文：肖飒（大成(chéng)律師事(shì)務所）  

來源：未央網

5月28日，國(guó)家互聯網信息辦公室會(huì)同相關部門起(qǐ)草的《數據安全管理辦法（征求意見稿）》（以下簡稱：數據安全辦法）正式向(xiàng)全社會(huì)征求意見。

數據安全辦法的上位法是2017年6月1日正式實施的《網絡安全法》，也就是說其規制的是公民、法人、其他組織在網絡空間的行爲和權益，确保公民個人信息和重要數據的安全。

我們認爲，對(duì)于整個大數據行業而言，數據安全辦法是必須認真研究的規則，如有實踐中的不同做法和觀點，請及時反饋立規部門，否則，將(jiāng)影響大數據行業的發(fā)展進(jìn)程和方向(xiàng)。

1. 我國(guó)的公民個人信息保護，太嚴苛了嗎？

平日裡(lǐ)與大數據行業、金融科技行業的朋友交流，大家普遍認爲我國(guó)的法律對(duì)公民個人信息的保護十分嚴苛，尤其是祭出了刑法第253條之一侵犯公民個人信息罪。司法實踐中，不少大數據企業主、從業人員因爲不懂法，而誤入刑事(shì)犯罪的領域，至今身陷囹圄。

然而，網絡時代，信息海量，總不能(néng)所有的information都(dōu)要經(jīng)過(guò)被(bèi)采集人的逐一、書面(miàn)、明确同意。在移植歐盟對(duì)公民個人信息保護的相關法律體系的基礎上，我們是否要考慮留出信息商業化的适當空間？值得思考。

咱們來看，正在廣泛征求意見的數據安全辦法，對(duì)于公民個人信息的“數據收集”，似乎有了些許松動。請注意，在第二章第七條中，明确指出“網絡運營者通過(guò)網站、應用程序等産品收集使用個人信息，應當分别制定并公開(kāi)收集使用規則。收集使用規則可以包含在網站、應用程序等産品的隐私政策中，也可以其他形式提供給用戶”。

由此可見，對(duì)網絡運營者收集公民個人信息是認可的（當然還(hái)是要本著(zhe)“最少夠用原則”而不能(néng)大肆無原則收集），通過(guò)網站、App收集信息可以較爲隐蔽的方式，而不是直接要求在明顯頁面(miàn)出現“同意與否”字樣(yàng)，看到“以其他形式提供”的字眼時，不禁可以想象從業機構法務人員的努力。

然而，我們反對(duì)采納這(zhè)樣(yàng)的“兜底條款”，否則被(bèi)采集信息的我們在“無感”的情況下就“被(bèi)同意采集個人信息”了，所謂“易于訪問”在實踐中如同進(jìn)了大型超市，進(jìn)來容易，出去難，非要讓咱們轉幾個彎彎繞增加消耗時間，以方便進(jìn)一步促銷。

在網絡上就是凡是不利于商家的條款、“賣出持有份額”的按鈕都(dōu)難找，漏鬥一樣(yàng)，寬進(jìn)嚴出，甚至不讓出。

2. 收集規則，要突出哪些内容？

數據安全辦法第八條對(duì)個人信息的收集使用規則作出了規定，即收集使用規則應當明确具體、簡單通俗、易于訪問，突出以下内容：

（1）網絡運營者基本信息；

（2）網絡運營者主要負責人、數據安全責任人的姓名及聯系方式；

（3）收集使用個人信息的目的、種(zhǒng)類、數量、頻度、方式、範圍等；

（4）個人信息保存地點、期限及到期後(hòu)的處理方式；

（5）向(xiàng)他人提供個人信息的規則，如果向(xiàng)他人提供的；

（6）個人信息安全保護策略等相關信息；

（7）個人信息主體撤銷同意，以及查詢、更正、删除個人信息的途徑和方法；

（8）投訴、舉報渠道(dào)和方法等；

（9）法律、行政法規規定的其他内容。

3. 不得強迫、誤導信息主體“同意”

我們欣喜地發(fā)現，數據安全辦法試圖幫我們解決一個痛點：不同意收集信息，就不給咱提供服務。

從第十一條來看，“網絡運營者不得以改善服務質量、提升用戶體驗、定向(xiàng)推送信息、研發(fā)新産品等爲由，以默認授權、功能(néng)捆綁等形式強迫、誤導個人信息主體同意其收集個人信息”，其本意是幫忙解決如上痛點，然而，接下來的規定有“放水之嫌”。

“個人信息主體同意收集保證網絡産品核心業務功能(néng)運行的個人信息後(hòu)，網絡運營者應當向(xiàng)個人信息主體提供核心業務功能(néng)服務，不得因個人信息主體拒絕或撤銷同意收集上述信息以外的其他信息，而拒絕提供核心業務功能(néng)服務”。

飒姐設想了一下真實場景，網絡運營者會(huì)那麼(me)好(hǎo)心，把該收集的數據和不該收集的數據區分開(kāi)來嗎？！實踐裡(lǐ)，他們絕大多數會(huì)把所有的信息采集要求放在同一個“同意”按鈕的項下，如隐私條款，一鍵同意，否則就認爲用戶不同意收集保證網絡産品的“核心業務功能(néng)運行”的個人數據。

