近日，上海市第十五屆人大常委會第三十五次會議對《上海市數據條例（草案）》（簡稱《草案》）進行了審議。

聚焦個人信息保護與數據安全，《草案》在《個人信息保護法》的基礎上作出了進一步的細化延展。

在知情同意方面，《草案》要求處理公開的個人信息數據時，應符合被公開時的用途，超出合理范圍應取得個人同意。在個人生物信息的保護上，提出可以用書面、語音等形式明示告知人臉識別設備應用的責任主體、使用目的、方式等信息。

對于近來備受關注的數據跨境流通，《草案》規定在臨港新片區內探索制定低風險跨境流動數據目錄，這一立法要求在全國屬首次提出。專家表示，這是為跨境數據劃定白名單。

細化知情同意

《草案》專設了個人信息特別保護章節，對備受關注的過度收集信息、用戶“知情同意”、人臉識別、自動化決策等問題作出回應。

在知情同意方面，第十七條明確，收集、使用、加工、交易涉及自然人個人信息的數據的，應當依法保障自然人的知情權。

值得注意的是，該條款還指出，處理涉及自然人公開的個人信息數據的，應當符合該數據被公開時的用途，超出與該用途相關的合理范圍的，應當取得自然人同意。法律、行政法規另有規定的除外。

上海申倫律師事務所律師夏海龍向21世紀經濟報道記者表示，這一條款如果出臺，意味著以企業信息查詢或大數據智能獲客拓客為主營業務的企業可能將面臨合規風險。

據了解，波蘭一家公司曾因從公開渠道獲取個人數據進行商用時未告知個人，而被罰款22萬歐元。

這是一家從公開登記冊和國家法院登記冊收集個人數據的公司，目的是提供公司驗證服務。所涉個人數據是以獨資形式開展業務的企業家數據，包括活躍的企業家和過去開展過業務活動或已暫停業務活動的人員。根據波蘭數據保護局（DPA）的調查，該公司未能遵守GDPR第14條第1至3款規定的職責，在從數據主體以外的來源收集個人數據時，未向數據主體提供所需的信息，違反向數據主體提供信息的義務。該公司出于盈利目的處理了700多萬名獨資企業家的個人數據，僅向約90萬個數據主體發送了有關此處理的個人信息。

“對于企業工商信息的查詢而言，其中包含的個人信息是自然人主動公開，公開目的是滿足公司法等要求的企業信息公開目的等非商業目的，一旦對這些信息的商業化利用，很有可能會被認為超出了公開目的，依然要履行通知義務?！毕暮｝堈f。

相較于《個人信息保護法》和其它省市的數據條例，《草案》在數據處理者的有效告知義務要求時，增添了更多的諸如文字明晰程度，字體大小等細節規定。第二十條強調，不得使用晦澀難懂、冗長繁瑣、難以理解的文字。通過網絡方式進行告知的，應當提供簡體中文版，文字大小、顏色、清晰度等設置應當便于閱讀，訪問路徑應當便捷。

在用戶告知上，21世紀經濟報道記者查閱了微信、淘寶、抖音、拼多多等常用APP的隱私協議，基本均實現了向用戶告知所收集的信息及信息的存儲、安全、如何使用信息、用戶權利等內容，但如需落實上述條款的細節要求，還應有更明確標準來判斷是否合規。

明確人臉識別運用規范

由于人臉信息作為生物識別信息屬于敏感個人信息，人臉識別正在迎來強監管時代。

今年4月，信安標委就國家標準《信息安全技術 人臉識別數據安全要求》征求意見；7月，最高人民法院發布《關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》，提出7種處理人臉信息構成侵害人格權益的情形，直接規定物業不得將人臉識別作為進出小區的唯一方式?！秱€人信息保護法》中將人臉信息納入敏感個人信息要求重點保護之外，也強調了在公共場所安裝圖像采集、個人身份識別設備的要求。

除此之外，有關地區也陸續出臺有關生物信息保護的條例。杭州、四川等地相繼修訂發布物業管理條例草案，擬將“不得強制業主通過指紋、人臉識別等生物信息方式使用共用設施設備”納入條例。

對于個人生物信息的保護，也成為此次《草案》值得關注的重點。

第二十一條規定，處理涉及自然人生物識別信息的數據的，應當具有特定的目的和充分的必要性，并取得自然人的單獨同意。處理涉及自然人生物識別信息的數據的，應當同時提供實現該處理目的的其他替代方案，以充分保障自然人的選擇權。

