定向推送、過度索權、追根溯源……《數據安全管理辦法》對我們來說意味著什么?

摘要

中國版 GDPR 來了,無論如何落地,運營者都不能再對用戶數據肆意妄為。

2018 年 3 月,Facebook 劍橋分析事件的爆出,一把扯下了科技公司各自在用戶數據保護方面披上的遮羞布。隨后 5 月,歐盟正式開始執行「史上最嚴的數據隱私保護法案」《通用數據保護條例》(GDPR),更是把關于數據隱私的討論推向了巔峰。

無論是連番的數據泄漏丑聞還是各國政府和機構組織的紛紛表態,2018 年一整年,隱私和數據安全都是一個繞不開的話題,公司和用戶都不得不開始重視它背后的經濟效益、利用關系以及個人權利。

         前所未有嚴苛的數據保護法《GDPR》 | GDPR 官網截屏

據中國互聯網網絡信息中心的數據顯示,截至 2018 年底,中國網民達 8.29 億,手機網民 8.17 億。在這個背景下,無論是對管理者的要求還是民意的訴求,數據安全管理規章化不可避免。

5 月 24 日,國家網信辦聯合國家發改委等 12 個部門起草了《網絡安全審查辦法(征求意見稿)》(以下簡稱《辦法》)。四天后,5 月 28 日,中國國家互聯網信息辦公室(以下簡稱「網信辦」)發表《數字安全管理辦法(征求意見稿)》,發布《數字安全管理辦法(征求意見稿)》,向社會公開征求意見。6 月 28 日,《數據安全管理辦法》的意見反饋正式截止。

《辦法》只針對「網絡運營者」,要求它們保護國家、社會、個人在網上的信息和數據安全,包括個人要給企業多少數據,哪些不必再給,企業無權再要;企業要如何保護用戶個人數據,如何利用和處理已有的數據,在何種情況下把用戶數據交與政府;政府如何監管企業不濫用個人數據。在《辦法》出臺之前,因為此前條例的模糊性,網絡運營者得以鉆了數據收集的漏洞。現在,《辦法》就個人隱私和數據收集、廣告和新聞精準投放、app和平臺對權限的無理索求以及賬戶、平臺在停用后數據歸宿等近幾年來多發的數據隱私爭議點上作出了明確地要求,《辦法》也可能將成為中國首個圍繞網絡安全和數據管理落實的規章。


堵上所有能鉆的空子

近幾年的移動應用的普及,新入網用戶激增,但同時,零基礎直接上手的移動互聯網用戶對數據和隱私的權利概念模糊,絕大多數用戶在這方面意識薄弱,因此導致了不少互聯網公司肆意收割數據的現狀。在五章四十條的《辦法》中,有諸多條例都體現著對當前互聯網亂象的「對癥下藥」。

· 《用戶協議》要「說人話」

每當用戶注冊一個新網站的賬號時,總是習慣把那些長篇累牘的《平臺數據手機條約》一拉到底,點擊同意。對此,《辦法》第二章第八條要求:收集使用規則應當明確具體、簡單通俗、易于訪問,并給出了九小點的「具體要求凸顯的條例」。

對運營方面向用戶的條款作出明確規定 | 網信辦官網截屏

換句話說,滿篇堆砌法律名詞,用盡各種語言技巧的「數據收集條約」將被取締。盡管用戶和平臺之間「不同意就不能用」的協議不會改變,但平臺必須讓用戶明確地知曉數據收集的意圖,或者說用戶自己使用服務的代價。

· 用不到的信息不許強行收集

在第十一條中,《辦法》明確規定了「網絡運營者不得以改善服務質量、提升用戶體驗、定向推送信息、研發新產品等為由,以默認授權、功能捆綁等形式強迫、誤導個人信息主體同意其收集個人信息。」

即網站和應用用不到的信息,運營方不能強行收集,更不能因為用戶不同意提供這些「用不到」的信息,就拒絕提供服務。系統層上,蘋果在 iOS 12 和 iOS 13 的更新中也作出了類似的規范和限制。

