歐洲之聲編者按: 中國網信辦公佈《網絡數據安全管理條例》的徵求意見稿,但是裡面的信息對於一般讀者是難以理解的,除非對法律、技術各方面具有較多常識的細心讀者,才能明瞭其中「奧秘」。這些條例說白了就是:除了國家,還有商家對公民、消費者都能用各種網路高科技進行「透視」,不但使用人臉、步態、指紋、虹膜、聲紋等生物特徵,還能進一步收集更多的個人信息。真是「天網恢恢」,上窮碧落下黃泉,無處可逃。14億中國人都成透明人了。恐怖! 可悲!可嘆!
下面轉載南方都市報 2021-11-16文章
國家網信辦擬出台《網絡數據安全管理條例》,有這些“首次”
11月14日,國家互聯網信息辦公室發布《網絡數據安全管理條例(征求意見稿)》(以下簡稱“征求意見稿”),並向社會公開征求意見。
南都記者注意到,征求意見稿共九章七十五條,涵蓋了個人信息保護、互聯網平台運營者義務等多方面,首次將個人通信與非個人通信相區分、要求企業說明第三方收集個人信息的頻次或者時機,並首次提出平台制定隱私政策需公開征求意見。
有專家向南都記者表示,征求意見稿作為一部行政法規,不僅對個人信息保護法、網絡安全法、數據安全法等上位法的相關規定進行了執行和細化,還作出了一定程度的補充。另有專家指出,征求意見稿應充分考慮與個人信息保護法等上位法的協調問題,做好銜接與細化,而非制定過多突破性規定。
細化補充上位法,創設行政許可
征求意見稿在開頭寫明其上位法依據——根據《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等法律,制定本條例。
南都記者觀察到,征求意見稿中有不少個人信息保護和數據安全相關的條款都直接采用了上位法的表述。比如數據安全法提出的“國家建立數據分級分類保護制度”;還有一些條款則與尚未出台的其他草案一致,如《網絡安全審查辦法(修訂草案征求意見稿)》中的“掌握超過100萬用戶個人信息的運營者赴國外上市,必須向網絡安全審查辦公室申報網絡安全審查”。
值得注意的是,作為行政法規的征求意見稿不僅執行、細化了上述三部法律的規定,也進行了一定程度的補充。
“征求意見稿在一定程度上可以看作數據安全法和個人信息保護法的實施細則,但又不全是。”長期參與數據安全相關法律法規起草工作的中國信息安全研究院副院長左曉棟公開撰文道。
他表示,作為行政法規,征求意見稿本身可以創設制度,設定行政許可。因此,征求意見稿相比數據安全法和個人信息保護法而言,還增加了諸如重要數據處理者備案要求和年度報告要求、數據出境安全管理義務、網絡平台責任等新要求。
不過,也有專家對此表示疑慮。在中國社會科學院大學互聯網法治研究中心執行主任劉曉春看來,征求意見稿的制定應充分考慮其與上位法之間的關系協調,做好與上位法已明確規定內容的銜接工作,在上位法的規定基礎之上進行細化,而非制定過多基礎性、突破性的相關規定。
此外,對於征求意見稿與其上位法的銜接問題也引發討論。一位不願具名的法學專家向南都記者直言,她認為,征求意見稿中的部分條款與其上位法相沖突。
如征求意見稿第十九條規定,基於個人同意處理個人信息的,應當滿足“提供服務或履行法定義務所必需”——她認為這一要求與個人信息保護法的要求相沖突。對征求意見稿第三十三條“第三方產品和服務對用戶造成損害的,用戶可以要求互聯網平台運營者先行賠償”也表示了質疑,她則指出,“個人信息保護法只規定了‘過錯推定’義務,而征求意見稿規定的這種新型賠付超越了上述義務。”
在她看來,征求意見稿作為一部行政法規,部分條款“跳過”法律,規定了更嚴格的義務。她強調,雖然征求意見稿作為行政法規可以規定更多的具體內容,但在本質上不應與個人信息保護法等上位法之間出現非常明顯的沖突——“還是要慎之又慎。”
首次區分個人通信與非個人通信