取得單獨同意，需要企業在實際生活中探索如何落地。此前浙江寧波20家房企被罰203萬釋放監管訊號——即便設置了采集人臉信息的提示標識，但未經消費者同意仍不能免罰。

第二十二條則著重明確了人臉識別技術的運用規范。指出數據處理者在上海市商場、超市、公園、景區、公共文化體育場館、賓館等公共場所，以及居住小區、商務樓宇等區域，安裝人臉識別設備的，應當為維護公共安全所必需。

該條款提出在充分保障自然人的知情權上要求，設置顯著標識，并以書面或者語音等形式明示告知人臉識別設備應用的責任主體、使用目的、方式、范圍、存儲時間及技術應用者的聯系方式等信息。用語音形式告知責任主體及告知哪些內容等要求，在其它相關立法中鮮少出現。

制定低風險跨境流動數據目錄

除了個人信息的保護，對于數據跨境流動的安全，《草案》也結合自身發展現況在浦東新區數據改革章節進行了規定。

第六十七條指出，上海市按照國家相關法律、法規的規定，在臨港新片區內探索制定低風險跨境流動數據目錄，促進數據跨境安全、自由流動。在臨港新片區依法開展跨境數據活動的自然人、法人和非法人組織，應當按照要求報送相關信息。上海市在臨港新片區建設離岸數據中心，按照國際協定和法律規定引進境外數據，支持企業開展相關數據處理活動。

上海社科院綠色數字化發展研究中心副秘書長、信息所副研究員范佳佳透露，此次立法“探索制定低風險跨境流動數據目錄”這一要求，實際上是對上海長期以來數據跨境制度探索的肯定和推進，在國內也屬首次。

2020年8月，商務部印發《全面深化服務貿易創新發展試點總體方案》提出“探索跨境數據流動分類監管模式，開展數據跨境傳輸安全管理試點”。之后，北京、上海、海南、雄安新區成為試點。同年11月，《上海市全面深化服務貿易創新發展試點實施方案》出臺，就推進數據跨境安全有序流動問題，提出探索跨境數據流動分類監管模式，開展數據跨境傳輸安全管理試點，并明確一系列舉措。

“上海自貿試驗區臨港新片區承擔著經濟發展、科技創新先行先試的新職能，在國內國際雙循環的發展格局下，肩負著積極參與國際合作和競爭的戰略使命，是企業走出去發展壯大的重要跳板?！鄙虾Ｉ鐣茖W院互聯網研究中心主任惠志斌向21世紀經濟報道記者表示，臨港新片區因此有著數據跨境的強烈需求，需要為跨境企業探索出數據跨境流動的方案。

同時，數據安全在經濟全球化的國際背景下面臨嚴峻的挑戰，跨境數據的安全則是挑戰中的復雜一環?；葜颈筇岬?，我國已在立法層面加緊研究數據跨境的安全辦法，例如《網絡安全法》《數據安全法》《個人信息保護法》等。當前對數據跨境活動的管理有兩個方向的需求，一是防控風險，二是鼓勵數據跨境流動。

“臨港新片區率先探索制定低風險跨境流動數據目錄，實際上是設定好風險范圍，讓低風險范圍內的跨境數據更加自由地流動，便利數據的安全評估流程?！被葜颈笳f，這一條例如果出臺，一方面是壓力測試，一旦發現問題也處于可控范圍，并能積累經驗為完善跨境數據安全流動制度提供指引；另一方面，也為其他省市的跨境數據管理有啟示，起到示范性作用。

哪些數據可能會被納入低風險跨境流動數據目錄？在惠志斌看來，臨港新片區集聚了很多高新產業，在臨港新片區“十四五”規劃中也提到要推動智能網聯汽車、電子商務、金融等領域數據跨境流通，這一條例會重點在這些行業內進行探索實踐。

范佳佳表示，低風險跨境流動數據目錄，可以理解為跨境數據的白名單。以汽車數據為例，今年6月國家網信辦發布《汽車數據安全管理若干規定（征求意見稿）》，其中第十二條規定，個人信息或者重要數據應當依法在境內存儲，確需向境外提供的，應當通過國家網信部門組織的數據出境安全評估。同時，在法條中對個人信息和重要數據范圍進行了劃分。那么，這兩種數據就不可能成為白名單數據。換句話說，這兩種數據以外的汽車數據則可以作為低風險跨境流動數據寫入目錄。

責任編輯：王超