深度

中國數據安全管理草案面世,保障了誰、規範了什麼、 是否行得通?

或成中國首例,此前因貿易戰延遲公佈,對互聯網巨頭影響大。站在監管者角度,規定運營者義務,卻沒明確用戶權利。


在移動互聯網高度發達的中國,關於數據安全的法規卻遲遲未能健全。5月28日, 中國網信辦發布《數據安全管理辦法(徵求意見稿)》,有可能成為中國首個從國家層面對網絡數據安全管理的部門規章。 攝:Shiho Fukada/Bloomberg via Getty Images
在移動互聯網高度發達的中國,關於數據安全的法規卻遲遲未能健全。5月28日, 中國網信辦發布《數據安全管理辦法(徵求意見稿)》,有可能成為中國首個從國家層面對網絡數據安全管理的部門規章。 攝:Shiho Fukada/Bloomberg via Getty Images

5月28日, 中國國家互聯網信息辦公室(下稱「網信辦」)發布《數據安全管理辦法(徵求意見稿)》(下稱《辦法》),有可能成為中國首個從國家層面對網絡數據安全管理的部門規章,更有業者將其與歐盟2018年5月開始強制執行的《通用數據保護條例》(General Data Protection Regulation,下稱GDPR)相比。

在移動互聯網高度發達的中國,人口紅利漸漸消退,大體量數據信息構成的「大數據紅利」已多次進入中國國家戰略描述,但是,關於數據安全的法規卻遲遲未能健全。2003年就開始籌備的《個人信息保護法》至今未能面世。今次出台的意見稿,早在去年8月已基本達成業內共識,一位曾參與《辦法》前期專家意見徵詢的學者向端傳媒表示,因中美貿易戰談判涉及跨境數據等問題,令《辦法》一度擱淺。

比如,其中一條要求, 涉及行業數據、政府數據及大面積的基因健康數據等「重要數據」的遷移與境外傳輸,需經報批同意——這一點被列入美方談判的條件之一;此外,第29條,因涉及中國大陸的數據本地化,也被列入談判項目;而第36條中談及國務院有關部門對網絡運營者所有數據的一些強制性報送,也讓美國企業擔心——中國政府會要求他們提供數據。如今,中美談判陷入僵局、大陸又在數據安全方面屢屢爆發問題,網信辦才放行了積壓近一年的法規。

《辦法》規範了哪些領域的數據應用?會給互聯網企業和用戶帶來什麼影響? 如何預防公權力對其中模糊法條的濫用?是否具有可執行性?以及,它有沒有真正保障普通用戶的權利?端傳媒採訪多位數據保護領域的專家學者,剖析重要條款和其可能帶來的影響。

「個人信息及隱私保護,已經等得太久了」

如何理解《數據安全管理辦法》在中國相關法系的位置和權限覆蓋範圍?

它被普遍視為2017年6月1日施行的《網絡安全法》中部分條款細化後的部門規章。但也有專家將其稱為「小數據安全法」,認為其雜合甚至模糊了涉及國家安全的「重要數據」及「個人信息」的規定及概念。

對外經濟貿易大學數字經濟與法律創新研究中心執行主任許可在《數據安全法:定位、立場與制度構造》一文中指出,被列入立法近期規劃的《數據安全法》及早前的《網絡安全法》均屬《國家安全法》的下位法,「平等地統合在「國家安全」麾下」。《數據安全法》中的數據主權,及《網絡安全法》中的網絡主權,均為中國國家立場。

而主要關注個人信息安全的《個人信息保護法》早於2003年開始籌備,卻拖延至今。許可對端傳媒表示,延期16年主要有三方面原因:其一是網絡環境變化的迅急,使相關問題層出不窮又不斷翻新;其二則是法律體系的理論上並沒有深入討論個人信息保護和人格權的關係,個人信息是否為權利在學界存在爭議;第三是企業的阻力較大,在國家安全、企業利益以及個人權利之間,國家是第一位,企業是第二位,個人則不具有太多聲音,究竟給予個人多大程度的權利, 存在眾多利益之爭,「這三方面問題,十幾年來都未得到有效的解決。」

在德國從事民商事法律工作的趙進認為,《辦法》的出台主要是為了遏制數據洩漏導致的犯罪侵權事件及產生的社會問題,如早前連續數起針對大學生的電信詐騙案,曾出現徐玉玉、宋振寧等受害學生心臟驟停的慘劇,而日常生活中大量如快遞信息、健身房信息等被售賣的狀況也不時發生,滋擾不斷。

《辦法》公開徵求意見的翌日,人民網發表《監管部門亮劍App收集隱私》,表示大數據發展使設備智能化的同時也讓個人隱私失去保護傘,《辦法》的執行或許「可以讓用戶獲得部分選擇權」。

