《上海市数据条例（草案）》解读一丨全国首提制定低风险跨境流动数据目录

近日，上海市第十五届人大常委会第三十五次会议对《上海市数据条例（草案）》（简称《草案》）进行了审议。

聚焦个人信息保护与数据安全，《草案》在《个人信息保护法》的基础上作出了进一步的细化延展。

在知情同意方面，《草案》要求处理公开的个人信息数据时，应符合被公开时的用途，超出合理范围应取得个人同意。在个人生物信息的保护上，提出可以用书面、语音等形式明示告知人脸识别设备应用的责任主体、使用目的、方式等信息。

对于近来备受关注的数据跨境流通，《草案》规定在临港新片区内探索制定低风险跨境流动数据目录，这一立法要求在全国属首次提出。专家表示，这是为跨境数据划定白名单。

细化知情同意

《草案》专设了个人信息特别保护章节，对备受关注的过度收集信息、用户“知情同意”、人脸识别、自动化决策等问题作出回应。

在知情同意方面，第十七条明确，收集、使用、加工、交易涉及自然人个人信息的数据的，应当依法保障自然人的知情权。

值得注意的是，该条款还指出，处理涉及自然人公开的个人信息数据的，应当符合该数据被公开时的用途，超出与该用途相关的合理范围的，应当取得自然人同意。法律、行政法规另有规定的除外。

上海申伦律师事务所律师夏海龙向21世纪经济报道记者表示，这一条款如果出台，意味着以企业信息查询或大数据智能获客拓客为主营业务的企业可能将面临合规风险。

据了解，波兰一家公司曾因从公开渠道获取个人数据进行商用时未告知个人，而被罚款22万欧元。

这是一家从公开登记册和国家法院登记册收集个人数据的公司，目的是提供公司验证服务。所涉个人数据是以独资形式开展业务的企业家数据，包括活跃的企业家和过去开展过业务活动或已暂停业务活动的人员。根据波兰数据保护局（DPA）的调查，该公司未能遵守GDPR第14条第1至3款规定的职责，在从数据主体以外的来源收集个人数据时，未向数据主体提供所需的信息，违反向数据主体提供信息的义务。该公司出于盈利目的处理了700多万名独资企业家的个人数据，仅向约90万个数据主体发送了有关此处理的个人信息。

“对于企业工商信息的查询而言，其中包含的个人信息是自然人主动公开，公开目的是满足公司法等要求的企业信息公开目的等非商业目的，一旦对这些信息的商业化利用，很有可能会被认为超出了公开目的，依然要履行通知义务。”夏海龙说。

相较于《个人信息保护法》和其它省市的数据条例，《草案》在数据处理者的有效告知义务要求时，增添了更多的诸如文字明晰程度，字体大小等细节规定。第二十条强调，不得使用晦涩难懂、冗长繁琐、难以理解的文字。通过网络方式进行告知的，应当提供简体中文版，文字大小、颜色、清晰度等设置应当便于阅读，访问路径应当便捷。

在用户告知上，21世纪经济报道记者查阅了微信、淘宝、抖音、拼多多等常用APP的隐私协议，基本均实现了向用户告知所收集的信息及信息的存储、安全、如何使用信息、用户权利等内容，但如需落实上述条款的细节要求，还应有更明确标准来判断是否合规。

明确人脸识别运用规范

由于人脸信息作为生物识别信息属于敏感个人信息，人脸识别正在迎来强监管时代。

今年4月，信安标委就国家标准《信息安全技术 人脸识别数据安全要求》征求意见；7月，最高人民法院发布《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》，提出7种处理人脸信息构成侵害人格权益的情形，直接规定物业不得将人脸识别作为进出小区的唯一方式。《个人信息保护法》中将人脸信息纳入敏感个人信息要求重点保护之外，也强调了在公共场所安装图像采集、个人身份识别设备的要求。

除此之外，有关地区也陆续出台有关生物信息保护的条例。杭州、四川等地相继修订发布物业管理条例草案，拟将“不得强制业主通过指纹、人脸识别等生物信息方式使用共用设施设备”纳入条例。

对于个人生物信息的保护，也成为此次《草案》值得关注的重点。

第二十一条规定，处理涉及自然人生物识别信息的数据的，应当具有特定的目的和充分的必要性，并取得自然人的单独同意。处理涉及自然人生物识别信息的数据的，应当同时提供实现该处理目的的其他替代方案，以充分保障自然人的选择权。

