2019年5月28日,国家互联网信息办公室颁布《数据安全管理办法(征求意见稿)》(“《办法(征求意见稿)》”),引起各界关注。普遍认为,《办法(征求意见稿)》承袭了《网络安全法》等法规保护数据安全、推动数据发展的宗旨,从个人信息、重要数据两个角度出发,在实操层面对我国数据安全保护工作做出了规定。

总体而言,对于个人信息,《办法(征求意见稿)》规定了网络运营者的具体义务,特别在收集个人信息需要公开透明且不得过度、收集儿童信息需获监护人同意、确立数据安全责任人制度、提供个人信息原则上需征得信息主体同意、网络运营者的继受者需承继数据安全责任等规则上与之前颁布的《网络安全法》《信息安全技术个人信息安全规范》(GB/T35273-2017)(“《个人信息安全规范(征求意见稿)》”)等规定大致相当,同时也提出了敏感信息备案等新的制度。

对于重要数据,《办法(征求意见稿)》进一步细化了重要数据的定义,同时提出了收集重要数据需提请备案以及向境外提供重要数据需提请批准的新要求。我们理解,《办法(征求意见稿)》体现的个人信息与重要数据平行保护的立法趋势,符合现阶段国家在数据安全保护问题上的一贯立场,具有重要意义。

就《办法(征求意见稿)》的十大主要内容,我们介绍分析如下。

 

一、  数据收集规则应严格遵守公开透明

 

《办法(征求意见稿)》第九条规定,如果收集使用规则包含在隐私政策中,应相对集中,明显提示,以方便阅读。另仅当用户知悉收集使用规则并明确同意后,网络运营者方可收集个人信息。第十条规定,网络运营者应当严格遵守收集使用规则,网站、应用程序收集或使用个人信息的功能设计应同隐私政策保持一致,同步调整。

《App违法违规收集使用个人信息自评估指南》(“《自评估指南》”)评估点4,要求企业的隐私政策应该易于阅读。而《办法(征求意见稿)》也强调了隐私政策的内容应当方便阅读,且进一步强调了收集使用个人信息的内容应当便于阅读。这包括两个维度:第一,收集使用个人信息的规则应当集中,能让用户清晰、系统地了解到收集使用了哪些信息;第二,收集使用的规则应当明显提示,能让用户直观、方便地知道个人信息如何被收集和使用。

此外,《办法(征求意见稿)》还强调,收集个人信息前必须取得用户明确同意。《个人信息安全规范(征求意见稿)》已规定,网络运营者收集个人信息,应向个人信息主体告知收集、使用个人信息的目的、方式和范围,并获得个人信息主体的授权同意;《App违法违规收集使用个人信息行为认定方法(征求意见稿)》(“《认定方法》”)规定,App未经同意就开始收集个人信息属于违法违规收集使用个人信息。可见,《办法(征求意见稿)》的此条内容,与前述法规对收集使用个人信息的规定是一脉相承的。

《办法(征求意见稿)》第十条是对第九条规定的补充和强化,目的在于要求网络运营者规范收集和使用用户个人信息的行为,并严格遵守隐私政策的内容。本条要求隐私政策应与其相关的产品功能同步调整,也就是要求隐私政策应该随着业务功能的变化随时进行更新。《个人信息安全规范(征求意见稿)》5.5条对隐私政策的更新做出了同样的要求,在收集、使用个人信息的业务功能或个人信息收集方式等出现变更时,应及时更新隐私政策并重新告知个人信息主体。

 

二、  提供个人信息应征得信息主体同意

 

《办法(征求意见稿)》第二十七条规定了网络运营者对外提供个人信息的需进行风险自评估以及获得个人信息主体同意的义务。但是在第二十七条中,《办法(征求意见稿)》并未将本条适用的场景描述为“共享、公开披露”等,而使用了“向他人提供”这一表达。不得而知立法者是否试图与《刑法》第二百五十三条之一侵犯公民个人信息罪,以及《网络安全法》第四十二条中使用的表达保持一致。那么,能否将此处“向他人提供”理解为适用于共享、转让、公开披露、向境外提供等的场景,还需要进一步讨论。

