国产成人一区二区三区免费看,欧美亚洲,影音先锋青青AV日韩,试看120秒做受小视频免费,久久综合成人精品亚洲另类欧美,男女啪啪免费观看的AV,日韩精品一区二区三区在线视频,国产一级久久久久毛片精品,日本精品成人一区二区三,尤物AV网址在线观看

Loading
天衡研究
法規(guī)解析 | 《數(shù)據(jù)安全管理辦法》深度解讀

2019-06-18 09:24:00

2019年5月28日零時,國家互聯(lián)網(wǎng)信息辦公室發(fā)布《數(shù)據(jù)安全管理辦法(征求意見稿)》(下稱“征求意見稿”)。由于數(shù)據(jù)監(jiān)管觸及多方利益,《征求意見稿》一經(jīng)發(fā)布,立即引起了廣泛關(guān)注。筆者嘗試對《征求意見稿》的內(nèi)容作出解讀,希望為關(guān)注該領(lǐng)域的企業(yè)和個人提供幫助。

第一  立法依據(jù)

第1條:根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》等法律法規(guī),制定本辦法。

【解讀】此處的“法律法規(guī)”,筆者認(rèn)為除了《網(wǎng)絡(luò)安全法》外,還應(yīng)包括《國家安全法》。同時,我國十三屆全國人大常委會立法規(guī)劃將《個人信息保護(hù)法》和《數(shù)據(jù)安全法》列為“條件比較成熟、任期內(nèi)擬提請審議的法律草案”。如果上述兩部法律在第十三屆全國人大常委會通過后,也將成為《征求意見稿》依據(jù)之一。上述法律的層次順序應(yīng)為:《個人信息保護(hù)法》《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》《國家安全法》。

第二  立法目的

第1條:為了維護(hù)國家安全、社會公共利益,保護(hù)公民、法人和其他組織在網(wǎng)絡(luò)空間的合法權(quán)益,保障個人信息和重要數(shù)據(jù)安全。

【解讀】《征求意見稿》的立法目的如上述所示,筆者建議應(yīng)著重關(guān)注“保障個人信息和重要數(shù)據(jù)安全”的表述,因為《征求意見稿》的內(nèi)容主要圍繞“個人信息”和“重要數(shù)據(jù)”兩方面展開。但令筆者感到困惑的是,根據(jù)第十三屆全國人大常委會立法規(guī)劃要求,“個人信息”和“數(shù)據(jù)安全”將分別以《個人信息保護(hù)法》和《數(shù)據(jù)安全法》的形式出臺,也即法律層面意圖將兩者分開,并制定不同法律?!墩髑笠庖姼濉穮s將兩者融合,正文中大篇幅規(guī)定“個人信息保護(hù)”的內(nèi)容,標(biāo)題卻取“數(shù)據(jù)安全管理辦法”,這在今后立法上是否會出現(xiàn)問題?立法技術(shù)上如何調(diào)和?值得重視。

第三  適用范圍

第2條:在中華人民共和國境內(nèi)利用網(wǎng)絡(luò)開展數(shù)據(jù)收集、存儲、傳輸、處理、使用等活動,以及數(shù)據(jù)安全的保護(hù)和監(jiān)督管理,適用本辦法。純粹家庭和個人事務(wù)除外。法律、行政法規(guī)另有規(guī)定的,從其規(guī)定。

【解讀】如何理解此處的“境內(nèi)”。《電子商務(wù)法》在立法范圍上將原本的“境內(nèi)發(fā)生或者有境內(nèi)電子商務(wù)經(jīng)營主體、消費者參與的電子商務(wù)活動”改為“境內(nèi)的電子商務(wù)活動”,從而擴(kuò)大了法律的適用范圍。參照《電子商務(wù)法》,筆者認(rèn)為《征求意見稿》的“境內(nèi)”適用范圍同樣很廣泛,應(yīng)理解為凡是涉及數(shù)據(jù)安全的,任何情況發(fā)生在境內(nèi)的,都應(yīng)適用該法律。此外,《征求意見稿》將“純粹家庭和個人事務(wù)”排除在外,符合世界上的立法通例,以歐盟為代表的GDPR也是將家庭和個人事務(wù)排除在適用范圍外?!墩髑笠庖姼濉穼?ldquo;法律、行政法規(guī)另有規(guī)定的”排除在外,則是為突發(fā)狀況留下回旋的余地。

第四  適用思路

第4條:國家堅持保障數(shù)據(jù)安全與發(fā)展并重,鼓勵研發(fā)數(shù)據(jù)安全保護(hù)技術(shù),積極推進(jìn)數(shù)據(jù)資源開發(fā)利用,保障數(shù)據(jù)依法有序自由流動。

【解讀】《征求意見稿》主要思路在于:保障安全、鼓勵發(fā)展。

第五  權(quán)力機(jī)關(guān)

(一)監(jiān)管機(jī)關(guān)

