● 近日,国家互联网信息办公室发布《数据安全管理办法(征求意见稿)》,对网络运营者在数据收集、处理使用、安全监督管理等方面提出了要求
● 《数据安全管理办法(征求意见稿)》侧重对个人信息安全的保护,并涵盖了与数据安全有关的多个领域
● 未来在围绕个人信息有关的立法方面,还需要合理区分个人信息、个人数据和个人隐私,树立正确的隐私观念,把重点放在防治个人信息滥用的问题上,制定完善相关法律法规
□ 法制日报全媒体记者 杜 晓
□ 法制日报全媒体实习生 袁小存
随着互联网的不断发展,数据安全问题日益凸显。近日,国家互联网信息办公室发布《数据安全管理办法(征求意见稿)》(以下简称征求意见稿),对网络运营者在数据收集、处理使用、安全监督管理等方面提出了要求。
对于其积极意义和深远影响,《法制日报》记者采访了业内有关专家。
信息保护亟待加强
新规明确收集规则
从目前情况来看,数据安全状况不容乐观,尤其是个人信息保护方面。
近日,在中央网信办、工信部、公安部、市场监管总局指导下,App专项治理工作组开通了违法违规收集使用个人信息举报渠道,认真受理网民举报。其间,工作组收到大量关于App强制、超范围索要权限等举报信息。
中国传媒大学媒体法规政策研究中心执行主任郑宁认为,征求意见稿中有大量规定让人眼前一亮。比如对重要数据跨境传输进行评估的主体范围较网络安全法更大,为了保护用户知情权或他人权益,需要标示“定推”“合成”等字样,以及针对一些有争议的新问题如数据爬取、自动化洗稿等设立了专门规定。
针对令人关注的个人信息保护问题,征求意见稿作出了一系列规定。
据网经社电子商务研究中心特约研究员、律师李旻介绍,征求意见稿依据网络安全法等法律法规,将数据活动的范围界定为“利用网络开展数据收集、存储、传输、处理、使用等活动”,“但相对其上位法而言,征求意见稿更为侧重对个人信息安全的保护”。
征求意见稿第八条明确规定了个人信息收集使用的规则,包括“网络运营者主要负责人、数据安全责任人的姓名及联系方式”“个人信息主体撤销同意,以及查询、更正、删除个人信息的途径和方法”等9项内容。
对此,中国政法大学传播法研究中心副主任朱巍认为:“征求意见稿明确个人信息收集规则,便于用户对照检查,提高了搜集个人信息的安全性和效率。”
此外,征求意见稿第十一条规定,“网络运营者不得以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息”。征求意见稿第十五条规定,“网络运营者以经营为目的收集重要数据或个人敏感信息的,应向所在地网信部门备案。备案内容包括收集使用规则,收集使用的目的、规模、方式、范围、类型、期限等,不包括数据内容本身”。
对于未成年人信息收集,征求意见稿第十二条明确规定,收集14周岁以下未成年人个人信息的,应当征得其监护人同意。
“此项规定十分有必要,这意味着收集和使用未成年人个人信息的企业,不仅有义务去核实对方是不是未成年人,还需要征得监护人的同意,否则就是违法行为。”采访中,郑宁坦言,关键还是在于落实,这需要进一步明确责任机制。
他认为,未成年人是非常活跃的互联网用户群体,但处于敏感、冲动、心智尚未成熟的年纪,缺少社会经验,判断能力不足,没有完全的行为能力,个人隐私、个人信息非常容易受到侵害。如果未成年人个人信息被泄露还可能对其人身安全造成很大威胁。面对网络上无处不在的个人信息收集和使用,仅靠未成年人自身难以及时有效甄别其正当性和合法性,这就需要通过完善立法不断强化对未成年人个人信息的保护。
新规涵盖多个领域
关注后期数据处理
除了个人信息保护之外,征求意见稿还涵盖了与数据安全有关的多个领域,对于保障网络安全具有深远意义。
据李旻介绍,此前已出台的与个人信息有关的文件包括《信息安全技术个人信息安全规范》《互联网个人信息安全保护指南》等。未来,《数据安全管理办法》可能作为部门规章发布,效力和层级都会更高,能够进一步实现网络安全法保障网络安全,维护网络空间主权和国家安全的宗旨。
朱巍认为,征求意见稿将成为推动包括网络安全法在内的一系列相关法律在数据领域落地的重要抓手。其依据是网络安全法,但网络安全法在个人信息保护方面还有一些地方没有体现出来,所以征求意见稿填补了个人信息保护的空白,是对网络安全法的补充。
