CDT:本文为端传媒付费报道节选。

5月28日, 中国国家互联网信息办公室(下称“网信办”)发布《数据安全管理办法(征求意见稿)》(下称《办法》),有可能成为中国首个从国家层面对网络数据安全管理的部门规章,更有业者将其与欧盟2018年5月开始强制执行的《通用数据保护条例》(General Data Protection Regulation,下称GDPR)相比。

[…]

《办法》规范了哪些领域的数据应用?会给互联网企业和用户带来什么影响? 如何预防公权力对其中模糊法条的滥用?是否具有可执行性?以及,它有没有真正保障普通用户的权利?端传媒采访多位数据保护领域的专家学者,剖析重要条款和其可能带来的影响。

企业应在什么情况下向政府提供数据?

第三十六条,国务院有关主管部门为履行维护国家安全、社会管理、经济调控等职责需要,依照法律、行政法规的规定,要求网络运营者提供掌握的相关数据的,网络运营者应当予以提供。

对比2017年出台的《网络安全法》中,仅要求网络运营商为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助,并未提及“社会管理、经济调控等职责需要” ,《办法》无疑拓展了政府的权力半径。

参与《办法》专家咨询的学者表示,这一条使得境外企业尤其美方企业对中国政府可能强制要求企业数据产生担忧。

法律工作者赵进则指出, GDPR中也有类似条款。她认为这主要是基于现实的一种回应,无论欧盟还是中国官方,都在经济与社会管理上对大数据具有一定需求,例如统计年鉴中的统计数据、用于科学研究的病人病理数据等,《办法》的问题在于:“ 它收集了这些数据之后,你没有可能在现有的法律体制中找到一个比较完善的机制来限制数据的滥用。”

此外,赵进还提到,在GDPR中,若网络运营者向第三方提供数据,对用户有告知义务,“你的数据,因为什么理由被国家有关部门收集了,这样的告知义务在GDPR中被明确规定,用户数据转向无论是商业上的第三方还是公权力部门,都有告知义务。”赵进指,回到中国语境,如何在此过程中保证公权力不被滥用,其实是国家行政法和宪法的规定。

[…]

禁止越界调取用户信息,但谁来判断界线在哪儿?

第十一条 网络运营者不得以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息。

个人信息主体同意收集保证网络产品核心业务功能运行的个人信息后,网络运营者应当向个人信息主体提供核心业务功能服务,不得因个人信息主体拒绝或者撤销同意收集上述信息以外的其他信息,而拒绝提供核心业务功能服务。

艾媒咨询分析师李松霖向端传媒解释,对用户隐私信息疑似越界调取的问题也是互联网企业长期存在的现象之一。越界调取是指未经用户同意便读取用户隐私数据的情况,例如一些应用程序未被用户允许读取通讯录数据,但仍然进行了读取,网购、社交、旅游、理财等类型的手机APP在此问题上较为严重。

据中国消费者协会2018年9月发布的《App 个人信息泄露情况》,85%的消费者曾遭遇个人信息泄露,结合另一份《网络隐私安全及网络欺诈行为研究分析报告》则发现,手机App越界获取个人信息是网络诈骗的主要源头。

许可解释,此条例主要在规范过去手机软件常常使用的“一揽子”捆绑授权模式,施行这一条例有两种方式;一种是每一项授权均设同意按钮,另一种则是分“核心功能”授权与其之外的授权,后一种是折中的思路,不过其最大问题在于用户、企业和国家监管机构中哪一方判断什么属于“核心功能”,“这会成为未来执法中主要的问题”。

(节选。原标题:中国数据安全管理草案面世,保障了谁、规范了什么、 是否行得通?)