第5條:在中央網(wǎng)絡(luò)安全和信息化委員會領(lǐng)導(dǎo)下,國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)、指導(dǎo)監(jiān)督個人信息和重要數(shù)據(jù)安全保護(hù)工作。地(市)及以上網(wǎng)信部門依據(jù)職責(zé)指導(dǎo)監(jiān)督本行政區(qū)內(nèi)個人信息和重要數(shù)據(jù)安全保護(hù)工作。

第33條:網(wǎng)信部門在履行職責(zé)中,發(fā)現(xiàn)網(wǎng)絡(luò)運營者數(shù)據(jù)安全管理責(zé)任落實不到位,應(yīng)按照規(guī)定的權(quán)限和程序約談網(wǎng)絡(luò)運營者的主要負(fù)責(zé)人,督促整改。

【解讀】上述兩條款的規(guī)定分別對應(yīng)《網(wǎng)絡(luò)安全法》第8條和56條。《征求意見稿》在《網(wǎng)絡(luò)安全法》的基礎(chǔ)上,細(xì)化了網(wǎng)信部門在個人信息和重要數(shù)據(jù)安全保護(hù)領(lǐng)域的指導(dǎo)監(jiān)督職能,并規(guī)定網(wǎng)信部門享有“約談”“督促整改”的權(quán)限。

(二)有關(guān)機(jī)關(guān)

第36條:國務(wù)院有關(guān)主管部門為履行維護(hù)國家安全、社會管理、經(jīng)濟(jì)調(diào)控等職責(zé)需要,依照法律、行政法規(guī)的規(guī)定,要求網(wǎng)絡(luò)運營者提供掌握的相關(guān)數(shù)據(jù)的,網(wǎng)絡(luò)運營者應(yīng)當(dāng)予以提供。

國務(wù)院有關(guān)主管部門對網(wǎng)絡(luò)運營者提供的數(shù)據(jù)負(fù)有安全保護(hù)責(zé)任,不得用于與履行職責(zé)無關(guān)的用途。

第37條:網(wǎng)絡(luò)運營者違反本辦法規(guī)定的,由有關(guān)部門依照相關(guān)法律、行政法規(guī)的規(guī)定,根據(jù)情節(jié)給予公開曝光、沒收違法所得、暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或吊銷營業(yè)執(zhí)照等處罰;構(gòu)成犯罪的,依法追究刑事責(zé)任。

【解讀】雖然網(wǎng)信部門是個人信息和重要數(shù)據(jù)安全保護(hù)領(lǐng)域的監(jiān)管部門,但由于數(shù)據(jù)的適用范圍特別廣泛,幾乎人人都會產(chǎn)生數(shù)據(jù)問題,網(wǎng)信部門有限的行政工具無法觸及市場各個角落。因此《征求意見稿》開口子規(guī)定“國家有關(guān)主管部門”基于職責(zé),有要求網(wǎng)絡(luò)運營者提供數(shù)據(jù)的權(quán)力,并在網(wǎng)絡(luò)運營者違法本辦法規(guī)定,有行使行政處罰甚至刑事處罰的權(quán)力,以便適應(yīng)當(dāng)前行政監(jiān)管的實務(wù)現(xiàn)況。

從文本規(guī)定可以看出制定者的無奈和妥協(xié),但筆者不得不指出該條款的規(guī)定過于籠統(tǒng)和概括,不能解決實際問題,甚至?xí)斐尚碌膯栴}。

首先,“國家有關(guān)主管部門”指向不明,容易造成多頭執(zhí)法或者相互扯皮,互不監(jiān)管;

其次,《征求意見稿》對網(wǎng)絡(luò)運營者的條文規(guī)定多達(dá)二十余條,如果網(wǎng)絡(luò)運營者違反此二十多種情形,如何采用包括公開曝光、沒收違法所得、暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或吊銷營業(yè)執(zhí)照等在內(nèi)的行政工具措施,沒有具體說明,賦予了“有關(guān)主管機(jī)關(guān)”極大的自主裁量權(quán)。

再次,“國家有關(guān)主管部門”之間如果缺乏溝通協(xié)作,是否對于網(wǎng)絡(luò)運營者的同一問題,會重復(fù)作出處罰,從而違反“一事不再罰”原則?

最后,監(jiān)管機(jī)關(guān)和有關(guān)部門屬于何種關(guān)系?中央網(wǎng)絡(luò)安全和信息化委員會的法律定性本身就不明晰,讓網(wǎng)信部門作為監(jiān)管部門,其和其他部門如何協(xié)調(diào)辦工?如果確定行政隸屬關(guān)系?

