对“中国版GDPR”《数据安全管理办法》的解读及建议

自进入5月份以来，网信办动作连连。从5月6日公布的《App违法违规收集使用个人信息行为认定方法（征求意见稿）》起，短短一月有余，接连发布了《网络安全审查办法》、《数据安全管理办法》、《儿童个人信息网络保护规定》、《个人信息出境安全评估办法》4部有关个人信息保护的征求意见稿。由此可见，一方面，无论是受国际影响还是社会舆论影响，政府层面对个人信息的保护作出回应势在必行；另一方面，个人信息强保护的趋势已经开始显现，尤其是5月28日零点发布的《数据安全管理办法》，更被业界人士戏称为中国的GDPR。

可以看出，这部《数据安全管理办法》的确是从保护公民个人信息的角度出发，但由于个人信息保护的紧迫性以及时间有限，难免会出现考虑不周的情况，有些与产业实际脱离的地方也在所难免。因此笔者特在此《办法》意见征集期间，除进行正式渠道的意见反馈外，也将自己的一些意见和建议抛出，以期抛砖引玉，与同行交流。

建议一：厘清《办法》对数据安全的界定，明确《办法》的规制和调整对象。

从《办法》的名称来看，是关于数据安全问题的规定，但数据安全涉及的问题有很多，一方面不同的数据类型（国家数据、企业数据、个人数据、公共数据等）具有不同的数据安全问题，另一方面数据安全问题也涉及不同的方面（线上、线下场景等等）。

从目前《办法》的征求意见稿来看，《办法》对数据安全的界定及调整对象比较模糊，主要体现在以下几点：

1、目前条文规制的重点主要集中在个人信息和重要数据，且绝大部分条款调整的对象为个人信息，缺少对其他数据安全问题的规制，无法与《办法》的名称相匹配。

2、《数据安全管理办法》应当涵盖所有数据安全问题，虽然网络数据的安全问题影响范围较大，但线下场景下的数据安全问题同样不能忽视，尤其是对公民个人信息权益的侵犯。如从婴儿在医院出生开始，家长往往很快就会收到月子中心、儿童摄影、幼教机构的推销电话，等孩子慢慢长大，各种小中高辅导培训机构也常常会打来电话“慰问”等等，诸如此类电话营销、垃圾短信等都是造成人们困扰、感到自己信息被泄漏的主要原因。而由于网信办的职能主要是面向网络领域的监管，所以目前条文只规制了网络数据相关的安全问题，对于同样严重的线下数据安全问题在立法上还存在空白和缺失，从网信办的角度出发如何堵死信息泄露的线上线下的隐患，确实是个不小的难题。

3、对数据安全问题的规制应当严格限制在数据安全的范畴之内，对于一些非数据安全相关的问题，诸如广告的产业模式、人工智能机器合成内容的展示形式以及社交平台产生的版权问题已然超脱了数据安全的范畴，将其直接纳入数据安全管理《办法》的规制范围，有些欠妥。

综上，由于数据安全问题的范围实在太广，所保护的法益也并非一部部门规章所能承载，因此建议从立法难度和网信办的职责考虑，直接将《办法》改为《个人信息网络保护办法》，并对条文在应有的立法规制范围内进行完善；在条文还未对数据安全问题作出详备的规定之前，不属于规制范围的条款。

建议二：做好与上位法及有关部门的协调问题。

首先，当前关于数据安全问题的立法大多自下而上，标准先行。这次出台的征求意见稿中就有不少推荐性标准《信息安全规范》2.0（征求意见稿）的影子。由于这种自下而上立法的层级不高，其制定和论证过程以及社会的关注度定然不会像制定法律般严谨和充分。在没有全面、详细的上位法对基本原则和制度进行规定的情况下，从推荐性标准层层递进的立法过程往往会导致标准、法规论证不足、操作性难的问题。没有了顶层设计，规章就很可能出现与上位法抵触的局面。

