近日,國家互聯網信息辦公室公佈了《數據安全管理辦法(徵求意見稿)》(簡稱《辦法》),向社會公開徵求意見。此外,近期還密集公佈了《網絡安全審查辦法(徵求意見稿)》《兒童個人信息網絡保護規定(徵求意見稿)》。《辦法》以“網絡運營者”為主要規制對象,重點圍繞個人信息和重要數據安全,在數據收集、數據處理使用、數據安全監督管理等方面進行了系統的規定。作為《網絡安全法》核心的配套法律文件,該意見稿廣泛吸收國家標準中的成熟規定,對現行數據安全規範體系進行了創新和補強,標誌著我國數據安全管理邁出了具有里程碑意義的一步。
主要內容
《辦法》的主要內容有總則、數據收集、數據處理使用、數據安全監督管理、附則等五章共四十條內容。重點明確了使用範圍、監管主體、個人信息收集和處理、問題處置等內容。
第一,適用範圍比較廣泛。《辦法》明確規定:在中華人民共和國境內利用網絡開展數據收集、存儲、傳輸、處理、使用等活動,以及數據安全的保護和監督管理,適用本辦法,純粹家庭和個人事務除外。可見,《辦法》的適用範圍是相當廣泛的。
第二,監管主體明確統一。《辦法》明確了統一監管主體,即國家網信部門統籌協調、指導監督個人信息和重要數據安全保護工作,地(市)及以上網信部門依據職責指導監督本行政區內個人信息和重要數據安全保護工作。
第三,對個人信息收集和處理全流程進行了規範。《辦法》通過“數據收集”和“數據處理使用”的不同環節分別對網絡運營者的行為進行了規範,要求明確數據安全責任人,並規定了安全責任人的具體要求和職責。值得一提的是,本辦法對很多公眾關注的熱點問題做出了規定:一是區分核心業務功能,不得以捆綁授權等形式強迫、誤導個人信息主體同意其收集個人信息。二是明確了以經營為目的收集重要數據或個人敏感信息的備案要求。三是針對新型數據安全問題進行監管,如網絡爬蟲、自動化洗稿、大數據殺熟等。要求不得妨礙網站正常運行,嚴格智能合成信息,禁止歧視對待。四是細化了平臺商對第三方應用收集個人信息的管理機制。五是規範了收集未成年人個人信息的行為。收集14週歲以下未成年人個人信息的,應當徵得其監護人同意。
第四,問題處置清楚具體。《辦法》要求網絡運營者及時處理相關投訴舉報,明確了網絡運營者在發生數據安全事件時的應急處置要求。並對違反《辦法》規定的網絡運營者,由有關部門依照相關法律、行政法規的規定,根據情節給予公開曝光、沒收違法所得、暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或吊銷營業執照等處罰;構成犯罪的,依法追究刑事責任。
要點解讀
《辦法》內容比較豐富,針對當前社會關切的數據安全和保護問題都有所涉及,總體來講《辦法》對現有數據安全規則進行了總結和創新,並直面當前熱點問題。
第一,對現有法律規定和國家標準進行重申和更新。《辦法》以《網絡安全法》為基礎,吸收了《信息安全技術 個人信息安全規範》的要求,對現行網絡安全重要問題進行了一次“階段性總結”。重申了個人信息收集使用規則的制定要求,以及對未成年人個人信息保護的原則性規定等,更新了定向推送行為的限制性規定,以及不得誤導個人信息主體同意的要求等。
第二,新增重要數據和個人敏感信息備案義務,及向第三方提供重要數據的評估和批准要求。《辦法》規定以經營為目的收集重要數據或個人敏感信息的網絡運營者,應向所在地網信部門備案,並明確數據安全責任人。同時,網絡運營者向第三方提供(包括髮布、共享、交易或跨境等)重要數據前,應當進行安全風險評估工作,並獲得行業主管監管部門同意。數據跨境的安全評估要求,也與《個人信息和重要數據出境安全評估辦法(徵求意見稿)》相呼應。
第三,專門針對當前網絡運營者的熱點問題作出約束。大數據、人工智能時代普遍存在不規範的“數據爬取”“洗稿”“捆綁授權”和“定向推送”等行為。《辦法》對這些問題均有所規定,例如採取自動化手段訪問收集網站數據,不得妨礙網站的正常運行;自動合成新聞、博文、帖子、評論等信息,應以明顯方式標明“合成”字樣等。
重要意義和影響
《辦法》明確了監管部門、網絡運營者數據活動的職責,必將促進形成我國數據安全規範體系,對於維護國家安全、社會公共利益,保護公民、法人和其他組織在網絡空間的合法權益,保障個人信息和重要數據安全具有重要意義。
第一,使數據保護“有章可循”,推動網絡運營者做好自己職責。《辦法》是對《網絡安全法》的進一步細化與落實。與已經發布的《信息安全技術個人信息安全規範》和《互聯網個人信息安全保護指南》相比,作為部門規章發佈的《辦法》效力層級更高,為數據保護法制化合規化鋪平道路。《辦法》為網絡運營者進行數據收集、存儲、處理、應用提供了數據安全管理的關鍵要素、指南和其應履行數據安全保護義務,明確了什麼可以做,什麼不能做,什麼需要謹慎考慮後再做,這將有效促進網絡運營者內部制度的建設,規範其數據活動,便於個人信息和重要數據安全的保護。
第二,有利於行業規範體系形成,為數據蒐集和處理使用等營造良好環境。《辦法》將彌補數據安全保護規則在部門規章層面的缺失,為數據安全領域的技術性規範和實踐操作提供法律強制力,有利於行業規範體系的形成。它給網絡運營者增加了諸多合規義務,同時強化了監管部門的職責,可為數據的蒐集和處理使用等營造良好的環境。《辦法》可以有效遏制目前市場上普遍存在的盜用、濫用數據現象,為網絡運營者提供一個公平、公開的競爭環境。《辦法》明確了網信部門為個人信息和重要數據安全保護工作的主要監管部門,並對其監管職責進行了具體規定。正式實施之後,包括網信部門在內的監管部門可直接據此開展相關的監管工作。《辦法》同時要求監管機關不能濫用網絡運營者提供的數據,而應切實履行對數據的安全保護責任。
作者劉權,供職於賽迪智庫網絡安全研究所所長
相關推薦