可見,監(jiān)管上存在諸多問題,各種問題都有待厘清。

第六  監(jiān)督對象

第6條:網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照有關(guān)法律、行政法規(guī)的規(guī)定,參照國家網(wǎng)絡(luò)安全標(biāo)準(zhǔn),履行數(shù)據(jù)安全保護(hù)義務(wù),建立數(shù)據(jù)安全管理責(zé)任和評價考核制度,制定數(shù)據(jù)安全計劃,實施數(shù)據(jù)安全技術(shù)防護(hù),開展數(shù)據(jù)安全風(fēng)險評估,制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,及時處置安全事件,組織數(shù)據(jù)安全教育、培訓(xùn)。

【解讀】《征求意見稿》第38條第1款規(guī)定“網(wǎng)絡(luò)運營者,是指網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者。”該規(guī)定主要沿用《網(wǎng)絡(luò)安全法》第76條對網(wǎng)絡(luò)經(jīng)營者的定義。《征求意見稿》的監(jiān)督對象實際上囊括了政府機(jī)關(guān)和非政府機(jī)關(guān),將運用網(wǎng)絡(luò)的相關(guān)者都規(guī)定在內(nèi)。同時,《征求意見稿》規(guī)定監(jiān)督對象要履行上述八大義務(wù)。對于如何履行八大義務(wù),筆者查看相關(guān)資料后發(fā)現(xiàn),《信息安全技術(shù) 個人信息安全規(guī)范》第9點、第10點對于履行“開展數(shù)據(jù)安全風(fēng)險評估”“及時處置安全事件”“組織數(shù)據(jù)安全教育、培訓(xùn)”已有詳細(xì)操作指引,網(wǎng)絡(luò)運營者可按照《規(guī)范》要求操作。
筆者認(rèn)為,上述規(guī)定對《征求意見稿》的立法依據(jù)、立法目的、適用范圍和思路、權(quán)力機(jī)關(guān)和監(jiān)督對象做了解讀,實際上已經(jīng)對《征求意見稿》的整體框架做了梳理。《征求意見稿》第二章“數(shù)據(jù)收集”和第三章“數(shù)據(jù)處理使用”是網(wǎng)絡(luò)經(jīng)營者需履行的八大義務(wù)的細(xì)化規(guī)定,實際上還是在上述框架范疇內(nèi)。

往下筆者將對設(shè)立的“數(shù)據(jù)收集”和“數(shù)據(jù)處理使用”兩章做相應(yīng)的解讀。由于《征求意見稿》主要規(guī)定“個人信息”和“重要數(shù)據(jù)”兩方面的內(nèi)容,在解讀前,筆者認(rèn)為有必要先理清“數(shù)據(jù)”“個人信息”和“重要數(shù)據(jù)”的關(guān)系。根據(jù)《征求意見稿》第38條的規(guī)定,所謂的個人信息,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息;所謂的重要數(shù)據(jù),是指一旦泄露可能直接影響國家安全、經(jīng)濟(jì)安全、社會穩(wěn)定、公共健康和安全的數(shù)據(jù)。其中,重要數(shù)據(jù)一般不包括個人信息。根據(jù)該規(guī)定可以理解為,個人信息和重要數(shù)據(jù)歸屬于數(shù)據(jù)的范疇,同時個人信息和重要數(shù)據(jù)一般互不交叉,并無關(guān)聯(lián),它們?nèi)叩年P(guān)系如下圖所示:
 
數(shù)據(jù)關(guān)系圖
 
在理解了上述關(guān)系圖后,我們就可以知道《征求意見稿》第二章“數(shù)據(jù)收集”和第三章“數(shù)據(jù)處理使用”,實際上主要是指個人信息和重要數(shù)據(jù)的收集和處理使用。

一、數(shù)據(jù)收集

在數(shù)據(jù)的收集上,個人信息和重要數(shù)據(jù)應(yīng)遵循以下要求:

第一  重要數(shù)據(jù)和個人敏感信息要備案

第15條:網(wǎng)絡(luò)運營者以經(jīng)營為目的收集重要數(shù)據(jù)或個人敏感信息的,應(yīng)向所在地網(wǎng)信部門備案。備案內(nèi)容包括收集使用規(guī)則,收集使用的目的、規(guī)模、方式、范圍、類型、期限等,不包括數(shù)據(jù)內(nèi)容本身。

【解讀】最早天津市在出臺《天津市數(shù)據(jù)安全管理辦法(暫行)》(征求意見稿)》時就提出數(shù)據(jù)要備案,其規(guī)定備案的材料應(yīng)包括:“(一)數(shù)據(jù)運營者主體信息;(二)數(shù)據(jù)收集和使用規(guī)則;(三)數(shù)據(jù)收集的目的、方式、范圍、類型等,不包括數(shù)據(jù)本身;(四)采集、傳輸、存儲、處理、使用、保護(hù)個人信息和重要數(shù)據(jù)的應(yīng)用、系統(tǒng)、平臺等資產(chǎn)信息;(五)提供數(shù)據(jù)安全服務(wù)的企業(yè)及其人員、產(chǎn)品、技術(shù)等信息;(六)其他事關(guān)本市數(shù)據(jù)安全保護(hù)工作的信息。”相比之下,《征求意見稿》的備案要求看似較為輕松。然而細(xì)究下去仍會發(fā)現(xiàn),備案存在較多值得思考的地方:

首先,《征求意見稿》所指的“以營利為目的”收集數(shù)據(jù)的網(wǎng)絡(luò)運營者,單指對一手?jǐn)?shù)據(jù)收集的網(wǎng)絡(luò)運營者,還是所有的關(guān)聯(lián)方(包括受委托的數(shù)據(jù)處理者、轉(zhuǎn)讓方、數(shù)據(jù)共享的第三方等)?

