近日,国家网信办发布了《网络数据安全管理条例(征求意见稿)》 [i] (以下简称“草案”),这是《网络安全法》、《数据安全法》和《个人信息保护法》三大数据法规在执行层面的重要的配套法规,有不少规范互联网产业的首创性规定,互联网平台数据责任和违规代价都空前巨大,草案对面向消费者的快消、商超这些行业也有不小的影响,今天就该草案的产业影响谈谈我的个人观点。
一、规范互联网产业的首创性规定
草案中有很多对互联网产业进行规范的具体规定,不少还是首创的:
1、爬虫不得干扰网络服务义务
草案规定互联网公司用爬虫等自动化工具访问、收集数据时,应当评估对网络服务的性能、功能带来的影响,不得干扰网络服务的正常功能。如有违反法律、行政法规或者行业自律公约、影响网络服务正常功能,或者侵犯他人知识产权等合法权益的情况,应当停止访问、收集数据行为并采取相应补救措施。
爬虫影响互联网公司正常服务其实法律风险很大,前不久公布的公安破获某电商网站直播数据被爬 [ii] ,新闻里说就是因为爬虫造成直播异常才报的案,草案对此进行明确确实很有必要。
2、平台对第三方插件收集个人信息的集中展示义务
平台上的第三方插件一直是数据违规的高发领域。比如可能通过数据违规采集直接颠覆了美国大选结果的facebook剑桥事件,数据泄露的途径就是就是facebook上一个不起眼的第三方性格分析小程序。 [iii]
国内API、SDK接入不规范的情况其实也不少见,草案规定,平台应以集中展示等便利用户访问的方式说明产品服务中嵌入的所有收集个人信息的第三方代码、插件的名称,以及每个第三方代码、插件收集个人信息的目的、方式、种类、频次或者时机及其个人信息处理规则。对此,笔者非常认同,公开透明可以引入社会的力量监督平台和第三方进行数据规范,是解决问题的好办法。
3、平台规则隐私协议合规门槛高
草案对互联网平台规则、隐私政策和算法策略披露提出了新的要求;平台规则、隐私政策制定或者对用户权益有重大影响的修订前应当公开征求意见,并充分采纳公众意见,公布意见采纳情况,说明未采纳的理由,接受社会监督。
日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。
以后互联网公司修订平台规则和隐私政策前的公示会很重要,其必须尊重用户反馈并保留相应记录才能做到合规,至于大型平台,法律要求更高,除了公众监督,网信部门、电信部门和第三方评估机构也会监督。
4、互联互通义务
前阵工信部曾要求各经营即时通讯的平台限期内必须按标准解除网址屏蔽,但该要求没有落实到具体的行政法规上,这次网信办则直接在草案中规定了互联网平台的互联互通义务:互联网平台运营者面向公众提供即时通信服务的,应当按照国务院电信主管部门的规定,为其他互联网平台运营者的即时通信服务提供数据接口,支持不同即时通信服务之间用户数据互通,无正当理由不得限制用户访问其他互联网平台以及向其他互联网平台传输文件。
平台拒绝互联互通本质上是《反垄断法》上拒绝交易的滥用市场支配地位行为,某即时通讯软件屏蔽竞争对手之后曾引发了几个《反垄断法》诉讼,笔者还代理了其中的一个。但打民事官司比较旷日持久,如果草案近期生效,苦主们直接到网信办行政投诉,效率肯定会高不少。
5、平台大数据守法责任
草案对互联网平台运营者的大数据违法进行了空前严格的规制,包括大数据杀熟;利用大数据对平台内经营者进行不正当竞争;利用大数据对用户进行误导、欺诈、胁迫用户;利用大数据不合理的限制阻碍中小企业公平获取平台产生的行业、市场数据等,阻碍市场创新。
平台的互联互通违法和大数据违法的责任都相当严重,罚款金额为上年销售额的1%-5%,力度堪比反垄断罚款。此外,还有暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依照相关法律、行政法规的规定处罚等一系列制裁措施。
二、大型商超、快消企业数据责任重大
草案规定数据处理者处理一百万人以上个人信息的,还应当遵守重要数据处理者的规定。这个门槛其实不高,大型商超企业的会员卡用户破百万很正常,大型快消企业各大电商平台开会员可以享受优惠,受众破百万并非不可能。百万会员就意味着百万条用户信息,如果草案生效,这些公司的法务部要忙活一阵子了。
根据草案,重要数据处理者责任不小:包括明确数据安全负责人,成立数据安全管理机构;向设区的市级网信部门备案、制定数据安全培训计划,每年组织开展全员数据安全教育培训;优先采购安全可信的网络产品和服务;每年开展一次数据安全评估并报设区的市级网信部门。如果要赴境外上市的,还要申报网络安全审查。以上这些合规要求,其实都会变成企业的经营成本。
顺道说下,草案还第一次对“重要数据”进行了定义,早在2016年颁布的《网络安全法》里就有涉及“重要数据”的外延性规定,《数据安全法》中更有9次提到“重要数据”,但却始终没有官方的定义,草案第73条终于对重要数据进行了定义:指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。而且在定义之后还列举了七大类重要数据的类型。
三、部分规定需更加明确
草案毕竟是征求意见稿,部分规定有点歧义,比如草案第44条的规定:互联网平台运营者应当对接入其平台的第三方产品和服务承担数据安全管理责任,通过合同等形式明确第三方的数据安全责任义务,并督促第三方加强数据安全管理,采取必要的数据安全保护措施。第三方产品和服务对用户造成损害的,用户可以要求互联网平台运营者先行赔偿。
这条会有两种解释,如果只看第二句,那对电商平台的消费者会非常有利,因为电商平台上买到假货可以要求平台先行赔偿;但如果结合第一句,可能平台只是对第三方数据安全出问题,给消费者造成损失的(比如数据泄露导致消费者被诈骗)才有先行赔偿义务。根据这部法规的网络数据安全管理主旨,应该后一种解释更合理,估计正式版《网络数据安全管理条例》出台时,这个问题会明确。
最后,以上是个人对《网络数据安全管理条例(征求意见稿)》部分条款的解读,不全面、不权威,最终应以官方解释版本为准,欢迎大家批评指正。
本文作者:游云庭,上海大邦律师事务所高级合伙人,知识产权律师。电话:8621-52134900,Email: yytbest@gmail.com,本文仅代表作者观点。
0
推荐