南都記者注意到,征求意見稿首次將個人通信與非個人通信進行區分。征求意見稿第四十五條擬規定,國家鼓勵提供即時通信服務的互聯網平台運營者從功能設計上為用戶提供個人通信和非個人通信選擇。個人通信的信息按照個人信息保護要求嚴格保護,非個人通信的信息按照公共信息有關規定進行管理。
左曉棟認為,此條款的授權依據是憲法中的公民的通信自由、通信秘密受到憲法保護。他指出,個人通信的語境指的是兩個人之間的交流,三個人及以上之間的交流屬於公共信息。
“對兩類信息以不同方式進行管理這一規定系首創。”浙江墾丁律師事務所聯合創始人麻策認為,“點對點”、“點對面”等個人通訊的信息帶有法定的隱私屬性,而公開的信息有流入公共信息範疇的可能,將被整個互聯互通所囊括。
劉曉春則將這一規定看作對分級分類總體思路的延續。她強調,征求意見稿提出的是“鼓勵”而非強制要求,意味著提供即時通信服務的平台做不到這一點也不用承擔嚴格的法律責任。
她指出,個人通信信息與非個人通信信息按照不同要求進行管理這一規定可能過於簡單化,原因在於即使個人選擇了非個人通信,在提交之後,用戶的個人意志也未必能決定該信息本身的屬性。
“換言之,個人選擇非個人通信的情況下也會出現個人信息,但非個人信息未必就是公共信息,因此這其中的邏輯是有跳躍的。此外,如果個人用戶選擇的非個人通信中涉及到個人信息,甚至還可能涉及到其他人的個人信息,這種情況就會變得十分覆雜。倘若此時平台將其作為公共信息來處理,是否可以免責?如果出現個人信息受到侵害的情況,又該如何處理?我認為這一規定並不清晰。”劉曉春直言。
首次要求制定隱私政策需公開征求意見
征求意見稿第四十三條擬規定,互聯網平台運營者在制定平台規則、隱私政策,或在對用戶權益有重大影響的修訂時,應面向社會公開征求意見,且時長不少於三十個工作日,並公布意見采納情況,說明未采納理由。日活用戶超一億的大型互聯網平台制定或修訂規則以及隱私政策還需經國家網信部門認定的第三方機構評估,並報省級及以上網信部門和電信主管部門同意。
“這是首次從立法層面明確要求對運營者平台協議、隱私政策的調整進行約束。”麻策對南都記者表示,大型互聯網平台運營者在用戶權益保障方面可謂“牽一發而動全身”,任何一項條款的細小變化都可能導致近億量級的用戶權益發生根本性變化。
左曉棟介紹,設立此條款的目的是要“讓企業更好地履行社會責任”。
“一些大型平台的影響力越來越大,他們獲得了一些‘超級權力’,這就要求企業更應該規範化運行,企業應該履行社會責任,在生產經營中維護國家安全與公共利益,其中就包括了保護用戶的權益。”左曉棟認為,許多用戶眾多的大型互聯網平台對用戶的生產生活產生很大影響,那麽平台對用戶的信息收集使用處理規則就要充分聽取用戶意見,“企業不能自己想怎麽著就怎麽著”。
在劉曉春看來,此條款的核心要點還在於要求“報省級及以上網信部門和電信主管部門同意”。
她認為,該條對互聯網平台運營者的平台規則和隱私政策進行了一種“準立法式”的處理——需要經過評估、公開征求意見以及審批,特別是需要審批這一點等同於新設了一個行政許可。
“當然,從行政法規理論來說,是可以設立(行政許可)的,但新設行政許可本身也是如今整個立法過程中較為謹慎的一種行為。”她認為,這一規定值得慎重考慮,在數據安全法、個人信息保護法並未明確提出上述行政許可的情況下,倘若存在更加合理、正當的平台規則及隱私政策的規制方式,“盡量不要使用行政許可。”
劉曉春指出,平台規則和隱私政策屬於平台與用戶之間的一種協議,如果該協議需要經過審批,那麽也需要較為嚴格的論證。
北京理工大學法學院教授洪延青公開撰文表示,此條款相當於“創設了個行政許可”。他分析,監管部門增設此條款的考慮在於,對特殊的互聯網平台,規則改變和策略改動相當於是公共部門“立法”。公共部門立法需要公開征求意見,但是具有“私權力”的超大平台也需要。