其次,如果備案范圍是指所有關(guān)聯(lián)的網(wǎng)絡(luò)運營者,即意味著所有以營利為目的的網(wǎng)絡(luò)運營者都需要備案。此時,如何判斷“所在地網(wǎng)信部門”。因為有時關(guān)聯(lián)方是指某企業(yè)的子公司,甚至是分公司。當(dāng)分公司與總公司分屬不同地域,是否需要多處備案?

最后,由于數(shù)據(jù)的更新迭代快,網(wǎng)絡(luò)運營者收集規(guī)則會因時因地發(fā)生變化,每當(dāng)收集使用的“目的、規(guī)模、方式、范圍、類型、期限”任一要素發(fā)生變化,都需要重新或者更新備案?

第二  網(wǎng)絡(luò)爬蟲收集網(wǎng)站數(shù)據(jù),有底線要求

第16條:網(wǎng)絡(luò)運營者采取自動化手段訪問收集網(wǎng)站數(shù)據(jù),不得妨礙網(wǎng)站正常運行;此類行為嚴(yán)重影響網(wǎng)站運行,如自動化訪問收集流量超過網(wǎng)站日均流量三分之一,網(wǎng)站要求停止自動化訪問收集時,應(yīng)當(dāng)停止。

【解讀】網(wǎng)絡(luò)爬蟲是因應(yīng)網(wǎng)絡(luò)時代海量數(shù)據(jù)無法靠人工收集而產(chǎn)生的工具,它的出現(xiàn)符合網(wǎng)絡(luò)發(fā)展的需要。然而,網(wǎng)絡(luò)爬蟲過度爬取網(wǎng)站平臺的數(shù)據(jù)有時影響了平臺的正常運行,影響平臺的服務(wù)質(zhì)量和水平,甚至有時會造成不正當(dāng)競爭。基于此種考慮,《征求意見稿》以“自動化訪問收集流量不得超過網(wǎng)站日均流量三分之一”作為網(wǎng)絡(luò)爬蟲爬取數(shù)據(jù)的紅線,可有效平衡雙方的利益,筆者認(rèn)為,該做法值得肯定。

第三  以經(jīng)營為目的收集數(shù)據(jù),要明確數(shù)據(jù)安全責(zé)任人

第17條:網(wǎng)絡(luò)運營者以經(jīng)營為目的收集重要數(shù)據(jù)或個人敏感信息的,應(yīng)當(dāng)明確數(shù)據(jù)安全責(zé)任人。數(shù)據(jù)安全責(zé)任人由具有相關(guān)管理工作經(jīng)歷和數(shù)據(jù)安全專業(yè)知識的人員擔(dān)任,參與有關(guān)數(shù)據(jù)活動的重要決策,直接向網(wǎng)絡(luò)運營者的主要負(fù)責(zé)人報告工作。

第18條:數(shù)據(jù)安全責(zé)任人履行下列職責(zé):

(一)組織制定數(shù)據(jù)保護(hù)計劃并督促落實;
(二)組織開展數(shù)據(jù)安全風(fēng)險評估,督促整改安全隱患;
(三)按要求向有關(guān)部門和網(wǎng)信部門報告數(shù)據(jù)安全保護(hù)和事件處置情況;
(四)受理并處理用戶投訴和舉報。

網(wǎng)絡(luò)運營者應(yīng)為數(shù)據(jù)安全責(zé)任人提供必要的資源,保障其獨立履行職責(zé)。

【解讀】歐盟GDPR規(guī)定一般情況下企業(yè)人數(shù)超過250人的應(yīng)設(shè)置數(shù)據(jù)保護(hù)官,專職負(fù)責(zé)企業(yè)的數(shù)據(jù)合規(guī)問題。自GDPR生效實施后,歐盟產(chǎn)生了幾十萬數(shù)據(jù)保護(hù)官。我國某些大型企業(yè)在《征求意見稿》未出臺前,也已設(shè)立數(shù)據(jù)安全負(fù)責(zé)人的崗位。筆者相信在《征求意見稿》正式發(fā)布實施后,企業(yè)的數(shù)據(jù)安全責(zé)任人的崗位將炙手可熱。