對《數據安全管理辦法》的態度,各方學者專家也態度不一。亞太網絡法律研究中心主任研究員劉德良認為,它在泛化個人信息的概念,為企業造成無端的合規成本。香港大學法律學系研究助理教授陳詠熙則認為,該法在數據安全和推動數據資源開發利用兩方面幾乎是並重的,條款上也沒有非常激進的限制。「我認為個人信息保護以及隱私保護很重要,而且大家對具體而可操作的法律規定已經等得太久了,」陳詠熙表示,這則《辦法》在他看來是一種進步,但個中細節是可以商榷的。

依據用戶瀏覽信息的精確算法進行用戶畫像,進而向不同用戶定向推送數據個性化的信息及廣告的內容聚合類資訊軟件「今日頭條」。

依據用戶瀏覽信息的精確算法進行用戶畫像,進而向不同用戶定向推送數據個性化的信息及廣告的內容聚合類資訊軟件「今日頭條」。攝:IC photo

那些關鍵條款,能不能真正保護用戶數據?

企業應在什麼情況下向政府提供數據?

第三十六條,國務院有關主管部門為履行維護國家安全、社會管理、經濟調控等職責需要,依照法律、行政法規的規定,要求網絡運營者提供掌握的相關數據的,網絡運營者應當予以提供。

對比2017年出台的《網絡安全法》中,僅要求網絡運營商為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支持和協助,並未提及「社會管理、經濟調控等職責需要」 ,《辦法》無疑拓展了政府的權力半徑。

參與《辦法》專家諮詢的學者表示,這一條使得境外企業尤其美方企業對中國政府可能強制要求企業數據產生擔憂。

法律工作者趙進則指出, GDPR中也有類似條款。她認為這主要是基於現實的一種回應,無論歐盟還是中國官方,都在經濟與社會管理上對大數據具有一定需求,例如統計年鑑中的統計數據、用於科學研究的病人病理數據等,《辦法》的問題在於:「 它收集了這些數據之後,你沒有可能在現有的法律體制中找到一個比較完善的機制來限制數據的濫用。」

此外,趙進還提到,在GDPR中,若網絡運營者向第三方提供數據,對用戶有告知義務,「你的數據,因為什麼理由被國家有關部門收集了,這樣的告知義務在GDPR中被明確規定,用戶數據轉向無論是商業上的第三方還是公權力部門,都有告知義務。」趙進指,回到中國語境,如何在此過程中保證公權力不被濫用,其實是國家行政法和憲法的規定。

依據用戶數據做出的精準推送,要怎樣標註?

第二十三條 網絡運營者利用用戶數據和算法推送新聞信息、商業廣告等(下稱「定向推送」),應當以明顯方式標明「定推」字樣,為用戶提供停止接收定向推送信息的功能;用戶選擇停止接收定向推送信息時,應當停止推送,並刪除已經收集的設備識別碼等用戶數據和個人信息。

網絡運營者開展定向推送活動應遵守法律、行政法規,尊重社會公德、商業道德、公序良俗,誠實守信,嚴禁歧視、欺詐等行為。

法學博士許可將這條法律分為三部分內容:需標記定向推送內容、用戶可停止接受定推及停止時運營方需刪除數據。若條文得以執行和實施,則將要求企業在軟件中設置相應的標識與取消程序,增加了企業成本,而刪除信息的部分則會可能讓企業失去很多用戶畫像的個性數據。

一直以來,互聯網企業通過對平台上用戶行為進行數據標籤和分析,以進行個性化的廣告、 資訊、甚至新聞推送已成為一種行業通行模式。例如自稱累積激活用戶6億、日活躍逾6千萬的內容聚合類資訊軟件「今日頭條」,便是依據用戶瀏覽信息的精確算法進行用戶畫像,進而向不同用戶定向推送數據個性化的信息及廣告,2018年底今日頭條的估值為750億美元(約5,850億港元)。而中國大陸最大的電商網站之一淘寶網的搜索默認排序亦是依據用戶過往購買及瀏覽紀錄進行篩選,其在臉書或其他網頁的跨平台廣告推送同樣為根據用戶數據及設備碼識別的定向推送。

艾媒諮詢分析師李松霖對端傳媒表示,進行定向推送的手機應用長久以來都存在爭議,因用戶往往是處於缺乏選擇權的情況下授權隱私調取,這類行為其實一直都存在損害用戶隱私信息安全的嫌疑。

2019年1月,法國數據保護監管機構因認為 Google 向用戶定向推送的廣告及訊息缺乏透明度,未得到用戶有效許可,而依據 GDPR 向 Google 開出5000萬歐元的罰單,成為 GDPR 生效以來開出的首張罰單。

