《上海市数据条例》与《个保法》对比分析

引言

随着《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》的陆续发布和生效，上海市也结合本市的实际情况制定了《上海市数据条例》。2021年11月25日，上海市第十五届人大常委会第三十七次会议表决通过了《上海市数据条例》，该条例将于2022年1月1日起正式生效。为相关法律法规提供了具体的落地补充，也为上海市的城市数据化建设提供了基础性制度保障。

本文主要通过在个人信息保护方面的解读，对照《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》），让大家能更加深入的了解《上海市数据条例》（以下简称《条例》）在个人信息保护方面的核心理念。

02 共性部分

1. 知情同意

个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；个人明确拒绝的除外。个人信息处理者处理已公开的个人信息，对个人权益有重大影响的，应当依照本法规定取得个人同意。

除法律、行政法规另有规定外，处理个人信息的，应当取得个人同意。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。

个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；个人明确拒绝的除外。个人信息处理者处理已公开的个人信息，对个人权益有重大影响的，应当依照本法规定取得个人同意。

基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。

个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务；处理个人信息属于提供产品或者服务所必需的除外。

2. 信息公示

个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：

（一）个人信息处理者的名称或者姓名和联系方式；

（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；

（三）个人行使本法规定权利的方式和程序；

（四）法律、行政法规规定应当告知的其他事项。

个人发现其个人信息不准确或者不完整的，有权请求处理者更正、补充。

3. 删除响应

有下列情形之一的，处理者应当主动删除个人信息；处理者未删除的，个人有权请求删除：

（一）处理目的已实现、无法实现或者为实现处理目的不再必要；

（二）处理者停止提供产品或者服务，或者保存期限已届满；

（三）个人撤回同意；

（四）处理者违反法律、行政法规或者违反约定处理个人信息；

（五）法律、行政法规规定的其他情形。

4. 信息收集和处理

在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的；取得个人单独同意的除外。

个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

03 有区别的部分

1. 制定依据&目的

《个人信息保护法》为了保护个人信息权益，规范个人信息处理活动，根据宪法制定。《条例》依法保护个人信息享有的人格权益，引入了《民法典》的人格权。

2. 适用范围

《个人信息保护法》全国，或境外处理境内自然人个人信息。《条例》上海市。

3. 法律地位

《个人信息保护法》属于上位法。《条例》属于地方法规文件。

4. 《条例》中其他补充完善部分

● 二者均要求合法、正当的收集数据，目的范围明确，取得个人同意。《条例》中第十六条要求市、区人民政府及其有关部门可以依法要求相关自然人、法人和非法人组织提供突发事件处置工作所必需的数据。要求自然人、法人和非法人组织提供数据的，应当在其履行法定职责的范围内依照法定的条件和程序进行，并明确数据使用的目的、范围、方式、期限。收集的数据不得用于与突发事件处置工作无关的事项。对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等应当依法予以保密，不得泄露或者非法向他人提供。

● 第十七条还要求自然人、法人和非法人组织开展数据处理活动、行使相关数据权益，应当遵守法律、法规，尊重社会公德和伦理，遵守商业道德，诚实守信，不得危害国家安全和公共利益，不得损害他人的合法权益。

● 《个人信息保护法》中第十条要求任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动。《条例》中第十五条自然人、法人和非法人组织可以依法开展数据交易活动。法律、行政法规另有规定的除外。

● 在获得个人同意方面《条例》中第十八条中增加了不得违背其真实意愿的方式取得同意。

● 《条例》中新增了对生物识别信息的要求，第二十二条，处理自然人生物识别信息的，应当具有特定的目的和充分的必要性，并采取严格的保护措施。处理生物识别信息应当取得个人的单独同意；法律、行政法规另有规定的，从其规定。

● 在公共场所图像采集方面，《条例》中第二十三条中要求在本市商场、超市、公园、景区、公共文化体育场馆、宾馆等公共场所，以及居住小区、商务楼宇等区域，安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著标识。所收集的个人图像、身份识别信息，只能用于维护公共安全的目的，不得用于其他目的；取得个人单独同意的除外。本条第一款规定的公共场所或者区域，不得以图像采集、个人身份识别技术作为出入该场所或者区域的唯一验证方式。

● 在自动化决策方面，《条例》中第二十四条中新增应当遵循合法、正当、必要、诚信的原则。

● 除上述不同点之前，《条例》中还明确提及了首席数据官概念。从制度上明确了数据相关责任人。

04 总结

《条例》中关于数据权益保障的内容，首先明确保障了自然人、法人和非法人组织在数据处理活动中的相关合法权益；其次设立了专门的章节，加强个人信息保护的内容和细化了管理范围。为地方数据要素主体市场的形成，提供了更依法有序的管理体系。

总体来看，《个人信息保护法》与《条例》中关于个人信息保护的部分做到了协调一致，《条例》的发布，从大力发展数字经济的角度出发，紧扣以规范促发展的主题，体现了以保护促发展利用，聚焦数据的权益保障，流通利用和安全管理等重点内容。特别是在个人信息保护和利用层面的细化补充，对促进国家相关法律法规的贯彻落实，进一步培育数据要素市场、促进了数据资源开发和应用创造了有利的条件。

（全知科技（杭州）有限责任公司 邵德强、田乐）

声明：本文来自CCIA数据安全工作委员会，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。