個人信息和重要數(shù)據(jù)除了上述幾點要求外,《征求意見稿》還專門對個人信息的收集規(guī)定了額外的要求。

第一  制定收集使用規(guī)則

第7條:網(wǎng)絡(luò)運營者通過網(wǎng)站、應(yīng)用程序等產(chǎn)品收集使用個人信息,應(yīng)當(dāng)分別制定并公開收集使用規(guī)則。收集使用規(guī)則可以包含在網(wǎng)站、應(yīng)用程序等產(chǎn)品的隱私政策中,也可以其他形式提供給用戶。

第8條:收集使用規(guī)則應(yīng)當(dāng)明確具體、簡單通俗、易于訪問,突出以下內(nèi)容:

(一)網(wǎng)絡(luò)運營者基本信息;
(二)網(wǎng)絡(luò)運營者主要負(fù)責(zé)人、數(shù)據(jù)安全責(zé)任人的姓名及聯(lián)系方式;
(三)收集使用個人信息的目的、種類、數(shù)量、頻度、方式、范圍等;
(四)個人信息保存地點、期限及到期后的處理方式;
(五)向他人提供個人信息的規(guī)則,如果向他人提供的;
(六)個人信息安全保護(hù)策略等相關(guān)信息;
(七)個人信息主體撤銷同意,以及查詢、更正、刪除個人信息的途徑和方法;
(八)投訴、舉報渠道和方法等;
(九)法律、行政法規(guī)規(guī)定的其他內(nèi)容。

第9條:如果收集使用規(guī)則包含在隱私政策中,應(yīng)相對集中,明顯提示,以方便閱讀。另僅當(dāng)用戶知悉收集使用規(guī)則并明確同意后,網(wǎng)絡(luò)運營者方可收集個人信息。

第10條:網(wǎng)絡(luò)運營者應(yīng)當(dāng)嚴(yán)格遵守收集使用規(guī)則,網(wǎng)站、應(yīng)用程序收集或使用個人信息的功能設(shè)計應(yīng)同隱私政策保持一致,同步調(diào)整。

【解讀】《征求意見稿》規(guī)定網(wǎng)絡(luò)經(jīng)營者在網(wǎng)站和應(yīng)用程序上應(yīng)分別制定收集使用規(guī)則,收集使用規(guī)則既可以在隱私政策中集中展示,也可以別的方式,例如在用戶協(xié)議中展示。收集使用規(guī)則應(yīng)隨著網(wǎng)站或者應(yīng)用程序的功能設(shè)計同步調(diào)整,并具體列舉了收集使用規(guī)則應(yīng)規(guī)定的內(nèi)容。

其中,特別值得關(guān)注的點在于,《網(wǎng)絡(luò)安全法》第46條,《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》第2條規(guī)定“網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位在業(yè)務(wù)活動中收集、使用公民個人電子信息,應(yīng)當(dāng)……,并經(jīng)被收集者同意”。筆者認(rèn)為此處的“同意”并非收集信息的充分必要條件,而《征求意見稿》對于個人信息收集的表述為“僅當(dāng)用戶明確同意收集規(guī)則后,網(wǎng)絡(luò)經(jīng)營者才能收集個人信息”,此時,“同意”成為網(wǎng)絡(luò)運營者收集信息的充分必要條件。須知,即使被稱為史上最嚴(yán)的GDPR,其規(guī)定除了用戶同意外,網(wǎng)絡(luò)經(jīng)營者還可以基于用戶的重大利益考慮、雙方簽訂合同、為履行法定義務(wù)等其他條件收集用戶信息。同時,《征求意見稿》第27條規(guī)定網(wǎng)絡(luò)經(jīng)營者在向他人提供個人信息除了用戶同意外,也有例外條款規(guī)定。唯獨在收集個人信息上,僅當(dāng)用戶同意才可以收集,《征求意見稿》設(shè)置的條件是否過于嚴(yán)苛,值得深入探討。

同時,《征求意見稿》第8條還規(guī)定收集使用規(guī)則應(yīng)規(guī)定“個人信息主體撤銷同意,以及查詢、更正、刪除個人信息的途徑和方法”,結(jié)合《征求意見稿》第14條“網(wǎng)絡(luò)運營者從其他途徑獲得個人信息,與直接收集個人信息負(fù)有同等的保護(hù)責(zé)任和義務(wù)”理解,筆者認(rèn)為該條款有諸多值得商榷的地方。

首先,網(wǎng)絡(luò)運營者對于自身收集的個人信息及從其他途徑收集的個人信息負(fù)有同等保護(hù)義務(wù),是否意味著個人信息主體既有權(quán)查詢、更正、刪除網(wǎng)絡(luò)經(jīng)營者基于自身收集的個人信息,也有權(quán)查詢、更正、刪除網(wǎng)絡(luò)經(jīng)營者從其他途徑收集的個人信息?