該條款可能會對企業產生什麽影響?在麻策看來,平台運營者修改規則政策的背後是產品業務邏輯的變動,這一規定帶來的影響並非表面上的限制平台修訂條款,而是抑制其在後期業務開展過程中的創新度與變動程度。
至於條款中提到的“對用戶有重大影響的修訂”,麻策分析認為仍屬於“模糊地帶”,這一規定所帶來的監管會更加寬泛和復雜。
需說明第三方收集個人信息頻次
對於備受詬病的App頻繁收集個人信息問題,征求意見稿第二十條擬規定,在數據處理者制定的個人信息處理規則中,數據處理者應當說明產品服務中嵌入的所有收集個人信息的第三方代碼、插件的名稱,以及每個第三方代碼、插件收集個人信息的目的、方式、種類、頻次或者時機及其個人信息處理規則。
值得注意的是,此前的法律法規、標準規範極少要求數據處理者告知收集頻次或時機。但在實際情況中,多款App被發現高頻率收集位置等敏感個人信息,引起公眾擔憂。
左曉棟向南都記者解釋,這是因為從互聯網服務的實際運行情況來看,企業並非一次性收集完用戶的個人信息。以收集位置信息為例。用戶同意一次後,由於位置信息不斷變化,企業會頻繁地收集位置信息。一旦收集的時機、頻次控制不好,可能給用戶帶來很多困惑。“用戶有必要知道企業什麽時候收集個人信息、每次收集多長時間等具體情況,這對維護用戶權益來講是非常必要的。”
“這一規定的目的是更好地保障用戶的知情權,然而也應充分考慮產業現狀。”劉曉春則認為,處理個人數據的個人信息產業非常覆雜和多元化,是否每個行業都需在其個人信息收集和處理規則中預先進行如此詳細的說明,還值得考慮。
在她看來,要求數據處理者公布個人行使權利的途徑或方法以及建立便捷的數據安全投訴舉報渠道都是有必要的,但要求說明個人信息處理頻次、時機等更為細化的要求並非所有行業都能做到。“如果後續發生計劃之外的變化,企業很可能沒有辦法提前做好合規工作,從而影響數據處理和數據要素流動,還會增加數據處理的成本。”
不得將人臉、指紋作為唯一認證方式
值得注意的是,征求意見稿第四十六條回應了“大數據殺熟”、低價策略等熱點問題,意在規制平台運營者濫用數據實施不正當競爭或不合理限制的行為。在劉曉春看來,立法者試圖建立相關概念和規則的邊界,去厘清現實中錯綜覆雜的競爭問題。
具體而言,平台運營者不得利用平台收集掌握的用戶數據,無正當理由對交易條件相同的用戶實施產品和服務差異化定價等損害用戶合法利益的行為;不得利用平台收集掌握的經營者數據,在產品推廣中實行最低價銷售等損害公平競爭的行為。另外,平台也不得利用數據誤導、欺詐、脅迫用戶,損害用戶對其數據被處理的決定權,違背用戶意願處理用戶數據。
南都記者注意到,該條還提及,平台不得在平台規則、算法、技術、流量分配等方面設置不合理的限制和障礙,限制平台上的中小企業公平獲取平台產生的行業、市場數據等,阻礙市場創新。
劉曉春認為,這一規定的初衷是強調平台不能壟斷數據。不論中小企業通過免費還是收費方式獲取開放的行業、市場數據,平台都應該遵循公平、合理、無歧視原則進行開放。不過她也提到,如果數據是由平台加工而產生,還可能涉及數據開放與數據權屬的覆雜關系。
另外,第二十五條擬規定,不得將人臉、步態、指紋、虹膜、聲紋等生物特征作為唯一的個人身份認證方式,以強制個人同意收集其生物特征信息。
“這意味著日後所有互聯網產品及線下產品都應提供人臉等生物特征認證以外的其他認證方法。”麻策表示,這一規定將今年最高人民法院發布的《關於審理使用人臉識別技術處理個人信息相關民事案件適用法律若幹問題的規定》進一步擴張至線下場景,並列舉了人臉信息之外的多種生物識別信息種類。
此外,該規定也並未排除可以出於其他目的使用生物識別信息的情況。“如果我們此時不是出於實名認證的目的,而是出於安全風控等考慮,那麽出於這類目的時可能就不受該規定的限制。”麻策說道。
采寫:南都記者 孫朝 樊文揚 黃莉玲
編輯:蔣琳