后台-系统设置-扩展变量-手机广告位-内容正文顶部

給《數據安全管理辦法》的幾點建議

近日,國傢互聯網信息辦公室會同相關部門研究起草瞭《數據安全管理辦法(征求意見稿)》(以下簡稱《征求意見稿》),正在向社會公開征求意見。

《征求意見稿》在《中華人民共和國網絡安全法》基礎上,覆蓋數據全生命周期,系統地規定瞭網絡運營者數據收集、數據處理使用、數據安全監督管理等方面的要求,就大眾關心的廣告精準推送、APP過度索權、賬戶註銷難、自動化洗稿、算法歧視等問題作出瞭明確規定,具有明顯的進步意義。但是該《征求意見稿》仍有一些問題值得繼續探討。

數據安全立法應秉持總體國傢安全觀

《中華人民共和國國傢安全法》指出,國傢安全工作應當堅持總體國傢安全觀,以人民安全為宗旨,以政治安全為根本,以經濟安全為基礎,以軍事、文化、社會安全為保障,以促進國際安全為依托,維護各領域國傢安全,構建國傢安全體系,走中國特色國傢安全道路。

2019年5月26日,習近平總書記在中國國際大數據產業博覽會強調,要切實保障國傢數據安全。要加強關鍵信息基礎設施安全保護,強化國傢關鍵數據資源保護能力,增強數據安全預警和溯源能力。而“數據安全”本身就是“國傢安全”的重要組成部分。《中華人民共和國網絡安全法》對網絡安全的規定是踐行《中華人民共和國國傢安全法》規定的國傢安全觀。

因此,《征求意見稿》第一條“根據《中華人民共和國網絡安全法》等法律法規,制定本辦法”,有不妥之處,此處應表述為根據《中華人民共和國國傢安全法》《中華人民共和國網絡安全法》。

關於主體的表達應與《民法總則》保持一致

《征求意見稿》第一條規定“為瞭維護國傢安全、社會公共利益,保護公民、法人和其他組織在網絡空間的合法權益,保障個人信息和重要數據安全,根據《中華人民共和國網絡安全法》等法律法規,制定本辦法”。

其中,關於主體的表達應與《民法總則》保持一致,即將“公民、法人和其他組織”修改為“自然人、法人和非法人組織”。附則部分對“個人信息主體”進行界定時,提到“是指個人信息所標識或關聯到的自然人”,因此,從立法語言嚴謹性的角度應保持一致,采用“自然人”而非“公民”的表達。

在網絡運營者收集個人信息的條件上,設置例外條款

《征求意見稿》第九條規定:“如果收集使用規則包含在隱私政策中,應相對集中,明顯提示,以方便閱讀。另僅當用戶知悉收集使用規則並明確同意後,網絡運營者方可收集個人信息”。此處在網絡運營者對個人信息收集上,設置的條件為“僅當用戶知悉收集使用規則並明確同意”,即“知悉並同意”是網絡運營者收集個人信息的充分必要條件。

但是,在《征求意見稿》第二十七條規定:“網絡運營者向他人提供個人信息前,應當評估可能帶來的安全風險,並征得個人信息主體同意。”同時,列出瞭五項例外情況。

根據對條文的文義解釋,網絡運營者向他人提供的個人信息並在特殊情形下可以不需要征得信息主體同意。由此可見,《征求意見稿》對網絡運營者收集個人信息設置的條件缺乏彈性。可以借鑒《一般數據保護條例(GDPR)》,規定除瞭用戶同意外,網絡經營者還可以基於用戶的重大利益考慮、雙方簽訂合同、為履行法定義務等其他條件收集用戶信息。

網絡運營者向用戶定向推送廣告的,應遵守《中華人民共和國廣告法》有關規定

《征求意見稿》第二十三條規定:“網絡運營者利用用戶數據和算法推送新聞信息、商業廣告等,應當以明顯方式標明‘定推’字樣,為用戶提供停止接收定向推送信息的功能;用戶選擇停止接收定向推送信息時,應當停止推送,並刪除已經收集的設備識別碼等用戶數據和個人信息。網絡運營者開展定向推送活動應遵守法律、行政法規,尊重社會公德、商業道德、公序良俗,誠實守信,嚴禁歧視、欺詐等行為”。

本條主要沿用瞭《個人信息安全規范(征求意見稿)》第7.4條關於個性化展示及退出的相關規定,明確瞭“定向推送”的內涵,進一步規定瞭定向推送不得違反公序良俗等規定,應在明顯地方顯示“定推”字樣時,還應附有停止推送的功能,具有重要意義。

就定向推送問題,既然該條文區分瞭新聞信息、商業廣告,可以在條文最後一款強調“網絡運營者向用戶發送廣告的,應當遵守《中華人民共和國廣告法》的有關規定”,以更好地保障用戶的知情權和選擇權。

平衡多方利益,妥善規定網絡運營者責任

《征求意見稿》第三十條規定:“網絡運營者對接入其平臺的第三方應用,應明確數據安全要求和責任,督促監督第三方應用運營者加強數據安全管理。第三方應用發生數據安全事件對用戶造成損失的,網絡運營者應當承擔部分或全部責任,除非網絡運營者能夠證明無過錯”。

網絡運營者對於接入其平臺的第三方應用負有資質資格的審核義務和對於用戶的安全保障義務等義務,因此,當第三方應用發生數據安全事件並對用戶造成損失的,網絡運營者理應承擔責任。但是,為平衡網絡運營者、第三方應用、用戶等多方利益,同時考慮到網絡運營者所涉領域廣、種類多,所涉及的第三方應用運營者情況比較復雜,需要具體情況具體分析。

建議根據不同情況,具體認定網絡運營者所應承擔的法律責任。結合《侵權責任法》第三十六條第三款、《侵權責任法》第三十七條、《消費者權益保護法》第四十四條第二款、《電子商務法》第三十八條等規定,可以修改為“網絡運營者應當承擔相應責任”。“相應責任”從民事責任來看,可以包括連帶責任、補充責任、按份責任等多種類型。

互聯網治理的基本原則是多方共治,在個人信息保護和數據安全保障方面,應充分重視並調動網絡運營者行業組織的作用。網絡運營者行業組織應當履行行業自律職責,在個人信息保護和數據安全保障上制定行業標準或者規范,並予以監督落實。

□孫瑩(法律學者)

后台-系统设置-扩展变量-手机广告位-内容正文底部
发表评论
留言与评论(共有 0 条评论)
   
验证码:

相关文章

推荐文章