近日,为确保合法、公正、透明地处理个人数据,上海数据交易中心对外发布了《个人数据保护原则》,意在保障数据主体的合法权益,构建安全有序的数据交易环境。该原则是上海数据交易中心继参与建立大数据安全流通公约之后,在数据流通安全方面,结合实际应用进行探索的成果之一。
《个人数据保护原则》规定,一切开展数据交易业务的个人与组织(包括服务提供方),在收集、使用个人信息时,都应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围。在保证数据的收集、使用合法的基础上,《个人数据保护原则》强调了对数据主体的身份保护,确保进行共享和流通的数据已经去除可识别身份标识,在任何情况下都不允许交易方擅自公开或向第三人提供带有身份标识的个人数据。
为确保个人数据在有效时间和特定场景的合法使用,《个人数据保护原则》要求所有进入流通的个人数据都是为特定应用或特定目的而处理的。并且数据接受人只能按合同限定的目的、范围、方式和期限使用个人数据,不能够对个人数据再识别。当数据按照合同约定被使用完毕后,数据使用人应当将合同所涉及的个人数据销毁处理。
针对数据交易中较敏感的隐私问题,《个人数据保护原则》坚持公开、安全的原则,要求数据持有人制定并公开有关个人数据处理行为和操作规则的隐私政策,建立隐私风险内控制度和合规审计制度,并须注意防范未经授权的访问、修改和泄露等风险。当数据处理行为可能会对个人的隐私和其他权益产生高风险时,数据持有人应当在处理前对该处理行为进行隐私风险评估。为保证隐私保护的有效执行,大规模个人数据的数据持有人和数据处理者应当指定一名隐私保护专员,负责内部数据管理和外部联络事务,并公开其有效联系方式。
在维权和责任归属的方面,《个人数据保护原则》指出,数据持有人应具备隐私风险投诉响应机制,积极处理数据主体提出的个人隐私风险和侵害的投诉。一旦出现个人数据泄露事故,数据持有人应当及时通知有关个人并采取补救措施;若当事人的隐私权益无法恢复,则应给予适当赔偿。同时,数据持有人应当对其所有的个人数据处理和流通行为的合规性负责。
在信息时代,大数据应用既是一项新兴产业,又是产业转型升级和经济创新的引擎。而目前中国数据交易市场尚处于探索阶段,上海数据交易中心致力于通过规范数据的流通和利用,保护数据主体的权利,探索推动数据流通交易市场合规有序健康发展。 