“征求意见稿的意义并不限于个人信息保护,围绕与数据安全有关的很多方面都作出了规定。”朱巍说,征求意见稿对于数据安全的责任规定得十分明确,尤其是对于网络运营者的责任。例如,征求意见稿第三十五条规定,“发生个人信息泄露、毁损、丢失等数据安全事件,或者发生数据安全事件风险明显加大时,网络运营者应当立即采取补救措施,及时以电话、短信、邮件或信函等方式告知个人信息主体,并按要求向行业主管监管部门和网信部门报告”。
“征求意见稿还充分考虑到了精确推送等大数据时代的一些特点。”朱巍说,根据电子商务法有关规定,既可以选择个性化信息也可以选择不需要,但没有具体规定用户选择的权利,在征求意见稿中,明确规定用户可以自己选择,这也是对电子商务法的补充。
据了解,与电子商务法要求竞价排名结果需显著标明为“广告”的规定相类似,为保护用户的知情权和拒绝广告推广的选择权,征求意见稿要求利用用户数据和算法推送新闻信息、商业广告需显著标明“定推”字样,并为用户拒绝接受定向推送信息提供选择权。
征求意见稿第二十三条规定,“网络运营者利用用户数据和算法推送新闻信息、商业广告等(以下简称定向推送),应当以明显方式标明‘定推’字样,为用户提供停止接收定向推送信息的功能;用户选择停止接收定向推送信息时,应当停止推送,并删除已经收集的设备识别码等用户数据和个人信息”。
征求意见稿不仅关注前期对于数据的收集,同样也关注后期对于数据的处理。“尤其是一旦网络运营者出现兼并重组,如果数据没有接收方就要及时删除,这一点是非常重要的。”朱巍说。
征求意见稿第三十一条规定,“网络运营者兼并、重组、破产的,数据承接方应承接数据安全责任和义务。没有数据承接方的,应当对数据作删除处理。法律、行政法规另有规定的,从其规定”。
数据安全现状复杂
谨防个人信息滥用
根据有关部门公布的《百款常用App申请收集使用个人信息权限列表》的统计结果显示,平均每个App都有存在强制超范围索要权限情况,平均每个App申请收集个人信息相关权限数有10项,而用户不同意开启则App无法安装或运行的权限数平均仅为3项。
郑宁认为,总体来看,征求意见稿还需要考虑到在推行实施过程中能存在的一些难点。比如监督和定责。在对网络运营者的监督过程中,需要全面、细致监督网络运营者在数据收集、处理、使用全过程的方方面面。“这就需要面向广大用户,建立统一的投诉平台,有效解决用户举报难、投诉难、立案难的问题。”
在定责方面,网络运营者在数据安全方面若违反规定,如何视情况为其定责,还需要相关规定加以细化,因为关系到采取何种惩罚措施和惩戒力度的问题。
“虽然此次公布的征求意见稿将重要数据纳入监管,但是并未对重要数据的具体识别方式进行规定。”郑宁告诉记者,根据相关规定,企业生产经营和内部管理信息将不属于重要数据的范畴,但各行业主管部门对本行业内涉及的重要数据的监管力度仍然不会松懈。
因此,他建议现阶段企业在具体判断重要数据类别时,应当同时考量横向和纵向两个维度:以风险导向及性质作为横向的宏观判断标准,以“重要数据识别指南”中各行业内重要数据范围作为纵向判断标准。比如企业因生产经营涉及大量测绘数据,仍然应当考虑到地理数据是行业主管部门的监管重点,应作为重要数据予以管控。
对于可能面临的困难,郑宁分析称,网络运营者的范畴比较广,涉及到的信息主体、数据量会非常大,而且这些数据具有动态性和时效性,某些重要数据和个人敏感信息本身的范围也不容易确定。“在备案对象不确定、备案主体又比较多的情况下,征求意见稿中的部分规定执行起来可能存在一定难度。”
北京师范大学法学院教授刘德良认为,征求意见稿集中于对个人信息的保护,相对而言,防止个人信息滥用也同样重要。
“其实个人信息中真正需要保密的主要是个人隐私,要加倍重视个人信息滥用的问题。”刘德良说,“未来在围绕个人信息有关的立法方面,还需要合理区分个人信息、个人数据和个人隐私,应该坚持利益平等的指导思想,树立正确的隐私观念,把重点放在防治个人信息滥用的问题上,制定完善相关法律法规。”
制图/高岳