《办法(征求意见稿)》第二十七条要求网络运营者在向他人提供个人信息之前,应征得个人信息主体的同意。这一规定也与《网络安全法》相互呼应,但《办法(征求意见稿)》列举了五种例外情形,对比《网络安全法》而言有所增加。《网络安全法》仅规定,向他人提供经过处理无法识别特定个人且不能复原的信息,不用征得个人信息主体的同意;而《办法(征求意见稿)》中增加了(1)合法公开渠道获取,(2)个人信息主体主动公开,(3)执法机关依法履行职责所必需,(4)维护国家安全、社会公共利益、个人信息主体生命安全所必需,四种例外情形。《办法(征求意见稿)》增加对提供个人信息征得同意的例外情形,实际上扩大了无需征得个人信息主体同意的情形范围,能够一定程度上减轻网络运营者的压力,做到一种立法的平衡。

 

三、获取儿童个人信息应获监护人同意

 

《办法(征求意见稿)》第十二条规定收集14周岁以下未成年人个人信息的,应当征得其监护人同意。

我国《民法总则》将未成年人的年龄界限设置为18周岁以下。在个人信息保护领域,我国现行《信息安全技术个人信息安全规范》(以下简称“《个人信息安全规范》”)第5.5条c)款设定了特殊规则,即收集不满14周岁的未成年人的个人信息,需要征求其监护人的明示同意。在年龄界限方面,《办法(征求意见稿)》第十二条与《个人信息安全规范》第5.5条c)款以及最新出台的《儿童个人信息网络保护规定(征求意见稿)》(以下简称“《儿童个人信息网络保护规定》”)的要求是一致的。但是,对于同意的方式,《个人信息安全规范》要求必须取得监护人的明示同意,即监护人需要通过书面声明或主动做出肯定性动作,对个人信息进行特定处理做出明确授权的行为,第十二条却降低了监护人同意的门槛,对监护人同意要求上并没有要求需要明示同意。结合《儿童个人信息网络保护规定》第七条“监护人的同意应当明示同意,并且需要具体、清楚、明确和基于自愿”。对此,我们认为,《办法(征求意见稿)》可能还会做出调整与改善。另外,我们认为《个人信息安全规范》第5.4条c)款是值得借鉴的,对于14周岁以上的未成年人,对于一些特殊复杂的场景,并不能独立做出判断的,监护人的明示同意应该被视为保护手段之一,而《儿童个人信息网络保护规定》又不管这一段,因此,如果《办法(征求意见稿)》第十二条可以再增加半句话“收集14周岁(含)以上未成年人的个人信息的,应当征得未成年人的明示同意或者其监护人的明示同意”可能会更加完整地保护未成年人权益,也与《个人信息安全规范》相衔接。

此外,为保护未成年人,部分企业根据我国法律法规实施了防沉迷和实名认证,有些企业还推出了青少年模式。我们认为实践中可能出现更为复杂的问题,例如企业如何有效地识别未成年人、企业如何设置验证监护人同意的机制。对于这些问题,期待后续出台更为详细的实施办法,为企业提供更为细致的操作指引。

 

四、  爬虫行为不应妨碍网站的正常运行

 

《办法(征求意见稿)》第十六条规定,实施该类行为不得妨碍网站的正常运行,如严重影响网站运行,网站有权要求停止自动化访问收集,该行为即应停止。《办法(征求意见稿)》同时明确,自动化访问收集流量超过网站日均流量三分之一,即构成严重影响网站运行。

我们理解,爬虫技术是互联网社会利用数据资源的重要方式,但滥用爬虫技术也会损害数据主体的利益。实践中,爬虫技术引起的核心问题是企业之间的商业利益纠纷,主要体现在以下方面:爬取方的频繁访问,对被爬取方服务器造成压力;爬虫会破坏网站或App运营的方式和逻辑,侵害数据方未来的价值;爬虫的搭便车行为可能会让企业的一些盈利模式不能再继续下去,比如电商的竞价排名等。

因此,国家在维护合理爬虫行为的同时,有必要去打击侵害他人利益的滥用行为,此次《办法(征求意见稿)》正是我国立法首次对该问题做出的回应。在判断此类行为的损害大小时,实践中往往会考虑爬取数据的公开程度高底、数量多少、行为人是否潜入数据方的计算机信息系统、被爬取方是否有Robots协议等因素。另外,关于如何证明爬取方占用流量超过网站日均流量的三分之一,目前尚无明确的指引,还有待进一步的立法或司法解释进行完善。

 

五、  不因用户授权范围差异而歧视用户

 

《美国加州消费者隐私法》第1798.125 (a)条规定,“企业不得因为消费者行使本标题下任何消费者的权利而歧视消费者,包括但不限于:(A)拒绝向消费者提供产品或服务。…(D)提示消费者将获得不同价格或费率的商品或服务,或者将向消费者提供不同水平或质量的商品或服务。”[1]

