《數(shù)據(jù)安全管理辦法》對我們來說意味著什么? |
來源:聚銘網(wǎng)絡(luò) 發(fā)布時間:2019-07-02 瀏覽次數(shù): |
信息來源:cnBeta 2018 年 3 月,F(xiàn)acebook 劍橋分析事件的爆出,一把扯下了科技公司各自在用戶數(shù)據(jù)保護方面披上的遮羞布。隨后 5 月,歐盟正式開始執(zhí)行“史上最嚴的數(shù)據(jù)隱私保護法案”《通用數(shù)據(jù)保護條例》(GDPR),更是把關(guān)于數(shù)據(jù)隱私的討論推向了巔峰。 無論是連番的數(shù)據(jù)泄漏丑聞還是各國政府和機構(gòu)組織的紛紛表態(tài),2018 年一整年,隱私和數(shù)據(jù)安全都是一個繞不開的話題,公司和用戶都不得不開始重視它背后的經(jīng)濟效益、利用關(guān)系以及個人權(quán)利。 前所未有嚴苛的數(shù)據(jù)保護法《GDPR》 | GDPR 官網(wǎng)截屏 據(jù)中國互聯(lián)網(wǎng)網(wǎng)絡(luò)信息中心的數(shù)據(jù)顯示,截至 2018 年底,中國網(wǎng)民達 8.29 億,手機網(wǎng)民 8.17 億。在這個背景下,無論是對管理者的要求還是民意的訴求,數(shù)據(jù)安全管理規(guī)章化不可避免。 5 月 24 日,國家網(wǎng)信辦聯(lián)合國家發(fā)改委等 12 個部門起草了《網(wǎng)絡(luò)安全審查辦法(征求意見稿)》(以下簡稱《辦法》)。四天后,5 月 28 日,中國國家互聯(lián)網(wǎng)信息辦公室(以下簡稱“網(wǎng)信辦”)發(fā)表《數(shù)字安全管理辦法(征求意見稿)》,發(fā)布《數(shù)字安全管理辦法(征求意見稿)》,向社會公開征求意見。6 月 28 日,《數(shù)據(jù)安全管理辦法》的意見反饋正式截止。 《辦法》只針對“網(wǎng)絡(luò)運營者”,要求它們保護國家、社會、個人在網(wǎng)上的信息和數(shù)據(jù)安全,包括個人要給企業(yè)多少數(shù)據(jù),哪些不必再給,企業(yè)無權(quán)再要;企業(yè)要如何保護用戶個人數(shù)據(jù),如何利用和處理已有的數(shù)據(jù),在何種情況下把用戶數(shù)據(jù)交與政府;政府如何監(jiān)管企業(yè)不濫用個人數(shù)據(jù)。在《辦法》出臺之前,因為此前條例的模糊性,網(wǎng)絡(luò)運營者得以鉆了數(shù)據(jù)收集的漏洞?,F(xiàn)在,《辦法》就個人隱私和數(shù)據(jù)收集、廣告和新聞精準(zhǔn)投放、app和平臺對權(quán)限的無理索求以及賬戶、平臺在停用后數(shù)據(jù)歸宿等近幾年來多發(fā)的數(shù)據(jù)隱私爭議點上作出了明確地要求,《辦法》也可能將成為中國首個圍繞網(wǎng)絡(luò)安全和數(shù)據(jù)管理落實的規(guī)章。 堵上所有能鉆的空子 近幾年的移動應(yīng)用的普及,新入網(wǎng)用戶激增,但同時,零基礎(chǔ)直接上手的移動互聯(lián)網(wǎng)用戶對數(shù)據(jù)和隱私的權(quán)利概念模糊,絕大多數(shù)用戶在這方面意識薄弱,因此導(dǎo)致了不少互聯(lián)網(wǎng)公司肆意收割數(shù)據(jù)的現(xiàn)狀。在五章四十條的《辦法》中,有諸多條例都體現(xiàn)著對當(dāng)前互聯(lián)網(wǎng)亂象的“對癥下藥”。 · 《用戶協(xié)議》要“說人話” 每當(dāng)用戶注冊一個新網(wǎng)站的賬號時,總是習(xí)慣把那些長篇累牘的《平臺數(shù)據(jù)手機條約》一拉到底,點擊同意。對此,《辦法》第二章第八條要求:收集使用規(guī)則應(yīng)當(dāng)明確具體、簡單通俗、易于訪問,并給出了九小點的“具體要求凸顯的條例”。