· 拒絕大數據殺熟

在十三條中,《辦法》則規定了禁止對個人信息分析后進行定價歧視,此舉也明顯針對的就是去年國內頻繁曝出的「大數據殺熟」現象。

· 治理垃圾推送消息

在《辦法》第三章《數據處理使用》中第二十三條規定,運營者利用用戶數據和算法推送新聞信息、商業廣告等,應當以明顯方式標明「定推」字樣;要對用戶提供停止接收定向推送信息的功能,并且當用戶關閉該功能后,應當停止推送,并刪除已經收集的設備識別碼等用戶數據和個人信息。

· 標注機器生成內容

隨著人工智能的愈發成熟,機器替代人工回復消息甚至生產內容正在慢慢成為一種趨勢。比如前幾年開始在社交網絡上流行的各類 bot 就屬于該類,各類服務中的自動客服回復和智能助手也可歸為該類。在《辦法》第二十四條規定,利用大數據和人工智能合成的新聞、博文、帖子、評論等信息,應以明顯方式表明「合成」字樣。

· 設立「數據安全負責人」職位

《辦法》中也要求網絡運營方要有「數據安全負責人」職位,這個職位要求有數據安全專業知識的人員擔任,專員需要參與有關數據活動的重要決策,且運營方要保證這個職位「獨立履行職責」。

· 對已有數據的保護

《辦法》第三章規定,如運營方被兼并或破產,所擁有的數據要么交接要么刪除,不得保留;個人信息泄露、毀損、丟失等數據安全事件,或者發生數據安全事件風險明顯加大時,網絡運營者應當立即采取補救措施,及時告知用戶并向網信部門報告。

網絡運營者在用戶注銷賬號后應當及時刪除其個人信息,保存個人信息也不應超出收集使用規則中的保存期限,繼要求運營方「只收集最必要的,有期限的保留,且當用戶要求平臺方刪除或離開平臺后,運營方要主動刪除用戶數據。」

· 強制「溯源」

《辦法》中還規定「對于用戶通過社交網絡轉發他人制作的信息,應自動標注信息制作者在該社交網絡上的賬戶或不可更改的用戶標識。」換言之,這是一種強制「溯源」,新浪微博在最新版本更新中加入了標注「博主」的功能,可以在評論區中明顯辨認出「原博」。但該條例規定的則是在社交網絡中常見的「轉發鏈條」里,無論多少人轉發,社交網絡平臺需要對「原博」作出不可更改的標注。此規定的前提,是網絡運營者要督促提醒用戶對自己的網絡行為負責、加強自律。

目前在新浪微博中的「博主」標記 | 新浪微博截屏

在「大數據殺熟」、個人信息被販賣、私密信息被盜用或流傳、注銷刪除賬號難、商業廣告和新聞推送霸屏的當下,《辦法》對網絡運營方作出了諸多規定,并且將執法部門從中央下發至「地(市)及以上網信部門」,這將使執法難度下降,用戶更易維權,這無疑是數據保護上的提升。但另一方面,《辦法》中許多條例的模糊性也容易使得網絡運營方明確知曉自己的義務,但個人用戶卻不知自己有何權利。同時,對網絡運營方數據管理的要求也是雙向的,一方面個人用戶將更「被動地」保護自己數據,另一方面,政府也更「主動地」對運營方提出了數據審查要求。

變化內容 | 極客公園

《辦法》是中國版 GDPR 嗎?

