查看原文
其他

第十三期DPO沙龙纪实:厘清《数据安全管理办法》中的重点条款

The following article comes from 隐私护卫队 Author 隐私护卫队

6月14日,第十三期数据保护官(DPO)沙龙在京举行。本次DPO沙龙由北京中盾安信科技发展有限公司提供场地和会务支持,主题是国家互联网信息办公室近期发布并公开征求意见的《数据安全管理办法(征求意见稿)》(下称《办法》)。来自互联网企业、安全公司、律师事务所等数据安全一线的工作者围绕《办法》展开了热烈的探讨。



提供停止推送选项和删除用户数据能有效规范定向推送吗?


南都记者了解到,《办法》适用于在中国境内利用网络开展数据收集、存储、传输、处理、使用等数据活动,以及数据安全的保护和监督管理(纯粹家庭和个人事务除外)。有专家表示,一旦通过,《办法》或将成为首个从国家层面针对数据安全管理的综合性部门规章。


值得注意的是,“个人信息”是《办法》的重要管理对象之一。因此,《办法》的不少条款都与人们的日常生活息息相关,比如让越来越多用户恐慌的精准广告,以及越来越同质的新闻推送。


《办法》第二十三条第一款就针对定向推送机制做了较为严格的规定:


网络运营者利用用户数据和算法推送新闻信息、商业广告等(以下简称“定向推送”),应当以明显方式标明“定推”字样,为用户提供停止接收定向推送信息的功能;用户选择停止接收定向推送信息时,应当停止推送,并删除已经收集的设备识别码等用户数据和个人信息。


也就是说,企业必须设法让用户了解哪些新闻和广告是基于他的个人数据定向推送的,并且赋予其选择权;一旦用户拒绝,除了停止推送,还要删除此前收集的与其相关的数据。


针对该条文,多位来自头部互联网企业的法务一致认为,应该对新闻信息和商业广告进行区分管制。


“新闻信息和商业广告的基础逻辑是不一样的”,某企业法务指出,很多广告是基于用户的IP地址推送的,如果取消定向推送,可能会出现向北京用户推送成都火锅店广告的情况,既损害广告商和平台的商业利益,对用户来说也没有意义。


而在新闻资讯行业,企业的做法通常是根据用户反馈调整算法模型。来自一线新闻资讯类企业的DPO社群成员认为,他们真正应该做的是赋予用户去发现和控制管理自己的接收信息的能力,而不是单纯地退出或关闭机器的自动化决策。


也有参会者从用户体验的角度提出,定向推送应该是一个可供选择的功能,也许有的用户想接受30%定向推送,70%全网推送,而不是完全关闭。


不过,也有人提出疑问:在已经提供停止定向推送选项的情况下,还有必要删除用户数据吗?


不建议删除的观点认为,如果用户选择拒绝定向推送,企业可以不再利用其个人信息向他推送,但是相关的用户数据是企业的积累,也不排除用户将来可能还会重新选择接受定向推送,“都删掉的话,我怎么给你未来还可能想要的精准推荐?”


但也有DPO社群成员表示,添加停止定向推送功能之后,就会促进企业去做精细化运营,比如把新闻栏目分为基于用户数据的“猜你喜欢”和与定向推送无关的“热点推送”,这样其实已经达到保护用户权利的目的了,不一定需要强制标上“定推”这两个字。


DPO社群发起人、北京大学法治与发展研究院高级研究员洪延青总结说,目前的《办法》相当于就定向推送的问题在事前、事中、事后都进行了规管,是否三个环节都需要管控?并且每个环节规范的力度和方式都或许可以再做些精细化的平衡。


数据安全事件中,网络运营者和第三方应用的责任应如何划分?