對運營方面向用戶的條款作出明確規(guī)定 | 網(wǎng)信辦官網(wǎng)截屏 換句話說,滿篇堆砌法律名詞,用盡各種語言技巧的“數(shù)據(jù)收集條約”將被取締。盡管用戶和平臺之間“不同意就不能用”的協(xié)議不會改變,但平臺必須讓用戶明確地知曉數(shù)據(jù)收集的意圖,或者說用戶自己使用服務(wù)的代價。 · 用不到的信息不許強行收集 在第十一條中,《辦法》明確規(guī)定了“網(wǎng)絡(luò)運營者不得以改善服務(wù)質(zhì)量、提升用戶體驗、定向推送信息、研發(fā)新產(chǎn)品等為由,以默認授權(quán)、功能捆綁等形式強迫、誤導(dǎo)個人信息主體同意其收集個人信息?!? 即網(wǎng)站和應(yīng)用用不到的信息,運營方不能強行收集,更不能因為用戶不同意提供這些“用不到”的信息,就拒絕提供服務(wù)。系統(tǒng)層上,蘋果在 iOS 12 和 iOS 13 的更新中也作出了類似的規(guī)范和限制。 · 拒絕大數(shù)據(jù)殺熟 在十三條中,《辦法》則規(guī)定了禁止對個人信息分析后進行定價歧視,此舉也明顯針對的就是去年國內(nèi)頻繁曝出的“大數(shù)據(jù)殺熟”現(xiàn)象。 · 治理垃圾推送消息 在《辦法》第三章《數(shù)據(jù)處理使用》中第二十三條規(guī)定,運營者利用用戶數(shù)據(jù)和算法推送新聞信息、商業(yè)廣告等,應(yīng)當(dāng)以明顯方式標(biāo)明“定推”字樣;要對用戶提供停止接收定向推送信息的功能,并且當(dāng)用戶關(guān)閉該功能后,應(yīng)當(dāng)停止推送,并刪除已經(jīng)收集的設(shè)備識別碼等用戶數(shù)據(jù)和個人信息。 · 標(biāo)注機器生成內(nèi)容 隨著人工智能的愈發(fā)成熟,機器替代人工回復(fù)消息甚至生產(chǎn)內(nèi)容正在慢慢成為一種趨勢。比如前幾年開始在社交網(wǎng)絡(luò)上流行的各類 bot 就屬于該類,各類服務(wù)中的自動客服回復(fù)和智能助手也可歸為該類。在《辦法》第二十四條規(guī)定,利用大數(shù)據(jù)和人工智能合成的新聞、博文、帖子、評論等信息,應(yīng)以明顯方式表明“合成”字樣。 · 設(shè)立“數(shù)據(jù)安全負責(zé)人”職位 《辦法》中也要求網(wǎng)絡(luò)運營方要有“數(shù)據(jù)安全負責(zé)人”職位,這個職位要求有數(shù)據(jù)安全專業(yè)知識的人員擔(dān)任,專員需要參與有關(guān)數(shù)據(jù)活動的重要決策,且運營方要保證這個職位“獨立履行職責(zé)”。 · 對已有數(shù)據(jù)的保護 《辦法》第三章規(guī)定,如運營方被兼并或破產(chǎn),所擁有的數(shù)據(jù)要么交接要么刪除,不得保留;個人信息泄露、毀損、丟失等數(shù)據(jù)安全事件,或者發(fā)生數(shù)據(jù)安全事件風(fēng)險明顯加大時,網(wǎng)絡(luò)運營者應(yīng)當(dāng)立即采取補救措施,及時告知用戶并向網(wǎng)信部門報告。 