2019年5月28日,国家互联网信息办公室(“国家网信办”)发布了《数据安全管理办法(征求意见稿)》(“《办法草案》”),着重规范了网络运营者对于个人信息和重要数据的安全管理义务。《办法草案》一经生效,将成为我国在数据保护领域的首部较为全面的部门规章。《办法草案》在细化《网络安全法》的基础上,还增设了定向推送、信息合成、自动标注等与数据处理相关的条款,引发了学术界和实务界的热议。

《办法草案》第二十五条展开讨论规定“网络运营者应采取措施督促提醒用户对自己的网络行为负责、加强自律,对于用户通过社交网络转发他人制作的信息,应自动标注信息制作者在该社交网络上的账户或不可更改的用户标识。”根据该条草案,社交网络将开启全网溯源模式,不论公开(比如微博)还是封闭(比如微信朋友圈)的社交平台,被转发的信息将与原创者的社交账号、用户标识等身份信息牢牢绑定,这可能将变相推行“前台+后台”的网络实名化,与个人信息保护的立法目的背道而驰,限制公民的通信自由和通信秘密,影响我国企业走出去,并可能显著降低互联网空间的活力和压制创新动力。

一、可能违反上位法有关个人信息保护的法律规定

《网络安全法》第四十二条规定,“未经被收集者同意,不得向他人提供个人信息。”在公开的社交平台中,由于用户自愿在公开网络中发布消息并默认自动转发时保留用户账号,自动标注信息发布者的账号可能并不违反法律规定。但是对于封闭或者半封闭的社交平台,用户发布的消息仅限于其选定的好友知悉,如果用户好友向第三人转发信息时同时自动标注信息发布者的账号,考虑到用户账号属于用户的个人信息,这将违反作为《办法草案》上位法的《网络安全法》第四十二条的规定。

二、目前的后台网络实名制足以追踪信息发布者

《办法草案》第二十五条的另一目的在于加强执法机构追踪违法犯罪主体的能力。但是,根据我国现行的网络实名制要求,执法机构在技术上已经可以追踪信息发布者,该条规定实无必要。我国《网络安全法》第二十四条规定了社交网络的实名制要求,根据国家网信办发布的一系列配套法规,该条所指的实名制需遵循“后台实名、前台自愿”原则,网络运营者仅在后台对用户的真实身份信息进行收集、认证,并负有保密的义务。当网络违法犯罪事件发生时,执法机构可以根据发帖用户的后台身份信息锁定到具体的自然人,即使是转发的帖子,执法机构也可以根据大数据检索、同类信息比对等方式追踪到发帖的源头并锁定到特定自然人。

三、涉嫌侵犯公民的通信自由和通信秘密

在社交网络发表言论在特定场景下构成用户的通信自由和通信秘密,在转发时未经用户同意标注用户的身份信息,可能是不特定的第三人获悉特定用户发表了这些通信秘密,这将侵犯《宪法》关于公民的通信自由和通信秘密的相关规定。我国《宪法》第四十条规定,公民的通信自由和通信秘密受法律的保护,除公安机关或检察机关因国家安全或者追查刑事犯罪的需要进行依法检查之外,任何组织或个人不得以任何理由侵犯公民的通信自由和通信秘密。《办法草案》作为部门规章,就其法律层级、立法目的、执法机构而言,没有权力就公民的通信自由和通信秘密作出限制性规定。

四、可能显著降低社交网络活力,压制创新

《办法草案》第二十五条的目的在于督促用户加强网络行为自律,防止网络攻击、网络色情、网络欺诈等违法犯罪行为。关于上述行为,我国已有《刑法》《民法总则》《侵权行为法》等法律规范进行规制,没有必要通过自动标注身份信息达到行为自律的目的。而且,不区分公开和封闭社交平台,转发消息时自动标注身份信息将对用户产生巨大的舆论压力,产生限制舆论自由、遏制社交网络活力的效果。

可以预见,如果该条最终实施,将显著降低我国各类社交网络上的发言、发帖,互联网的活力将大大降低。同时,创新有赖于自由空间和充沛活力,《办法草案》第二十五条对网络空间的限缩也将压制社会的创新动力,不利于社会经济的整体健康发展。

五、与国外数据保护法律不符,影响企业走出去

自动标注信息制作者的身份信息导致用户丧失对个人数据的控制权并涉及对个人信息的监控,涉嫌违反国外数据保护相关法律,容易引起外国政府对中国个人信息保护监管的质疑。比如,根据欧盟的《一般数据保护条例》(GDPR)和美国的《加州消费者隐私法》(CCPA),社交账户属于个人数据,未经同意向他人提供个人信息违反相关法律规定。我国当前的舆论环境和数据保护情况已经被西方国家广泛诟病,如果《办法草案》仍然规定自动化标注身份要求,这将严重影响我国企业走出去和开展国际合作。(大成数据保护团队,Zoe/Jet对本文有贡献。)

声明:本文来自个人信息与数据保护实务评论,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。