除了定向推送的新闻和广告容易给用户带来困扰之外,App和其接入的第三方应用(例如各种小程序,或者是App中嵌入的第三方SDK)过度收集或非法收集个人信息的现象也受到越来越多关注。


以第三方SDK为例,SDK是集成在App里,由不同公司开发的软件工具包。在App开发过程中很多企业都希望尽可能多地尝试各种各样的SDK,有的用于分析,有的用于推广,然后从中选择效果最好的那一个。


但另一方面,国内外均存在APP中的SDK直接向其开发公司传输用户数据的情况,但是这些第三方数据公司没有一个直接征得用户同意的渠道,而他们是否合法地使用这些信息就更难以监测了。


对此,《办法》第三十条规定,


网络运营者对接入其平台的第三方应用,应明确数据安全要求和责任,督促监督第三方应用运营者加强数据安全管理。第三方应用发生数据安全事件对用户造成损失的,网络运营者应当承担部分或全部责任,除非网络运营者能够证明无过错。


参会的一位律师提到,网络运营者既然接入了这么多的SDK,肯定会对用户数据的收集有影响,自然应该对用户负有一定责任。


因此,网络运营者首先应该审慎地选择在用户隐私保护方面做得比较好的第三方企业,其次应当通过合同的形式约定双方应分别遵守的安全管理要求和责任,另外还应明确告知个人信息主体。


然而,在如何划分责任,以及如何证明“无过错”的问题上,企业却面临着不少难题。


“这里的‘无过错’特别模糊,我要尽职到什么程度才算是‘无过错’?” 一位网约车行业的法务说,像是安全保护措施、安全保护人员这些安全能力,往往都是第三方公司的商业秘密,不太可能告诉它的合作方。 


她建议,如果平台做到了第三方品牌露出,用户也自主签署同意了第三方的服务协议和隐私政策,平台就达到了尽职免责的标准,不应承担责任;除此之外,平台应该承担相应责任。


而对于上述条文中的“责任”,多位DPO社群成员提出,目前不清楚该责任是指民事责任,还是网络安全责任。


本次沙龙还就《办法》中的其他条文进行了讨论。据悉,DPO社群将提出《办法》的修改稿和修改理由,提交给中央网信办。




关于DPO沙龙活动的有关情况,请见:


DPO社群成果

  1. 印度《2018个人数据保护法(草案)》全文翻译(中英对照版)(DPO沙龙出品)

  2. 巴西《通用数据保护法》全文中文翻译(DPO沙龙出品)

  3. 美国联邦隐私立法重要文件编译第一辑(DPO沙龙出品)

  4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译(DPO沙龙出品)

  5. 第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)

  6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)

  7. 第29条工作组《第2/2017号关于工作中数据处理的意见》(DPO沙龙出品)

  8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译(DPO沙龙出品)

  9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》(DPO沙龙出品)

  10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

  11. 第29条工作组《数据可携权指南》全文翻译(DPO沙龙出品)

  12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制(DPO沙龙出品)

  13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况(DPO沙龙出品)

  14. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译(DPO沙龙出品)

  15. 第29条工作组关于GDPR《透明度准则的指引》全文翻译(DPO沙龙出品)

  16. “108号公约”全文翻译(DPO沙龙出品)

  17. 美国司法部“云法案”白皮书全文翻译(DPO社群出品)

  18. EDPB关于GDPR中合同必要性指引的中文翻译(DPO沙龙出品)

  19. 新加坡《防止网络虚假信息和网络操纵法案》中文翻译(DPO沙龙出品)


线下沙龙实录见:

  1. 数据保护官(DPO)沙龙第一期纪实

  2. 第二期数据保护官沙龙纪实:个人信息安全影响评估指南 

  3. 第三期数据保护官沙龙纪实:数据出境安全评估

  4. 第四期数据保护官沙龙纪实:网络爬虫的法律规制

  5. 第四期数据保护官沙龙纪实之二:当爬虫遇上法律会有什么风险

  6. 第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论

  7. 数据保护官(DPO)沙龙走进燕园系列活动第一期

  8. 第六期数据保护官沙龙纪实:2018年隐私条款评审工作

  9. 第八期数据保护官沙龙纪实:重点行业数据、隐私及网络安全

  10. 第十期数据保护官沙龙纪实:数据融合可给企业赋能,但不能不问西东

  11. 第十一期数据保护官沙龙纪实:企业如何看住自家的数据资产?这里有份权威的安全指南

  12. 第十二期数据保护官纪实:金融数据保护,须平衡个人隐私与公共利益


线上沙龙见:

