当然,应注意,若在智能制造产品中部署互联网应用程序的,还应遵从《常见类型移动互联网应用程序必要个人信息范围规定》等的要求。例如,远程会议设备中常常会预置会议应用软件以通过网络为用户提供音频或视频会议服务,基于该等基本功能,其收集的必要个人信息仅为注册用户的移动电话号码。
个人信息的人格权属性早已在取得普遍共识,并在《民法典》中被进一步明确。《条例》作为地方性的综合型法规,率先在立法中探索数据相关权益范围和类型,明确自然人对个人数据依法享有人格权益,包括知情同意、查阅复制、补充更正、删除等权益。
针对未满十四周岁的未成年人的合法权益保护,《条例》衔接了《个人信息保护法(二稿审议稿)》)、《个人信息安全规范》的规定,将其视为敏感个人数据,且要求在处理前应征得该等未成年人的监护人的明示同意。同时,《条例》明确,除为维护其合法权益并征得其监护人明示同意,不得基于用户画像向儿童推荐个性化产品和服务。此外,对于未满十四周岁的未成年人的个人数据保护,智能制造企业还应注意,《儿童个人信息网络保护规定》已于2019年10月1日实施,若企业涉及通过网络从事处理儿童个人信息的,还应注意遵从该规定的相关要求,例如设置专门的儿童个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护等。在“智慧养老”服务背景下,针对部分可能存在丧失或限制行为能力的老人群体,如何在帮助其享受科技便利与合规处理其个人数据之间实现平衡,《条例》率先明确给出了答案,即“处理无民事行为能力或者限制民事行为能力的成年人个人数据的,应当在处理前征得其监护人的明示同意。”但鉴于我国对老年人并未有达到特定年龄即认定为限制民事行为能力人或无民事行为能力人的规定,虽然老年人群体普遍存在信息安全意识不高、已被诱导骗取个人数据等问题,但对于尚未丧失或限制行为能力的高龄老人的个人数据的处理,仍应依法直接获取其本人的同意。《条例》相对于征求意见阶段,增加了员工个人数据同意的例外情形,即“数据处理者[1]因人力资源管理、商业秘密保护所必需,在合理范围内处理其员工个人数据”的,可以在处理前不征得自然人的同意。除此之外,我国现有个人数据法律保护体系并未将企业内部员工、外包人员等排除在个人数据的保护范围之外,因此,若智能制造企业涉及对员工等人员及其家属(如老人、未成年人)的个人数据进行处理的,相关数据主体亦享有《条例》所规定的全部合法权益。生物识别技术的普及应用,也直接带来了对于生物识别数据的合法处理和安全保障问题。
仅在今年年初发生的生物识别相关热门事件就有多起,例如,今年年初央视315惊曝多家知名商店安装人脸识别摄像头,违规收集上亿消费者人脸数据,引发群众热议,最终相关监管部门介入调查。“人脸识别第一案”二审宣判,认定野生动物世界单方将入园方式变更为人脸识别方式构成违约。瑞典警察局因违规使用Clearview AI,被该国隐私保护局罚款250万克朗(约合人民币194万元)。加拿大隐私专员办公室发布公告称,调查显示美国人脸识别初创公司Clearview AI通过互联网收集数十亿张人像照片的行为,等于在进行大规模监控,违反了加拿大联邦和省级的隐私法,“明显”侵犯了加拿大人的隐私权。从而导致美国人脸识别产品Clearview AI陷入“人人喊打”的尴尬境地。Facebook因未经许可创建和存储他们的面部扫描图像,在2021年2月达成美国加州“有史以来最大规模的隐私诉讼和解”——向约160万名用户支付共6.5亿美元的赔偿。
因此,为了在拓展生物识别技术应用的同时,避免生物识别数据的滥用,相对于在征求意见稿中对生物识别处理的严格目的限制——“应当为处理个人数据的目的所必需,且不能为其他个人数据所替代,并应当具备相应的数据安全防护能力”,《条例》在正式发布后对相关监管标准予以了放宽,通过对生物识别数据的处理予以合理限制,以平衡促进技术应用与保障数据安全之间的关系,即:
对于企业而言,在应用生物识别技术时,无论是为消费者提供替代方案,还是进行目的限制都是最基本的合规要求。此前,引发各界关注的“中国人脸识别第一案”,即是由于野生动物世界(园方)单方变更生物识别方式构成违约,欲利用收集的照片扩大信息处理范围,超出实现收集目的,被认定存在侵害消费者面部特征信息之人格利益的可能与危险,最终被二审判令向消费者赔偿损失,删除其办理指纹年卡时提交的包括照片在内的面部特征信息以及指纹识别信息。同时,针对近年来,公共场所身份识别设备及监控设施可能带来的生物识别数据违规处理问题,《个人信息保护法(二稿审议稿)》对公共场所安装个人身份识别设备及其对个人数据处理的目的明确予以了限制,即“在公共场所安装个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置明显的提示标识;要求所收集的个人身份特征等信息只能用于维护公共安全的目的,不得公开或向他人提供。” 