5月28日, 中国国家互联网信息办公室(下称“网信办”)发布《数据安全管理办法(征求意见稿)》(下称《办法》),有可能成为中国首个从国家层面对网络数据安全管理的部门规章,更有业者将其与欧盟2018年5月开始强制执行的《通用数据保护条例》(General Data Protection Regulation,下称GDPR)相比。
在移动互联网高度发达的中国,人口红利渐渐消退,大体量数据信息构成的“大数据红利”已多次进入中国国家战略描述,但是,关于数据安全的法规却迟迟未能健全。2003年就开始筹备的《个人信息保护法》至今未能面世。今次出台的意见稿,早在去年8月已基本达成业内共识,一位曾参与《办法》前期专家意见征询的学者向端传媒表示,因中美贸易战谈判涉及跨境数据等问题,令《办法》一度搁浅。
比如,其中一条要求, 涉及行业数据、政府数据及大面积的基因健康数据等“重要数据”的迁移与境外传输,需经报批同意——这一点被列入美方谈判的条件之一;此外,第29条,因涉及中国大陆的数据本地化,也被列入谈判项目;而第36条中谈及国务院有关部门对网络运营者所有数据的一些强制性报送,也让美国企业担心——中国政府会要求他们提供数据。如今,中美谈判陷入僵局、大陆又在数据安全方面屡屡爆发问题,网信办才放行了积压近一年的法规。
《办法》规范了哪些领域的数据应用?会给互联网企业和用户带来什么影响? 如何预防公权力对其中模糊法条的滥用?是否具有可执行性?以及,它有没有真正保障普通用户的权利?端传媒采访多位数据保护领域的专家学者,剖析重要条款和其可能带来的影响。
“个人信息及隐私保护,已经等得太久了”
如何理解《数据安全管理办法》在中国相关法系的位置和权限覆盖范围?
它被普遍视为2017年6月1日施行的《网络安全法》中部分条款细化后的部门规章。但也有专家将其称为“小数据安全法”,认为其杂合甚至模糊了涉及国家安全的“重要数据”及“个人信息”的规定及概念。
对外经济贸易大学数字经济与法律创新研究中心执行主任许可在《数据安全法:定位、立场与制度构造》一文中指出,被列入立法近期规划的《数据安全法》及早前的《网络安全法》均属《国家安全法》的下位法,“平等地统合在“国家安全”麾下”。《数据安全法》中的数据主权,及《网络安全法》中的网络主权,均为中国国家立场。
而主要关注个人信息安全的《个人信息保护法》早于2003年开始筹备,却拖延至今。许可对端传媒表示,延期16年主要有三方面原因:其一是网络环境变化的迅急,使相关问题层出不穷又不断翻新;其二则是法律体系的理论上并没有深入讨论个人信息保护和人格权的关系,个人信息是否为权利在学界存在争议;第三是企业的阻力较大,在国家安全、企业利益以及个人权利之间,国家是第一位,企业是第二位,个人则不具有太多声音,究竟给予个人多大程度的权利, 存在众多利益之争,“这三方面问题,十几年来都未得到有效的解决。”
在德国从事民商事法律工作的赵进认为,《办法》的出台主要是为了遏制数据泄漏导致的犯罪侵权事件及产生的社会问题,如早前连续数起针对大学生的电信诈骗案,曾出现徐玉玉、宋振宁等受害学生心脏骤停的惨剧,而日常生活中大量如快递信息、健身房信息等被售卖的状况也不时发生,滋扰不断。
《办法》公开征求意见的翌日,人民网发表《监管部门亮剑App收集隐私》,表示大数据发展使设备智能化的同时也让个人隐私失去保护伞,《办法》的执行或许“可以让用户获得部分选择权”。
对《数据安全管理办法》的态度,各方学者专家也态度不一。亚太网络法律研究中心主任研究员刘德良认为,它在泛化个人信息的概念,为企业造成无端的合规成本。香港大学法律学系研究助理教授陈咏熙则认为,该法在数据安全和推动数据资源开发利用两方面几乎是并重的,条款上也没有非常激进的限制。“我认为个人信息保护以及隐私保护很重要,而且大家对具体而可操作的法律规定已经等得太久了,”陈咏熙表示,这则《办法》在他看来是一种进步,但个中细节是可以商榷的。
那些关键条款,能不能真正保护用户数据?
企业应在什么情况下向政府提供数据?
