近日,國家互聯網信息辦公室發布《數據安全管理辦法(征求意見稿)》,對網絡運營者在數據收集、處理使用、安全監督管理等方面提出了要求

　　《數據安全管理辦法(征求意見稿)》側重對個人信息安全的保護,并涵蓋了與數據安全有關的多個領域

　　未來在圍繞個人信息有關的立法方面,還需要合理區分個人信息、個人數據和個人隱私,樹立正確的隱私觀念,把重點放在防治個人信息濫用的問題上,制定完善相關法律法規

　　隨著互聯網的不斷發展,數據安全問題日益凸顯。近日,國家互聯網信息辦公室發布《數據安全管理辦法(征求意見稿)》(以下簡稱征求意見稿),對網絡運營者在數據收集、處理使用、安全監督管理等方面提出了要求。

　　對于其積極意義和深遠影響,記者采訪了業內有關專家。

　　信息保護亟待加強 新規明確收集規則

　　從目前情況來看,數據安全狀況不容樂觀,尤其是個人信息保護方面。

　　近日,在中央網信辦、工信部、公安部、市場監管總局指導下,App專項治理工作組開通了違法違規收集使用個人信息舉報渠道,認真受理網民舉報。其間,工作組收到大量關于App強制、超范圍索要權限等舉報信息。

　　中國傳媒大學媒體法規政策研究中心執行主任鄭寧認為,征求意見稿中有大量規定讓人眼前一亮。比如對重要數據跨境傳輸進行評估的主體范圍較網絡安全法更大,為了保護用戶知情權或他人權益,需要標示“定推”“合成”等字樣,以及針對一些有爭議的新問題如數據爬取、自動化洗稿等設立了專門規定。

　　針對令人關注的個人信息保護問題,征求意見稿作出了一系列規定。

　　據網經社電子商務研究中心特約研究員、律師李旻介紹,征求意見稿依據網絡安全法等法律法規,將數據活動的范圍界定為“利用網絡開展數據收集、存儲、傳輸、處理、使用等活動”,“但相對其上位法而言,征求意見稿更為側重對個人信息安全的保護”。

　　征求意見稿第八條明確規定了個人信息收集使用的規則,包括“網絡運營者主要負責人、數據安全責任人的姓名及聯系方式”“個人信息主體撤銷同意,以及查詢、更正、刪除個人信息的途徑和方法”等9項內容。

　　對此,中國政法大學傳播法研究中心副主任朱巍認為:“征求意見稿明確個人信息收集規則,便于用戶對照檢查,提高了搜集個人信息的安全性和效率。”

　　此外,征求意見稿第十一條規定,“網絡運營者不得以改善服務質量、提升用戶體驗、定向推送信息、研發新產品等為由,以默認授權、功能捆綁等形式強迫、誤導個人信息主體同意其收集個人信息”。征求意見稿第十五條規定,“網絡運營者以經營為目的收集重要數據或個人敏感信息的,應向所在地網信部門備案。備案內容包括收集使用規則,收集使用的目的、規模、方式、范圍、類型、期限等,不包括數據內容本身”。

　　對于未成年人信息收集,征求意見稿第十二條明確規定,收集14周歲以下未成年人個人信息的,應當征得其監護人同意。

　　“此項規定十分有必要,這意味著收集和使用未成年人個人信息的企業,不僅有義務去核實對方是不是未成年人,還需要征得監護人的同意,否則就是違法行為。”采訪中,鄭寧坦言,關鍵還是在于落實,這需要進一步明確責任機制。

　　他認為,未成年人是非常活躍的互聯網用戶群體,但處于敏感、沖動、心智尚未成熟的年紀,缺少社會經驗,判斷能力不足,沒有完全的行為能力,個人隱私、個人信息非常容易受到侵害。如果未成年人個人信息被泄露還可能對其人身安全造成很大威脅。面對網絡上無處不在的個人信息收集和使用,僅靠未成年人自身難以及時有效甄別其正當性和合法性,這就需要通過完善立法不斷強化對未成年人個人信息的保護。

　　新規涵蓋多個領域 關注后期數據處理

　　除了個人信息保護之外,征求意見稿還涵蓋了與數據安全有關的多個領域,對于保障網絡安全具有深遠意義。

　　據李旻介紹,此前已出臺的與個人信息有關的文件包括《信息安全技術個人信息安全規范》《互聯網個人信息安全保護指南》等。未來,《數據安全管理辦法》可能作為部門規章發布,效力和層級都會更高,能夠進一步實現網絡安全法保障網絡安全,維護網絡空間主權和國家安全的宗旨。

　　朱巍認為,征求意見稿將成為推動包括網絡安全法在內的一系列相關法律在數據領域落地的重要抓手。其依據是網絡安全法,但網絡安全法在個人信息保護方面還有一些地方沒有體現出來,所以征求意見稿填補了個人信息保護的空白,是對網絡安全法的補充。

