5 月 24 日,国家网信办联合国家发改委等 12 个部门起草了《网络安全审查办法(征求意见稿)》(以下简称《办法》)。四天后,5 月 28 日,中国国家互联网信息办公室(以下简称“网信办”)发表《数字安全管理办法(征求意见稿)》,发布《数字安全管理办法(征求意见稿)》,向社会公开征求意见。6 月 28 日,《数据安全管理办法》的意见反馈正式截止。
《办法》只针对“网络运营者”,要求它们保护国家、社会、个人在网上的信息和数据安全,包括个人要给企业多少数据,哪些不必再给,企业无权再要;企业要如何保护用户个人数据,如何利用和处理已有的数据,在何种情况下把用户数据交与政府;政府如何监管企业不滥用个人数据。在《办法》出台之前,因为此前条例的模糊性,网络运营者得以钻了数据收集的漏洞。现在,《办法》就个人隐私和数据收集、广告和新闻精准投放、app和平台对权限的无理索求以及账户、平台在停用后数据归宿等近几年来多发的数据隐私争议点上作出了明确地要求,《办法》也可能将成为中国首个围绕网络安全和数据管理落实的规章。
堵上所有能钻的空子
近几年的移动应用的普及,新入网用户激增,但同时,零基础直接上手的移动互联网用户对数据和隐私的权利概念模糊,绝大多数用户在这方面意识薄弱,因此导致了不少互联网公司肆意收割数据的现状。在五章四十条的《办法》中,有诸多条例都体现着对当前互联网乱象的“对症下药”。
· 《用户协议》要“说人话”
每当用户注册一个新网站的账号时,总是习惯把那些长篇累牍的《平台数据手机条约》一拉到底,点击同意。对此,《办法》第二章第八条要求:收集使用规则应当明确具体、简单通俗、易于访问,并给出了九小点的“具体要求凸显的条例”。
对运营方面向用户的条款作出明确规定 | 网信办官网截屏
换句话说,满篇堆砌法律名词,用尽各种语言技巧的“数据收集条约”将被取缔。尽管用户和平台之间“不同意就不能用”的协议不会改变,但平台必须让用户明确地知晓数据收集的意图,或者说用户自己使用服务的代价。
· 用不到的信息不许强行收集
在第十一条中,《办法》明确规定了“网络运营者不得以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息。”
即网站和应用用不到的信息,运营方不能强行收集,更不能因为用户不同意提供这些“用不到”的信息,就拒绝提供服务。系统层上,苹果在 iOS 12 和 iOS 13 的更新中也作出了类似的规范和限制。
· 拒绝大数据杀熟
在十三条中,《办法》则规定了禁止对个人信息分析后进行定价歧视,此举也明显针对的就是去年国内频繁曝出的“大数据杀熟”现象。
· 治理垃圾推送消息
在《办法》第三章《数据处理使用》中第二十三条规定,运营者利用用户数据和算法推送新闻信息、商业广告等,应当以明显方式标明“定推”字样;要对用户提供停止接收定向推送信息的功能,并且当用户关闭该功能后,应当停止推送,并删除已经收集的设备识别码等用户数据和个人信息。
· 标注机器生成内容
随着人工智能的愈发成熟,机器替代人工回复消息甚至生产内容正在慢慢成为一种趋势。比如前几年开始在社交网络上流行的各类 bot 就属于该类,各类服务中的自动客服回复和智能助手也可归为该类。在《办法》第二十四条规定,利用大数据和人工智能合成的新闻、博文、帖子、评论等信息,应以明显方式表明“合成”字样。
· 设立“数据安全负责人”职位
《办法》中也要求网络运营方要有“数据安全负责人”职位,这个职位要求有数据安全专业知识的人员担任,专员需要参与有关数据活动的重要决策,且运营方要保证这个职位“独立履行职责”。
· 对已有数据的保护
《办法》第三章规定,如运营方被兼并或破产,所拥有的数据要么交接要么删除,不得保留;个人信息泄露、毁损、丢失等数据安全事件,或者发生数据安全事件风险明显加大时,网络运营者应当立即采取补救措施,及时告知用户并向网信部门报告。
网络运营者在用户注销账号后应当及时删除其个人信息,保存个人信息也不应超出收集使用规则中的保存期限,继要求运营方“只收集最必要的,有期限的保留,且当用户要求平台方删除或离开平台后,运营方要主动删除用户数据。”
· 强制“溯源”
《办法》中还规定“对于用户通过社交网络转发他人制作的信息,应自动标注信息制作者在该社交网络上的账户或不可更改的用户标识。”换言之,这是一种强制“溯源”,新浪微博在最新版本更新中加入了标注“博主”的功能,可以在评论区中明显辨认出“原博”。但该条例规定的则是在社交网络中常见的“转发链条”里,无论多少人转发,社交网络平台需要对“原博”作出不可更改的标注。此规定的前提,是网络运营者要督促提醒用户对自己的网络行为负责、加强自律。
在“大数据杀熟”、个人信息被贩卖、私密信息被盗用或流传、注销删除账号难、商业广告和新闻推送霸屏的当下,《办法》对网络运营方作出了诸多规定,并且将执法部门从中央下发至“地(市)及以上网信部门”,这将使执法难度下降,用户更易维权,这无疑是数据保护上的提升。但另一方面,《办法》中许多条例的模糊性也容易使得网络运营方明确知晓自己的义务,但个人用户却不知自己有何权利。同时,对网络运营方数据管理的要求也是双向的,一方面个人用户将更“被动地”保护自己数据,另一方面,政府也更“主动地”对运营方提出了数据审查要求。
变化内容
《办法》是中国版 GDPR 吗?