第三十六条,国务院有关主管部门为履行维护国家安全、社会管理、经济调控等职责需要,依照法律、行政法规的规定,要求网络运营者提供掌握的相关数据的,网络运营者应当予以提供。
对比2017年出台的《网络安全法》中,仅要求网络运营商为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助,并未提及“社会管理、经济调控等职责需要” ,《办法》无疑拓展了政府的权力半径。
参与《办法》专家咨询的学者表示,这一条使得境外企业尤其美方企业对中国政府可能强制要求企业数据产生担忧。
法律工作者赵进则指出, GDPR中也有类似条款。她认为这主要是基于现实的一种回应,无论欧盟还是中国官方,都在经济与社会管理上对大数据具有一定需求,例如统计年鉴中的统计数据、用于科学研究的病人病理数据等,《办法》的问题在于:“ 它收集了这些数据之后,你没有可能在现有的法律体制中找到一个比较完善的机制来限制数据的滥用。”
此外,赵进还提到,在GDPR中,若网络运营者向第三方提供数据,对用户有告知义务,“你的数据,因为什么理由被国家有关部门收集了,这样的告知义务在GDPR中被明确规定,用户数据转向无论是商业上的第三方还是公权力部门,都有告知义务。”赵进指,回到中国语境,如何在此过程中保证公权力不被滥用,其实是国家行政法和宪法的规定。
依据用户数据做出的精准推送,要怎样标注?
第二十三条 网络运营者利用用户数据和算法推送新闻信息、商业广告等(下称“定向推送”),应当以明显方式标明“定推”字样,为用户提供停止接收定向推送信息的功能;用户选择停止接收定向推送信息时,应当停止推送,并删除已经收集的设备识别码等用户数据和个人信息。
网络运营者开展定向推送活动应遵守法律、行政法规,尊重社会公德、商业道德、公序良俗,诚实守信,严禁歧视、欺诈等行为。
法学博士许可将这条法律分为三部分内容:需标记定向推送内容、用户可停止接受定推及停止时运营方需删除数据。若条文得以执行和实施,则将要求企业在软件中设置相应的标识与取消程序,增加了企业成本,而删除信息的部分则会可能让企业失去很多用户画像的个性数据。
一直以来,互联网企业通过对平台上用户行为进行数据标签和分析,以进行个性化的广告、 信息、甚至新闻推送已成为一种行业通行模式。例如自称累积激活用户6亿、日活跃逾6千万的内容聚合类信息软件“今日头条”,便是依据用户浏览信息的精确算法进行用户画像,进而向不同用户定向推送数据个性化的信息及广告,2018年底今日头条的估值为750亿美元(约5,850亿港元)。而中国大陆最大的电商网站之一淘宝网的搜索默认排序亦是依据用户过往购买及浏览纪录进行筛选,其在脸书或其他网页的跨平台广告推送同样为根据用户数据及设备码识别的定向推送。
艾媒咨询分析师李松霖对端传媒表示,进行定向推送的手机应用长久以来都存在争议,因用户往往是处于缺乏选择权的情况下授权隐私调取,这类行为其实一直都存在损害用户隐私信息安全的嫌疑。
2019年1月,法国数据保护监管机构因认为 Google 向用户定向推送的广告及信息缺乏透明度,未得到用户有效许可,而依据 GDPR 向 Google 开出5000万欧元的罚单,成为 GDPR 生效以来开出的首张罚单。
需要申明的是,GDPR中对定向推送相关的规定并非完全禁止。许可表示,以法国数据保护机构对Google开出罚单一案为例,其依据是未进行透明化处理,也就是说没有告知用户其数据已被用于定向推送。其他学者也对端传媒印证指,GDPR的规范角度侧重于对个体用户的影响,而《办法》则是对企业运营商的规范。
不过,许可也谈到,《办法》只要求企业必须标识,但企业具体如何标识和确认删除则落在不同企业的软件设计上,是否会以用户友好型的设置出现便不得而知了。此外,定向推送的方式并不限于利用某一位用户的数据,还有一种称为“协同算法”的方式,即使用某用户关联方的数据,如用户朋友、亲属或互动紧密的账号等,而这方面很难有好的数据安全法进行规管。“但定向推送本身也不一定是坏事,”许可补充指出。
在实际操作中,定向推送也产生了大数据依据用户性别、贫富等标签的歧视行为,但具体的歧视类别及项目,未在《办法》中标明。香港大学法学院研究助理教授陈咏熙对端传媒指出,相比于 GDPR, 《办法》中未明确赋予用户拒绝被数据自动化标签画像的权利,而主要是对网络运营者的画像行为进行限制。但是,在条款中提及定向推送和大数据歧视,已属于较新的理念,“这个草案是第一次提出市场不应该对个人信息主体采取歧视的行为,我认为是值得称赞的一种姿态”。
禁止越界调取用户信息,但谁来判断界线在哪儿?