其次，目前条文存在诸多与《网络安全法》、《侵权责任法》等上位法及现行法律不符之处，尤其是《办法》第30条与侵权责任法规定严重冲突，不仅规定的过错推定与民法的一般归责原则不符，且过错推定的特殊情形应当由法律来进行规定，部门规章有无权利规定值得商榷。

最后，条文中的部分规定涉及与国家其他有关部门的协调问题，如第23条对广告产业的规定、第37条由有关部门进行行政处罚的规定等，需要与市场监督管理总局等其他部门密切沟通并征求意见，从而进行规则和条文的统一协调，避免出现九龙治水、多重标准的情况。

综上，建议对目前《办法》条文的规定重新审视，对于违反上位法及现行法律的内容予以调整。同时，鉴于《数据安全法》及《个人信息保护法》已纳入立法规划，法律出台指日可待，制定《数据安全管理办法》可能为时过早，建议放缓节奏，分步出台，先对重要且紧急的问题进行规定。此外，对于条文中与国家其他部门的协调问题，建议充分征求有关部门的意见和建议，统一执法监管标准，使《办法》真正具有可操作性。

建议三：安全与发展并重，在当前国际和经济形势下，《办法》需给产业提供一定的生存空间，避免误伤一些有机会赶超国外的产业发展。

值得欣喜的是，此次公示的条文在总则中已明确规定，国家坚持数据安全与发展并重，积极推进数据资源的开发利用，保障数据依法有序的自由流动。但遗憾的是在后文的具体规定中不仅没有体现国家对数据发展的支持，反而对数据的使用给予了严苛的限制。从某些条文可以看出，《办法》想尽快对一些社会热点、舆论焦点问题予以政策回应，出发点是合理的，但难免因时间仓促会出现误伤产业发展的情况。比如：

• 《办法》第23条，要求个性化定向推送的新闻、广告必须标明“定推”字样且用户可以选择停止定推，停止后网络运营者还需删除已经收集的设备识别码等用户数据和个人信息。

此条主要针对的是“信息茧房”以及用户在搜索某商品后在其他网站收到类似广告的问题，尤其是后者会让人们感觉自己的信息已被泄露且泄露得非常严重，从而引发恐慌。其实这一问题背后的原理非常简单，用户之所以能在其他网站看到类似的广告并不是由于自己的个人信息遭到了泄露，而是因为用户之前的一些网页浏览行为、购买行为等被会暂时记录在用户所使用设备上的一些诸如Cookie的文件当中。当用户没有及时删除这些Cookie而浏览其他网页时，第三方网站会顺势读取其中的相关信息，并根据这些信息来分析用户喜好并进行精准推送。因此用户会产生自己在某网站的信息被泄露到其他网站的错觉。

笔者认为，像23条这样对数据具体应用场景进行规制的条款没有必要写进《办法》当中，原因在于：

1、条款所规制的问题有些早已通过技术手段解决，没有必要再浪费立法资源多此一举。以第三方网站读取用户Cookie数据为例，一是大部分网络浏览器都设有阻止 Cookie 读取的功能，二是用户可以手动删除、清理这些Cookie。除此之外，对于一些个性化精准推荐的新闻和广告，用户在接受精准推荐的同时，同样可以进行“精准屏蔽”，对于用户不感兴趣的内容及广告，用户完全可以通过自行操作来控制推荐结果。因此以人类的智力水平来看，没有被不被进入信息茧房的问题，只有想不想进入信息茧房。另外，在《办法》上下文已经对数据安全进行严格规定的情况下是否还有必要对具体应用场景进行规定还有待考证，毕竟新型的数据应用场景永远列举不完。

