個人信息濫用頑疾能否根治備受矚目_風聞

來源：法制日報

　　近日,國家互聯網信息辦公室發佈《數據安全管理辦法(徵求意見稿)》,對網絡運營者在數據收集、處理使用、安全監督管理等方面提出了要求

　　《數據安全管理辦法(徵求意見稿)》側重對個人信息安全的保護,並涵蓋了與數據安全有關的多個領域

　　未來在圍繞個人信息有關的立法方面,還需要合理區分個人信息、個人數據和個人隱私,樹立正確的隱私觀念,把重點放在防治個人信息濫用的問題上,制定完善相關法律法規

　　隨着互聯網的不斷發展,數據安全問題日益凸顯。近日,國家互聯網信息辦公室發佈《數據安全管理辦法(徵求意見稿)》(以下簡稱徵求意見稿),對網絡運營者在數據收集、處理使用、安全監督管理等方面提出了要求。

　　對於其積極意義和深遠影響,記者採訪了業內有關專家。

　　信息保護亟待加強 新規明確收集規則

　　從目前情況來看,數據安全狀況不容樂觀,尤其是個人信息保護方面。

　　近日,在中央網信辦、工信部、公安部、市場監管總局指導下,App專項治理工作組開通了違法違規收集使用個人信息舉報渠道,認真受理網民舉報。其間,工作組收到大量關於App強制、超範圍索要權限等舉報信息。

　　中國傳媒大學媒體法規政策研究中心執行主任鄭寧認為,徵求意見稿中有大量規定讓人眼前一亮。比如對重要數據跨境傳輸進行評估的主體範圍較網絡安全法更大,為了保護用户知情權或他人權益,需要標示“定推”“合成”等字樣,以及針對一些有爭議的新問題如數據爬取、自動化洗稿等設立了專門規定。

　　針對令人關注的個人信息保護問題,徵求意見稿作出了一系列規定。

　　據網經社電子商務研究中心特約研究員、律師李旻介紹,徵求意見稿依據網絡安全法等法律法規,將數據活動的範圍界定為“利用網絡開展數據收集、存儲、傳輸、處理、使用等活動”,“但相對其上位法而言,徵求意見稿更為側重對個人信息安全的保護”。

　　徵求意見稿第八條明確規定了個人信息收集使用的規則,包括“網絡運營者主要負責人、數據安全責任人的姓名及聯繫方式”“個人信息主體撤銷同意,以及查詢、更正、刪除個人信息的途徑和方法”等9項內容。

　　對此,中國政法大學傳播法研究中心副主任朱巍認為:“徵求意見稿明確個人信息收集規則,便於用户對照檢查,提高了蒐集個人信息的安全性和效率。”

　　此外,徵求意見稿第十一條規定,“網絡運營者不得以改善服務質量、提升用户體驗、定向推送信息、研發新產品等為由,以默認授權、功能捆綁等形式強迫、誤導個人信息主體同意其收集個人信息”。徵求意見稿第十五條規定,“網絡運營者以經營為目的收集重要數據或個人敏感信息的,應向所在地網信部門備案。備案內容包括收集使用規則,收集使用的目的、規模、方式、範圍、類型、期限等,不包括數據內容本身”。

　　對於未成年人信息收集,徵求意見稿第十二條明確規定,收集14週歲以下未成年人個人信息的,應當徵得其監護人同意。

　　“此項規定十分有必要,這意味着收集和使用未成年人個人信息的企業,不僅有義務去核實對方是不是未成年人,還需要徵得監護人的同意,否則就是違法行為。”採訪中,鄭寧坦言,關鍵還是在於落實,這需要進一步明確責任機制。

　　他認為,未成年人是非常活躍的互聯網用户羣體,但處於敏感、衝動、心智尚未成熟的年紀,缺少社會經驗,判斷能力不足,沒有完全的行為能力,個人隱私、個人信息非常容易受到侵害。如果未成年人個人信息被泄露還可能對其人身安全造成很大威脅。面對網絡上無處不在的個人信息收集和使用,僅靠未成年人自身難以及時有效甄別其正當性和合法性,這就需要通過完善立法不斷強化對未成年人個人信息的保護。

　　新規涵蓋多個領域 關注後期數據處理

　　除了個人信息保護之外,徵求意見稿還涵蓋了與數據安全有關的多個領域,對於保障網絡安全具有深遠意義。

　　據李旻介紹,此前已出台的與個人信息有關的文件包括《信息安全技術個人信息安全規範》《互聯網個人信息安全保護指南》等。未來,《數據安全管理辦法》可能作為部門規章發佈,效力和層級都會更高,能夠進一步實現網絡安全法保障網絡安全,維護網絡空間主權和國家安全的宗旨。