網(wǎng)絡(luò)運營者在用戶注銷賬號后應(yīng)當(dāng)及時刪除其個人信息,保存?zhèn)€人信息也不應(yīng)超出收集使用規(guī)則中的保存期限,繼要求運營方“只收集最必要的,有期限的保留,且當(dāng)用戶要求平臺方刪除或離開平臺后,運營方要主動刪除用戶數(shù)據(jù)。” · 強制“溯源” 《辦法》中還規(guī)定“對于用戶通過社交網(wǎng)絡(luò)轉(zhuǎn)發(fā)他人制作的信息,應(yīng)自動標(biāo)注信息制作者在該社交網(wǎng)絡(luò)上的賬戶或不可更改的用戶標(biāo)識?!睋Q言之,這是一種強制“溯源”,新浪微博在最新版本更新中加入了標(biāo)注“博主”的功能,可以在評論區(qū)中明顯辨認出“原博”。但該條例規(guī)定的則是在社交網(wǎng)絡(luò)中常見的“轉(zhuǎn)發(fā)鏈條”里,無論多少人轉(zhuǎn)發(fā),社交網(wǎng)絡(luò)平臺需要對“原博”作出不可更改的標(biāo)注。此規(guī)定的前提,是網(wǎng)絡(luò)運營者要督促提醒用戶對自己的網(wǎng)絡(luò)行為負責(zé)、加強自律。 在“大數(shù)據(jù)殺熟”、個人信息被販賣、私密信息被盜用或流傳、注銷刪除賬號難、商業(yè)廣告和新聞推送霸屏的當(dāng)下,《辦法》對網(wǎng)絡(luò)運營方作出了諸多規(guī)定,并且將執(zhí)法部門從中央下發(fā)至“地(市)及以上網(wǎng)信部門”,這將使執(zhí)法難度下降,用戶更易維權(quán),這無疑是數(shù)據(jù)保護上的提升。但另一方面,《辦法》中許多條例的模糊性也容易使得網(wǎng)絡(luò)運營方明確知曉自己的義務(wù),但個人用戶卻不知自己有何權(quán)利。同時,對網(wǎng)絡(luò)運營方數(shù)據(jù)管理的要求也是雙向的,一方面?zhèn)€人用戶將更“被動地”保護自己數(shù)據(jù),另一方面,政府也更“主動地”對運營方提出了數(shù)據(jù)審查要求。
變化內(nèi)容 《辦法》是中國版 GDPR 嗎? 雖說《辦法》有望成為中國首個圍繞網(wǎng)絡(luò)安全和數(shù)據(jù)管理落實的規(guī)章,從內(nèi)容上也是政府站在用戶角度,對網(wǎng)絡(luò)運營方就用戶數(shù)據(jù)作出收集、處理、刪除等各個環(huán)節(jié)的要求。 《辦法》發(fā)布之后難免被拿來與 GDPR 相比。兩者相同之處頗多。 兩部法案都提到了數(shù)據(jù)保護官類似崗位的設(shè)置;數(shù)據(jù)在泄露后,運營方告知用戶的職責(zé);也對國際間數(shù)據(jù)轉(zhuǎn)移作出了要求,GDPR 僅允許數(shù)據(jù)控制者將數(shù)據(jù)轉(zhuǎn)移到歐洲經(jīng)濟區(qū)EEA以外的、當(dāng)?shù)胤梢驯粴W盟批準(zhǔn)為充分保護的國家或地區(qū),中國并未在此名單中,GDPR 的目的更傾向于“把數(shù)據(jù)放在有法律監(jiān)管的地區(qū)”,換言之,你不能把 GDPR 范圍區(qū)的數(shù)據(jù)轉(zhuǎn)移到非范圍區(qū)的地方,然后再故技重施濫用數(shù)據(jù)。 又比如,對企業(yè)不能再使用難以理解的冗長語言來讓用戶簽訂隱私政策;用戶對自己數(shù)據(jù)的“被遺忘權(quán)”,在主動提出刪除賬戶后,運營方對過往數(shù)據(jù)不再有保留權(quán)等。 還有一些問題,GDPR 和《辦法》有共同認識,但實施做法和思路不盡相同。 《辦法》對境內(nèi)境外數(shù)據(jù)流通做出要求的目的就不同于 GDPR。