《數據安全管理辦法》對我們來說意味著什麼?
2018 年3 月,Facebook 劍橋分析事件的爆出,一把扯下了科技公司各自在用戶數據保護方面披上的遮羞布。隨後5 月,歐盟正式開始執行“史上最嚴的數據隱私保護法案”《通用數據保護條例》(GDPR),更是把關於數據隱私的討論推向了巔峰。
無論是連番的數據洩漏醜聞還是各國政府和機構組織的紛紛表態,2018 年一整年,隱私和數據安全都是一個繞不開的話題,公司和用戶都不得不開始重視它背後的經濟效益、利用關係以及個人權利。
前所未有嚴苛的數據保護法《GDPR》 | GDPR 官網截屏
據中國互聯網網絡信息中心的數據顯示,截至2018年底,中國網民達8.29億,手機網民8.17億。在這個背景下,無論是對管理者的要求還是民意的訴求,數據安全管理規章化不可避免。
5 月24 日,國家網信辦聯合國家發改委等12 個部門起草了《網絡安全審查辦法(徵求意見稿)》(以下簡稱《辦法》)。四天后,5 月28 日,中國國家互聯網信息辦公室(以下簡稱“網信辦”)發表《數字安全管理辦法(徵求意見稿)》,發布《數字安全管理辦法(徵求意見稿)》,向社會公開徵求意見。6 月28 日,《數據安全管理辦法》的意見反饋正式截止。
《辦法》只針對“網絡運營者”,要求它們保護國家、社會、個人在網上的信息和數據安全,包括個人要給企業多少數據,哪些不必再給,企業無權再要;企業要如何保護用戶個人數據,如何利用和處理已有的數據,在何種情況下把用戶數據交與政府;政府如何監管企業不濫用個人數據。在《辦法》出台之前,因為此前條例的模糊性,網絡運營者得以鑽了數據收集的漏洞。現在,《辦法》就個人隱私和數據收集、廣告和新聞精準投放、app和平台對權限的無理索求以及賬戶、平台在停用後數據歸宿等近幾年來多發的數據隱私爭議點上作出了明確地要求,《辦法》也可能將成為中國首個圍繞網絡安全和數據管理落實的規章。
堵上所有能鑽的空子
近幾年的移動應用的普及,新入網用戶激增,但同時,零基礎直接上手的移動互聯網用戶對數據和隱私的權利概念模糊,絕大多數用戶在這方面意識薄弱,因此導致了不少互聯網公司肆意收割數據的現狀。在五章四十條的《辦法》中,有諸多條例都體現著對當前互聯網亂象的“對症下藥”。
· 《用戶協議》要“說人話”
每當用戶註冊一個新網站的賬號時,總是習慣把那些長篇累牘的《平台數據手機條約》一拉到底,點擊同意。對此,《辦法》第二章第八條要求:收集使用規則應當明確具體、簡單通俗、易於訪問,並給出了九小點的“具體要求凸顯的條例”。
對運營方面向用戶的條款作出明確規定| 網信辦官網截屏
換句話說,滿篇堆砌法律名詞,用盡各種語言技巧的“數據收集條約”將被取締。儘管用戶和平台之間“不同意就不能用”的協議不會改變,但平台必須讓用戶明確地知曉數據收集的意圖,或者說用戶自己使用服務的代價。
· 用不到的信息不許強行收集
在第十一條中,《辦法》明確規定了“網絡運營者不得以改善服務質量、提升用戶體驗、定向推送信息、研發新產品等為由,以默認授權、功能捆綁等形式強迫、誤導個人信息主體同意其收集個人信息。”
即網站和應用用不到的信息,運營方不能強行收集,更不能因為用戶不同意提供這些“用不到”的信息,就拒絕提供服務。系統層上,蘋果在iOS 12和iOS 13的更新中也作出了類似的規範和限制。
· 拒絕大數據殺熟
在十三條中,《辦法》則規定了禁止對個人信息分析後進行定價歧視,此舉也明顯針對的就是去年國內頻繁曝出的“大數據殺熟”現象。
· 治理垃圾推送消息
在《辦法》第三章《數據處理使用》中第二十三條規定,運營者利用用戶數據和算法推送新聞信息、商業廣告等,應當以明顯方式標明“定推”字樣;要對用戶提供停止接收定向推送信息的功能,並且當用戶關閉該功能後,應當停止推送,並刪除已經收集的設備識別碼等用戶數據和個人信息。
· 標註機器生成內容
隨著人工智能的愈發成熟,機器替代人工回复消息甚至生產內容正在慢慢成為一種趨勢。比如前幾年開始在社交網絡上流行的各類bot 就屬於該類,各類服務中的自動客服回復和智能助手也可歸為該類。在《辦法》第二十四條規定,利用大數據和人工智能合成的新聞、博文、帖子、評論等信息,應以明顯方式表明“合成”字樣。
· 設立“數據安全負責人”職位
《辦法》中也要求網絡運營方要有“數據安全負責人”職位,這個職位要求有數據安全專業知識的人員擔任,專員需要參與有關數據活動的重要決策,且運營方要保證這個職位“獨立履行職責”。
· 對已有數據的保護
《辦法》第三章規定,如運營方被兼併或破產,所擁有的數據要么交接要么刪除,不得保留;個人信息洩露、毀損、丟失等數據安全事件,或者發生數據安全事件風險明顯加大時,網絡運營者應當立即採取補救措施,及時告知用戶並向網信部門報告。
網絡運營者在用戶註銷賬號後應當及時刪除其個人信息,保存個人信息也不應超出收集使用規則中的保存期限,繼要求運營方“只收集最必要的,有期限的保留,且當用戶要求平台方刪除或離開平台後,運營方要主動刪除用戶數據。”
· 強制“溯源”
《辦法》中還規定“對於用戶通過社交網絡轉發他人製作的信息,應自動標註信息製作者在該社交網絡上的賬戶或不可更改的用戶標識。”換言之,這是一種強制“溯源”,新浪微博在最新版本更新中加入了標註“博主”的功能,可以在評論區中明顯辨認出“原博”。但該條例規定的則是在社交網絡中常見的“轉發鏈條”裡,無論多少人轉發,社交網絡平台需要對“原博”作出不可更改的標註。此規定的前提,是網絡運營者要督促提醒用戶對自己的網絡行為負責、加強自律。
在“大數據殺熟”、個人信息被販賣、私密信息被盜用或流傳、註銷刪除賬號難、商業廣告和新聞推送霸屏的當下,《辦法》對網絡運營方作出了諸多規定,並且將執法部門從中央下發至“地(市)及以上網信部門”,這將使執法難度下降,用戶更易維權,這無疑是數據保護上的提升。但另一方面,《辦法》中許多條例的模糊性也容易使得網絡運營方明確知曉自己的義務,但個人用戶卻不知自己有何權利。同時,對網絡運營方數據管理的要求也是雙向的,一方面個人用戶將更“被動地”保護自己數據,另一方面,政府也更“主動地”對運營方提出了數據審查要求。
變化內容
《辦法》是中國版GDPR 嗎?