其次,目前法律,尤其會計、金融類的法律規(guī)定,某些個人信息需作工作底稿備份或者保存5年、10年時間。如果此時允許個人信息主體刪除個人信息,法律之間的沖突如何協(xié)調(diào)?雖然《征求意見稿》第21條規(guī)定“網(wǎng)絡(luò)運營者收到有關(guān)個人信息查詢、更正、刪除以及用戶注銷賬號請求時,應(yīng)當(dāng)在合理時間和代價范圍內(nèi)予以查詢、更正、刪除或注銷賬號”,但是如何理解此處的“合理時間”和“代價范圍”?《App違法違規(guī)收集使用個人信息行為認(rèn)定方法(征求意見稿)》規(guī)定刪除時間無約定的,以15個工作日為限,《信息安全技術(shù) 個人信息安全規(guī)范》規(guī)定的合理時長為30日。可見“合理時間”目前并未有統(tǒng)一設(shè)置的標(biāo)準(zhǔn),同樣的,“代價范圍”的概念也并不明確。因此如何在立法層面理清該問題也值得討論。

再次,由于個人信息有時雜糅著他人信息,例如社交上的聊天記錄,既有個人信息又包含他人信息,這種情況下如何查詢、更正以及刪除個人信息?在查詢、更正甚至刪除個人信息的同時,是否涉及侵犯他人隱私的問題?
最后,目前國內(nèi)中小企業(yè)是否有足夠的技術(shù)條件,能處理用戶的查詢、更正和刪除問題?特別是在中美貿(mào)易戰(zhàn)的背景下,是否會給國內(nèi)企業(yè)帶來更大的成本壓力,有考慮的必要。

此外,在收集使用規(guī)則的內(nèi)容設(shè)定上,《征求意見稿》第8條規(guī)定應(yīng)設(shè)定個人信息的保存地點、期限和到期后的處理方式,同時在《征求意見稿》第19條和第20條規(guī)定保存信息應(yīng)參照國家標(biāo)準(zhǔn),不得超過必要期限,到期后應(yīng)及時刪除或作匿名化處理,該類規(guī)定實際上主要參鑒了《網(wǎng)絡(luò)安全法》和《信息安全技術(shù) 個人信息安全規(guī)范》的內(nèi)容,這里不再贅言。

第二  區(qū)分核心業(yè)務(wù)功能和附加業(yè)務(wù)功能

第11條:網(wǎng)絡(luò)運營者不得以改善服務(wù)質(zhì)量、提升用戶體驗、定向推送信息、研發(fā)新產(chǎn)品等為由,以默認(rèn)授權(quán)、功能捆綁等形式強(qiáng)迫、誤導(dǎo)個人信息主體同意其收集個人信息。

個人信息主體同意收集保證網(wǎng)絡(luò)產(chǎn)品核心業(yè)務(wù)功能運行的個人信息后,網(wǎng)絡(luò)運營者應(yīng)當(dāng)向個人信息主體提供核心業(yè)務(wù)功能服務(wù),不得因個人信息主體拒絕或者撤銷同意收集上述信息以外的其他信息,而拒絕提供核心業(yè)務(wù)功能服務(wù)。

【解讀】根據(jù)《信息安全技術(shù) 個人信息安全規(guī)范》附錄C規(guī)定:常見的附加業(yè)務(wù)功能有提高產(chǎn)品(或服務(wù))的使用體驗等。可見,網(wǎng)絡(luò)運營者所提出的改善服務(wù)質(zhì)量、提升用戶體驗、定向推送信息、研發(fā)新產(chǎn)品的理由只是產(chǎn)品的附加功能,即使不同意授權(quán),也不會影響產(chǎn)品核心功能的運行。而正如《關(guān)于開展App違法違規(guī)收集使用個人信息專項治理的公告》所指出,目前市面上大量APP正是以改善服務(wù)質(zhì)量、提升用戶體驗、定向推送信息、研發(fā)新產(chǎn)品等附加功能業(yè)務(wù)為借口強(qiáng)制用戶授權(quán)、過度索權(quán)。《征求意見稿》第11條的規(guī)定正是為了切斷網(wǎng)絡(luò)經(jīng)營者的無理理由,并對這種情況做出了核心功能業(yè)務(wù)和附加功能業(yè)務(wù)的區(qū)分。

《征求意見稿》規(guī)定對于附加功能業(yè)務(wù),網(wǎng)絡(luò)運營者不得強(qiáng)制授權(quán)、過度索權(quán);對于核心功能業(yè)務(wù),收集數(shù)據(jù)時要遵循最小必要原則,不得因?qū)τ脩羰占畔⒌牟煌扇r值歧視或者質(zhì)量歧視。該條款的規(guī)定正式在法律層面區(qū)分了核心功能業(yè)務(wù)和附加功能業(yè)務(wù),值得肯定。美中不足之處在于,該規(guī)定并未就“核心功能業(yè)務(wù)”和“附加功能業(yè)務(wù)”作出明確的概念界定。如果下次網(wǎng)絡(luò)運營者回避上述四種情況,采用另一理由收集個人信息,由于缺乏具體概念的界定,用戶仍然無法判斷此種理由是否屬于附加功能業(yè)務(wù),仍可能遭受強(qiáng)制授權(quán)。

