2018 年 3 月,Facebook 剑桥分析事件的爆出,一把扯下了科技公司各自在使用者资料保护方面披上的遮羞布。随后 5 月,欧盟正式开始执行“史上最严的资料隐私保护法案”《通用资料保护条例》(GDPR),更是把关于资料隐私的讨论推向了巅峰。
无论是连番的资料泄漏丑闻还是各国-和机构组织的纷纷表态,2018 年一整年,隐私和资料安全都是一个绕不开的话题,公司和使用者都不得不开始重视它背后的经济效益、利用关系以及个人权利。
前所未有严苛的资料保护法《GDPR》 | GDPR 官网截图
,截至 2018 年底,中国网民达 8.29 亿,手机网民 8.17 亿。在这个背景下,无论是对管理者的要求还是民意的诉求,资料安全管理规章化不可避免。
5 月 24 日,国家网信办联合国家发改委等 12 个部门起草了《网络安全审查办法(征求意见稿)》(以下简称《办法》)。四天后,5 月 28 日,中国国家互联网资讯办公室(以下简称“网信办”)发表《数字安全管理办法(征求意见稿)》,,向社会公开征求意见。6 月 28 日,《资料安全管理办法》的意见反馈正式截止。
《办法》只针对“网络运营者”,要求它们保护国家、社会、个人在网上的资讯和资料安全,包括个人要给企业多少资料,哪些不必再给,企业无权再要;企业要如何保护使用者个人资料,如何利用和处理已有的资料,在何种情况下把使用者资料交与-;-如何监管企业不滥用个人资料。在《办法》出台之前,因为此前条例的模糊性,网络运营者得以钻了资料收集的漏洞。现在,《办法》就个人隐私和资料收集、广告和新闻精准投放、app和平台对许可权的无理索求以及账户、平台在停用后资料归宿等近几年来多发的资料隐私争议点上作出了明确地要求,《办法》也可能将成为中国首个围绕网络安全和资料管理落实的规章。
堵上所有能钻的空子
近几年的移动应用的普及,新入网使用者激增,但同时,零基础直接上手的移动互联网使用者对资料和隐私的权利概念模糊,绝大多数使用者在这方面意识薄弱,因此导致了不少互联网公司肆意收割资料的现状。在五章四十条的《办法》中,有诸多条例都体现著对当前互联网乱象的“对症下药”。
· 《使用者协议》要“说人话”
每当使用者注册一个新网站的账号时,总是习惯把那些长篇累牍的《平台资料手机条约》一拉到底,点选同意。对此,《办法》第二章第八条要求:收集使用规则应当明确具体、简单通俗、易于访问,并给出了九小点的“具体要求凸显的条例”。
对运营方面向用户的条款作出明确规定 | 网信办官网截图
换句话说,满篇堆砌法律名词,用尽各种语言技巧的“资料收集条约”将被取缔。尽管使用者和平台之间“不同意就不能用”的协议不会改变,但平台必须让使用者明确地知晓资料收集的意图,或者说使用者自己使用服务的代价。
· 用不到的资讯不许强行收集
在第十一条中,《办法》明确规定了“网络运营者不得以改善服务质量、提升使用者体验、定向推送资讯、研发新产品等为由,以预设授权、功能捆绑等形式强迫、误导个人资讯主体同意其收集个人资讯。”
即网站和应用用不到的资讯,运营方不能强行收集,更不能因为使用者不同意提供这些“用不到”的资讯,就拒绝提供服务。系统层上,苹果在 iOS 12 和 iOS 13 的更新中也作出了类似的规范和限制。
· 拒绝大资料杀熟
在十三条中,《办法》则规定了禁止对个人资讯分析后进行定价歧视,此举也明显针对的就是去年国内频繁曝出的“大资料杀熟”现象。
· 治理垃圾推送讯息
在《办法》第三章《资料处理使用》中第二十三条规定,运营者利用使用者资料和演算法推送新闻资讯、商业广告等,应当以明显方式标明“定推”字样;要对使用者提供停止接收定向推送资讯的功能,并且当使用者关闭该功能后,应当停止推送,并删除已经收集的装置识别码等使用者资料和个人资讯。
· 标注机器生成内容
随着人工智能的愈发成熟,机器替代人工回复讯息甚至生产内容正在慢慢成为一种趋势。比如前几年开始在社交网络上流行的各类 bot 就属于该类,各类服务中的自动客服回复和智慧助手也可归为该类。在《办法》第二十四条规定,利用大资料和人工智能合成的新闻、博文、帖子、评论等资讯,应以明显方式表明“合成”字样。
· 设立“资料安全负责人”职位
《办法》中也要求网络运营方要有“资料安全负责人”职位,这个职位要求有资料安全专业知识的人员担任,专员需要参与有关资料活动的重要决策,且运营方要保证这个职位“独立履行职责”。
· 对已有资料的保护
《办法》第三章规定,如运营方被兼并或破产,所拥有的资料要么交接要么删除,不得保留;个人资讯泄露、毁损、丢失等资料安全事件,或者发生资料安全事件风险明显加大时,网络运营者应当立即采取补救措施,及时告知使用者并向网信部门报告。
网络运营者在使用者登出账号后应当及时删除其个人资讯,储存个人资讯也不应超出收集使用规则中的储存期限,继要求运营方“只收集最必要的,有期限的保留,且当使用者要求平台方删除或离开平台后,运营方要主动删除使用者资料。”
· 强制“溯源”
《办法》中还规定“对于使用者通过社交网络转发他人制作的资讯,应自动标注资讯制作者在该社交网络上的账户或不可更改的使用者标识。”换言之,这是一种强制“溯源”,新浪微博在最新版本更新中加入了标注“博主”的功能,可以在评论区中明显辨认出“原博”。但该条例规定的则是在社交网络中常见的“转发链条”里,无论多少人转发,社交网络平台需要对“原博”作出不可更改的标注。此规定的前提,是网络运营者要督促提醒使用者对自己的网络行为负责、加强自律。
目前在新浪微博中的“博主”标记 | 新浪微博截图
在“大资料杀熟”、个人资讯被贩卖、私密资讯被盗用或流传、登出删除账号难、商业广告和新闻推送霸屏的当下,《办法》对网络运营方作出了诸多规定,并且将执法部门从中央下发至“地(市)及以上网信部门”,这将使执法难度下降,使用者更易维权,这无疑是资料保护上的提升。但另一方面,《办法》中许多条例的模糊性也容易使得网络运营方明确知晓自己的义务,但个人使用者却不知自己有何权利。同时,对网络运营方资料管理的要求也是双向的,一方面个人使用者将更“被动地”保护自己资料,另一方面,-也更“主动地”对运营方提出了资料审查要求。
变化内容 | 极客公园 《办法》是中国版 GDPR 吗?
