利用数据进行自动化决策的,应当保证决策的透明度和结果公平合理。
2月7日晚间,广东省政务服务数据管理局发布《广东省公共数据安全管理办法(二次征求意见稿)》,以加强数字政府公共数据安全管理,规范公共数据处理活动,促进数据资源有序开发利用,保护个人、组织的合法权益。
5种情形下,用数单位应主动删除数据
《意见》指出,公共数据安全管理应当坚持安全与发展并重,遵循统筹规划、权责统一、综合防范的原则,保障公共数据依法开放、共享和开发利用。
在组织领导方面,《意见》指出,县级以上人民政府负责组织领导本行政区域内公共数据安全管理工作,协调解决与公共数据安全管理有关的重大问题。
公共管理和服务机构是公共数据安全管理的责任主体,其主要工作报告:明确公共数据安全管理的目标、制度、数据安全责任人和管理机构;按照相关法律、法规、规章的要求编制本机构的公共数据资源目录,加强数据保护;采取措施保障公共数据安全,加强安全管理;法律、法规、规章规定的其他公共数据安全管理职责。
《意见》还专门提及适老适残等无障碍公共服务——公共管理和服务机构提供智能化公共服务,应当充分考虑老年人、残疾人等群体的需求,避免以数据安全为由对群众享受公共服务造成障碍。
数据分类分级规则,其中,省公共数据主管部门牵头制定公共数据分类分级指南,明确分类分级的原则和规则等,特别是重要数据、核心数据的识别及分级保护规则。地级以上市的公共数据主管部门应当根据国家和省公共数据分类分级相关规定,增补本地公共数据的分类分级规则。
公共管理和服务机构应当按照国家网络安全等级保护制度、商用密码应用要求,采取数据脱敏、加密保护、安全认证等安全保护措施,保障公共数据安全。
《意见》提及删除机制——用数单位应当主动删除公共数据;用数单位未删除的,数源部门有权要求限期删除:
公共数据处理目的已实现、无法实现或者为实现公共数据处理目的不再必要;用数单位停止履行职能或者提供服务;公共数据保存期限已届满;用数单位违反法律、法规、规章或者违反约定处理公共数据;法律、法规、规章规定的其他情形。
对收集、存储、加工等数据全生命周期提出要求
值得一提的是,《意见》还对全生命周期数据安全管理,提出了一系列要求。
例如,针对数据收集方面,应当明确收集的目的、范围、用途、渠道等,保证公共数据收集合法、正当,应当采取必要的安全管控措施,确保环境、设施、人员等安全可控。
数据存储方面,应当根据需要采取脱敏、加密、校验等措施,保障公共数据的存储安全。针对重要数据和核心数据,应当建立数据容灾备份及恢复机制。应当依据法律、法规、规章的规定或者约定的方式和期限存储数据。超过存储期限的数据,应当利用不可恢复手段及时清除。
数据使用加工方面,应当采取管控措施确保数据使用加工合规,过程安全可控、可溯源。使用加工重要数据和核心数据的,还应当加强访问控制,建立登记、审批机制并留存记录。
“利用数据挖掘、关联分析等技术手段开展加工处理活动时,应当采取安全技术措施防止敏感个人信息、商业秘密等信息的泄露。利用数据进行自动化决策的,应当保证决策的透明度和结果公平合理。”《意见》指出。
所谓自动化决策,是指“通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动”。通俗来说,自动化决策包括个性化推荐、千人千面等等,提高决策透明度,也就降低了“大数据杀熟”等现象。
北京航空航天大学法学院院长龙卫球认为,利用个人信息进行自动化决策时,应当区分为三个层次:一是要求保证决策透明和结果公正;二是要求通过自动化决策向个人进行信息推送、商业营销,应当同时提供不针对个人特征的选项;三是个人信息处理者自动化决策涉及对个人权益影响的决定时,个人有权要求解释并有权拒绝仅通过自动化决策做出决定。
中国人民大学法学院副教授、中国人民大学未来法治研究院执行院长张吉豫也表示,个人信息应“免受自动化决策权”,同时,应当结合“纯粹人工复查”进行分析,以外卖平台为例,梳理异常场景中涉及的人工干预,结合场景辅以“反事实解释”,为个人提供更科学的决策结果。
【记者】郜小平
【出品】南方产业智库
【作者】 郜小平
南方产业智库