5月28日零点,国家互联网信息办公室发布《数据安全管理办法(征求意见稿)》(下称“征求意见稿”),针对在中国境内利用网络开展数据收集、存储、传输、处理、使用等数据活动,以及数据安全的保护和监督管理做出规定,现向社会公开征求意见。
征求意见稿以个人信息和重要数据为主要管理对象,创新性地提出了备案制要求,并针对默认授权、功能捆绑、爬虫等互联网企业的常见做法做出了约束。有专家指出,一旦通过,《数据安全管理办法》或将成为首个从国家层面针对数据安全管理的综合性部门规章。
1、专家:《办法》法律效力或高于此前的国标与指南
据悉,征求意见稿由国家互联网信息办公室会同相关部门研究起草,适用于在中国境内利用网络开展的数据收集、存储、传输、处理、使用等数据活动,以及数据安全的保护和监督管理(纯粹家庭和个人事务除外)。
征求意见稿分为总则、数据收集、数据处理使用、数据安全监督管理以及附则等五个章节。南都记者注意到,“个人信息”和“重要数据”在文中多次出现,是征求意见稿的重要管理对象。其中:
个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等;
重要数据则是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。
中国信息安全研究院副院长左晓栋分析称,尽管中国目前还没有明确的数据分类,但从一般意义上讲,涉密信息已经有《中华人民共和国保守国家秘密法》来规范,对政府信息也形成了一些约定俗成的规定,但社会层面上的数据安全管理还有所缺失,因此征求意见稿的主要管理对象就是个人信息和重要数据。
但在华东政法大学教授高富平看来,数据安全需要和个人信息区分开来。“《数据安全管理办法》应侧重国家安全、社会安全相关的数据保护,而不是个人信息安全的保护,个人信息安全的保护应该回归到《个人信息保护法》中。”
南都记者梳理发现,此前已经出台过多个针对个人信息的政策文件,比如国家标准《信息安全技术 个人信息安全规范》(下称《规范》)、《互联网个人信息安全保护指南》(下称《指南》)等,而征求意见稿中的部分规定与上述文件有所重合。网络运营者应该如何处理这些文件之间的关系?
“它们效力不一样”,左晓栋解释说,《指南》不是政府的规范性文件,《规范》则是一个推荐性国家标准,效力层级比《指南》高,而《数据安全管理办法》将来可能是作为部门规章发布,显然效力层级比前两份文件都要更高。
2、主体多、对象不定或增加备案执行难度
5月8日,天津市互联网信息办公室发布《天津市数据安全管理办法(暂行)》(征求意见稿)提出建立数据安全信息备案制度,引起学者和企业热议。时隔20天,此次征求意见稿也从国家层面对特定数据提出了备案要求。
征求意见稿规定,网络运营者以经营为目的收集重要数据或个人敏感信息的,应向所在地网信部门备案。备案内容包括收集使用规则,收集使用的目的、规模、方式、范围、类型、期限等,不包括数据内容本身。
对此,中国政法大学传播法研究中心副主任朱巍表示,执行备案制度,一方面可对企业进行合规审核,检查企业管理、使用数据的规则是否有问题;另一方面,当企业发生信息安全事故之后,也可以作为政府监管的抓手,同时避免企业承担更多的责任。
不过,高富平也从可操作性的角度提出了疑虑。他认为,网络运营者的范畴比较广,涉及到的信息主体、数据量会非常大,而且数据具有动态性和时效性,重要数据和个人敏感信息本身的范围也难以确定。“在备案对象不确定、备案主体又很多的情况下,这条规定执行比较难。”他说。
3、停止定向推送后,应删除对应用户的个人信息
无孔不入的精准广告已经成为越来越多用户的困扰。刚和朋友聊旅游,手机转眼就推送机票广告,明明只是在电商平台上搜索过某样商品,打开另一款资讯App却出现该商品的广告;多刷了几则关于某一热点新闻事件的推送,相关推荐全部都是类似新闻……
值得注意的是,征求意见稿此次就针对新闻、广告中的定向推送机制提出较为严格的要求:网络运营者利用用户数据和算法推送新闻信息、商业广告等(以下简称“定向推送”),应当以明显方式标明“定推”字样,为用户提供停止接收定向推送信息的功能。
相比此前的《规范》(修订草案)和《指南》,征求意见稿不但把商业广告纳入了管理范围,并进一步提出新的要求:用户选择停止接收定向推送信息时,应当停止推送,并删除已经收集的设备识别码等用户数据和个人信息。