需要申明的是,GDPR中對定向推送相關的規定並非完全禁止。許可表示,以法國數據保護機構對Google開出罰單一案為例,其依據是未進行透明化處理,也就是說沒有告知用戶其數據已被用於定向推送。其他學者也對端傳媒印證指,GDPR的規範角度側重於對個體用戶的影響,而《辦法》則是對企業運營商的規範。

2019年1月,法國數據保護監管機構因認為 Google 向用戶定向推送的廣告及訊息缺乏透明度,未得到用戶有效許可, 向Google 罰款5000萬歐元。

2019年1月,法國數據保護監管機構因認為 Google 向用戶定向推送的廣告及訊息缺乏透明度,未得到用戶有效許可, 向Google 罰款5000萬歐元。攝:Jeff J Mitchell/Getty Images

不過,許可也談到,《辦法》只要求企業必須標識,但企業具體如何標識和確認刪除則落在不同企業的軟件設計上,是否會以用戶友好型的設置出現便不得而知了。此外,定向推送的方式並不限於利用某一位用戶的數據,還有一種稱為「協同算法」的方式,即使用某用戶關聯方的數據,如用戶朋友、親屬或互動緊密的賬號等,而這方面很難有好的數據安全法進行規管。「但定向推送本身也不一定是壞事,」許可補充指出。

在實際操作中,定向推送也產生了大數據依據用戶性別、貧富等標籤的歧視行為,但具體的歧視類別及項目,未在《辦法》中標明。香港大學法學院研究助理教授陳咏熙對端傳媒指出,相比於 GDPR, 《辦法》中未明確賦予用戶拒絕被數據自動化標籤畫像的權利,而主要是對網絡運營者的畫像行為進行限制。但是,在條款中提及定向推送和大數據歧視,已屬於較新的理念,「這個草案是第一次提出市場不應該對個人信息主體採取歧視的行為,我認為是值得稱讚的一種姿態」。

禁止越界調取用戶信息,但誰來判斷界線在哪兒?

第十一條 網絡運營者不得以改善服務質量、提升用戶體驗、定向推送信息、研發新產品等為由,以默認授權、功能捆綁等形式強迫、誤導個人信息主體同意其收集個人信息。

個人信息主體同意收集保證網絡產品核心業務功能運行的個人信息後,網絡運營者應當向個人信息主體提供核心業務功能服務,不得因個人信息主體拒絕或者撤銷同意收集上述信息以外的其他信息,而拒絕提供核心業務功能服務。

艾媒咨询分析师李松霖向端傳媒解釋,對用戶隱私信息疑似越界调取的问题也是互聯網企業長期存在的現象之一。越界調取是指未經用戶同意便讀取用戶隱私數據的情況,例如一些應用程序未被用戶允許讀取通訊錄數據,但仍然進行了讀取,網購、社交、旅遊、理財等類型的手機APP在此問題上較為嚴重。

據中國消費者協會2018年9月發布的《App 個人信息洩露情況》,85%的消費者曾遭遇個人信息洩露,結合另一份《網絡隱私安全及網絡欺詐行為研究分析報告》則發現,手機App越界獲取個人信息是網絡詐騙的主要源頭。

許可解釋,此條例主要在規範過去手機軟件常常使用的「一攬子」捆綁授權模式,施行這一條例有兩種方式;一種是每一項授權均設同意按鈕,另一種則是分「核心功能」授權與其之外的授權,後一種是折中的思路,不過其最大問題在於用戶、企業和國家監管機構中哪一方判斷什麼屬於「核心功能」,「這會成為未來執法中主要的問題」。

網絡爬蟲的「爬行」權限如何劃定?

第十六條 網絡運營者採取自動化手段訪問收集網站數據,不得妨礙網站正常運行;此類行為嚴重影響網站運行,如自動化訪問收集流量超過網站日均流量三分之一,網站要求停止自動化訪問收集時,應當停止。

其中,第十六條被認為是首次針對網絡爬蟲問題的規定,參與早前專家諮詢的學者對端傳媒解釋,三分之一來自技術部門的定義,有關技術部門認為超過三分之一便會造成嚴重影響。不過,其在執法層面可能較為困難,例如有十個爬蟲同時爬取一個網站並在加總後達到三分之一,那麼誰承擔停止訪問的後果並沒有更詳細的規定。這位學者同時指出,此規定事實上與個人信息關係並不強,主要是關乎重要數據及如國家政府網站等系統安全問題。

第二十四條 網絡運營者利用大數據、人工智能等技術自動合成新聞、博文、帖子、評論等信息,應以明顯方式標明「合成」字樣;不得以謀取利益或損害他人利益為目的自動合成信息。

