大平臺再上“緊箍咒”:變更規則、隱私制訂或需行政同意
原標題:大平臺再上“緊箍咒”:變更規則、隱私制訂或需行政同意
11月14日,國家互聯網信息辦公佈了《網絡數據安全管理條例(徵求意見稿)》(以下簡稱《條例》)。
受訪專家指出,《條例》明確了中國數據監管“三法合一”思路,執行、細化、補充了《網絡安全法》、《數據安全法》和《個人信息保護法》三部上位法的規定,進一步增強了數據安全法律體系的完備性和可操作性。
《條例》對數據分類分級、個人信息保護、個人行權、互聯網平臺運營者義務做出了較爲細緻的規定。
其中對日活用戶超過一億的大型互聯網平臺運營者課以更多義務:平臺規則、隱私政策制定或者對用戶權益有重大影響的修訂的,應當經國家網信部門認定的第三方機構評估,並報省級及以上網信部門和電信主管部門同意。這也意味着大型平臺規則等的變更不再是平臺自己的事情,而具備一定的公共屬性,需要經過評估以及主管部門同意。
對於近期討論熱度極高的互聯互通、算法策略披露、個性化推薦等,《條例》也都有了回應。
數據分類分級:制訂重要數據目錄並報備
該《條例》級別高,被列入國務院2021年立法計劃。今年數據、網絡安全等相關政策密集,但是中國信息安全研究院副院長左曉棟指出,和今年其他文件比,《條例》規格更高,相當於航空母艦。尤其是伴隨着《數據安全法》和《個人信息保護法》的落地,《條例》將作爲數據管理的重要實施規則。
《條例》明確了數據分類分級保護制度,將數據分爲一般數據、重要數據和核心數據三級。
重要數據是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能危害國家安全、公共利益的數據。包括:未公開的政務數據、工作祕密、情報數據和執法司法數據;出口管制物項涉及的核心技術、設計方案、生產工藝等相關的數據,密碼、生物、電子信息、人工智能等領域對國家安全、經濟競爭實力有直接影響的科學技術成果數據;達到國家有關部門規定的規模或者精度的基因、地理、礦產、氣象等人口與健康、自然資源與環境國家基礎數據等。
核心數據則是指關係國家安全、國民經濟命脈、重要民生和重大公共利益等的數據。
《條例》規定各地區、各部門對本地區、本部門以及相關行業、領域的數據進行分類分級管理,並制訂重要數據和核心數據目錄,並報國家網信部門。
重要數據與核心數據處理的要求也更爲細化。處理重要數據的系統原則上應當滿足三級以上網絡安全等級保護和關鍵信息基礎設施安全保護要求,處理核心數據的系統依照有關規定從嚴保護。
此外,重要數據的處理者應當明確數據安全負責人,成立數據安全管理機構;向網信部門備案;制定數據安全培訓計劃以及向網信部門提供年度數據安全評估報告。
個人信息處理:以最短週期、最低頻次方式
“合法、正當、必要”是處理個人信息的基本原則,《條例》對此進行了細化,包括要求“限於實現處理目的最短週期、最低頻次,採取對個人權益影響最小的方式”。
清律律師事務所首席合夥人熊定中告訴21世紀經濟報道記者,週期多短算短、頻次多低算低等的落地仍存在很大的彈性。
大成律師事務所高級合夥人鄧志松告訴記者,“最短週期”是對“必要”存儲時間的解釋。例如,國標GB/T 35283-2020《個人信息安全規範》中“個人信息存儲時間最小化”的要求包括“個人信息存儲期限應爲實現個人信息主體授權使用的目的所必需的最短時間”及“超出上述個人信息存儲期限後,應對個人信息進行刪除或匿名化處理”。
互聯網隱私專家王磊認爲,對APP隱私合規實際執法的時候,會根據具體的場景判斷是否爲最低頻次,比如每次點擊某個圖標都收集一IMEI,會被判定爲違規,但如果只第一次收集,則不算是違規。
