详细解读《数据安全管理办法（征求意见稿）》十大亮点（上）

1.概述《数据安全管理办法（征求意见稿）》（下称：办法）

性质：办法效力高于《信息安全技术个人信息安全规范》（下称《规范》）、《互联网个人信息安全保护指南》（下称指南），规范与指南本身没有强制约束力，而办法相当于部门规章（部级立法），在全国范围内具有强制约束力，如果办法与地方性法规（地方人大立法）冲突的话，终极裁决权在全国人大常委会手中。

保护客体：个人信息、重要数据

依据：主要是《网络安全法》

亮点一

收集使用规则

亮点：

仅当用户知悉收集使用规则并明确同意后，网络运营者方可收集个人信息；可包含于隐私政策中，但要集中展示，不能散见于各条款中。

收集使用规则要体现数据安全责任人姓名，根据《网络安全法》第六十三条规定，因网络安全问题受过行政处罚五年内不得担任，受到刑事处罚的终身不得担任。

用户在使用过程中享有撤销同意权、删除权，意味着用户可以随时不同意网络运营者收集其信息，并要求删除。

《办法》第7、8、9、10条

第七条 网络运营者通过网站、应用程序等产品收集使用个人信息，应当分别制定并公开收集使用规则。收集使用规则可以包含在网站、应用程序等产品的隐私政策中，也可以其他形式提供给用户。
第八条 收集使用规则应当明确具体、简单通俗、易于访问，突出以下内容：
　　（一）网络运营者基本信息；
　　（二）网络运营者主要负责人、数据安全责任人的姓名及联系方式；
　　（三）收集使用个人信息的目的、种类、数量、频度、方式、范围等；
　　（四）个人信息保存地点、期限及到期后的处理方式；
　　（五）向他人提供个人信息的规则，如果向他人提供的；
　　（六）个人信息安全保护策略等相关信息；
　　（七）个人信息主体撤销同意，以及查询、更正、删除个人信息的途径和方法；
　　（八）投诉、举报渠道和方法等；
　　（九）法律、行政法规规定的其他内容。
第九条 如果收集使用规则包含在隐私政策中，应相对集中，明显提示，以方便阅读。另仅当用户知悉收集使用规则并明确同意后，网络运营者方可收集个人信息。
第十条 网络运营者应当严格遵守收集使用规则，网站、应用程序收集或使用个人信息的功能设计应同隐私政策保持一致，同步调整。

不足：

如果允许用户任意撤回同意或者删除信息，一方面对数据进行改动成本可能非常大，特别是底层的数据，几个用户申请尚可，如果是千万级别的用户同时申请，必然会影响网络运营者的正常运行。

收集使用协议一般晦涩难懂，应当以表格形式对收集信息进行分门别类展示，具体可参考《规范》：

建议：

将第八条第七款修改为：个人信息主体撤销同意，以及查询、更正、删除个人信息的途径和方法，但网络运营者可以设定合理的操作期限；

增加：收集使用协议对收集的信息应当以表格形式展示，并分类列举。

亮点二

不得因用户拒绝非核心条款而拒绝用户使用产品

亮点：

用户享有真正的否决权，有权拒绝或者撤销同意收集非核心功能信息，而网络运营者不得拒绝提供核心业务功能服务。

以往，各类APP虽然会提示用户认真阅读隐私条款，但真正会去看的用户少之又少，就连美国大法官都公开表示自己平时用这些产品的时候压根不会去看所谓的隐私协议，包括我本人在内也是闭着眼睛点同意就开始用。即使现实中是这种情况，那为什么政府部门与各大网络运营者还是不留余力的“推销”隐私政策，企业夸自己的隐私政策多么透明，多么规范。在我看来，这样的隐私政策不过是信息保护的一块遮羞布，只管形式上的合规，不管用户真正的利益与体验。

我也时常在想，为什么会出现这种情况？后来我发现真正的原因不是用户懒，不是用户不重视自己的隐私，而是用户知道即使自己不同意其中的条款，也法改变什么，不点同意，意味着让你出门左拐，连用都不让你用。

而现在的《办法》有望解决这个痛点，并且网络运营者不能再以提升用户体验的“漂亮话”默认用户授权，意思是，非核心功能的信息收集必须列出来让用户明确同意。

《办法》第11条

第十一条 网络运营者不得以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由，以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息。
个人信息主体同意收集保证网络产品核心业务功能运行的个人信息后，网络运营者应当向个人信息主体提供核心业务功能服务，不得因个人信息主体拒绝或者撤销同意收集上述信息以外的其他信息，而拒绝提供核心业务功能服务。

