2018 年 3 月，F(xiàn)acebook 劍橋分析事件的爆出，一把扯下了科技公司各自在用戶數(shù)據(jù)保護方面披上的遮羞布。隨后 5 月，歐盟正式開始執(zhí)行“史上最嚴的數(shù)據(jù)隱私保護法案”《通用數(shù)據(jù)保護條例》（GDPR），更是把關于數(shù)據(jù)隱私的討論推向了巔峰。

無論是連番的數(shù)據(jù)泄漏丑聞還是各國政府和機構組織的紛紛表態(tài)，2018 年一整年，隱私和數(shù)據(jù)安全都是一個繞不開的話題，公司和用戶都不得不開始重視它背后的經(jīng)濟效益、利用關系以及個人權利。

  前所未有嚴苛的數(shù)據(jù)保護法《GDPR》 | GDPR 官網(wǎng)截屏

據(jù)中國互聯(lián)網(wǎng)網(wǎng)絡信息中心的數(shù)據(jù)顯示，截至 2018 年底，中國網(wǎng)民達 8.29 億，手機網(wǎng)民 8.17 億。在這個背景下，無論是對管理者的要求還是民意的訴求，數(shù)據(jù)安全管理規(guī)章化不可避免。

5 月 24 日，國家網(wǎng)信辦聯(lián)合國家發(fā)改委等 12 個部門起草了《網(wǎng)絡安全審查辦法(征求意見稿)》（以下簡稱《辦法》）。四天后，5 月 28 日，中國國家互聯(lián)網(wǎng)信息辦公室（以下簡稱“網(wǎng)信辦”）發(fā)表《數(shù)字安全管理辦法（征求意見稿）》，發(fā)布《數(shù)字安全管理辦法（征求意見稿）》，向社會公開征求意見。6 月 28 日，《數(shù)據(jù)安全管理辦法》的意見反饋正式截止。

《辦法》只針對“網(wǎng)絡運營者”，要求它們保護國家、社會、個人在網(wǎng)上的信息和數(shù)據(jù)安全，包括個人要給企業(yè)多少數(shù)據(jù)，哪些不必再給，企業(yè)無權再要；企業(yè)要如何保護用戶個人數(shù)據(jù)，如何利用和處理已有的數(shù)據(jù)，在何種情況下把用戶數(shù)據(jù)交與政府；政府如何監(jiān)管企業(yè)不濫用個人數(shù)據(jù)。在《辦法》出臺之前，因為此前條例的模糊性，網(wǎng)絡運營者得以鉆了數(shù)據(jù)收集的漏洞?，F(xiàn)在，《辦法》就個人隱私和數(shù)據(jù)收集、廣告和新聞精準投放、app和平臺對權限的無理索求以及賬戶、平臺在停用后數(shù)據(jù)歸宿等近幾年來多發(fā)的數(shù)據(jù)隱私爭議點上作出了明確地要求，《辦法》也可能將成為中國首個圍繞網(wǎng)絡安全和數(shù)據(jù)管理落實的規(guī)章。

堵上所有能鉆的空子

近幾年的移動應用的普及，新入網(wǎng)用戶激增，但同時，零基礎直接上手的移動互聯(lián)網(wǎng)用戶對數(shù)據(jù)和隱私的權利概念模糊，絕大多數(shù)用戶在這方面意識薄弱，因此導致了不少互聯(lián)網(wǎng)公司肆意收割數(shù)據(jù)的現(xiàn)狀。在五章四十條的《辦法》中，有諸多條例都體現(xiàn)著對當前互聯(lián)網(wǎng)亂象的“對癥下藥”。

· 《用戶協(xié)議》要“說人話”

每當用戶注冊一個新網(wǎng)站的賬號時，總是習慣把那些長篇累牘的《平臺數(shù)據(jù)手機條約》一拉到底，點擊同意。對此，《辦法》第二章第八條要求：收集使用規(guī)則應當明確具體、簡單通俗、易于訪問，并給出了九小點的“具體要求凸顯的條例”。

對運營方面向用戶的條款作出明確規(guī)定 | 網(wǎng)信辦官網(wǎng)截屏

換句話說，滿篇堆砌法律名詞，用盡各種語言技巧的“數(shù)據(jù)收集條約”將被取締。盡管用戶和平臺之間“不同意就不能用”的協(xié)議不會改變，但平臺必須讓用戶明確地知曉數(shù)據(jù)收集的意圖，或者說用戶自己使用服務的代價。

· 用不到的信息不許強行收集

在第十一條中，《辦法》明確規(guī)定了“網(wǎng)絡運營者不得以改善服務質量、提升用戶體驗、定向推送信息、研發(fā)新產(chǎn)品等為由，以默認授權、功能捆綁等形式強迫、誤導個人信息主體同意其收集個人信息?！?