取得单独同意，需要企业在实际生活中探索如何落地。此前浙江宁波20家房企被罚203万释放监管讯号——即便设置了采集人脸信息的提示标识，但未经消费者同意仍不能免罚。

第二十二条则着重明确了人脸识别技术的运用规范。指出数据处理者在上海市商场、超市、公园、景区、公共文化体育场馆、宾馆等公共场所，以及居住小区、商务楼宇等区域，安装人脸识别设备的，应当为维护公共安全所必需。

该条款提出在充分保障自然人的知情权上要求，设置显著标识，并以书面或者语音等形式明示告知人脸识别设备应用的责任主体、使用目的、方式、范围、存储时间及技术应用者的联系方式等信息。用语音形式告知责任主体及告知哪些内容等要求，在其它相关立法中鲜少出现。

制定低风险跨境流动数据目录

除了个人信息的保护，对于数据跨境流动的安全，《草案》也结合自身发展现况在浦东新区数据改革章节进行了规定。

第六十七条指出，上海市按照国家相关法律、法规的规定，在临港新片区内探索制定低风险跨境流动数据目录，促进数据跨境安全、自由流动。在临港新片区依法开展跨境数据活动的自然人、法人和非法人组织，应当按照要求报送相关信息。上海市在临港新片区建设离岸数据中心，按照国际协定和法律规定引进境外数据，支持企业开展相关数据处理活动。

上海社科院绿色数字化发展研究中心副秘书长、信息所副研究员范佳佳透露，此次立法“探索制定低风险跨境流动数据目录”这一要求，实际上是对上海长期以来数据跨境制度探索的肯定和推进，在国内也属首次。

2020年8月，商务部印发《全面深化服务贸易创新发展试点总体方案》提出“探索跨境数据流动分类监管模式，开展数据跨境传输安全管理试点”。之后，北京、上海、海南、雄安新区成为试点。同年11月，《上海市全面深化服务贸易创新发展试点实施方案》出台，就推进数据跨境安全有序流动问题，提出探索跨境数据流动分类监管模式，开展数据跨境传输安全管理试点，并明确一系列举措。

“上海自贸试验区临港新片区承担着经济发展、科技创新先行先试的新职能，在国内国际双循环的发展格局下，肩负着积极参与国际合作和竞争的战略使命，是企业走出去发展壮大的重要跳板。”上海社会科学院互联网研究中心主任惠志斌向21世纪经济报道记者表示，临港新片区因此有着数据跨境的强烈需求，需要为跨境企业探索出数据跨境流动的方案。

同时，数据安全在经济全球化的国际背景下面临严峻的挑战，跨境数据的安全则是挑战中的复杂一环。惠志斌提到，我国已在立法层面加紧研究数据跨境的安全办法，例如《网络安全法》《数据安全法》《个人信息保护法》等。当前对数据跨境活动的管理有两个方向的需求，一是防控风险，二是鼓励数据跨境流动。

“临港新片区率先探索制定低风险跨境流动数据目录，实际上是设定好风险范围，让低风险范围内的跨境数据更加自由地流动，便利数据的安全评估流程。”惠志斌说，这一条例如果出台，一方面是压力测试，一旦发现问题也处于可控范围，并能积累经验为完善跨境数据安全流动制度提供指引；另一方面，也为其他省市的跨境数据管理有启示，起到示范性作用。

哪些数据可能会被纳入低风险跨境流动数据目录？在惠志斌看来，临港新片区集聚了很多高新产业，在临港新片区“十四五”规划中也提到要推动智能网联汽车、电子商务、金融等领域数据跨境流通，这一条例会重点在这些行业内进行探索实践。

范佳佳表示，低风险跨境流动数据目录，可以理解为跨境数据的白名单。以汽车数据为例，今年6月国家网信办发布《汽车数据安全管理若干规定（征求意见稿）》，其中第十二条规定，个人信息或者重要数据应当依法在境内存储，确需向境外提供的，应当通过国家网信部门组织的数据出境安全评估。同时，在法条中对个人信息和重要数据范围进行了划分。那么，这两种数据就不可能成为白名单数据。换句话说，这两种数据以外的汽车数据则可以作为低风险跨境流动数据写入目录。