雖說《辦法》有望成為中國首個圍繞網絡安全和數據管理落實的規章,從內容上也是政府站在用戶角度,對網絡運營方就用戶數據作出收集、處理、刪除等各個環節的要求。
《辦法》發布之後難免被拿來與GDPR 相比。兩者相同之處頗多。
兩部法案都提到了數據保護官類似崗位的設置;數據在洩露後,運營方告知用戶的職責;也對國際間數據轉移作出了要求,GDPR 僅允許數據控制者將數據轉移到歐洲經濟區EEA以外的、當地法律已被歐盟批准為充分保護的國家或地區,中國並未在此名單中,GDPR 的目的更傾向於“把數據放在有法律監管的地區”,換言之,你不能把GDPR 範圍區的數據轉移到非範圍區的地方,然後再故技重施濫用數據。
又比如,對企業不能再使用難以理解的冗長語言來讓用戶簽訂隱私政策;用戶對自己數據的“被遺忘權”,在主動提出刪除賬戶後,運營方對過往數據不再有保留權等。
還有一些問題,GDPR 和《辦法》有共同認識,但實施做法和思路不盡相同。
《辦法》對境內境外數據流通做出要求的目的就不同於GDPR。《辦法》要求網絡運營者發布、共享、交易或向境外提供重要數據前,應當評估可能帶來的安全風險,並報經行業主管監管部門同意;境內用戶訪問境內互聯網的,其流量不得被路由到境外。此規定是為了防止潛在的流量劫持。
另一方面,橫向對比兩部法案,GDPR 比《辦法》會更細緻一些,GDPR 是站在用戶一方,對數據收集方提出了在當下的“數據隱私權”以及維護這一權利所建立起的法律保護框架。而《辦法》則更多地是針對數據的提供者和使用者要如何對待數據。
從兩部法案的保護主體個人用戶的角度來看,GDPR給予了個人用戶對其數據更大的控制權,並明確了這些權利,而《辦法》則更強調給予用戶“知情權”,運營方像是在被《辦法》推著走,而非被用戶監管和維權。在個人敏感數據方面,GDPR 給出了七類可視為個人敏感數據的數據類型,從種族民族性取向到個人生物識別技術和基因數據都在這個範圍內,《辦法》中則並未詳細展開“個人信息”的覆蓋數據類型。而用戶,也就是GDPR 中所提到的“數據主體”,GDPR 中用了三個章節詳細闡述了數據主體對數據的知情權、訪問權、更正權和可攜權、刪除權、限制處理權、反對權和自動化個人決策相關權利。這些權利在《辦法》中不難找到對應的法規,但個人用戶到底對自己的數據有哪些權利,這是在《辦法》中並未明晰的。
在GDPR 中,還用了大量的篇幅來傳遞一個概念:“意願”。GDPR 要求用戶要在意願自由、不存在被脅迫或欺詐、知情權明確、運營方提供給用戶的信息明確到用戶都不能輕易忽略……諸多前提條件後,用戶按下的“同意協議”才是真的“同意”,才會真正從法律層面讓協約生效。這個同意不能有任何不明確的空間,只要用戶還對協議有合理的懷疑,就判定用戶的意願不明確。
而後GDPR 還就“同意意願”分為了兒童對同意的判斷、有效同意的要件、同意的法律框架等做了更詳細的要求和闡述。用戶意願是GDPR 中的一個高頻詞,而在《辦法》中,更多出現的則是“要求運營方”。
儘管在《辦法》最後規定,若網絡運營者違反《辦法》,將面臨公開曝光、沒收違法所得、暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或吊銷營業執照等處罰;構成犯罪的,依法追究刑事責任。但用戶通過何種途徑可以得知平台濫用數據,得知後如何投訴舉報立案,對運營方的懲罰措施和力度等細節都並未在《辦法》中得到具體說明。
無論《辦法》如何落地,至少表達了一個信號:運營者必須重視數據安全和用戶個人隱私管理。對用戶來說,也不是有了法規就萬事大吉。保護個人數據隱私,無論對於個人、企業還是政府,仍舊是一個漫長且艱鉅的博弈過程。