二、數(shù)據(jù)處理使用

在數(shù)據(jù)處理使用上,《征求意見稿》對數(shù)據(jù)的保存、使用和共享主要沿用《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》、《網(wǎng)絡(luò)安全法》、《App違法違規(guī)收集使用個人信息行為認(rèn)定方法(征求意見稿)》、《App違法違規(guī)收集使用個人信息自評估指南》、《信息安全 技術(shù)個人信息安全規(guī)范》等法律法規(guī)及標(biāo)準(zhǔn)的規(guī)定。因此,對于相同部分,筆者將不再解讀,筆者主要解讀《征求意見稿》的創(chuàng)新之處。

第一  定向推送

第23條:網(wǎng)絡(luò)運營者利用用戶數(shù)據(jù)和算法推送新聞信息、商業(yè)廣告等,應(yīng)當(dāng)以明顯方式標(biāo)明‘定推’字樣,為用戶提供停止接收定向推送信息的功能;用戶選擇停止接收定向推送信息時,應(yīng)當(dāng)停止推送,并刪除已經(jīng)收集的設(shè)備識別碼等用戶數(shù)據(jù)和個人信息。網(wǎng)絡(luò)運營者開展定向推送活動應(yīng)遵守法律、行政法規(guī),尊重社會公德、商業(yè)道德、公序良俗,誠實守信,嚴(yán)禁歧視、欺詐等行為。

【解讀】《信息安全技術(shù) 個人信息安全規(guī)范》(草案)7.4條規(guī)定了“個性化展示及退出”的內(nèi)容,其規(guī)定定向推送應(yīng)標(biāo)明“定推”等字樣,并且禁止大數(shù)據(jù)殺熟?!墩髑笠庖姼濉吩谠撘?guī)定的基礎(chǔ)上,進(jìn)一步規(guī)定定向推送不得違反公序良俗等規(guī)定,在明顯地方顯示“定推”字樣時,還應(yīng)附有停止推送的功能,并且當(dāng)用戶選擇停止推送后,網(wǎng)絡(luò)運營者不僅應(yīng)停止推送,還應(yīng)刪除用戶的個人信息。該規(guī)定設(shè)置了“定向推送”的紅線,其與網(wǎng)絡(luò)爬蟲條款的立法思路一致,以利益平衡,保障安全與鼓勵發(fā)展為導(dǎo)向,筆者認(rèn)為該思路值得肯定。

第二  自動化洗稿

第24條:網(wǎng)絡(luò)運營者利用大數(shù)據(jù)、人工智能等技術(shù)自動合成新聞、博文、帖子、評論等信息,應(yīng)以明顯方式標(biāo)明‘合成’字樣;不得以謀取利益或損害他人利益為目的自動合成信息。

【解讀】當(dāng)前的互聯(lián)網(wǎng)生態(tài)魚龍混雜,“網(wǎng)絡(luò)水軍”大量存在,最常見的是娛樂圈明星粉絲為支持明星,買水軍上熱搜。為了規(guī)范互聯(lián)網(wǎng)生態(tài)治理,《征求意見稿》規(guī)定不得以“謀取利益或損害他人利益為目的自動合成信息”,并且自動合成信息應(yīng)標(biāo)明“合成”字樣。該規(guī)定將有力地打擊互聯(lián)網(wǎng)的黑色灰色交易,規(guī)范互聯(lián)網(wǎng)生態(tài),筆者認(rèn)為該做法值得肯定。

第三  信息制作者身份標(biāo)明

第25條:網(wǎng)絡(luò)運營者應(yīng)采取措施督促提醒用戶對自己的網(wǎng)絡(luò)行為負(fù)責(zé)、加強(qiáng)自律,對于用戶通過社交網(wǎng)絡(luò)轉(zhuǎn)發(fā)他人制作的信息,應(yīng)自動標(biāo)注信息制作者在該社交網(wǎng)絡(luò)上的賬戶或不可更改的用戶標(biāo)識。