虽说《办法》有望成为中国首个围绕网络安全和资料管理落实的规章,从内容上也是-站在使用者角度,对网络运营方就使用者资料作出收集、处理、删除等各个环节的要求。
《办法》释出之后难免被拿来与 GDPR 相比。两者相同之处颇多。
两部法案都提到了资料保护官类似岗位的设定;资料在泄露后,运营方告知使用者的职责;也对国际间资料转移作出了要求,GDPR 仅允许资料控制者将资料转移到欧洲经济区EEA以外的、当地法律已被欧盟批准为充分保护的国家或地区,中国并未在此名单中,GDPR 的目的更倾向于“把资料放在有法律监管的地区”,换言之,你不能把 GDPR 范围区的资料转移到非范围区的地方,然后再故技重施滥用资料。
又比如,对企业不能再使用难以理解的冗长语言来让使用者签订隐私政策;使用者对自己资料的“被遗忘权”,在主动提出删除账户后,运营方对过往资料不再有保留权等。
还有一些问题,GDPR 和《办法》有共同认识,但实施做法和思路不尽相同。
《办法》对境内境外资料流通做出要求的目的就不同于 GDPR。《办法》要求网络运营者释出、共享、交易或向境外提供重要资料前,应当评估可能带来的安全风险,并报经行业主管监管部门同意;境内使用者访问境内互联网的,其流量不得被路由到境外。此规定是为了防止潜在的流量劫持。
另一方面,横向对比两部法案,GDPR 比《办法》会更细致一些,GDPR 是站在使用者一方,对资料收集方提出了在当下的“资料隐私权”以及维护这一权利所建立起的法律保护框架。而《办法》则更多地是针对资料的提供者和使用者要如何对待资料。
从两部法案的保护主体个人使用者的角度来看,GDPR给予了个人使用者对其资料更大的控制权,并明确了这些权利,而《办法》则更强调给予使用者“知情权”,运营方像是在被《办法》推著走,而非被使用者监管和维权。在个人敏感资料方面,GDPR 给出了七类可视为个人敏感资料的资料型别,从种族民族性取向到个人生物识别技术和基因资料都在这个范围内,《办法》中则并未详细展开“个人资讯”的覆盖资料型别。而使用者,也就是 GDPR 中所提到的“资料主体”,GDPR 中用了三个章节详细阐述了资料主体对资料的知情权、访问权、更正权和可携权、删除权、限制处理权、反对权和自动化个人决策相关权利。这些权利在《办法》中不难找到对应的法规,但个人使用者到底对自己的资料有哪些权利,这是在《办法》中并未明晰的。
在 GDPR 中,还用了大量的篇幅来传递一个概念:“意愿”。GDPR 要求使用者要在意愿自由、不存在被胁迫或欺诈、知情权明确、运营方提供给使用者的资讯明确到使用者都不能轻易忽略……诸多前提条件后,使用者按下的“同意协议”才是真的“同意”,才会真正从法律层面让协约生效。这个同意不能有任何不明确的空间,只要使用者还对协议有合理的怀疑,就判定使用者的意愿不明确。
而后 GDPR 还就“同意意愿”分为了儿童对同意的判断、有效同意的要件、同意的法律框架等做了更详细的要求和阐述。使用者意愿是 GDPR 中的一个高频词,而在《办法》中,更多出现的则是“要求运营方”。
尽管在《办法》最后规定,若网络运营者违反《办法》,将面临公开曝光、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照等处罚;构成犯罪的,依法追究刑事责任。但使用者通过何种途径可以得知平台滥用资料,得知后如何投诉举报立案,对运营方的惩罚措施和力度等细节都并未在《办法》中得到具体说明。
无论《办法》如何落地,至少表达了一个讯号:运营者必须重视资料安全和使用者个人隐私管理。对使用者来说,也不是有了法规就万事大吉。保护个人资料隐私,无论对于个人、企业还是-,仍旧是一个漫长且艰钜的博弈过程。
责编:宋德胜
题图:视觉中国