此條例的出台,上述學者也表示或與國家安全有關。他援引2018年Facebook的隱私門危機表示,數據洩漏使臉書CEO朱克伯格(Mark Zuckerberg)在國會受到非常嚴厲的審查,其中一個重要的原因是數據影響了總統大選。基於此,第二十四條提到的新聞主要是為假新聞及新聞的政治影響做規範。

中国信息安全研究院副院长左晓栋則對《南方都市報》表示,人工智能合成新聞目前已得到較大範圍的應用,但人工智能也有可能生成看似可信的假新聞,因而予以標註可以使用戶對其可信度、質量保持謹慎態度。

2018年3月,facebook被揭發曾經讓大數據公司「劍橋分析」(Cambridge Analytica)在未經用戶同意及授權下收集約5,000萬用戶的個人資料。

2018年3月,facebook被揭發曾經讓大數據公司「劍橋分析」(Cambridge Analytica)在未經用戶同意及授權下收集約5,000萬用戶的個人資料。攝:Saul Loeb/AFP/Getty Images

站在監管者角度,規定運營者義務,卻沒明確用戶權利

業界廣為興奮或觀望的《中國數據安全管理辦法》的可執行性如何呢?

李松霖等不少專家學者表示,《辦法》中的範圍、量度存在太多不清晰,因而很難定責,執行力度及影響較難評估。不過,許可特別指出第五條——過去一般個人信息保護是由中央執法,但第五條則明確授權至地方有關部門,執法力度可能會提升。

「從原則上說的話,任何使用個人信息的行為都應該受到原先蒐集信息的目的的限制,這被稱為是目的限制原則。」陳咏熙則對《辦法》條文過於粗放而表示擔憂,他以《辦法》第二十七條網絡運營者向他人提供個人信息的例外情況為例,指出其中第四項「執法機關依法履行職責所必需」是過於寬泛的規定,原則上,這樣的豁免應當清晰列出範圍,包括何種機關、基於何種位階的規範、行使何種權力時可使用有關信息,如香港的《個人資料(私隱)條例》列明了與偵查和檢控犯罪有關的六類具體行為。同時辦法也應規定,在豁免可能被濫用時個人可以尋求何種救濟。

「就規定內容而言,應該說是一個進步,其中尤其是定向推送的相關規定比GDPR更為嚴格。但其是否能完全執行,我對此仍有疑問。」趙進指,大量條文沒有被具體細化,以定向推送的規定為例,其中並未指出定向推送之後企業方沒有標識會有什麼懲罰,也沒有涉及若用戶取消後仍被定向推送且情況惡劣會如何處置。

趙進擔心,這種情況可能造成一方面有關部門不作責罰,大事化小小事化了;而另一方面則小題大做,加重責罰,再加上沒有細化的統一標準下,各地情況可能會差異很大,「真的各地有各地的標準,可能產生權力尋租空間,不是懷著惡意說它一定會這樣做,但的確從法律條文上會開一個口子,出現這樣的可能性。」

此外,多位學者向端傳媒指出,條款中缺乏個人權利被侵犯後如何申訴的渠道,其規範了經營者的數據收集,卻對消費者沒有救濟空間。互聯網觀察者 Joey 也對端傳媒表示,就其個人觀察,數據安全管理法和 GDPR 除了在法規的系統性上要弱很多之外,有一個很大的區別在於法規主體上。

GDPR 明確規定了許多用戶的權利,例如糾正權、被遺忘權、自主決定權等等;但意見稿則主要站在監管者的角度,規定了許多網絡運營者的義務,並沒有明確用戶權利,對於網絡運營者違規時用戶的救濟手段也僅含糊規定「由有關部門依照相關法律、行政法規的規定」進行處罰。

香港大學法學院研究助理教授陳咏熙對端傳媒表示,《辦法》中一部分體現了「個人信息保護原則」的精神,但卻未用原則的方式撰寫。

「這背後體現的是兩種不同的立法思路,」Joey 舉例到,如果拿一個學校治理來作比喻,就好像校長和學生說,你們有 A 權利、B 權利等,當班主任侵犯你們的權利時,可以透過各種手段進行救濟,那麼這個規定的生命在於權利,只要人人都有維護自己權利的本能,規定就能產生實際的效果;而後者就更像校長和班主任說,你們應該這樣,應該那樣,強調的是校長對於班主任的監督,那在這個時候,執行不執行、執行到什麼程度,最後還是取決於校長,這無疑會讓規定的執行力大打折扣。

實習記者 張百武、李瑞洋對本文亦有貢獻。

觸摸世界的政經脈搏
你觀察時代的可靠伙伴

已是端會員?請 登入賬號

端傳媒
深度時政報導

華爾街日報
實時財訊

全球端會員
智識社群

每週精選
專題推送

了解更多
中國 數據安全