《個人信息保護法》賦予了個人查閱、複製、更正、刪除等權利,《條例》中規定了個人信息處理者應當對個人行權提供支持。
值得注意的是,《條例》細化了刪除權的場景,對於“因使用自動化採集技術等,無法避免採集到的非必要個人信息或者未經個人同意的個人信息”,數據處理者應當在十五個工作日內刪除個人信息或者進行匿名化處理。
熊定中解釋道,比如做數字營銷的企業去抓取淘寶平臺特定商品的購買者評論,裏面可能帶有買家的個人信息。這種企業或許沒打算利用收集的個人信息識別到特定自然人,只是做羣體畫像用以研判市場趨勢,但按照這條規定,應當限期刪除。“這在實踐中會增加非常高的運營成本,極難落地。”他強調。
此外,智能網聯汽車在行駛中收集的車外人員信息也屬於該條規定的情形。
平臺義務:應建立算法策略披露制度
“互聯網平臺治理涉及到很多方面的問題,各國也都在從不同角度進行探索。《條例》聚焦於互聯網平臺治理領域影響數據安全或與數據收集、使用有關的問題。”左曉棟指出。
《條例》設專章規定了互聯網平臺運營者應當履行的數據安全相關義務,包括披露數據相關的平臺規則、隱私政策和算法策略制度,不得利用數據以及平臺規則實施不正當競爭或限制,即時通信平臺間數據互通,履行個性化推薦安全義務等。
平臺規則、隱私政策等的制訂、變更不再是平臺自己的事情,而需面向社會徵求意見,大型平臺還需經第三方評估取得行政同意。
而對於日活用戶超過一億的大型互聯網平臺運營者,其平臺規則、隱私政策制定或者對用戶權益有重大影響的修訂的,應當經國家網信部門認定的第三方機構評估,並報省級及以上網信部門和電信主管部門同意。
21世紀經濟報道記者整理各公司財報數據發現,日活用戶超一億的平臺包括微信、淘寶、支付寶、抖音、今日頭條、百度App、快手、拼多多、微博、愛奇藝等。這也意味着這些大型平臺的運營者以後要變更平臺規則等,或許將更爲慎重。
但是何爲“第三方”,不少專家表示《條例》規定得仍模糊。熊定中認爲,個人信息保護法中規定的是網信部門“支持有關機構開展個人信息保護評估、認證服務”。從“支持”變成“認定”,是否有超出個保法授權範圍之外的嫌疑,值得探討。
不僅對個人信息處理、數據處理做出規定,《條例》還對算法推薦、互聯互通等深層問題提出要求。
大數據殺熟、差異定價等行爲被禁止。《條例》要求:不得利用平臺收集掌握的用戶數據,無正當理由對交易條件相同的用戶實施產品和服務差異化定價等損害用戶合法利益的行爲;不得在平臺規則、算法、技術、流量分配等方面設置不合理的限制和障礙,限制平臺上的中小企業公平獲取平臺產生的行業、市場數據等,阻礙市場創新等。
鄧志松認爲,這體現了競爭法與數據相關法律的銜接。如此設置,一方面是因爲,促進數據開發利用、保障數據依法有序自由流動是《數據安全法》的立法目的之一,而前述行爲阻礙了這一目的的實現,有必要予以規制;另一方面,也是因爲《數安法》中出現了競爭法與數據法的銜接條款,而平臺經濟領域數據相關的反競爭行爲數量越來越多,關注度也越來越高,有必要在數據相關法律中予以強調。
對於近期討論熱度極高的“互聯互通”,《條例》也有回應:互聯網平臺運營者面向公衆提供即時通信服務的,應當按照國務院電信主管部門的規定,爲其他互聯網平臺運營者的即時通信服務提供數據接口,支持不同即時通信服務之間用戶數據互通,無正當理由不得限制用戶訪問其他互聯網平臺以及向其他互聯網平臺傳輸文件。
如若該條保留至《條例》正式通過,則意味着對即時通信平臺運營者數據互通的要求更爲剛性。
此外,對於個性化推薦,《條例》要求保證推送信息的真實、準確和來源合法,且需獲得個人單獨同意,需支持一鍵關閉推薦或刪除信息。
(作者:王俊,楊景宜 編輯:林虹)
