《数据安全管理办法 (征求意见稿) 》的几点商榷

• 蒋洁 南京信息工程大学法政学院教授

2019年5月28日凌晨，国家互联网信息办公室发布了《数据安全管理办法（征求意见稿）》。这部一经通过就有可能成为我国数据安全领域首个国家层面规范化治理文件的部门规章，以《网络安全法》等法律法规为上位法，融合借鉴《信息安全技术个人信息安全规范》等推荐性国家标准，积极应对数据安全风险和威胁、趋严回应遏制数据泄露和滥用的社会需求，挖掘个人信息和重要数据收集、处理使用和安全监管的关键要素，加强网络经营者的数据安全保护义务，通过“定推”和“合成”标识、自动化访问收集限制等创新性监管规定解决精准推送、数据爬取和自动化洗稿等热点难题，旨在保障数据依法有序自由流动，营建公平、统一、公开的竞争市场。

但是，全球领先的数据产业区域（如硅谷）的成功经验在于合理利用、有限责任和相对宽松的数据使用规则。在当前国内外严峻的技术和行业背景之下，我国数字经济的长足发展需要弹性较大的数据共赢格局支撑。《管理办法》中部分条款比欧盟GDPR更为严格、一些概念界定不够清晰且法律逻辑有待完善。相关规定落地实施后可能导致社会合规成本高于收益，重创规模化数据交易和某些新兴的数据商业模式，影响我国数据产业优势的维持与放大。

当前亟待商榷的问题，主要包括：

1. 调整对象和适用范围是否过于宽泛？

《管理办法》不仅在第6条概括规定了调整对象及其数据安全保护责任，还在应当有所区分的不同场景中持续一致地将宽泛的“网络经营者”作为调整对象,加重了相关企业的合规负担。此外，围绕“数据安全”展开的《管理办法》将内容集中于重要数据和个人信息，造成调整对象混乱，且未对敏感个人信息进行明确定义。

《管理办法》第2条第1款规定了宽泛的适用范围。即涵盖我国境内利用网络开展的（除去纯粹家庭和个人事务以外）的全部数据活动、数据安全的保护和监管。这意味着境内只有为了自用目的、通过家庭内网收集和处理个人信息的数据活动不受《管理办法》管辖。宽泛的概括性规定明显不符合数据分类保护原则。

事实上，政府数据、企业数据和个人数据存在明显差异。数据安全法律法规是从国家和社会层面建立数据活动的基础性安全规则，个人信息保护法律法规是在收集和使用个人信息的整个生命周期中确保业务流程、技术措施、内部管理机制和应急处置等不侵害个人自由和人格尊严。两者的立法宗旨、价值取向和具体举措不尽相同。

《管理办法》是《网络安全法》在数据产业领域的细化，又是《数据安全法》出台前的巢白填补，理应密切关联《国家安全法》和《保护国家秘密法》等，侧重维护国家安全和网络空间主权、保护公共利益与群体安全，围绕重要数据的识别和规制来搭建基础性安全规则，进而打造平衡数据总体安全与数据充分利用的良性新秩序，使得国家数据主权、民生福祉和经济社会发展处于持续的安全状态。《管理办法》不宜重点梳理以平衡个体数据权益与数据社会价值为要旨的个人信息保护规范。此外，《管理办法》中大量融入个人信息保护条款反而加剧了相关立法的散乱分布。

2. 扩大企业安全评估和报批义务是否适当？

《网络安全法》第37条对“关键信息基础设施的运营者”向境外传输个人信息和重要数据做出安全评估要求，且针对不同敏感程度的重要数据跨境采用多层次多维度的自评估和报备报批方案。《管理办法》第28条却对义务主体进行了扩大解释、主张覆盖面极广的“网络运营者”在发布、共享、交易或向境外提供重要数据前都应当评估安全风险，且需不分量级地统一报经行业主管监管部门同意（“主管监管部门不明确的，应经省级网信部门批准”）。而依据《管理办法》附则中对于“重要数据”的粗糙解释，即便微量的对于国家安全、经济安全、社会稳定、公共健康和安全影响很低的数据的发布、共享、交易或出境，也需要事先获得行政审批。一方面，可能存在部门规章新设行政许可的合法性疑虑。另一方面，这一没有最低数量和范围限制的规定覆盖了网络经营者的海量数据活动，将大幅增加行业主管监管部门的工作负担、分散本就有限的专业性人力物力，不利于防范和矫正重大的数据安全风险；也将大幅提升企业合规成本，影响数据资源及时有效地开发利用，对数据产业的负面影响可能远远超过少量数据泄露的微风险。

3. 数据收集规则是否过于严苛？

《管理办法》第8条在细化数据收集规则应当突出的内容时，要求列明个人信息保存期限及到期后的处理方式，却未设置个人信息主体撤销同意和查询、更正、删除个人信息的合理期限，可能会导致数据收集和使用处理的合法性长期处于实质不确定状态，加大了网络数据活动的成本和风险。本条中突出网络运营者主要负责人、数据安全责任人的姓名和联系方式的要求，可能会给这一庞大群体的隐私安全带来威胁。