中央网信办、工业和信息化部、公安部、市场监管总局对此也联合发布治理公告,将自2021年5月至8月,在全国范围组织开展摄像头偷窥黑产集中治理,要求“摄像头生产企业要按照数据安全、信息安全有关规定和标准提升产品安全能力,提供公共服务的视频监控云平台及有关企业要严格履行网络安全主体责任,强化云平台网络安全防护,落实对远程视频监控App的数据安全防护责任。”等。此外,《条例》作为基础性法规,并未就生物识别数据的具体管理规范予以展开,而是明确“生物识别数据具体管理办法由市人民政府另行制定。”在深圳市生物识别数据的具体管理办法出台前,对于生物识别数据的管理,除《条例》、《个人信息安全规范》、《信息安全技术 生物特征识别信息保护基本要求(征求意见稿)》[2]等相关基本监管要求外,今年新发布的《信息安全技术 人脸识别数据安全要求(征求意见稿)》、《信息安全技术 声纹识别数据安全要求(征求意见稿)》及《信息安全技术 步态识别数据安全要求(征求意见稿)》也分别针对人脸识别、声纹、步态等常用生物特征识别数据的基本安全要求、安全处理和管理要求提出了要求,其虽在征求意见阶段,但对企业而言也有重要的参考意义。 为促进数据资源有序、高效流动与利用,《条例》明确了数据产品/服务的财产权益保障和企业作为市场主体在数据要素市场中的行为规范要求。
在大众点评诉爱帮网案、新浪诉脉脉案、酷米客诉车来了案、淘宝诉美景案、腾讯诉群控软件案、新浪微博诉字节跳动案等多起案件中,数据产品/服务的财产权益性质已在司法实践中被普遍予以认定。而本次《条例》的发布,再次率先以立法形式明确:自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及《条例》规定的财产权益。但是,不得危害国家安全和公共利益,不得损害他人的合法权益。
对于作为市场主体之一的智能制造企业而言,其可以对合法处理数据形成的数据产品和服务依法自主使用,取得收益,进行处分,即除下列情形外,可以依法进行交易:
此外,针对在市场竞争过程中出现的数据非法获取及其他违规处理乱象,《条例》明确,企业作为“市场主体应当遵守公平竞争原则”,并不得实施下列侵害其他市场主体合法权益的行为:
《数据安全法》已就数据安全保护做出了较为完善的制度安排,因此,《条例》仅在国家立法的基础上进一步细化了对于企业的数据安全保护的相关内容:
对于智能制造企业而言,其数据安全保护工作也与相关行业的监管要求密不可分,例如:
对于智能汽车制造企业而言,其还应注意遵从智能网联汽车相关的法律法规、标准的监管要求,包括《汽车数据安全管理若干规定(征求意见稿)》[3]等;
对于智能家居制造企业而言,其还应注意遵从《信息安全技术 智能家居安全通用技术要求(征求意见稿)》[4]等相关法律法规、标准的规定;
对于涉及医疗大数据的医疗器械生产企业而言,其还应注意遵从《国家健康医疗大数据标准、安全和服务管理办法(试行)》[5]等相关法律法规、标准的规定,等等。
此外,国内首部人工智能领域的地方性法规《深圳经济特区人工智能产业促进条例(草案)》也已于2021年6月28日提请深圳市人大常委会会议审议,该条例(草案)将人工智能软硬件产品、系统应用、集成服务等核心产业,以及人工智能技术在各领域融合应用带动形成的相关产业纳入人工智能产业范畴;并明确了人工智能产品和服务的行为底线,在研究和应用活动中,禁止侵犯个人隐私和个人信息保护、损害国家安全和社会公共利益;禁止利用算法技术根据用户的习惯、支持能力实施价格歧视或者消费欺诈等。虽然上述诸多行业数据监管规定尚处于征求意见阶段,但对于企业而言,越早了解相关监管要求并进行合规部署,企业后期的合规投资成本就越少。《条例》的另一重点内容即是对于公共数据的管理规制,若智能制造企业提供的产品/服务是服务于深圳市国家机关、事业单位和其他依法管理公共事务的组织,以及提供教育、卫生健康、社会福利、供水、供电、供气、环境保护、公共交通和其他公共服务的组织的,或者智能制造企业本身就属于前述组织的,则还应注意遵从《条例》有关公共数据的管理规定。具体内容详见本公众号发布的《深圳经济特区数据条例 | 一图get公共数据管理要点》。
注释:
[1] 应注意,《条例》中所规定的数据处理者指开展数据的收集、存储、使用、加工、传输、提供、开放等活动的自然人、法人和非法人组织。
为行文表述方便,本文中数据处理者的概念与《条例》一致。
[2] 《信息安全技术 生物特征识别信息保护基本要求(征求意见稿)》的相关文章详见:
《别让生物密码泄露成为无法弥补的痛》
[3] 《汽车数据安全管理若干规定(征求意见稿)》的相关文章,详见:
《驾驶碰撞数据监管的花火(一)》
《驾驶碰撞数据监管的花火(二)》
[4] 《信息安全技术 智能家居安全通用技术要求(征求意见稿)》的相关文章,详见:
《智能家居:“懂你”更要懂得分寸》
[5] 《国家健康医疗大数据标准、安全和服务管理办法(试行)》的相关文章,详见:
《可穿戴+健康医疗:玩转大数据不可不知的合规要点》;
《健康医疗数据合规手册》