近日,國家互聯網信息辦公室發布《數據安全管理辦法(征求意見稿)》,對網絡運營者在數據收集、處理使用、安全監督管理等方麵提出了要求

　　《數據安全管理辦法(征求意見稿)》側(ce) 重對個(ge) 人信息安全的保護,並涵蓋了與(yu) 數據安全有關(guan) 的多個(ge) 領域

　　未來在圍繞個(ge) 人信息有關(guan) 的立法方麵,還需要合理區分個(ge) 人信息、個(ge) 人數據和個(ge) 人隱私,樹立正確的隱私觀念,把重點放在防治個(ge) 人信息濫用的問題上,製定完善相關(guan) 法律法規

　　隨著互聯網的不斷發展,數據安全問題日益凸顯。近日,國家互聯網信息辦公室發布《數據安全管理辦法(征求意見稿)》(以下簡稱征求意見稿),對網絡運營者在數據收集、處理使用、安全監督管理等方麵提出了要求。

　　對於(yu) 其積極意義(yi) 和深遠影響,記者采訪了業(ye) 內(nei) 有關(guan) 專(zhuan) 家。

　　信息保護亟待加強 新規明確收集規則

　　從(cong) 目前情況來看,數據安全狀況不容樂(le) 觀,尤其是個(ge) 人信息保護方麵。

　　近日,在中央網信辦、工信部、公安部、市場監管總局指導下,App專(zhuan) 項治理工作組開通了違法違規收集使用個(ge) 人信息舉(ju) 報渠道,認真受理網民舉(ju) 報。其間,工作組收到大量關(guan) 於(yu) App強製、超範圍索要權限等舉(ju) 報信息。

　　中國傳(chuan) 媒大學媒體(ti) 法規政策研究中心執行主任鄭寧認為(wei) ,征求意見稿中有大量規定讓人眼前一亮。比如對重要數據跨境傳(chuan) 輸進行評估的主體(ti) 範圍較網絡安全法更大,為(wei) 了保護用戶知情權或他人權益,需要標示“定推”“合成”等字樣,以及針對一些有爭(zheng) 議的新問題如數據爬取、自動化洗稿等設立了專(zhuan) 門規定。

　　針對令人關(guan) 注的個(ge) 人信息保護問題,征求意見稿作出了一係列規定。

　　據網經社電子商務研究中心特約研究員、律師李旻介紹,征求意見稿依據網絡安全法等法律法規,將數據活動的範圍界定為(wei) “利用網絡開展數據收集、存儲(chu) 、傳(chuan) 輸、處理、使用等活動”,“但相對其上位法而言,征求意見稿更為(wei) 側(ce) 重對個(ge) 人信息安全的保護”。

　　征求意見稿第八條明確規定了個(ge) 人信息收集使用的規則,包括“網絡運營者主要負責人、數據安全責任人的姓名及聯係方式”“個(ge) 人信息主體(ti) 撤銷同意,以及查詢、更正、刪除個(ge) 人信息的途徑和方法”等9項內(nei) 容。

　　對此,中國政法大學傳(chuan) 播法研究中心副主任朱巍認為(wei) :“征求意見稿明確個(ge) 人信息收集規則,便於(yu) 用戶對照檢查,提高了搜集個(ge) 人信息的安全性和效率。”

　　此外,征求意見稿第十一條規定,“網絡運營者不得以改善服務質量、提升用戶體(ti) 驗、定向推送信息、研發新產(chan) 品等為(wei) 由,以默認授權、功能捆綁等形式強迫、誤導個(ge) 人信息主體(ti) 同意其收集個(ge) 人信息”。征求意見稿第十五條規定,“網絡運營者以經營為(wei) 目的收集重要數據或個(ge) 人敏感信息的,應向所在地網信部門備案。備案內(nei) 容包括收集使用規則,收集使用的目的、規模、方式、範圍、類型、期限等,不包括數據內(nei) 容本身”。