《辦法》要求網(wǎng)絡(luò)運營者發(fā)布、共享、交易或向境外提供重要數(shù)據(jù)前,應(yīng)當(dāng)評估可能帶來的安全風(fēng)險,并報經(jīng)行業(yè)主管監(jiān)管部門同意;境內(nèi)用戶訪問境內(nèi)互聯(lián)網(wǎng)的,其流量不得被路由到境外。此規(guī)定是為了防止?jié)撛诘牧髁拷俪帧? 另一方面,橫向?qū)Ρ葍刹糠ò福珿DPR 比《辦法》會更細致一些,GDPR 是站在用戶一方,對數(shù)據(jù)收集方提出了在當(dāng)下的“數(shù)據(jù)隱私權(quán)”以及維護這一權(quán)利所建立起的法律保護框架。而《辦法》則更多地是針對數(shù)據(jù)的提供者和使用者要如何對待數(shù)據(jù)。 從兩部法案的保護主體個人用戶的角度來看,GDPR給予了個人用戶對其數(shù)據(jù)更大的控制權(quán),并明確了這些權(quán)利,而《辦法》則更強調(diào)給予用戶“知情權(quán)”,運營方像是在被《辦法》推著走,而非被用戶監(jiān)管和維權(quán)。在個人敏感數(shù)據(jù)方面,GDPR 給出了七類可視為個人敏感數(shù)據(jù)的數(shù)據(jù)類型,從種族民族性取向到個人生物識別技術(shù)和基因數(shù)據(jù)都在這個范圍內(nèi),《辦法》中則并未詳細展開“個人信息”的覆蓋數(shù)據(jù)類型。而用戶,也就是 GDPR 中所提到的“數(shù)據(jù)主體”,GDPR 中用了三個章節(jié)詳細闡述了數(shù)據(jù)主體對數(shù)據(jù)的知情權(quán)、訪問權(quán)、更正權(quán)和可攜權(quán)、刪除權(quán)、限制處理權(quán)、反對權(quán)和自動化個人決策相關(guān)權(quán)利。這些權(quán)利在《辦法》中不難找到對應(yīng)的法規(guī),但個人用戶到底對自己的數(shù)據(jù)有哪些權(quán)利,這是在《辦法》中并未明晰的。 在 GDPR 中,還用了大量的篇幅來傳遞一個概念:“意愿”。GDPR 要求用戶要在意愿自由、不存在被脅迫或欺詐、知情權(quán)明確、運營方提供給用戶的信息明確到用戶都不能輕易忽略……諸多前提條件后,用戶按下的“同意協(xié)議”才是真的“同意”,才會真正從法律層面讓協(xié)約生效。這個同意不能有任何不明確的空間,只要用戶還對協(xié)議有合理的懷疑,就判定用戶的意愿不明確。 而后 GDPR 還就“同意意愿”分為了兒童對同意的判斷、有效同意的要件、同意的法律框架等做了更詳細的要求和闡述。用戶意愿是 GDPR 中的一個高頻詞,而在《辦法》中,更多出現(xiàn)的則是“要求運營方”。 盡管在《辦法》最后規(guī)定,若網(wǎng)絡(luò)運營者違反《辦法》,將面臨公開曝光、沒收違法所得、暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或吊銷營業(yè)執(zhí)照等處罰;構(gòu)成犯罪的,依法追究刑事責(zé)任。但用戶通過何種途徑可以得知平臺濫用數(shù)據(jù),得知后如何投訴舉報立案,對運營方的懲罰措施和力度等細節(jié)都并未在《辦法》中得到具體說明。 無論《辦法》如何落地,至少表達了一個信號:運營者必須重視數(shù)據(jù)安全和用戶個人隱私管理。對用戶來說,也不是有了法規(guī)就萬事大吉。保護個人數(shù)據(jù)隱私,無論對于個人、企業(yè)還是政府,仍舊是一個漫長且艱巨的博弈過程。 |