本次《办法(征求意见稿)》第十三条在一定程度上借鉴了美国CCPA的规定,首次明确提出,网络运营者不得依据个人信息主体是否授权收集个人信息及授权范围,对个人信息主体采取歧视行为,包括服务质量、价格差异等方面的歧视。这表明我国法律在个人信息主体自主选择权保护方面更进了一步。

 

六、  定向推送应做好适当合规控制措施

 

本次《办法(征求意见稿)》第二十三条对网络运营者定向推送的行为作出规制,即事前要求允许信息主体opt- in,事中要求运营者明示“定推”字样,事后要求为用户提供停止接收定向推送信息的功能,以充分保障个人信息主体对于定向推送的自主选择权。同时,《办法(征求意见稿)》还要求用户选择停止接收定向推送信息时,网络运营者删除已经收集的设备识别码等用户数据和个人信息,从深层基础上严格控制网络运营者对用户画像的使用界限。

本条在实践中颇有争议,有观点质疑同时进行事前、事中及事后规制的必要性与合理性;有观点认为定向推送的定义目前仍缺乏明确界定;另有观点指出新闻信息与商业性信息有时不能完全区分识别,两者推送的基础逻辑不同,为用户设置简单的拒绝功能并不能很好地反映用户需求;完全删除用户数据如设备识别码等也不利于未来提供用户需要的其他服务推荐等。

 

七、  个人敏感信息和重要数据应备案

 

本次《办法(征求意见稿)》第十五条规定,网络运营者以经营为目的收集重要数据或个人敏感信息的,应向所在地网信部门备案。备案内容包括收集使用规则、收集使用的目的、规模、方式、范围、类型、期限等,不包括数据内容本身。

个人信息与重要数据备案制度最开始由《天津市数据安全管理办法(暂行)》提出,该规定要求网络运营者对收集到的用户个人信息与重要数据需要进行备案。本次《办法(征求意见稿)》将备案范围中的个人信息范围限定为个人敏感信息,同时备案内容的要求相较于天津市也更为概括。另外,鉴于《办法(征求意见稿)》第十四条明确了网络运营者从第三方间接收集个人信息与直接收集个人信息需履行同等的保护责任,所以网络运营者即便不直接向个人信息主体收集其个人敏感信息,而是从第三方处获得个人敏感信息的,也可能需要履行相应的备案义务。

然而,尽管备案制度利于政府发挥监管作用,但是实务界仍不乏有质疑之声。实践中,网络运营者搜集的数据往往范围广泛、数量众多,且数据常具有动态性和时效性的特点,如要逐一备案,势必将大幅增加企业在数据合规运行的成本,同时对地方网信部门的备案管理要求也会显著增加。

 

八、  个人信息与重要数据应分别监管

 

《办法(征求意见稿)》第二十八条规定,网络运营者发布、共享、交易或向境外提供重要数据前,应当评估可能带来的安全风险,并报经行业主管监管部门同意;行业主管监管部门不明确的,应经省级网信部门批准。向境外提供个人信息按有关规定执行。第三十八条规定,重要数据,是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。

本次《办法(征求意见稿)》出台之前,我国立法对重要数据的保护规定并不明晰,且未明确与个人信息的保护分割。相关规定主要涉及:2016年颁布的《网络安全法》对于关键信息基础设施运营者的重要数据提出本地化要求;2017年颁布的《个人信息和重要数据出境安全评估办法(征求意见稿)》对重要数据进行了定义,指与国家安全、经济发展,以及社会公共利益密切相关的数据;随后2017年全国信息安全标准化技术委员会在《信息安全技术数据出境安全评估指南(征求意见稿)》中提出了《重要数据识别指南》,列举了各行业各领域涉及的重要数据范围。

本次《办法(征求意见稿)》第三十八条对重要数据的定义更为细致,在一般性陈述之外列举了部分示例,又明确排除了企业生产经营和内部管理信息及个人信息作为重要数据的可能。更为关键的是,第二十八条要求个人信息和重要数据保护执行各自的办法,暗示了重要数据将和个人信息并行、两者将有独立的出境安全评估办法的立法趋势。不久前出台的《个人信息安全评估办法(征求意见稿)》也正好印证了这一趋势。因为个人信息与重要数据的不同特质,各自需对应不同的规制方式,我们可以期待未来关于重要数据更为细致的规定出台。此外,第二十八条只说了行业主管监管部门不明时报省级网信部门批准。但实践中,有些企业可能面临两个以上的行业主管部门,实现报审的相关规定可能使网络运营者面临多头部门管理的现象,当多部门意见不一致时如何处理,还有待进一步的指引。