　　對於(yu) 未成年人信息收集,征求意見稿第十二條明確規定,收集14周歲以下未成年人個(ge) 人信息的,應當征得其監護人同意。

　　“此項規定十分有必要,這意味著收集和使用未成年人個(ge) 人信息的企業(ye) ,不僅(jin) 有義(yi) 務去核實對方是不是未成年人,還需要征得監護人的同意,否則就是違法行為(wei) 。”采訪中,鄭寧坦言,關(guan) 鍵還是在於(yu) 落實,這需要進一步明確責任機製。

　　他認為(wei) ,未成年人是非常活躍的互聯網用戶群體(ti) ,但處於(yu) 敏感、衝(chong) 動、心智尚未成熟的年紀,缺少社會(hui) 經驗,判斷能力不足,沒有完全的行為(wei) 能力,個(ge) 人隱私、個(ge) 人信息非常容易受到侵害。如果未成年人個(ge) 人信息被泄露還可能對其人身安全造成很大威脅。麵對網絡上無處不在的個(ge) 人信息收集和使用,僅(jin) 靠未成年人自身難以及時有效甄別其正當性和合法性,這就需要通過完善立法不斷強化對未成年人個(ge) 人信息的保護。

　　新規涵蓋多個(ge) 領域 關(guan) 注後期數據處理

　　除了個(ge) 人信息保護之外,征求意見稿還涵蓋了與(yu) 數據安全有關(guan) 的多個(ge) 領域,對於(yu) 保障網絡安全具有深遠意義(yi) 。

　　據李旻介紹,此前已出台的與(yu) 個(ge) 人信息有關(guan) 的文件包括《信息安全技術個(ge) 人信息安全規範》《互聯網個(ge) 人信息安全保護指南》等。未來,《數據安全管理辦法》可能作為(wei) 部門規章發布,效力和層級都會(hui) 更高,能夠進一步實現網絡安全法保障網絡安全,維護網絡空間主權和國家安全的宗旨。

　　朱巍認為(wei) ,征求意見稿將成為(wei) 推動包括網絡安全法在內(nei) 的一係列相關(guan) 法律在數據領域落地的重要抓手。其依據是網絡安全法,但網絡安全法在個(ge) 人信息保護方麵還有一些地方沒有體(ti) 現出來,所以征求意見稿填補了個(ge) 人信息保護的空白,是對網絡安全法的補充。

　　“征求意見稿的意義(yi) 並不限於(yu) 個(ge) 人信息保護,圍繞與(yu) 數據安全有關(guan) 的很多方麵都作出了規定。”朱巍說,征求意見稿對於(yu) 數據安全的責任規定得十分明確,尤其是對於(yu) 網絡運營者的責任。例如,征求意見稿第三十五條規定,“發生個(ge) 人信息泄露、毀損、丟(diu) 失等數據安全事件,或者發生數據安全事件風險明顯加大時,網絡運營者應當立即采取補救措施,及時以電話、短信、郵件或信函等方式告知個(ge) 人信息主體(ti) ,並按要求向行業(ye) 主管監管部門和網信部門報告”。

　　“征求意見稿還充分考慮到了精確推送等大數據時代的一些特點。”朱巍說,根據電子商務法有關(guan) 規定,既可以選擇個(ge) 性化信息也可以選擇不需要,但沒有具體(ti) 規定用戶選擇的權利,在征求意見稿中,明確規定用戶可以自己選擇,這也是對電子商務法的補充。

　　據了解,與(yu) 電子商務法要求競價(jia) 排名結果需顯著標明為(wei) “廣告”的規定相類似,為(wei) 保護用戶的知情權和拒絕廣告推廣的選擇權,征求意見稿要求利用用戶數據和算法推送新聞信息、商業(ye) 廣告需顯著標明“定推”字樣,並為(wei) 用戶拒絕接受定向推送信息提供選擇權。

　　征求意見稿第二十三條規定,“網絡運營者利用用戶數據和算法推送新聞信息、商業(ye) 廣告等(以下簡稱定向推送),應當以明顯方式標明‘定推’字樣,為(wei) 用戶提供停止接收定向推送信息的功能;用戶選擇停止接收定向推送信息時,應當停止推送,並刪除已經收集的設備識別碼等用戶數據和個(ge) 人信息”。

