5月28日, 中國國家互聯網信息辦公室(下稱「網信辦」)發布《數據安全管理辦法(徵求意見稿)》(下稱《辦法》),有可能成為中國首個從國家層面對網絡數據安全管理的部門規章,更有業者將其與歐盟2018年5月開始強制執行的《通用數據保護條例》(General Data Protection Regulation,下稱GDPR)相比。
在移動互聯網高度發達的中國,人口紅利漸漸消退,大體量數據信息構成的「大數據紅利」已多次進入中國國家戰略描述,但是,關於數據安全的法規卻遲遲未能健全。2003年就開始籌備的《個人信息保護法》至今未能面世。今次出台的意見稿,早在去年8月已基本達成業內共識,一位曾參與《辦法》前期專家意見徵詢的學者向端傳媒表示,因中美貿易戰談判涉及跨境數據等問題,令《辦法》一度擱淺。
比如,其中一條要求, 涉及行業數據、政府數據及大面積的基因健康數據等「重要數據」的遷移與境外傳輸,需經報批同意——這一點被列入美方談判的條件之一;此外,第29條,因涉及中國大陸的數據本地化,也被列入談判項目;而第36條中談及國務院有關部門對網絡運營者所有數據的一些強制性報送,也讓美國企業擔心——中國政府會要求他們提供數據。如今,中美談判陷入僵局、大陸又在數據安全方面屢屢爆發問題,網信辦才放行了積壓近一年的法規。
《辦法》規範了哪些領域的數據應用?會給互聯網企業和用戶帶來什麼影響? 如何預防公權力對其中模糊法條的濫用?是否具有可執行性?以及,它有沒有真正保障普通用戶的權利?端傳媒採訪多位數據保護領域的專家學者,剖析重要條款和其可能帶來的影響。