DPO沙龙纪实：厘清《数据安全管理办法》中的重要条款

Original: 隐私护卫队隐私护卫队 2019-07-05

6月14日，第十三期数据保护官（DPO）沙龙在京举行，主题是国家互联网信息办公室近期发布并公开征求意见的《数据安全管理办法（征求意见稿）》（下称《办法》）。来自互联网企业、安全公司、律师事务所等数据安全一线的工作者围绕《办法》展开了热烈的探讨。

提供停止推送选项和删除用户数据能有效规范定向推送吗？

南都记者了解到，《办法》适用于在中国境内利用网络开展数据收集、存储、传输、处理、使用等数据活动，以及数据安全的保护和监督管理（纯粹家庭和个人事务除外）。有专家表示，一旦通过，《办法》或将成为首个从国家层面针对数据安全管理的综合性部门规章。

值得注意的是，“个人信息”是《办法》的重要管理对象之一。因此，《办法》的不少条款都与人们的日常生活息息相关，比如让越来越多用户恐慌的精准广告，以及越来越同质的新闻推送。

《办法》第二十三条第一款就针对定向推送机制做了较为严格的规定：

网络运营者利用用户数据和算法推送新闻信息、商业广告等（以下简称“定向推送”），应当以明显方式标明“定推”字样，为用户提供停止接收定向推送信息的功能；用户选择停止接收定向推送信息时，应当停止推送，并删除已经收集的设备识别码等用户数据和个人信息。

也就是说，企业必须设法让用户了解哪些新闻和广告是基于他的个人数据定向推送的，并且赋予其选择权；一旦用户拒绝，除了停止推送，还要删除此前收集的与其相关的数据。

针对该条文，多位来自头部互联网企业的法务一致认为，应该对新闻信息和商业广告进行区分管制。

“新闻信息和商业广告的基础逻辑是不一样的”，某企业法务指出，很多广告是基于用户的IP地址推送的，如果取消定向推送，可能会出现向北京用户推送成都火锅店广告的情况，既损害广告商和平台的商业利益，对用户来说也没有意义。

而在新闻资讯行业，企业的做法通常是根据用户反馈调整算法模型。来自一线新闻资讯类企业的DPO社群成员认为，他们真正应该做的是赋予用户去发现和控制管理自己的接收信息的能力，而不是单纯地退出或关闭机器的自动化决策。

也有参会者从用户体验的角度提出，定向推送应该是一个可供选择的功能，也许有的用户想接受30%定向推送，70%全网推送，而不是完全关闭。

不过，也有人提出疑问：在已经提供停止定向推送选项的情况下，还有必要删除用户数据吗？

不建议删除的观点认为，如果用户选择拒绝定向推送，企业可以不再利用其个人信息向他推送，但是相关的用户数据是企业的积累，也不排除用户将来可能还会重新选择接受定向推送，“都删掉的话，我怎么给你未来还可能想要的精准推荐？”

但也有DPO社群成员表示，添加停止定向推送功能之后，就会促进企业去做精细化运营，比如把新闻栏目分为基于用户数据的“猜你喜欢”和与定向推送无关的“热点推送”，这样其实已经达到保护用户权利的目的了，不一定需要强制标上“定推”这两个字。

DPO社群发起人、北京大学法治与发展研究院高级研究员洪延青总结说，目前的《办法》相当于就定向推送的问题在事前、事中、事后都进行了规管，是否三个环节都需要管控？并且每个环节规范的力度和方式都或许可以再做些精细化的平衡。

数据安全事件中，网络运营者和第三方应用的责任应如何划分？

除了定向推送的新闻和广告容易给用户带来困扰之外，App和其接入的第三方应用（例如各种小程序，或者是App中嵌入的第三方SDK）过度收集或非法收集个人信息的现象也受到越来越多关注。

以第三方SDK为例，SDK是集成在App里，由不同公司开发的软件工具包。在App开发过程中很多企业都希望尽可能多地尝试各种各样的SDK，有的用于分析，有的用于推广，然后从中选择效果最好的那一个。

但另一方面，国内外均存在APP中的SDK直接向其开发公司传输用户数据的情况，但是这些第三方数据公司没有一个直接征得用户同意的渠道，而他们是否合法地使用这些信息就更难以监测了。

对此，《办法》第三十条规定，

网络运营者对接入其平台的第三方应用，应明确数据安全要求和责任，督促监督第三方应用运营者加强数据安全管理。第三方应用发生数据安全事件对用户造成损失的，网络运营者应当承担部分或全部责任，除非网络运营者能够证明无过错。

参会的一位律师提到，网络运营者既然接入了这么多的SDK，肯定会对用户数据的收集有影响，自然应该对用户负有一定责任。

因此，网络运营者首先应该审慎地选择在用户隐私保护方面做得比较好的第三方企业，其次应当通过合同的形式约定双方应分别遵守的安全管理要求和责任，另外还应明确告知个人信息主体。

然而，在如何划分责任，以及如何证明“无过错”的问题上，企业却面临着不少难题。

“这里的‘无过错’特别模糊，我要尽职到什么程度才算是‘无过错’？” 一位网约车行业的法务说，像是安全保护措施、安全保护人员这些安全能力，往往都是第三方公司的商业秘密，不太可能告诉它的合作方。

她建议，如果平台做到了第三方品牌露出，用户也自主签署同意了第三方的服务协议和隐私政策，平台就达到了尽职免责的标准，不应承担责任；除此之外，平台应该承担相应责任。

而对于上述条文中的“责任”，多位DPO社群成员提出，目前不清楚该责任是指民事责任，还是网络安全责任。

本次沙龙还就《办法》中的其他条文进行了讨论。据悉，DPO社群将提出《办法》的修改稿和修改理由，提交给中央网信办。

采写：南都记者蒋琳

视频：娜迪娅潘颖欣

报料请点击