　　征求意見稿不僅(jin) 關(guan) 注前期對於(yu) 數據的收集,同樣也關(guan) 注後期對於(yu) 數據的處理。“尤其是一旦網絡運營者出現兼並重組,如果數據沒有接收方就要及時刪除,這一點是非常重要的。”朱巍說。

　　征求意見稿第三十一條規定,“網絡運營者兼並、重組、破產(chan) 的,數據承接方應承接數據安全責任和義(yi) 務。沒有數據承接方的,應當對數據作刪除處理。法律、行政法規另有規定的,從(cong) 其規定”。

　　數據安全現狀複雜 謹防個(ge) 人信息濫用

　　根據有關(guan) 部門公布的《百款常用App申請收集使用個(ge) 人信息權限列表》的統計結果顯示,平均每個(ge) App都有存在強製超範圍索要權限情況,平均每個(ge) App申請收集個(ge) 人信息相關(guan) 權限數有10項,而用戶不同意開啟則App無法安裝或運行的權限數平均僅(jin) 為(wei) 3項。

　　鄭寧認為(wei) ,總體(ti) 來看,征求意見稿還需要考慮到在推行實施過程中能存在的一些難點。比如監督和定責。在對網絡運營者的監督過程中,需要全麵、細致監督網絡運營者在數據收集、處理、使用全過程的方方麵麵。“這就需要麵向廣大用戶,建立統一的投訴平台,有效解決(jue) 用戶舉(ju) 報難、投訴難、立案難的問題。”

　　在定責方麵,網絡運營者在數據安全方麵若違反規定,如何視情況為(wei) 其定責,還需要相關(guan) 規定加以細化,因為(wei) 關(guan) 係到采取何種懲罰措施和懲戒力度的問題。

　　“雖然此次公布的征求意見稿將重要數據納入監管,但是並未對重要數據的具體(ti) 識別方式進行規定。”鄭寧告訴記者,根據相關(guan) 規定,企業(ye) 生產(chan) 經營和內(nei) 部管理信息將不屬於(yu) 重要數據的範疇,但各行業(ye) 主管部門對本行業(ye) 內(nei) 涉及的重要數據的監管力度仍然不會(hui) 鬆懈。

　　因此,他建議現階段企業(ye) 在具體(ti) 判斷重要數據類別時,應當同時考量橫向和縱向兩(liang) 個(ge) 維度:以風險導向及性質作為(wei) 橫向的宏觀判斷標準,以“重要數據識別指南”中各行業(ye) 內(nei) 重要數據範圍作為(wei) 縱向判斷標準。比如企業(ye) 因生產(chan) 經營涉及大量測繪數據,仍然應當考慮到地理數據是行業(ye) 主管部門的監管重點,應作為(wei) 重要數據予以管控。

　　對於(yu) 可能麵臨(lin) 的困難,鄭寧分析稱,網絡運營者的範疇比較廣,涉及到的信息主體(ti) 、數據量會(hui) 非常大,而且這些數據具有動態性和時效性,某些重要數據和個(ge) 人敏感信息本身的範圍也不容易確定。“在備案對象不確定、備案主體(ti) 又比較多的情況下,征求意見稿中的部分規定執行起來可能存在一定難度。”

　　北京師範大學法學院教授劉德良認為(wei) ,征求意見稿集中於(yu) 對個(ge) 人信息的保護,相對而言,防止個(ge) 人信息濫用也同樣重要。

　　“其實個(ge) 人信息中真正需要保密的主要是個(ge) 人隱私,要加倍重視個(ge) 人信息濫用的問題。”劉德良說,“未來在圍繞個(ge) 人信息有關(guan) 的立法方麵,還需要合理區分個(ge) 人信息、個(ge) 人數據和個(ge) 人隱私,應該堅持利益平等的指導思想,樹立正確的隱私觀念,把重點放在防治個(ge) 人信息濫用的問題上,製定完善相關(guan) 法律法規。”(記者 杜曉　實習(xi) 生 袁小存)