第十一条 网络运营者不得以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息。
个人信息主体同意收集保证网络产品核心业务功能运行的个人信息后,网络运营者应当向个人信息主体提供核心业务功能服务,不得因个人信息主体拒绝或者撤销同意收集上述信息以外的其他信息,而拒绝提供核心业务功能服务。
艾媒咨询分析师李松霖向端传媒解释,对用户隐私信息疑似越界调取的问题也是互联网企业长期存在的现象之一。越界调取是指未经用户同意便读取用户隐私数据的情况,例如一些应用程序未被用户允许读取通讯录数据,但仍然进行了读取,网购、社交、旅游、理财等类型的手机APP在此问题上较为严重。
据中国消费者协会2018年9月发布的《App 个人信息泄露情况》,85%的消费者曾遭遇个人信息泄露,结合另一份《网络隐私安全及网络欺诈行为研究分析报告》则发现,手机App越界获取个人信息是网络诈骗的主要源头。
许可解释,此条例主要在规范过去手机软件常常使用的“一揽子”捆绑授权模式,施行这一条例有两种方式;一种是每一项授权均设同意按钮,另一种则是分“核心功能”授权与其之外的授权,后一种是折中的思路,不过其最大问题在于用户、企业和国家监管机构中哪一方判断什么属于“核心功能”,“这会成为未来执法中主要的问题”。
网络爬虫的“爬行”权限如何划定?
第十六条 网络运营者采取自动化手段访问收集网站数据,不得妨碍网站正常运行;此类行为严重影响网站运行,如自动化访问收集流量超过网站日均流量三分之一,网站要求停止自动化访问收集时,应当停止。
其中,第十六条被认为是首次针对网络爬虫问题的规定,参与早前专家咨询的学者对端传媒解释,三分之一来自技术部门的定义,有关技术部门认为超过三分之一便会造成严重影响。不过,其在执法层面可能较为困难,例如有十个爬虫同时爬取一个网站并在加总后达到三分之一,那么谁承担停止访问的后果并没有更详细的规定。这位学者同时指出,此规定事实上与个人信息关系并不强,主要是关乎重要数据及如国家政府网站等系统安全问题。
第二十四条 网络运营者利用大数据、人工智能等技术自动合成新闻、博文、帖子、评论等信息,应以明显方式标明“合成”字样;不得以谋取利益或损害他人利益为目的自动合成信息。
此条例的出台,上述学者也表示或与国家安全有关。他援引2018年Facebook的隐私门危机表示,数据泄漏使脸书CEO扎克伯格(Mark Zuckerberg)在国会受到非常严厉的审查,其中一个重要的原因是数据影响了总统大选。基于此,第二十四条提到的新闻主要是为假新闻及新闻的政治影响做规范。
中国信息安全研究院副院长左晓栋则对《南方都市报》表示,人工智能合成新闻目前已得到较大范围的应用,但人工智能也有可能生成看似可信的假新闻,因而予以标注可以使用户对其可信度、质量保持谨慎态度。
站在监管者角度,规定运营者义务,却没明确用户权利
业界广为兴奋或观望的《中国数据安全管理办法》的可执行性如何呢?
李松霖等不少专家学者表示,《办法》中的范围、量度存在太多不清晰,因而很难定责,执行力度及影响较难评估。不过,许可特别指出第五条——过去一般个人信息保护是由中央执法,但第五条则明确授权至地方有关部门,执法力度可能会提升。
“从原则上说的话,任何使用个人信息的行为都应该受到原先搜集信息的目的的限制,这被称为是目的限制原则。”陈咏熙则对《办法》条文过于粗放而表示担忧,他以《办法》第二十七条网络运营者向他人提供个人信息的例外情况为例,指出其中第四项“执法机关依法履行职责所必需”是过于宽泛的规定,原则上,这样的豁免应当清晰列出范围,包括何种机关、基于何种位阶的规范、行使何种权力时可使用有关信息,如香港的《个人资料(私隐)条例》列明了与侦查和检控犯罪有关的六类具体行为。同时办法也应规定,在豁免可能被滥用时个人可以寻求何种救济。
“就规定内容而言,应该说是一个进步,其中尤其是定向推送的相关规定比GDPR更为严格。但其是否能完全执行,我对此仍有疑问。”赵进指,大量条文没有被具体细化,以定向推送的规定为例,其中并未指出定向推送之后企业方没有标识会有什么惩罚,也没有涉及若用户取消后仍被定向推送且情况恶劣会如何处置。