　　朱巍認為,徵求意見稿將成為推動包括網絡安全法在內的一系列相關法律在數據領域落地的重要抓手。其依據是網絡安全法,但網絡安全法在個人信息保護方面還有一些地方沒有體現出來,所以徵求意見稿填補了個人信息保護的空白,是對網絡安全法的補充。

　　“徵求意見稿的意義並不限於個人信息保護,圍繞與數據安全有關的很多方面都作出了規定。”朱巍説,徵求意見稿對於數據安全的責任規定得十分明確,尤其是對於網絡運營者的責任。例如,徵求意見稿第三十五條規定,“發生個人信息泄露、毀損、丟失等數據安全事件,或者發生數據安全事件風險明顯加大時,網絡運營者應當立即採取補救措施,及時以電話、短信、郵件或信函等方式告知個人信息主體,並按要求向行業主管監管部門和網信部門報告”。

　　“徵求意見稿還充分考慮到了精確推送等大數據時代的一些特點。”朱巍説,根據電子商務法有關規定,既可以選擇個性化信息也可以選擇不需要,但沒有具體規定用户選擇的權利,在徵求意見稿中,明確規定用户可以自己選擇,這也是對電子商務法的補充。

　　據瞭解,與電子商務法要求競價排名結果需顯著標明為“廣告”的規定相類似,為保護用户的知情權和拒絕廣告推廣的選擇權,徵求意見稿要求利用用户數據和算法推送新聞信息、商業廣告需顯著標明“定推”字樣,併為用户拒絕接受定向推送信息提供選擇權。

　　徵求意見稿第二十三條規定,“網絡運營者利用用户數據和算法推送新聞信息、商業廣告等(以下簡稱定向推送),應當以明顯方式標明‘定推’字樣,為用户提供停止接收定向推送信息的功能；用户選擇停止接收定向推送信息時,應當停止推送,並刪除已經收集的設備識別碼等用户數據和個人信息”。

　　徵求意見稿不僅關注前期對於數據的收集,同樣也關注後期對於數據的處理。“尤其是一旦網絡運營者出現兼併重組,如果數據沒有接收方就要及時刪除,這一點是非常重要的。”朱巍説。

　　徵求意見稿第三十一條規定,“網絡運營者兼併、重組、破產的,數據承接方應承接數據安全責任和義務。沒有數據承接方的,應當對數據作刪除處理。法律、行政法規另有規定的,從其規定”。

　　數據安全現狀複雜 謹防個人信息濫用

　　根據有關部門公佈的《百款常用App申請收集使用個人信息權限列表》的統計結果顯示,平均每個App都有存在強制超範圍索要權限情況,平均每個App申請收集個人信息相關權限數有10項,而用户不同意開啓則App無法安裝或運行的權限數平均僅為3項。

　　鄭寧認為,總體來看,徵求意見稿還需要考慮到在推行實施過程中能存在的一些難點。比如監督和定責。在對網絡運營者的監督過程中,需要全面、細緻監督網絡運營者在數據收集、處理、使用全過程的方方面面。“這就需要面向廣大用户,建立統一的投訴平台,有效解決用户舉報難、投訴難、立案難的問題。”

　　在定責方面,網絡運營者在數據安全方面若違反規定,如何視情況為其定責,還需要相關規定加以細化,因為關係到採取何種懲罰措施和懲戒力度的問題。

　　“雖然此次公佈的徵求意見稿將重要數據納入監管,但是並未對重要數據的具體識別方式進行規定。”鄭寧告訴記者,根據相關規定,企業生產經營和內部管理信息將不屬於重要數據的範疇,但各行業主管部門對本行業內涉及的重要數據的監管力度仍然不會鬆懈。

　　因此,他建議現階段企業在具體判斷重要數據類別時,應當同時考量橫向和縱向兩個維度:以風險導向及性質作為橫向的宏觀判斷標準,以“重要數據識別指南”中各行業內重要數據範圍作為縱向判斷標準。比如企業因生產經營涉及大量測繪數據,仍然應當考慮到地理數據是行業主管部門的監管重點,應作為重要數據予以管控。

　　對於可能面臨的困難,鄭寧分析稱,網絡運營者的範疇比較廣,涉及到的信息主體、數據量會非常大,而且這些數據具有動態性和時效性,某些重要數據和個人敏感信息本身的範圍也不容易確定。“在備案對象不確定、備案主體又比較多的情況下,徵求意見稿中的部分規定執行起來可能存在一定難度。”

　　北京師範大學法學院教授劉德良認為,徵求意見稿集中於對個人信息的保護,相對而言,防止個人信息濫用也同樣重要。

　　“其實個人信息中真正需要保密的主要是個人隱私,要加倍重視個人信息濫用的問題。”劉德良説,“未來在圍繞個人信息有關的立法方面,還需要合理區分個人信息、個人數據和個人隱私,應該堅持利益平等的指導思想,樹立正確的隱私觀念,把重點放在防治個人信息濫用的問題上,制定完善相關法律法規。”