　　“征求意見稿的意義并不限于個人信息保護,圍繞與數據安全有關的很多方面都作出了規定。”朱巍說,征求意見稿對于數據安全的責任規定得十分明確,尤其是對于網絡運營者的責任。例如,征求意見稿第三十五條規定,“發生個人信息泄露、毀損、丟失等數據安全事件,或者發生數據安全事件風險明顯加大時,網絡運營者應當立即采取補救措施,及時以電話、短信、郵件或信函等方式告知個人信息主體,并按要求向行業主管監管部門和網信部門報告”。

　　“征求意見稿還充分考慮到了精確推送等大數據時代的一些特點。”朱巍說,根據電子商務法有關規定,既可以選擇個性化信息也可以選擇不需要,但沒有具體規定用戶選擇的權利,在征求意見稿中,明確規定用戶可以自己選擇,這也是對電子商務法的補充。

　　據了解,與電子商務法要求競價排名結果需顯著標明為“廣告”的規定相類似,為保護用戶的知情權和拒絕廣告推廣的選擇權,征求意見稿要求利用用戶數據和算法推送新聞信息、商業廣告需顯著標明“定推”字樣,并為用戶拒絕接受定向推送信息提供選擇權。

　　征求意見稿第二十三條規定,“網絡運營者利用用戶數據和算法推送新聞信息、商業廣告等(以下簡稱定向推送),應當以明顯方式標明‘定推’字樣,為用戶提供停止接收定向推送信息的功能；用戶選擇停止接收定向推送信息時,應當停止推送,并刪除已經收集的設備識別碼等用戶數據和個人信息”。

　　征求意見稿不僅關注前期對于數據的收集,同樣也關注后期對于數據的處理。“尤其是一旦網絡運營者出現兼并重組,如果數據沒有接收方就要及時刪除,這一點是非常重要的。”朱巍說。

　　征求意見稿第三十一條規定,“網絡運營者兼并、重組、破產的,數據承接方應承接數據安全責任和義務。沒有數據承接方的,應當對數據作刪除處理。法律、行政法規另有規定的,從其規定”。

　　數據安全現狀復雜 謹防個人信息濫用

　　根據有關部門公布的《百款常用App申請收集使用個人信息權限列表》的統計結果顯示,平均每個App都有存在強制超范圍索要權限情況,平均每個App申請收集個人信息相關權限數有10項,而用戶不同意開啟則App無法安裝或運行的權限數平均僅為3項。

　　鄭寧認為,總體來看,征求意見稿還需要考慮到在推行實施過程中能存在的一些難點。比如監督和定責。在對網絡運營者的監督過程中,需要全面、細致監督網絡運營者在數據收集、處理、使用全過程的方方面面。“這就需要面向廣大用戶,建立統一的投訴平臺,有效解決用戶舉報難、投訴難、立案難的問題。”

　　在定責方面,網絡運營者在數據安全方面若違反規定,如何視情況為其定責,還需要相關規定加以細化,因為關系到采取何種懲罰措施和懲戒力度的問題。

　　“雖然此次公布的征求意見稿將重要數據納入監管,但是并未對重要數據的具體識別方式進行規定。”鄭寧告訴記者,根據相關規定,企業生產經營和內部管理信息將不屬于重要數據的范疇,但各行業主管部門對本行業內涉及的重要數據的監管力度仍然不會松懈。

　　因此,他建議現階段企業在具體判斷重要數據類別時,應當同時考量橫向和縱向兩個維度:以風險導向及性質作為橫向的宏觀判斷標準,以“重要數據識別指南”中各行業內重要數據范圍作為縱向判斷標準。比如企業因生產經營涉及大量測繪數據,仍然應當考慮到地理數據是行業主管部門的監管重點,應作為重要數據予以管控。

　　對于可能面臨的困難,鄭寧分析稱,網絡運營者的范疇比較廣,涉及到的信息主體、數據量會非常大,而且這些數據具有動態性和時效性,某些重要數據和個人敏感信息本身的范圍也不容易確定。“在備案對象不確定、備案主體又比較多的情況下,征求意見稿中的部分規定執行起來可能存在一定難度。”

　　北京師范大學法學院教授劉德良認為,征求意見稿集中于對個人信息的保護,相對而言,防止個人信息濫用也同樣重要。

　　“其實個人信息中真正需要保密的主要是個人隱私,要加倍重視個人信息濫用的問題。”劉德良說,“未來在圍繞個人信息有關的立法方面,還需要合理區分個人信息、個人數據和個人隱私,應該堅持利益平等的指導思想,樹立正確的隱私觀念,把重點放在防治個人信息濫用的問題上,制定完善相關法律法規。”（記者 杜曉　實習生 袁小存）

【糾錯】

責任編輯： 王萌萌