赵进担心,这种情况可能造成一方面有关部门不作责罚,大事化小小事化了;而另一方面则小题大做,加重责罚,再加上没有细化的统一标准下,各地情况可能会差异很大,“真的各地有各地的标准,可能产生权力寻租空间,不是怀著恶意说它一定会这样做,但的确从法律条文上会开一个口子,出现这样的可能性。”
此外,多位学者向端传媒指出,条款中缺乏个人权利被侵犯后如何申诉的渠道,其规范了经营者的数据收集,却对消费者没有救济空间。互联网观察者 Joey 也对端传媒表示,就其个人观察,数据安全管理法和 GDPR 除了在法规的系统性上要弱很多之外,有一个很大的区别在于法规主体上。
GDPR 明确规定了许多用户的权利,例如纠正权、被遗忘权、自主决定权等等;但意见稿则主要站在监管者的角度,规定了许多网络运营者的义务,并没有明确用户权利,对于网络运营者违规时用户的救济手段也仅含糊规定“由有关部门依照相关法律、行政法规的规定”进行处罚。
香港大学法学院研究助理教授陈咏熙对端传媒表示,《办法》中一部分体现了“个人信息保护原则”的精神,但却未用原则的方式撰写。
“这背后体现的是两种不同的立法思路,”Joey 举例到,如果拿一个学校治理来作比喻,就好像校长和学生说,你们有 A 权利、B 权利等,当班主任侵犯你们的权利时,可以透过各种手段进行救济,那么这个规定的生命在于权利,只要人人都有维护自己权利的本能,规定就能产生实际的效果;而后者就更像校长和班主任说,你们应该这样,应该那样,强调的是校长对于班主任的监督,那在这个时候,执行不执行、执行到什么程度,最后还是取决于校长,这无疑会让规定的执行力大打折扣。
实习记者 张百武、李瑞洋对本文亦有贡献。
用户从来都是受摆布的,国家认为:你的信息算什么个人信息,你与这个社会息息相关,那你就是组成这个国家大数据的一个节点。不仅是公共治安问题,包括经济信息安全问题每个人都有义务把自己捂严实,保护好,不要为外人所利用。所以说了这么多。。。你知道怎么完整全面地保护好自己的信息吗?不你不知道,国家一把大手知道呀,国家还有技术帮你实现,你就别管了,我们包圆儿。让你无忧无虑安心体验互联网冲浪你还不开心??🙂🙂🙂
就草案“重监管、轻权利”这一问题再补充点看法: 拿班主任和学生的之间的权利关系做个比喻,为什么草案落脚于校长对班主任的监管,而非落脚于学生的申诉程序? 因为草案是由校长秘书(网信办)出台的,其视角、知识和位置决定了草案的校长视角(监管企业是否存在侵权行为)。 若要制定一部学生(个人)视角的法律,应该由学生代表参加的全校立法机构(人大)来制定。 但是,由于种种原因,本应由人大颁布的《个人信息保护法》迟迟没有出台。
如文章所言,个人隐私和大数据涉及企业、个人和政府的三方博弈。 如何确定企业和政府的行为边界,也不是一个管理办法或者一部法律所能回答的。 比如,如何限制政府权力和促进政府执法有赖于行政法基本制度的完善,而如何促使企业遵守义务,既是行政法问题又是民法问题。
我唯一保持乐观的理由是,该草案还是规定了网站对用户的一些义务。 如果企业违反该义务,用户还是可以去提起侵权之诉或违约之诉的。
文章写的很中肯,特别是对立法思路的分析。
只見樹木不見樹林?我只看到連月光都沒有的夜幕。何來看到所謂的樹林?GDP 是樹林?哪GNP又如何?所謂的樹林究竟是指什麼?請用文明來說服我。
樓上真的太優秀了,裏面提了那麼多什麼肯定進步之類的都沒看到,一句「只見樹木不見林」大帽子就扣下來,執行可能不力和公權力沒有監管難道不該提嗎?是不是寫成人民日報那樣瘋狂誇讚就是「見林」了呢?
說端傳媒只報中國負面新聞,請問中國還缺報正面新聞的媒體嗎?
端传媒关于中国的报道都是负面的,只见树木不见森林
总会有各种理由得到你的个人信息 这里没有隐私
“数据安全管理草案”,一看我就知道他们想干什么。
我现在真的觉得中国就是爹国,爹说你该怎么做就怎么做,爹生你养你你就没资格和爹谈权利和权力。《意见稿》从头到尾都是为了管控,根本就没想过民众的隐私和权利,这样一来政府向企业要资料就具有了合法性。而且中国从来就没有培养过人民的网络隐私权,到现在绝大多数人都认为一个人只要在社交网络上发了公开信息那么大家都可以用了,还有生活的方方面面,更广义来说就没有隐私权这个概念,集体生活下个体没有权利去要求个人空间,你如果要求隐私权你就是心虚有问题。
现在可以回答标题的三个问题,保障了爹,规范了大家要遵从爹的指示,爹说行得通那就一定行得通。
在当下环境的中国,我更宁愿相信它是一部恶法