此外,针对饱受诟病的过度获取手机权限、“一揽子授权”问题,征求意见稿都做出了更加细化的规定。
征求意见稿明确,网络运营者不得以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息。
南都记者注意到,征求意见稿还首次针对“爬虫”问题做出规定:网络运营者采取自动化手段访问收集网站数据,不得妨碍网站正常运行;此类行为严重影响网站运行,如自动化访问收集流量超过网站日均流量三分之一,网站要求停止自动化访问收集时,应当停止。
4、提供“隐私条款”成强制要求
征求意见稿在第二章“数据收集”中规定,网络运营者通过网站、应用程序等产品收集使用个人信息,应当分别制定并公开收集使用规则。仅当用户知悉收集使用规则并明确同意后,网络运营者方可收集个人信息。
南都个人信息保护研究中心去年底发布的《2018年度常用App隐私政策透明度排行榜》显示,1000款常用App中,有21%没有任何隐私条款却仍在收集和使用用户的个人信息,其中不乏爱鲜蜂、韵达速递等人们耳熟能详、下载量较大的App。
虽然征求意见稿没有对收集使用规则的呈现形式做出硬性规定,但上述规定意味着,不提供隐私政策或类似条款就能明目张胆收集用户个人信息的时代已经过去了。
除了本身收集的个人信息以外,征求意见稿还规定,网络运营者从其他途径获得个人信息,与直接收集个人信息负有同等的保护责任和义务。
“有业务关系时,企业会直接采集个人信息,从其他途径如合作企业处或第三方购买数据等途径获取的个人信息”,高富平强调,企业应一视同仁,负起保护责任和义务。他进一步指出,在该条款规定下,当数据发生流动、数据保护的责任主体发生变化时,不会对个人信息造成实质伤害。
左晓栋也提到,企业在实践中可能会从其他渠道间接获得个人信息,但这并不代表企业可以不用顾及用户权益随便使用。“首先获取渠道必须是合法的,其次企业要对所有获得的个人信息尽到收集者的义务,比如用于某一目的时是否征得了用户同意、是否符合与用户的约定等等。”
5、须告知数据安全责任人姓名、联系方式
《中华人民共和国网络安全法》规定,网络运营者应当按照网络安全等级保护制度的要求,制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任。左晓栋指出,“责任落实到人”是网络安全的一贯要求,征求意见稿也不例外。
征求意见稿规定,网络运营者应在收集使用规则中突出网络运营者主要负责人、数据安全责任人的姓名及联系方式。其中数据安全责任人须由具有相关管理工作经历和数据安全专业知识的人员担任,参与有关数据活动的重要决策,直接向网络运营者的主要负责人报告工作。
事实上,不少企业已经开始设立类似的角色——芝麻信用、360均设立了首席隐私官,东航也设立了数据保护官。纵观全球,目前已有上百家企业设立这样的职位,尤其是在首提“数据保护官”概念的欧盟《一般数据管理条例》生效之后。
“这一条的其中一个主要目的是要向用户提供一个畅通的投诉渠道,避免企业各部门间互相推诿”,左晓栋指出,很多企业提供的是客服电话,但很多情况下客服是外包出去的,用户打了投诉电话结果没人管,这条规定能“压实企业责任”。
根据征求意见稿,网络运营者违反本办法规定的,由有关部门依照相关法律、行政法规的规定,根据情节给予公开曝光、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照等处罚;构成犯罪的,依法追究刑事责任。(蒋琳 尤一炜)
【反馈渠道】
公众可通过以下途径和方式提出反馈意见:
1.登陆中国政府法制信息网(网址:http://www.chinalaw.gov.cn),进入首页的“立法意见征集”提出意见。
2.通过电子邮件方式发送至:security@cac.gov.cn。
3.通过信函方式将意见寄至:北京市西城区车公庄大街11号国家互联网信息办公室网络安全协调局,邮编100044,并在信封上注明“数据安全管理办法征求意见”。
意见反馈截止时间为2019年6月28日。
声明:本文来自隐私护卫队,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。