（百度APP，设置--清理缓存界面，用户可以手动清理Cookie；百度APP，用户可以精准屏蔽不想看到的信息）

（百度APP，用户可以通过精准屏广告来调整个性化推荐策略，也可以屏蔽程序化广告）

2、大多数场景使用的数据无法追踪到个人，不属于个人信息。以个性化定向推荐为例，定推是针对用户行为的推荐，并非针对个人的推荐。人们之所以感到个人信息被泄露是由于人们天然会将自己的行为等同与自己。从互联网产品的逻辑来看，用户行为并不等同于用户自身。个性化推荐的依据基本无外乎两种：一种是用户在网络上的行为，包括浏览记录、检索记录等；一种是根据用户网络行为通过大数据技术所分析出来的诸如年龄范围、性别等领域的用户画像或标签。由于各大平台在收集用户信息的时候都会进行匿名化的处理，所以个性化推荐无论依据哪一种数据都不会直接定位识别到具体的个人。而界定个人信息的重点在于“识别”，只有能够识别到个人的信息才能被称作个人信息，因此将个性化推荐新闻或广告定性为对个人信息的滥用从而进行规制是不准确且不科学的。

3、冒然对具体的应用场景进行规定，可能会影响产业发展，甚至颠覆产业模式，伤及产业根基。

数字经济、互联网经济乃至中国经济的发展都离不开对信息的利用。随着信息越来越多甚至泛滥，人们从查询直到获得自己所需信息的时间成本越来越大。为了解决这个痛点，各大互联网公司纷纷利用已经收集的信息进行数据分析让信息从被动的被人寻找转为主动的信息找人，大大缩短了人们获取信息的时间。

如今这种利用信息进行数据分析使信息主动找人的模式已成为产业界的普遍现象，被应用于各行各业。金融业会利用用户资产情况、风险承担能力的信息推荐适合的理财产品；房地产app会利用用户的位置信息等推荐合适的房源；社交平台会利用用户通讯录或其他信息联系展开熟人社交；电商平台会根据用户的需求自动推荐合适的商品；广告业也会根据用户特征进行精准推荐，提高广告推广质量；新闻资讯平台也会根据用户的兴趣让信息找到喜欢它的人们等等。由此可见，对信息的利用已成为数字经济时代普遍的产业模式，各行各业的发展都离不开对信息的使用。

尤其在广告产业，除品牌广告外，非精准的广告投放模式已经越来越少。各大主流广告投放平台也纷纷主打精准营销，强调自身广告投放的精准度。不得不说，这是产业优胜劣汰，自然选择的结果，也是产业升级的必经之路。正因为有了精准营销，广告主尤其是中小广告主才能用最少的钱获得最多的商业机会，避免因为巨额的广告投放成本而入不敷出。

汽车再有风险也不可能回到马车时代。在严峻的国际形势和经济不够景气的大环境下，国家更应当对产业发展予以扶持，并给予一定的生存空间，以减缓当前严峻的形势对国家产生的压力。

综上，建议在保护数据安全所应当采取的必要措施之下，将重点放在数据安全的通用规则和基本制度上，避免对特定的应用场景进行规定，并与前款积极推进数据资源开发利用的条款相呼应，增设具体的可操作性条款。

从互联网女皇2019年最新发布的互联网报告来看，中美已“垄断”了世界上头部的互联网公司。我们欣喜的看到中国在互联网、5G、人工智能技术的发展实力越来越强，并有机会赶超美国。而美国作为互联网产业最先兴起的国家，在相关制度的制定上必然会相对成熟，对我国相关制度的构建具有借鉴意义。如互联网产业最发达的加州所制定的隐私保护法案就设置了财务激励机制，允许企业通过提供更高质量的产品服务或给予物质补偿来激励消费者授权更多的个人信息。反观互联网产业消沉的欧盟，只能靠制定“史上最严”、“管辖最宽”的个人数据保护法案来制衡国外的互联网企业，从GDPR实施一年来的处罚案例来看，中招的也多为美国大型的互联网公司。

对中国而言，究竟应该选择怎样的监管道路？借鉴欧盟GDPR真的是一条捷径且科学之路吗？无论如何，监管的目的是发展，面对中国特色的国情和逐渐壮大的产业，或许是时候制定一部立足中国，进而影响世界的法律法规了。

刘迈，作者系百度公共政策研究院研究员

注：本文仅代表作者个人观点

声明：本文来自百度公共政策研究院，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。