虽说《办法》有望成为中国首个围绕网络安全和数据管理落实的规章,从内容上也是政府站在用户角度,对网络运营方就用户数据作出收集、处理、删除等各个环节的要求。
《办法》发布之后难免被拿来与 GDPR 相比。两者相同之处颇多。
两部法案都提到了数据保护官类似岗位的设置;数据在泄露后,运营方告知用户的职责;也对国际间数据转移作出了要求,GDPR 仅允许数据控制者将数据转移到欧洲经济区EEA以外的、当地法律已被欧盟批准为充分保护的国家或地区,中国并未在此名单中,GDPR 的目的更倾向于“把数据放在有法律监管的地区”,换言之,你不能把 GDPR 范围区的数据转移到非范围区的地方,然后再故技重施滥用数据。
又比如,对企业不能再使用难以理解的冗长语言来让用户签订隐私政策;用户对自己数据的“被遗忘权”,在主动提出删除账户后,运营方对过往数据不再有保留权等。
还有一些问题,GDPR 和《办法》有共同认识,但实施做法和思路不尽相同。
《办法》对境内境外数据流通做出要求的目的就不同于 GDPR。《办法》要求网络运营者发布、共享、交易或向境外提供重要数据前,应当评估可能带来的安全风险,并报经行业主管监管部门同意;境内用户访问境内互联网的,其流量不得被路由到境外。此规定是为了防止潜在的流量劫持。
另一方面,横向对比两部法案,GDPR 比《办法》会更细致一些,GDPR 是站在用户一方,对数据收集方提出了在当下的“数据隐私权”以及维护这一权利所建立起的法律保护框架。而《办法》则更多地是针对数据的提供者和使用者要如何对待数据。
从两部法案的保护主体个人用户的角度来看,GDPR给予了个人用户对其数据更大的控制权,并明确了这些权利,而《办法》则更强调给予用户“知情权”,运营方像是在被《办法》推着走,而非被用户监管和维权。在个人敏感数据方面,GDPR 给出了七类可视为个人敏感数据的数据类型,从种族民族性取向到个人生物识别技术和基因数据都在这个范围内,《办法》中则并未详细展开“个人信息”的覆盖数据类型。而用户,也就是 GDPR 中所提到的“数据主体”,GDPR 中用了三个章节详细阐述了数据主体对数据的知情权、访问权、更正权和可携权、删除权、限制处理权、反对权和自动化个人决策相关权利。这些权利在《办法》中不难找到对应的法规,但个人用户到底对自己的数据有哪些权利,这是在《办法》中并未明晰的。
在 GDPR 中,还用了大量的篇幅来传递一个概念:“意愿”。GDPR 要求用户要在意愿自由、不存在被胁迫或欺诈、知情权明确、运营方提供给用户的信息明确到用户都不能轻易忽略……诸多前提条件后,用户按下的“同意协议”才是真的“同意”,才会真正从法律层面让协约生效。这个同意不能有任何不明确的空间,只要用户还对协议有合理的怀疑,就判定用户的意愿不明确。
而后 GDPR 还就“同意意愿”分为了儿童对同意的判断、有效同意的要件、同意的法律框架等做了更详细的要求和阐述。用户意愿是 GDPR 中的一个高频词,而在《办法》中,更多出现的则是“要求运营方”。
尽管在《办法》最后规定,若网络运营者违反《办法》,将面临公开曝光、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照等处罚;构成犯罪的,依法追究刑事责任。但用户通过何种途径可以得知平台滥用数据,得知后如何投诉举报立案,对运营方的惩罚措施和力度等细节都并未在《办法》中得到具体说明。
无论《办法》如何落地,至少表达了一个信号:运营者必须重视数据安全和用户个人隐私管理。对用户来说,也不是有了法规就万事大吉。保护个人数据隐私,无论对于个人、企业还是政府,仍旧是一个漫长且艰巨的博弈过程。