新规公开征求意见 大数据杀熟等乱象将迎来强监管

□ 法制日报全媒体记者 侯建斌

个人数据安全按下快进键。

日前,国家互联网信息办公室会同相关部门研究起草并公布《数据安全管理办法(征求意见稿)》(以下简称《意见稿》),向社会公开征求意见。

《法制日报》记者注意到,《意见稿》共分为五章、40个条款,分别就数据收集、数据处理使用、数据安全监督管理等做出了细致规定。

其中,第十三条拟规定,网络运营者不得依据个人信息主体是否授权收集个人信息及授权范围,对个人信息主体采取歧视行为,包括服务质量、价格差异等。

这意味着大数据“杀熟”行为将进入被规制范围。

中国政法大学互联网金融法律研究院院长李爱君教授告诉记者,《意见稿》旨在维护国家安全、社会公共利益,保护公民、法人和其他组织在网络空间的合法权益,保障个人信息和重要数据安全。这一文件的出台将有利于实现我国数据资源的开发利用,有效促进数据资源开发利用技术的提高,不仅可以增强我国数据应用的国际话语权,而且有利于建立数据资源开发利用公平的竞争环境。

明示同意是信息收集前提

2018年8月29日,中国消费者协会发布《App个人信息泄露情况调查报告》(以下简称《报告》)。《报告》显示,超八成受访者曾遭遇个人信息泄露。其中,经营者未经授权收集个人信息和故意泄露信息是造成消费者个人信息泄露的主要途径。

3个月后,中消协发布《100款App个人信息收集与隐私政策测评报告》(以下简称《测评报告》),100款中多达91款存在过度收集用户个人信息的问题。

其中,有59款App涉嫌过度收集“位置信息”,有28款App涉嫌过度收集“通讯录信息”,有23款App涉嫌过度收集“身份信息”等。

《测评报告》显示,用户个人照片、财产信息、生物识别信息、工作信息、交易账号信息、交易记录、上网浏览记录、教育信息、车辆信息以及短信等亦存在被过度使用或收集情形。

这一次,数据收集乱象有望得到遏制。

记者查阅《意见稿》发现,数据收集被作为专章予以规范,其中第七条规定,网络运营者通过网站、应用程序等产品收集使用个人信息,应当分别制定并公开收集使用规则。收集使用规则可以包含在网站、应用程序等产品的隐私政策中,也可以其他形式提供给用户。

第九条进一步指出,如果收集使用规则包含在隐私政策中,应相对集中,明显提示,以方便阅读。另仅当用户知悉收集使用规则并明确同意后,网络运营者方可收集个人信息。

在李爱君看来,前者明确了收集信息的规则,后者则明确了明示同意原则。

李爱君直言,此前由于现有规定未对此作出明确规定,数据应用主体在收集信息时,往往采取默示同意原则,导致数据收集乱象丛生。

“仅当用户知悉收集使用规则并明确同意后,网络运营者方可收集个人信息。”李爱君说,这一规定对个人信息和重要数据的保护意义重大。

李爱君补充说,目前网络运营者存在大量以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息的情形。此次意见稿同样对此作出安排,并在第十一条就捆绑服务现象进行规制,可以起到保护消费者选择权的作用。

此外,《意见稿》还就对未成年人的数据收集问题等作出规定。

注重数据全生命周期规制

相信不少人都有这样的经历,删除某些App后,这些App还会不定时向你发送短信。有时想要注销App账号却找不到路径,而且此前登记的个人信息难以消除。

对此,《意见稿》同样作出制度安排。第二十一条规定,网络运营者收到有关个人信息查询、更正、删除以及用户注销账号请求时,应当在合理时间和代价范围内予以查询、更正、删除或注销账号。

北京师范大学互联网发展研究院院长助理、中国互联网协会研究中心秘书长吴沈括教授告诉记者,可以看出,《意见稿》更加注重数据安全治理的全生命周期规制,建构起一个相对完整的数据安全治理框架,覆盖从数据产生获取到数据流转乃至灭失的全部处理利用环节。

《意见稿》第二十三条规定,网络运营者利用用户数据和算法推送新闻信息、商业广告等(以下简称“定向推送”),应当以明显方式标明“定推”字样,为用户提供停止接收定向推送信息的功能；用户选择停止接收定向推送信息时,应当停止推送,并删除已经收集的设备识别码等用户数据和个人信息。

第二十四条规定,网络运营者利用大数据、人工智能等技术自动合成新闻、博文、帖子、评论等信息,应以明显方式标明“合成”字样；不得以谋取利益或损害他人利益为目的自动合成信息。

对此,吴沈括解释说,《意见稿》及时回应当下数据处理语境当中的焦点热点问题,例如对人工智能算法推荐、数据爬取等,作出了具有高度针对性的规范条文。

李爱君同样认为,这些内容有利于规范当下广泛存在的推送业务中的数据安全问题。

妥善处理安全与发展关系

就数据的安全监督管理问题,《意见稿》规定,网信部门在履行职责中,发现网络运营者数据安全管理责任落实不到位,应按照规定的权限和程序约谈网络运营者的主要负责人,督促整改。

《意见稿》还进一步明确,发生个人信息泄露、毁损、丢失等数据安全事件,或者发生数据安全事件风险明显加大时,网络运营者应当立即采取补救措施,及时以电话、短信、邮件或信函等方式告知个人信息主体,并按要求向行业主管监管部门和网信部门报告。

吴沈括坦言,由于数据成为基础性战略资源,成为各项业务活动开展的前提条件,有关数据安全治理的规范设计,需要在全社会范围内作进一步的深入探讨和反思,需要考虑到技术可行性、成本可接受性、国内法协调性以及国际规则兼容性,最大限度调动网络运营者的合规积极性,妥善处理安全和发展之间的动态平衡关系。

此外,《意见稿》还明确,网络运营者违反本办法规定的,由有关部门依照相关法律、行政法规的规定,根据情节给予公开曝光、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照等处罚。

但李爱君建议,在出台管理办法时,对网络运营者造成对用户损失时的举证责任进行明确规定。