範佳佳以《個人信息保護法》草案舉例,第6條規定“處理個人信息應當具有明確、合理的目的,并應當限於實現處理目的所必要的最小範圍、采取對個人權益影響最小的方式,不得進行與處理目的無關的個人信息處理”只提出了個人信息處理最小必要原則,沒有具體細化。
“深圳立法則針對這條列出了5種主要情形,要求個人數據處理者只處理與處理目的直接相關或處理目的所必須的個人數據種類、範圍、頻率、數量、授權範圍。嚴格落實個保法要求,體現了深圳立法的實用性和可操作性。”範佳佳認為,如果不具體要求這5種情形,在現實中易有“打擦邊球”的可能,對數據處理者的合規性審查和評估也較難落實。
不過,《條例(征求意見稿)》參考《個人信息保護法(二次審議稿)》以及國家推薦性標准《信息安全技術個人信息安全規範》等規定對個人數據作出的相關明確,在不少學者專家眼裡仍存爭議。
“將個人信息等同於個人數據,是此次立法最大的遺憾。”對外貿易大學數字經濟與法律創新研究中心執行主任許可認為,在《條例(征求意見稿)》中,以數據為名規定了大量個人信息的內容,有的條例甚至將“數據”二字幾乎直接替換了《個人信息保護法》草案中相關信息的表述,如對敏感個人數據的規定。這些在未來的法律適用中會引起體系性的紊亂。
許可介紹,在我國的頂層立法上,對於個人信息保護與數據利用分為了兩種路徑,分別適用於即將出台的《個人信息保護法》及《數據安全法》。例如,《數據安全法》草案的附則中要求,開展涉及個人信息的數據活動應遵守有關法律、行政法規的規定,清楚劃分了不同法律的規範對象。
從“數據權”到“數據權益”
去年,深圳數據暫行條例征求意見稿創設“數據權”這一新的權利類型引發各界討論,同時帶來了關於數據權屬的爭議。 |