即網(wǎng)站和應用用不到的信息，運營方不能強行收集，更不能因為用戶不同意提供這些“用不到”的信息，就拒絕提供服務。系統(tǒng)層上，蘋果在 iOS 12 和 iOS 13 的更新中也作出了類似的規(guī)范和限制。

· 拒絕大數(shù)據(jù)殺熟

在十三條中，《辦法》則規(guī)定了禁止對個人信息分析后進行定價歧視，此舉也明顯針對的就是去年國內頻繁曝出的“大數(shù)據(jù)殺熟”現(xiàn)象。

· 治理垃圾推送消息

在《辦法》第三章《數(shù)據(jù)處理使用》中第二十三條規(guī)定，運營者利用用戶數(shù)據(jù)和算法推送新聞信息、商業(yè)廣告等，應當以明顯方式標明“定推”字樣；要對用戶提供停止接收定向推送信息的功能，并且當用戶關閉該功能后，應當停止推送，并刪除已經(jīng)收集的設備識別碼等用戶數(shù)據(jù)和個人信息。

· 標注機器生成內容

隨著人工智能的愈發(fā)成熟，機器替代人工回復消息甚至生產(chǎn)內容正在慢慢成為一種趨勢。比如前幾年開始在社交網(wǎng)絡上流行的各類 bot 就屬于該類，各類服務中的自動客服回復和智能助手也可歸為該類。在《辦法》第二十四條規(guī)定，利用大數(shù)據(jù)和人工智能合成的新聞、博文、帖子、評論等信息，應以明顯方式表明“合成”字樣。

· 設立“數(shù)據(jù)安全負責人”職位

《辦法》中也要求網(wǎng)絡運營方要有“數(shù)據(jù)安全負責人”職位，這個職位要求有數(shù)據(jù)安全專業(yè)知識的人員擔任，專員需要參與有關數(shù)據(jù)活動的重要決策，且運營方要保證這個職位“獨立履行職責”。

· 對已有數(shù)據(jù)的保護

《辦法》第三章規(guī)定，如運營方被兼并或破產(chǎn)，所擁有的數(shù)據(jù)要么交接要么刪除，不得保留；個人信息泄露、毀損、丟失等數(shù)據(jù)安全事件，或者發(fā)生數(shù)據(jù)安全事件風險明顯加大時，網(wǎng)絡運營者應當立即采取補救措施，及時告知用戶并向網(wǎng)信部門報告。

網(wǎng)絡運營者在用戶注銷賬號后應當及時刪除其個人信息，保存?zhèn)€人信息也不應超出收集使用規(guī)則中的保存期限，繼要求運營方“只收集最必要的，有期限的保留，且當用戶要求平臺方刪除或離開平臺后，運營方要主動刪除用戶數(shù)據(jù)?！?

· 強制“溯源”

《辦法》中還規(guī)定“對于用戶通過社交網(wǎng)絡轉發(fā)他人制作的信息，應自動標注信息制作者在該社交網(wǎng)絡上的賬戶或不可更改的用戶標識?！睋Q言之，這是一種強制“溯源”，新浪微博在最新版本更新中加入了標注“博主”的功能，可以在評論區(qū)中明顯辨認出“原博”。但該條例規(guī)定的則是在社交網(wǎng)絡中常見的“轉發(fā)鏈條”里，無論多少人轉發(fā)，社交網(wǎng)絡平臺需要對“原博”作出不可更改的標注。此規(guī)定的前提，是網(wǎng)絡運營者要督促提醒用戶對自己的網(wǎng)絡行為負責、加強自律。

在“大數(shù)據(jù)殺熟”、個人信息被販賣、私密信息被盜用或流傳、注銷刪除賬號難、商業(yè)廣告和新聞推送霸屏的當下，《辦法》對網(wǎng)絡運營方作出了諸多規(guī)定，并且將執(zhí)法部門從中央下發(fā)至“地（市）及以上網(wǎng)信部門”，這將使執(zhí)法難度下降，用戶更易維權，這無疑是數(shù)據(jù)保護上的提升。但另一方面，《辦法》中許多條例的模糊性也容易使得網(wǎng)絡運營方明確知曉自己的義務，但個人用戶卻不知自己有何權利。同時，對網(wǎng)絡運營方數(shù)據(jù)管理的要求也是雙向的，一方面?zhèn)€人用戶將更“被動地”保護自己數(shù)據(jù)，另一方面，政府也更“主動地”對運營方提出了數(shù)據(jù)審查要求。

變化內容

《辦法》是中國版 GDPR 嗎？

雖說《辦法》有望成為中國首個圍繞網(wǎng)絡安全和數(shù)據(jù)管理落實的規(guī)章，從內容上也是政府站在用戶角度，對網(wǎng)絡運營方就用戶數(shù)據(jù)作出收集、處理、刪除等各個環(huán)節(jié)的要求。