【解讀】當(dāng)前的網(wǎng)絡(luò)環(huán)境存在以下問題,第一,博眼球、搶流量的問題突出。無論是互聯(lián)網(wǎng)媒體還是自媒體,為了吸引關(guān)注度,推送的新聞消息真實度存疑,甚至謠言亂飛。第二,由于網(wǎng)絡(luò)環(huán)境缺乏必要的監(jiān)管,加上網(wǎng)民的版權(quán)保護(hù)意識薄弱,有些人甚至明知侵犯別人版權(quán),但仍借助網(wǎng)絡(luò)難以追蹤定位個人信息,肆意侵犯他人的勞動成果。針對上述現(xiàn)象,《征求意見稿》規(guī)定,用戶轉(zhuǎn)發(fā)他人的信息時,應(yīng)標(biāo)注用戶標(biāo)識。筆者認(rèn)為,該規(guī)定有利于監(jiān)管機(jī)構(gòu)溯源追蹤,打擊謠言的肇事者,同時也有利于保障版權(quán)人的合法權(quán)益,在某種程度上值得肯定。但同時,對于當(dāng)前的技術(shù)能否達(dá)到準(zhǔn)確標(biāo)明信息制作者身份,筆者表示懷疑。須知個人的網(wǎng)絡(luò)賬號、昵稱都是可以改變的,《征求意見稿》也規(guī)定個人信息主體有更正個人信息的權(quán)利,因此如何信息制作者“不可更改”的身份?最后的結(jié)果會不會淪為實名化登記?眾所周知,實名化登記問題一直是社會上最為敏感的話題,一旦觸及該問題,將引發(fā)一系列的后續(xù)問題。因此,信息制作者身份標(biāo)明如何處理,還有待進(jìn)一步研究。

第四  第三方應(yīng)用責(zé)任歸屬

第30條:網(wǎng)絡(luò)運營者對接入其平臺的第三方應(yīng)用,應(yīng)明確數(shù)據(jù)安全要求和責(zé)任,督促監(jiān)督第三方應(yīng)用運營者加強(qiáng)數(shù)據(jù)安全管理。第三方應(yīng)用發(fā)生數(shù)據(jù)安全事件對用戶造成損失的,網(wǎng)絡(luò)運營者應(yīng)當(dāng)承擔(dān)部分或全部責(zé)任,除非網(wǎng)絡(luò)運營者能夠證明無過錯。

【解讀】所謂的“第三方應(yīng)用”,是指APP運營商為了快速積累用戶資源,與開放平臺簽訂《開發(fā)者協(xié)議》,通過開放平臺的應(yīng)用編程接口(OpenAPI)接入平臺,在成為平臺生態(tài)圈組成部分的同時,利用雙方的段位差,將平臺的用戶流量順勢導(dǎo)入自己的應(yīng)用程序,這些APP運營商就被稱為“第三方應(yīng)用”。

想起“第三方應(yīng)用”,一般會讓人想起近期發(fā)生的“頭騰大戰(zhàn)”,在“頭騰大戰(zhàn)”中,法院在實務(wù)中確立了“三重授權(quán)”的法律規(guī)則,認(rèn)可了平臺經(jīng)營者對用戶數(shù)據(jù)享有商業(yè)權(quán)利。此次《征求意見稿》規(guī)定第三方應(yīng)用的責(zé)任原則上歸屬于平臺經(jīng)營者,筆者認(rèn)為立法者背后的立法邏輯跟“頭騰大戰(zhàn)”確定的“三重授權(quán)”規(guī)則有關(guān)。立法者的立法邏輯在于,既然實務(wù)中確定了平臺經(jīng)營者對用戶數(shù)據(jù)享有商業(yè)權(quán)利,那么平臺經(jīng)營者就應(yīng)當(dāng)承擔(dān)更大的審慎監(jiān)管義務(wù),第三方應(yīng)用如果出現(xiàn)侵犯用戶數(shù)據(jù)的情況,就應(yīng)當(dāng)由平臺經(jīng)營者承擔(dān)責(zé)任。也即立法者肯認(rèn)了實務(wù)中確定的判決規(guī)則,并以該判決規(guī)則作出立法的前提條件,以此規(guī)定該法律條款。

針對該條款,筆者認(rèn)為雖然《征求意見稿》將主要責(zé)任歸咎于平臺經(jīng)營者,但由于平臺經(jīng)營者在和第三方應(yīng)用的談判中本身屬于強(qiáng)勢地位,平臺經(jīng)營者容易把它在《征求意見稿》承受的壓力轉(zhuǎn)接給第三方應(yīng)用,即會在《開發(fā)者協(xié)議》上對第三方應(yīng)用規(guī)定諸多限制和條件。當(dāng)然,如果此種限制和條件是有助于第三方應(yīng)用合規(guī)處理數(shù)據(jù),那么該規(guī)定將有利于互聯(lián)網(wǎng)平臺生態(tài)圈的繁榮,但如果第三方應(yīng)用因受到諸多限制和條件而難以蓬勃發(fā)展,筆者認(rèn)為,該規(guī)定將可能會限制互聯(lián)網(wǎng)的興盛發(fā)展。

小結(jié)

《數(shù)據(jù)安全管理辦法(征求意見稿)》從部門規(guī)章的層面對數(shù)據(jù)的收集、使用、處理等環(huán)節(jié)作出了諸多創(chuàng)新和突破,是數(shù)據(jù)管理安全上具有里程碑意義的新跨越。同時,正如前文所述,《數(shù)據(jù)安全管理辦法(征求意見稿)》也存在不少問題,正式稿將對該規(guī)定做何改變和調(diào)整,有待進(jìn)一步觀察。