不足：

如何甄别网站、应用中哪些是核心功能？哪些是非核心功能？如果这个没有明确的解决方式，那么这个条款可能会沦为僵尸条款，因为这个问题属于业务层面问题，企业拥有绝对的主动权。虽然《规范》中规定：“个人信息控制者应根据一般用户对上述因素的最可能的认识和理解，而非自身想法来确定用户的主要需求和期待来划定基本业务功能。一般来说，如果产品或服务不提供基本业务功能，个人信息主体将不会选择使用该产品或服务。”，该规定本质上还是主观判定，可操作空间较大。

增加：网络运营者应当明确列明核心业务功能，并说明理由，并接受监督。

亮点三

用户有权关掉精准广告

亮点：

精准广告其实已经相当成熟了，并且也向市场证明了其商业价值，但早在精准广告刚进入用户视线的时候，还是有不少用户感到恐慌，认为自己被监控了，一举一动都暴露在网络运营者的眼中，刚浏览过减肥的信息，马上打开其他应用时，就会有一波减肥产品的广告砸框而来。这次《办法》让用户有权永久性关掉精准广告。

《办法》第23条

第二十三条 网络运营者利用用户数据和算法推送新闻信息、商业广告等（以下简称“定向推送”），应当以明显方式标明“定推”字样，为用户提供停止接收定向推送信息的功能；用户选择停止接收定向推送信息时，应当停止推送，并删除已经收集的设备识别码等用户数据和个人信息。

不足：

该细则从某种程度上来说，已经否定了“定向广告”（精准广告）这种商业模式。用户不仅有权选择停止接收定向广告，网络运营者还必须将已经收集的设备识别码等用户数据和个人信息删除，这基本上把定向广告的后路全部堵死。

至于定向广告的商业价值不必多说，但以法规的形式直接否定一种商业模式的行为却是值得商榷的，当然，我个人是反对的。

何为“利用用户数据和算法”推送广告？用户数据仅指个人信息还是？该规定过于模糊。

如果说定向广告侵犯了用户的隐私权，甚至说只是使用了用户的个人信息，那关停定向广告尚有一定依据；倘若通过技术手段，或者以法律认为不侵犯用户权益的方式（朱烨诉百度案，法院认为cookie不属于可识别个人的信息）进行定向广告的推送，那这种定向广告是否还应当被禁止？或者说，用户是否还有权利禁止？我认为答案是否定的，因为此种情况下，用户与网络运营者之间就是正常的平等主体关系，法律法规无理由再干涉二者间的意思自治。

另外，该细则规定，用户关停定向广告后，网络运营者必须删除已经收集的设备识别码等用户数据和个人信息，这个规定忽略了，设备识别码等用户数据和个人信息不仅仅用于定向广告，还可能用于其他各项服务，所以不能仅因用户关停定向广告，就要求删掉所有设备识别码等信息。

说个题外话，即使用户关停了定向广告，网络运营者同样可以给用户发送普通广告，所以，用户关停定向广告的这个动作同时也是一个选择动作，即选择了普通广告。所以，从这点出发，网络运营者在草拟相关条款与设置相应操作界面的时候，可以着重向用户提示清楚这层含义，毕竟相比普通广告，相信用户更喜欢看定向广告。

建议：

将第二十三条修改为：

网络运营者利用用户数据和算法推送新闻信息、商业广告等（以下简称“定向推送”），应当以明显方式标明“定推”字样，为用户提供停止接收定向推送信息的功能，但不利用用户个人信息或未侵犯用户隐私的可不予提供停止接收定向推送信息的功能，但仍应标明“定推”字样；用户选择停止接收定向推送信息时，应当停止推送，并删除已经收集的设备识别码等用户数据和个人信息，但提供其他服务确实需要使用的可不予删除，但应当告知用户。

解读人 | 姜斯勇
首发 | 公号「 摇滚大数据 」
个人交流微信 | scottlawyer

接下来我们将在公号陆续推出：
详细解读《数据安全管理办法（征求意见稿）》十大亮点（中）
详细解读《数据安全管理办法（征求意见稿）》十大亮点（下）