雖說《辦法》有望成為中國首個圍繞網絡安全和數據管理落實的規章,從內容上也是政府站在用戶角度,對網絡運營方就用戶數據作出收集、處理、刪除等各個環節的要求。

《辦法》發布之后難免被拿來與 GDPR 相比。兩者相同之處頗多。

兩部法案都提到了數據保護官類似崗位的設置;數據在泄露后,運營方告知用戶的職責;也對國際間數據轉移作出了要求,GDPR 僅允許數據控制者將數據轉移到歐洲經濟區EEA以外的、當地法律已被歐盟批準為充分保護的國家或地區,中國并未在此名單中,GDPR 的目的更傾向于「把數據放在有法律監管的地區」,換言之,你不能把 GDPR 范圍區的數據轉移到非范圍區的地方,然后再故技重施濫用數據。

又比如,對企業不能再使用難以理解的冗長語言來讓用戶簽訂隱私政策;用戶對自己數據的「被遺忘權」,在主動提出刪除賬戶后,運營方對過往數據不再有保留權等。

還有一些問題,GDPR 和《辦法》有共同認識,但實施做法和思路不盡相同。

《辦法》對境內境外數據流通做出要求的目的就不同于 GDPR。《辦法》要求網絡運營者發布、共享、交易或向境外提供重要數據前,應當評估可能帶來的安全風險,并報經行業主管監管部門同意;境內用戶訪問境內互聯網的,其流量不得被路由到境外。此規定是為了防止潛在的流量劫持。

另一方面,橫向對比兩部法案,GDPR 比《辦法》會更細致一些,GDPR 是站在用戶一方,對數據收集方提出了在當下的「數據隱私權」以及維護這一權利所建立起的法律保護框架。而《辦法》則更多地是針對數據的提供者和使用者要如何對待數據。

從兩部法案的保護主體個人用戶的角度來看,GDPR給予了個人用戶對其數據更大的控制權,并明確了這些權利,而《辦法》則更強調給予用戶「知情權」,運營方像是在被《辦法》推著走,而非被用戶監管和維權。在個人敏感數據方面,GDPR 給出了七類可視為個人敏感數據的數據類型,從種族民族性取向到個人生物識別技術和基因數據都在這個范圍內,《辦法》中則并未詳細展開「個人信息」的覆蓋數據類型。而用戶,也就是 GDPR 中所提到的「數據主體」,GDPR 中用了三個章節詳細闡述了數據主體對數據的知情權、訪問權、更正權和可攜權、刪除權、限制處理權、反對權和自動化個人決策相關權利。這些權利在《辦法》中不難找到對應的法規,但個人用戶到底對自己的數據有哪些權利,這是在《辦法》中并未明晰的。

在 GDPR 中,還用了大量的篇幅來傳遞一個概念:「意愿」。GDPR 要求用戶要在意愿自由、不存在被脅迫或欺詐、知情權明確、運營方提供給用戶的信息明確到用戶都不能輕易忽略……諸多前提條件后,用戶按下的「同意協議」才是真的「同意」,才會真正從法律層面讓協約生效。這個同意不能有任何不明確的空間,只要用戶還對協議有合理的懷疑,就判定用戶的意愿不明確。

而后 GDPR 還就「同意意愿」分為了兒童對同意的判斷、有效同意的要件、同意的法律框架等做了更詳細的要求和闡述。用戶意愿是 GDPR 中的一個高頻詞,而在《辦法》中,更多出現的則是「要求運營方」。

盡管在《辦法》最后規定,若網絡運營者違反《辦法》,將面臨公開曝光、沒收違法所得、暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或吊銷營業執照等處罰;構成犯罪的,依法追究刑事責任。但用戶通過何種途徑可以得知平臺濫用數據,得知后如何投訴舉報立案,對運營方的懲罰措施和力度等細節都并未在《辦法》中得到具體說明。

無論《辦法》如何落地,至少表達了一個信號:運營者必須重視數據安全和用戶個人隱私管理。對用戶來說,也不是有了法規就萬事大吉。保護個人數據隱私,無論對于個人、企業還是政府,仍舊是一個漫長且艱巨的博弈過程。


責編:宋德勝

題圖:視覺中國

最新文章

極客公園

用極客視角,追蹤你最不可錯過的科技圈。

極客之選

新鮮、有趣的硬件產品,第一時間為你呈現。

頂樓

關注前沿科技,發表最具科技的商業洞見。

彩票软件破解