图片来源:视觉中国
近日,国家互联网信息办公室会同相关部门研究起草了《数据安全管理办法(征求意见稿)》(以下简称《征求意见稿》),正在向社会公开征求意见。
《征求意见稿》在《中华人民共和国网络安全法》基础上,覆盖数据全生命周期,系统地规定了网络运营者数据收集、数据处理使用、数据安全监督管理等方面的要求,就大众关心的广告精准推送、APP过度索权、账户注销难、自动化洗稿、算法歧视等问题作出了明确规定,具有明显的进步意义。但是该《征求意见稿》仍有一些问题值得继续探讨。
数据安全立法应秉持总体国家安全观
《中华人民共和国国家安全法》指出,国家安全工作应当坚持总体国家安全观,以人民安全为宗旨,以政治安全为根本,以经济安全为基础,以军事、文化、社会安全为保障,以促进国际安全为依托,维护各领域国家安全,构建国家安全体系,走中国特色国家安全道路。
2019年5月26日,习近平总书记在中国国际大数据产业博览会强调,要切实保障国家数据安全。要加强关键信息基础设施安全保护,强化国家关键数据资源保护能力,增强数据安全预警和溯源能力。而“数据安全”本身就是“国家安全”的重要组成部分。《中华人民共和国网络安全法》对网络安全的规定是践行《中华人民共和国国家安全法》规定的国家安全观。
因此,《征求意见稿》第一条“根据《中华人民共和国网络安全法》等法律法规,制定本办法”,有不妥之处,此处应表述为根据《中华人民共和国国家安全法》《中华人民共和国网络安全法》。
关于主体的表达应与《民法总则》保持一致
《征求意见稿》第一条规定“为了维护国家安全、社会公共利益,保护公民、法人和其他组织在网络空间的合法权益,保障个人信息和重要数据安全,根据《中华人民共和国网络安全法》等法律法规,制定本办法”。
其中,关于主体的表达应与《民法总则》保持一致,即将“公民、法人和其他组织”修改为“自然人、法人和非法人组织”。附则部分对“个人信息主体”进行界定时,提到“是指个人信息所标识或关联到的自然人”,因此,从立法语言严谨性的角度应保持一致,采用“自然人”而非“公民”的表达。
在网络运营者收集个人信息的条件上,设置例外条款
《征求意见稿》第九条规定:“如果收集使用规则包含在隐私政策中,应相对集中,明显提示,以方便阅读。另仅当用户知悉收集使用规则并明确同意后,网络运营者方可收集个人信息”。此处在网络运营者对个人信息收集上,设置的条件为“仅当用户知悉收集使用规则并明确同意”,即“知悉并同意”是网络运营者收集个人信息的充分必要条件。
但是,在《征求意见稿》第二十七条规定:“网络运营者向他人提供个人信息前,应当评估可能带来的安全风险,并征得个人信息主体同意。”同时,列出了五项例外情况。
根据对条文的文义解释,网络运营者向他人提供的个人信息并在特殊情形下可以不需要征得信息主体同意。由此可见,《征求意见稿》对网络运营者收集个人信息设置的条件缺乏弹性。可以借鉴《一般数据保护条例(GDPR)》,规定除了用户同意外,网络经营者还可以基于用户的重大利益考虑、双方签订合同、为履行法定义务等其他条件收集用户信息。
网络运营者向用户定向推送广告的,应遵守《中华人民共和国广告法》有关规定
《征求意见稿》第二十三条规定:“网络运营者利用用户数据和算法推送新闻信息、商业广告等,应当以明显方式标明‘定推’字样,为用户提供停止接收定向推送信息的功能;用户选择停止接收定向推送信息时,应当停止推送,并删除已经收集的设备识别码等用户数据和个人信息。网络运营者开展定向推送活动应遵守法律、行政法规,尊重社会公德、商业道德、公序良俗,诚实守信,严禁歧视、欺诈等行为”。
本条主要沿用了《个人信息安全规范(征求意见稿)》第7.4条关于个性化展示及退出的相关规定,明确了“定向推送”的内涵,进一步规定了定向推送不得违反公序良俗等规定,应在明显地方显示“定推”字样时,还应附有停止推送的功能,具有重要意义。
就定向推送问题,既然该条文区分了新闻信息、商业广告,可以在条文最后一款强调“网络运营者向用户发送广告的,应当遵守《中华人民共和国广告法》的有关规定”,以更好地保障用户的知情权和选择权。
平衡多方利益,妥善规定网络运营者责任
《征求意见稿》第三十条规定:“网络运营者对接入其平台的第三方应用,应明确数据安全要求和责任,督促监督第三方应用运营者加强数据安全管理。第三方应用发生数据安全事件对用户造成损失的,网络运营者应当承担部分或全部责任,除非网络运营者能够证明无过错”。
网络运营者对于接入其平台的第三方应用负有资质资格的审核义务和对于用户的安全保障义务等义务,因此,当第三方应用发生数据安全事件并对用户造成损失的,网络运营者理应承担责任。但是,为平衡网络运营者、第三方应用、用户等多方利益,同时考虑到网络运营者所涉领域广、种类多,所涉及的第三方应用运营者情况比较复杂,需要具体情况具体分析。
建议根据不同情况,具体认定网络运营者所应承担的法律责任。结合《侵权责任法》第三十六条第三款、《侵权责任法》第三十七条、《消费者权益保护法》第四十四条第二款、《电子商务法》第三十八条等规定,可以修改为“网络运营者应当承担相应责任”。“相应责任”从民事责任来看,可以包括连带责任、补充责任、按份责任等多种类型。
互联网治理的基本原则是多方共治,在个人信息保护和数据安全保障方面,应充分重视并调动网络运营者行业组织的作用。网络运营者行业组织应当履行行业自律职责,在个人信息保护和数据安全保障上制定行业标准或者规范,并予以监督落实。
□孙莹(法律学者)