4. 價格敏感度與“消費歧視”

作爲一枚普通的消費者，我也會(huì)對(duì)某些打車軟件的行爲感到由衷憤慨，一開(kāi)始瘋狂貼錢讓我們形成(chéng)了打車習慣，然後(hòu)逐漸取消補貼、折扣券，已經(jīng)放棄自駕的我們因爲習慣和單位有報銷制度等，已然選擇打車辦事(shì)。

悄然，我們發(fā)現與同事(shì)朋友一起(qǐ)打車，同樣(yàng)裡(lǐ)程，價格出現差異，這(zhè)就是“消費歧視”。讀者可能(néng)以爲，飒姐是不是要痛批這(zhè)幫網約車公司，歧視我們常坐車的老客，殺熟！但是，咱們從理性角度看，用金錢來篩選需求，是一件符合經(jīng)濟學(xué)邏輯的事(shì)，與道(dào)德無關。

還(hái)記得那年在新加坡，一位大學(xué)老教授駕車帶我品嘗本地小吃，途徑幾個公路口，他一會(huì)笑著(zhe)說我們走這(zhè)條路要多花一些新加坡元，但是我們著(zhe)急去吃飯，所以願意付出這(zhè)樣(yàng)的成(chéng)本。

我發(fā)現整個新加坡的車輛并不少，但井然有序，想必“用錢來篩選誰更著(zhe)急”比較合理，總比用其他人爲因素更公平些。

我自己生孩子的時候遭遇突然破水，先生不在身邊，情急之下隻能(néng)加錢叫(jiào)出租車去醫院，這(zhè)時候用錢來篩選“著(zhe)急程度”顯然是合乎道(dào)理的，雖然不一定符合高尚的道(dào)德，但也能(néng)夠爲人們所容忍。

因此，網絡運營商是否可以根據大數據的分析，對(duì)某些價格不敏感的人（城市新中産）多收個塊兒八毛的，對(duì)其他人群進(jìn)行補貼和公益，這(zhè)完全可以由市場決定，而不用直接否定“價格差異”。

5. “定推”與“合成(chéng)”

所謂定推，是指網絡運營者利用用戶數據和算法推送新聞信息、商業廣告等。數據安全辦法要求，應當以明顯方式标明“定推”字樣(yàng)，如用戶選擇停止定推，應當停止并删除已經(jīng)收集的設備識别碼等信息。

飒姐質疑這(zhè)些網絡運營者是否會(huì)在明顯位置給我們用戶一個拒絕或者停止定推的按鈕，同時，如果其不删除設備識别碼又有什麼(me)懲戒措施呢，拭目以待。

所謂“合成(chéng)”，是指網絡運營者利用大數據、人工智能(néng)等技術自動合成(chéng)新聞、博文、帖子、評論等信息，應當以明顯方式标明“合成(chéng)”字樣(yàng)；同時，提出“不得以謀取利益或損害他人利益爲目的自動合成(chéng)信息”。

不得損害他人利益還(hái)是明白的，不得謀取利益是指的不能(néng)寫“軟文”？還(hái)是不能(néng)“商用”？這(zhè)個有點歧義，還(hái)望立規者給出一定的具體解釋，方便具體執行時少出現扯皮。

6. 并非所有的個人信息都(dōu)不能(néng)提供給第三方

請注意，我們認爲數據安全辦法第二十七條對(duì)以大數據提供爲主商業模式的公司，具有一票否決權。

根據2017年的相關司法政策，我們可以看出對(duì)于數據買賣和交換的态度是嚴格的，随著(zhe)市場的發(fā)展，大數據流轉的必要性被(bèi)進(jìn)一步認識，于是，本次數據安全辦法有一定的釋放“春風”的作用。

網絡運營者向(xiàng)他人個人信息前，應當評估可能(néng)帶來的安全風險，并征得個人信息主體同意。下列情況除外，也就是說以下五種(zhǒng)情況，可以不經(jīng)過(guò)公民本人同意即可進(jìn)行“向(xiàng)他人提供”：

（1）從合法公開(kāi)渠道(dào)收集且不明顯違背個人信息主體意願；

（2）個人信息主體主動公開(kāi)；

（3）經(jīng)過(guò)匿名化處理；

（4）執法機關依法履行職責所必需；

（5）維護國(guó)家安全、社會(huì)公共利益、個人信息主體生命安全所必需。

不多說了，想必聰明的大數據公司的朋友們腦子裡(lǐ)已經(jīng)跳出了很多商業模式，且慢，咱們今天所關注的數據安全辦法僅僅是征求意見稿，還(hái)沒(méi)有正式頒布生效，大家不要提前就做出某種(zhǒng)行爲，萬一有變化呢？！牢記刑法還(hái)有侵犯公民個人信息罪呢，咱可别以身試法，快半步是英雄，快一步是烈士。不著(zhe)急，再等等。