《管理办法》第9条明令“仅当用户知悉收集使用规则并明确同意后，网络运营者方可收集个人信息”。需要用户“明确同意”的规定显然超出了《网络安全法》中“用户同意”的要求。第17条和第18条要求“以经营为目的收集重要数据或个人敏感数据的”网络运营者应当明确承担类似GDPR数据保护官职责的数据安全责任人，加大了网络运营者的安全保护义务（此前的《个人信息安全规范》仅要求个人信息控制者明确其法定代表人或主要负责人对个人信息安全负全面领导责任），也未明确“以经营为目的”的具体场景。

《管理办法》第11条意图解决“一揽子”授权和不同意授权就不让使用的难题，具有重要的现实意义。但是，“默示授权”不同于“默认勾选”，本质上是合法的民事行为，不属于“强迫、误导个人信息主体同意其收集个人信息”的形式。盲目予以排除可能导致Cookie、物联网等商业模式难以开展。例如，目前的车联网等应用场景无法建立充足的信息交互界面和交互方式，对于联网模块中数据收集和使用的集中授权可能违反本规定。第2款强调个人信息主体有权拒绝或撤销同意收集网络产品核心业务功能运行的个人信息以外的其他信息，却缺乏划分核心业务功能和非核心业务功能的明确标准。事实上，由于实践中核心业务功能的认定具有较强的主观性，相关标准制定一直存在较大争议，尚不适宜进行强制性规范。

4. 数据收集备案制度是否缺乏实操性?

《管理办法》第15条从国家层面针对网络运营者以经营为目的收集重要数据或个人敏感信息的行为，创新建立了强制性备案制度。问题在于，动态数据活动涉及海量主体和巨量数据，本条并未清晰明确备案对象（《管理办法》没有界定“个人敏感信息”，对于“重要数据”的释义较为粗糙），也未细化“以经营为目的”的具体场景（究竟仅指挖掘数据商业化价值的收集行为，还是包括了网络运营者全部业务活动涉及的收集行为？不得而知）。加之网络数据收集活动的时效性与变动性，使得企业实操中难以长期固定“收集使用的范围、类型、期限”。此外，由于备案内容可以被包入《管理办法》第8条要求网络运营者公开的收集使用规则的内容，企业和用户的相关活动已经有迹可循。再行备案对于企业合规审核和相关侵权救济的证据价值较小，反而可能导致成本过高与收益有限的不平衡状态。

5. 网络经营者的间接责任是否过重？

《管理办法》第14条要求网络运营者对于从其他途径获得个人信息，与直接收集个人信息负有同等的保护责任和义务。这意味着企业对于合法的第三方渠道获取（如购买）的个人信息，需要承担直接收集者的义务，会对数据交易产业造成较大的负面影响，进而阻碍数字经济发展。

《管理办法》第25条要求网络运营者对于用户通过社交网络转发他人制作的信息，应自动标注信息制作者在该社交网络上的账号或不可更改的用户标识。第26条规定“网络运营者在接到相关假冒、仿冒、盗用他人名义发布信息的举报投诉时，应当及时响应，一旦核实立即停止传播并作删除处理”。这些条款的实际执行需要网络运营者具备很高的知识产权认知能力和监管技术水平，合规难度过大。

《管理办法》第30条要求网络运营者督促监督接入其平台的第三方应用运营者加强数据安全管理。且当第三方应用发生数据安全事件对用户造成损失时，网络运营者应当承担部分或全部责任，除非其能够证明无过错。这一没有给出具体标准的严格责任规定可能超越了部门规章的立法权限，使得运营者不仅需要证明已经尽到安全管理义务，甚至还要承担难以达到的证明己方无过错的责任。

6. 定推标识与删除要求是否过于模糊？

《管理办法》第20条、第21条、第23条等肯定了用户的个人信息被遗忘权，但具体规定过于模糊。例如，用户选择停止接收定向推送信息时，不仅要求网络运营者停止推送，还必须删除已经收集的设备识别码等用户数据和个人信息。其中，不仅“用户数据”的范围不清晰，设备识别码等用户数据也可能是提供其他服务时必须的关键要素，不能在停止定推时简单粗暴地一律删除。再者，也未写明删除范围是否包括网络经营者已经传输给第三方的用户数据等等。

此外，《管理办法》的部分条款需要进一步细化、用词应当更为严谨。例如，第34条第1款鼓励网络运营者“自愿”通过数据安全管理认证和应用程序安全认证，第2款却又规定国家网信部门会同国务院市场监督管理部门组织安全认证工作，亟待明确认证性质和具体工作流程。又如，《管理办法》正文中没有出现“网络数据”一词，却在附则第38条的“本办法用语含义”中释明了这一未曾使用的概念，亟待严谨对应。再如，第24条中“不得以谋取利益或损害他人利益为目的自动合成信息”中“不得谋取利益”是指禁止一切经营活动中的自动合成信息，还是不得进行商业化使用，亟待详细说明。

声明：本文来自数字经济与社会，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。