《辦法》發(fā)布之后難免被拿來與 GDPR 相比。兩者相同之處頗多。

兩部法案都提到了數(shù)據(jù)保護官類似崗位的設置；數(shù)據(jù)在泄露后，運營方告知用戶的職責；也對國際間數(shù)據(jù)轉移作出了要求，GDPR 僅允許數(shù)據(jù)控制者將數(shù)據(jù)轉移到歐洲經(jīng)濟區(qū)EEA以外的、當?shù)胤梢驯粴W盟批準為充分保護的國家或地區(qū)，中國并未在此名單中，GDPR 的目的更傾向于“把數(shù)據(jù)放在有法律監(jiān)管的地區(qū)”，換言之，你不能把 GDPR 范圍區(qū)的數(shù)據(jù)轉移到非范圍區(qū)的地方，然后再故技重施濫用數(shù)據(jù)。

又比如，對企業(yè)不能再使用難以理解的冗長語言來讓用戶簽訂隱私政策；用戶對自己數(shù)據(jù)的“被遺忘權”，在主動提出刪除賬戶后，運營方對過往數(shù)據(jù)不再有保留權等。

還有一些問題，GDPR 和《辦法》有共同認識，但實施做法和思路不盡相同。

《辦法》對境內境外數(shù)據(jù)流通做出要求的目的就不同于 GDPR?！掇k法》要求網(wǎng)絡運營者發(fā)布、共享、交易或向境外提供重要數(shù)據(jù)前，應當評估可能帶來的安全風險，并報經(jīng)行業(yè)主管監(jiān)管部門同意；境內用戶訪問境內互聯(lián)網(wǎng)的，其流量不得被路由到境外。此規(guī)定是為了防止?jié)撛诘牧髁拷俪帧?

另一方面，橫向對比兩部法案，GDPR 比《辦法》會更細致一些，GDPR 是站在用戶一方，對數(shù)據(jù)收集方提出了在當下的“數(shù)據(jù)隱私權”以及維護這一權利所建立起的法律保護框架。而《辦法》則更多地是針對數(shù)據(jù)的提供者和使用者要如何對待數(shù)據(jù)。

從兩部法案的保護主體個人用戶的角度來看，GDPR給予了個人用戶對其數(shù)據(jù)更大的控制權，并明確了這些權利，而《辦法》則更強調給予用戶“知情權”，運營方像是在被《辦法》推著走，而非被用戶監(jiān)管和維權。在個人敏感數(shù)據(jù)方面，GDPR 給出了七類可視為個人敏感數(shù)據(jù)的數(shù)據(jù)類型，從種族民族性取向到個人生物識別技術和基因數(shù)據(jù)都在這個范圍內，《辦法》中則并未詳細展開“個人信息”的覆蓋數(shù)據(jù)類型。而用戶，也就是 GDPR 中所提到的“數(shù)據(jù)主體”，GDPR 中用了三個章節(jié)詳細闡述了數(shù)據(jù)主體對數(shù)據(jù)的知情權、訪問權、更正權和可攜權、刪除權、限制處理權、反對權和自動化個人決策相關權利。這些權利在《辦法》中不難找到對應的法規(guī)，但個人用戶到底對自己的數(shù)據(jù)有哪些權利，這是在《辦法》中并未明晰的。

在 GDPR 中，還用了大量的篇幅來傳遞一個概念：“意愿”。GDPR 要求用戶要在意愿自由、不存在被脅迫或欺詐、知情權明確、運營方提供給用戶的信息明確到用戶都不能輕易忽略……諸多前提條件后，用戶按下的“同意協(xié)議”才是真的“同意”，才會真正從法律層面讓協(xié)約生效。這個同意不能有任何不明確的空間，只要用戶還對協(xié)議有合理的懷疑，就判定用戶的意愿不明確。

而后 GDPR 還就“同意意愿”分為了兒童對同意的判斷、有效同意的要件、同意的法律框架等做了更詳細的要求和闡述。用戶意愿是 GDPR 中的一個高頻詞，而在《辦法》中，更多出現(xiàn)的則是“要求運營方”。

盡管在《辦法》最后規(guī)定，若網(wǎng)絡運營者違反《辦法》，將面臨公開曝光、沒收違法所得、暫停相關業(yè)務、停業(yè)整頓、關閉網(wǎng)站、吊銷相關業(yè)務許可證或吊銷營業(yè)執(zhí)照等處罰；構成犯罪的，依法追究刑事責任。但用戶通過何種途徑可以得知平臺濫用數(shù)據(jù)，得知后如何投訴舉報立案，對運營方的懲罰措施和力度等細節(jié)都并未在《辦法》中得到具體說明。

無論《辦法》如何落地，至少表達了一個信號：運營者必須重視數(shù)據(jù)安全和用戶個人隱私管理。對用戶來說，也不是有了法規(guī)就萬事大吉。保護個人數(shù)據(jù)隱私，無論對于個人、企業(yè)還是政府，仍舊是一個漫長且艱巨的博弈過程。