对近期公开征求意见的《数据安全管理办法》,数据保护官(DPO)社群于6月14日举办了一次沙龙集中讨论。现场讨论的具体情况,见【DPO沙龙纪实:厘清《数据安全管理办法》中的重点条款】
以下是DPO社群在现场讨论中的部分认识:
针对《数据安全管理办法》,我们理解监管部门制定该办法的初衷,在于保护作为“国家基础性战略资源”的数据。在中央政府看来,数据的重要性,实际上高于土地、草原、稀土等“战略资源”。总书记也曾专门提出:强化国家关键数据资源保护能力。
目前,对于数据安全最权威、完整的法律规定,来自于《网络安全法》。《网络安全法》对数据安全提出了三个层次的要求。
但《网络安全法》的规定过于原则,在某些方面也不甚完整,突出体现:
从这个角度来说,《数据安全管理办法》沿着《网络安全法》建立的三个层次,分别进行细化和增强:
此外,《数据安全管理办法》还针对时下非常突出的数据滥用问题(“新”数据安全问题),作出了非常有针对性的规定:
DPO社群非常认可监管部门完善数据安全管理框架和规则体系的努力。对一线从事数据安全保护工作的人员来说,《数据安全管理办法》,特别是其中关于“数据安全管理负责人”的相关规定,意味着更明确的监管要求、内部工作中更有力的抓手。同时DPO社群认识到,《数据安全管理办法》中提出的监管要求源自于政府部门实际碰见的突出问题,从中央到相关主管部门均已下定决心拿出解决方案。在此前提下,从平衡产业发展和增强《数据安全管理办法》可操作性和可落地性的角度,参与此次沙龙的DPO社群成员着重对办法中部分条文展开深入讨论。
以下是公号君本人在综合社群成员意见和建议的基础上,总结提出的修改建议,不代表任何组织的官方立场,仅供各界参考:
原文: | 修改建议: |
第十一条 网络运营者不得以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息。 | 第十一条 网络运营者不以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息。 不得以改善服务质量、提升用户体验、研发新产品为单独的目的而收集个人信息。 |
原文: | 修改建议: |
第二十三条 网络运营者利用用户数据和算法推送新闻信息、商业广告等(以下简称“定向推送”),应当以明显方式标明“定推”字样,为用户提供停止接收定向推送信息的功能;用户选择停止接收定向推送信息时,应当停止推送,并删除已经收集的设备识别码等用户数据和个人信息。 | 第二十三条 网络运营者利用用户个人信息和算法推送新闻信息、商业广告等(以下简称“定向推送”),应当以明显方式提示用户,同时为用户提供调控定向推送与其兴趣爱好、消费习惯相关程度的功能,或为用户提供不基于其个人信息的信息推送功能。 |
原文: | 修改建议: |
第二十四条 网络运营者利用大数据、人工智能等技术自动合成新闻、博文、帖子、评论等信息,应以明显方式标明“合成”字样;不得以谋取利益或损害他人利益为目的自动合成信息。 | 第二十四条 网络运营者利用大数据、人工智能等技术自动合成新闻、博文、帖子、评论等信息,应当以明显方式注明,并与其他内容区分;不得以谋取非法利益或损害他人利益为目的自动合成信息。 |
原文: | 建议删除,或修改为以下表述: |
第二十五条 网络运营者应采取措施督促提醒用户对自己的网络行为负责、加强自律,对于用户通过社交网络转发他人制作的信息,应自动标注信息制作者在该社交网络上的账户或不可更改的用户标识。 | 第二十五条 社交网络运营者应当采取措施确保个人通信秘密和安全。对于用户在社交网络上选择公开发布的原创或首发信息,社交网络运营者应当采取措施自动添加用户的账户标识。 |
原文: | 修改建议: |
第三十条 网络运营者对接入其平台的第三方应用,应明确数据安全要求和责任,督促监督第三方应用运营者加强数据安全管理。第三方应用发生数据安全事件对用户造成损失的,网络运营者应当承担部分或全部责任,除非网络运营者能够证明无过错。 | 第三十条 网络运营者对接入其平台的第三方应用,应登记接入其平台的第三方应用服务提供者的真实身份、联系方式等信息,通过合同明确约定数据安全要求和责任,并督促监督第三方应用运营者加强数据安全管理。 由于网络运营者未采取上述必要措施而导致第三方应用发生数据安全事件对用户造成损失的,网络运营者应当承担网络安全责任。 |
原文: | 修改建议: |
第三十六条 国务院有关主管部门为履行维护国家安全、社会管理、经济调控等职责需要,依照法律、行政法规的规定,要求网络运营者提供掌握的相关数据的,网络运营者应当予以提供。 国务院有关主管部门对网络运营者提供的数据负有安全保护责任,不得用于与履行职责无关的用途。 | 第三十六条 国务院有关主管部门为履行维护国家安全、社会管理等职责需要,要求网络运营者提供掌握的且与法定职责密切相关数据的,应依照法律、行政法规的规定。 国务院有关主管部门对网络运营者提供的数据负有安全保护责任,不得用于与履行职责无关的用途。 |
以上仅反映了DPO沙龙现场讨论的部分内容,同时限于篇幅原因,公号君没有提供修改背后的理由。6月28日,DPO沙龙还将针对《个人信息出境安全评估办法(征求意见稿)》展开讨论,并形成修改建议,详情见【数据保护官(DPO)沙龙第十四期报名开始:形成《个人信息出境安全评估办法(征求意见稿)》的修订花脸稿】。
声明:本文来自网安寻路人,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。