 

九、  平台方应与第三方应用明确责任

 

《办法(征求意见稿)》第三十条规定,网络运营者对接入其平台的第三方应用,应明确数据安全要求和责任,督促监督第三方应用运营者加强数据安全管理。第三方应用发生数据安全事件对用户造成损失的,网络运营者应当承担部分或全部责任,除非网络运营者能够证明无过错。

本条加重网络运营者的责任,要求其对接入平台第三方的数据安全问题也承担责任,除非其能证明自己无过错。实践中有观点认为,平台应当于第三方应用之间通过合同约定各自需要承担的责任,如果让平台承担无过错责任,对平台来说责任较重可能并不合理,并且平台应当承担的是未遵守行政法规而产生的网络安全责任,而非侵权责任法中的无过错责任。比如像云服务平台,数据的直接收集是云服务提供方的客户本身,平台根本没有对数据活动进行任何处理活动。当然可以通过合同约定双方的数据安全要求和责任,平台方也需要督促第三方应用运营者加强数据安全管理。另外,如果接入平台的第三方一直变化,可能会使问题更加复杂,需要企业合规人员密切关注这些动态变化。

 

十、  统一规则并全方位监督违法行为

 

《办法(征求意见稿)》第三十三至三十七条分别规定了具体的数据安全监管形式,包括:约谈整改、安全认证、安全事件报告、数据报送、行政处罚和法律责任,整体上对“数据安全监督管理”进行了全方位的规定,形成了一定的“数据安全监督管理”闭环。

第三十三条规定,网信部门在履行职责中,发现网络运营者数据安全管理责任落实不到位,应按照规定的权限和程序约谈网络运营者的主要负责人,督促整改。结合近年来网络安全和数据保护相关执法行动,网信部门的约谈整改已成为监管的主要措施之一。例如,2019年1月,国家网信办正式启动网络生态治理专项行动,已经有不少企业受到了国家或地方网信部门的约谈和敦促整改,快速有效地达成了一定的“净网”效果。此外,结合近年来网络安全和数据保护相关执法行动,网信部门的约谈整改已成为监管的主要措施之一。约谈虽然仅作为一种软性的监管手段,但是也起到了良好的震慑作用,与《网络安全法》关于约谈的相关规定一脉相承,往往企业会从顾及自身的企业形象与声誉考虑,提前做好合规措施防止企业直接负责人面临被约谈。

第三十四条规定的安全认证以及国家网信部门会同国务院市场监督管理部门对安全认证的组织和指导职权,与之前2019年3月13日市场监管总局和中央网信办联合发布《关于开展App安全认证工作的公告》决定开展App安全认证工作相衔接。其中,通过“国家鼓励App运营者自愿通过App安全认证”引导App运营者履行安全保护义务,通过“鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的App”引导消费者选用安全的App产品,从而对违法违规收集个人信息的App进行市场劣汰和净化。

��三十五条规定的个人信息泄露等安全事件的通知和报告,借鉴吸收了欧盟的GDPR第三十三条(将个人数据泄露向监管机构报告)和第三十四条(将个人数据泄露向数据主体传达)。除了规定报告的及时性要求之外,未来还应当借鉴GDPR进一步细化规定向监管机构报告的最迟期限、数据处理者向数据控制者的及时告知义务、明确告知内容范围(泄露数据的类型与数量、数据保护官的具体情况、泄露后果的描述、已采取的应对措施或者制定的处理计划、满足及时性下的分阶段提供相关信息等)以及监管机构对泄露事件的记录责任和报告信息的核实责任。

第三十六条规定的网络营运者的数据报送义务与主管部门的安全保护责任,与《网络安全法》第二十八、三十八条,《电子商务法》第二十五、二十八条,《网络交易监督管理办法(征求意见稿) 》第二十五、二十六、四十、四十一、四十二条相衔接。

第三十七条规定,网络运营者违反本办法规定的,由有关部门依照相关法律、行政法规的规定,根据情节给予公开曝光、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照等处罚;构成犯罪的,依法追究刑事责任。该条确立了所有违反规定的统一处罚机制,这与以往《网络安全法》规定不同违法行为可能触发不同行政法责任的立法例有所不同。