近日,国家互联网信息办公室公布了《数据安全管理办法(征求意见稿)》(简称《办法》),向社会公开征求意见。此外,近期还密集公布了《网络安全审查办法(征求意见稿)》《儿童个人信息网络保护规定(征求意见稿)》。《办法》以“网络运营者”为主要规制对象,重点围绕个人信息和重要数据安全,在数据收集、数据处理使用、数据安全监督管理等方面进行了系统的规定。作为《网络安全法》核心的配套法律文件,该意见稿广泛吸收国家标准中的成熟规定,对现行数据安全规范体系进行了创新和补强,标志着我国数据安全管理迈出了具有里程碑意义的一步。
主要内容
《办法》的主要内容有总则、数据收集、数据处理使用、数据安全监督管理、附则等五章共四十条内容。重点明确了使用范围、监管主体、个人信息收集和处理、问题处置等内容。
第一,适用范围比较广泛。《办法》明确规定:在中华人民共和国境内利用网络开展数据收集、存储、传输、处理、使用等活动,以及数据安全的保护和监督管理,适用本办法,纯粹家庭和个人事务除外。可见,《办法》的适用范围是相当广泛的。
第二,监管主体明确统一。《办法》明确了统一监管主体,即国家网信部门统筹协调、指导监督个人信息和重要数据安全保护工作,地(市)及以上网信部门依据职责指导监督本行政区内个人信息和重要数据安全保护工作。
第三,对个人信息收集和处理全流程进行了规范。《办法》通过“数据收集”和“数据处理使用”的不同环节分别对网络运营者的行为进行了规范,要求明确数据安全责任人,并规定了安全责任人的具体要求和职责。值得一提的是,本办法对很多公众关注的热点问题做出了规定:一是区分核心业务功能,不得以捆绑授权等形式强迫、误导个人信息主体同意其收集个人信息。二是明确了以经营为目的收集重要数据或个人敏感信息的备案要求。三是针对新型数据安全问题进行监管,如网络爬虫、自动化洗稿、大数据杀熟等。要求不得妨碍网站正常运行,严格智能合成信息,禁止歧视对待。四是细化了平台商对第三方应用收集个人信息的管理机制。五是规范了收集未成年人个人信息的行为。收集14周岁以下未成年人个人信息的,应当征得其监护人同意。
第四,问题处置清楚具体。《办法》要求网络运营者及时处理相关投诉举报,明确了网络运营者在发生数据安全事件时的应急处置要求。并对违反《办法》规定的网络运营者,由有关部门依照相关法律、行政法规的规定,根据情节给予公开曝光、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照等处罚;构成犯罪的,依法追究刑事责任。
要点解读
《办法》内容比较丰富,针对当前社会关切的数据安全和保护问题都有所涉及,总体来讲《办法》对现有数据安全规则进行了总结和创新,并直面当前热点问题。
第一,对现有法律规定和国家标准进行重申和更新。《办法》以《网络安全法》为基础,吸收了《信息安全技术 个人信息安全规范》的要求,对现行网络安全重要问题进行了一次“阶段性总结”。重申了个人信息收集使用规则的制定要求,以及对未成年人个人信息保护的原则性规定等,更新了定向推送行为的限制性规定,以及不得误导个人信息主体同意的要求等。
第二,新增重要数据和个人敏感信息备案义务,及向第三方提供重要数据的评估和批准要求。《办法》规定以经营为目的收集重要数据或个人敏感信息的网络运营者,应向所在地网信部门备案,并明确数据安全责任人。同时,网络运营者向第三方提供(包括发布、共享、交易或跨境等)重要数据前,应当进行安全风险评估工作,并获得行业主管监管部门同意。数据跨境的安全评估要求,也与《个人信息和重要数据出境安全评估办法(征求意见稿)》相呼应。
第三,专门针对当前网络运营者的热点问题作出约束。大数据、人工智能时代普遍存在不规范的“数据爬取”“洗稿”“捆绑授权”和“定向推送”等行为。《办法》对这些问题均有所规定,例如采取自动化手段访问收集网站数据,不得妨碍网站的正常运行;自动合成新闻、博文、帖子、评论等信息,应以明显方式标明“合成”字样等。
重要意义和影响
《办法》明确了监管部门、网络运营者数据活动的职责,必将促进形成我国数据安全规范体系,对于维护国家安全、社会公共利益,保护公民、法人和其他组织在网络空间的合法权益,保障个人信息和重要数据安全具有重要意义。
第一,使数据保护“有章可循”,推动网络运营者做好自己职责。《办法》是对《网络安全法》的进一步细化与落实。与已经发布的《信息安全技术个人信息安全规范》和《互联网个人信息安全保护指南》相比,作为部门规章发布的《办法》效力层级更高,为数据保护法制化合规化铺平道路。《办法》为网络运营者进行数据收集、存储、处理、应用提供了数据安全管理的关键要素、指南和其应履行数据安全保护义务,明确了什么可以做,什么不能做,什么需要谨慎考虑后再做,这将有效促进网络运营者内部制度的建设,规范其数据活动,便于个人信息和重要数据安全的保护。
第二,有利于行业规范体系形成,为数据搜集和处理使用等营造良好环境。《办法》将弥补数据安全保护规则在部门规章层面的缺失,为数据安全领域的技术性规范和实践操作提供法律强制力,有利于行业规范体系的形成。它给网络运营者增加了诸多合规义务,同时强化了监管部门的职责,可为数据的搜集和处理使用等营造良好的环境。《办法》可以有效遏制目前市场上普遍存在的盗用、滥用数据现象,为网络运营者提供一个公平、公开的竞争环境。《办法》明确了网信部门为个人信息和重要数据安全保护工作的主要监管部门,并对其监管职责进行了具体规定。正式实施之后,包括网信部门在内的监管部门可直接据此开展相关的监管工作。《办法》同时要求监管机关不能滥用网络运营者提供的数据,而应切实履行对数据的安全保护责任。(作者刘权,供职于赛迪智库网络安全研究所所长)