  1. DPO社群对数据堂事件的精彩点评

  2. DPO社群线上讨论第二期:“出售 & 提供” 个人信息之法律与实务对话

  3. 用户授权第三方获取自己在平台的数据,可以吗?不可以吗?(DPO沙龙线上讨论第三期)


时评见:

  1. 数据安全事件时评第一期

  2. 数据安全事件时评第二期

  3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目:数据可移植性的开源计划

  4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

  5. 【时事七】美国通过《NIST小企业网络安全法》

  6. 【时事八】国际数据流动:欧盟委员会启动对日本的充分性决定流程

  7. 【时评九】加州IoT设备网络安全法对物联网法律之影响(附法案翻译)

  8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

  9. 【时评十一】社交网络平台,需要多点爱还是多点管?

  10. 日本拟效仿德国:对IT巨头非法收集个人信息适用“反垄断法”

  11. 扎克伯格最新愿景:将Facebook打造成“关注隐私的社交网络“

  12. 德国最高数据保护官员就美国“云法案”提出警告


DPO社群成员观点

  1. 个人信息委托处理是否需要个人授权?(DPO社群成员观点)

  2. 企业如何告知与保护用户的个人信息主体权利(DPO社群成员观点)

  3. GDPR“首张”执行通知盯上AlQ公司的前期后后(DPO社群成员观点)

  4. 隐私条款撰写调研报告(DPO社群成员观点)

  5. 我看到的数据安全(DPO社群成员观点)

  6. 数据爬取的法律风险综述(DPO社群成员观点)

  7. 银行业金融数据出境的监管框架与脉络(DPO社群成员观点)

  8. 解析公安机关《互联网个人信息安全保护指引(征求意见稿)》(DPO社群成员观点)

  9. 详解GDPR向Google亮剑缘由(DPO社群成员观点)

  10. 从生产安全体系视角看数据安全(DPO社群成员观点)

  11. 从Android Q看安卓系统的授权机制的三次重大演进(DPO社群成员观点)

  12. APP安全认证公告和实施规则解读:治理思路的创新与多样化(DPO社群成员观点)

  13. 从数据融合角度分析CNIL处罚谷歌案(DPO社群成员观点)

  14. 历史和国际比较视角DPO法律制度探源(DPO社群成员观点)

  15. 谷歌数据融合合规之路:从欧盟监管机构调查与处罚来看——上篇(DPO社群成员观点)

  16. 数据保护官岗位角色技术能力分析(DPO社群成员观点)

  17. 中国企业境外投资中儿童个人信息保护(DPO社群成员观点)

  18. 企业上市过程面临的数据合规问题和相关风险:境内篇(DPO社群成员观点)

  19. 企业上市过程面临的数据合规问题和相关风险:境外篇(DPO社群成员观点)

  20. 数据保护岗位需求与能力发展(DPO社群成员观点)

  21. DPO互助平台对企业数据治理实务的指导(DPO社群成员观点)

  22. 对网络安全负责人岗位的思考(DPO社群成员观点)

  23. 结合良好实践,细说APP自评估指南之一(DPO社群成员观点)

  24. 《个人信息安全规范》的效力与功能

  25. 结合良好实践,细说APP自评估指南之二(DPO社群成员观点)

  26. 《网络安全法》中数据出境安全评估真的那么“另类”吗

  27. 实施已满三月,区块链新规“回头看”(DPO社群成员观点)

  28. 从“布拉格提案”看美国政府的策略

  29. 《欧盟GDPR合规指引》前言:从一个损毁的雕像说起

  30. 对《网络安全审查办法(征求意见稿)》的几点观察

  31. 使命与界限:近期个人信息和数据安全新规的一些思考(DPO社群成员观点)

  32. 解析《个人信息出境安全评估办法(征求意见稿)》实体保护规则背后的主要思路

  33. “惟危惟微,允执厥中”:对《数据安全管理办法》中“定向推送”部分的思考

  34. 《儿童个人信息网络保护规定(征求意见稿)》评析:与美国COPPA对比的视角


    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存