國家互聯網信息辦公室近日發布《數據安全管理辦法(征求意見稿)》(以下簡稱《辦法》),對網絡運營者在數據采集、處理和使用、安全監督管理等方面提出了要求,為個人數據安全加了壹把鎖。
為什麽會出臺《辦法》?這顯然與日益嚴重的個人信息濫用和泄露密切相關。根據官方對100款常用手機應用的統計,有相當壹部分手機應用是被迫超範圍請求權限的。平均每個應用有10個與個人信息收集相關的權限,但實際上,在用戶不同意打開的情況下,app無法安裝或運行的權限平均只有3個。
來自“電子商務消費糾紛調解平臺”的大數據也顯示,近年來,包括天貓、淘寶、JD.COM、Suning.cn、唯品會在內的電商平臺,以及大眾點評、百度糯米、攜程等生活服務平臺,都發生過用戶信息泄露事件。僅2018壹年,就發生多起用戶個人信息泄露事件,如童淵、順豐個人信息在暗網出售超過十億條,12306的旅客信息在網上出售數百萬條。
數據保護是“基於規則的”
在《辦法》中,數據活動被定義為“利用網絡開展數據采集、存儲、傳輸、處理和使用等活動”。“與已發布的《信息安全技術個人信息安全規範》和《互聯網個人信息安全保護指南》相比,未來可能作為部門規章發布的《辦法》具有更高的效力水平,這不僅是大數據時代數據安全的剛需體現,也為5G市場的國內數據處理合規性鋪平了道路。”上海漢盛律師事務所高級合夥人李玟說。
北京管濤中貿(上海)律師事務所合夥人王宇威也認為,與網絡安全法相比,此次征求意見稿更加細化,有望為未來個人信息保護方面的法律提供參考。
《辦法》中的“亮點”也讓個人數據保護有章可循。《辦法》壹方面強調了用戶的選擇權,比如明確要求“應當制定並公開個人信息的收集和使用規則”,強調“收集和使用規則納入隱私政策的,應當相對集中並明確提示便於閱讀”,凸顯了信息使用規則的重要性,使個人信息的主體享有充分的選擇權。此外,特別規定網絡運營者不得因個人信息主體不同意收集而拒絕為“網絡產品核心業務功能個人信息”以外的信息提供核心業務功能服務。也就是說,網絡運營商不能對數據“漫天要價”。
“這實際上是為了避免網絡服務提供商為了收集數據而采取的脅迫或誤導行為。”中國社會科學院信息化研究中心秘書長姜奇平表示,信息采集的主動權和選擇權必須交給消費者,這是信息服務中的原則問題。
另壹方面,《辦法》進壹步強調了對用戶隱私的保護。《辦法》要求,“網絡運營者以經營為目的收集重要數據或者個人敏感信息的,應當向當地網信部門備案”。根據信息安全技術個人信息安全標準,包括身份證信息、電話號碼、郵箱地址、瀏覽記錄、位置信息甚至個人指紋、聲紋,這些都屬於個人敏感信息。“隱私信息的收集和使用受到國家強制力的限制,隱私信息泄露時有跡可循,實現個人隱私信息的數據安全。”李偉說。
中國信息安全研究院副院長左曉東表示,只有追查私人信息收集者的源頭,才能從源頭上保護個人數據。
解決方法是直面“痛點”
“《辦法》對近年來出現的網絡數據安全問題進行了細化,新的數據安全管理規定可以及時填補社會發展帶來的法律漏洞,具有前瞻性。”李偉說。
從《辦法》的具體規定來看,很多壹直困擾用戶的“痛點”都被明確點名。比如剛訂完飛機票,各種應用馬上開始推薦目的地相關信息。這種利用用戶瀏覽歷史,通過定向推送獲取廣告收入的“精準廣告”,已經讓很多用戶覺得沒有隱私可言。對此,《辦法》明確規定,要求利用用戶數據和算法推送新聞信息,商業廣告應當明確標註“推送”字樣,並為用戶提供拒絕接受定向推送信息的權利。“當用戶選擇停止接收定向推送信息時,應停止推送,並刪除收集的用戶數據和設備識別碼等個人信息。”
“廣告商收集用戶信息的難度將會加大,但這也是壹個全球趨勢。主要國家的相關法律法規也在強調保護消費者的個人數據隱私。”在線廣告平臺Marteker的創始人馮祺說。
再比如,鑒於銷戶難,銷戶後很難消除個人信息。《辦法》還特別提出保護用戶的“被遺忘權”。《辦法》強調,“收集和使用規則應當突出個人信息主體撤銷同意和查詢、更正、刪除個人信息的方式方法”。“網絡運營者在收到個人信息查詢、更正、刪除請求時,應當在合理的時間和成本內查詢、更正、刪除或者註銷其賬戶。”
“突出保護被遺忘權也是辦法的壹大亮點。“被遺忘”是消費者的合理訴求。”左曉東說道。
在北京億達(上海)律師事務所律師董毅智看來,“被遺忘權”仍需進壹步細化。“比如用戶註銷賬號後,網絡運營商如何處理已經被分發的信息?用戶是否有權要求網絡運營商刪除或對已經發布的信息負責?”
此外,“網絡爬蟲”采集的流量不得超過網站日均流量的三分之壹,應限制“扼殺大數據”等歧視性推送行為,明確數據安全負責人的崗位要求,提供數據安全負責人的姓名和聯系方式。《辦法》中的相關規定為個人數據保護中的壹系列熱點問題提供了解決方案。
“互聯網行業頭部企業天然的主導地位導致行業內缺乏競爭。基於用戶對平臺服務的信任而建立的粘性,並不能成為某些平臺實施差別定價和數據重復交易的基礎。從這個角度看,《辦法》對同行業、跨行業企業聯合使用用戶信息的合規性提出了新的要求。”董易之說道。