🔥 热搜 🔥
1123456起源 解读 龚1'"冬川豆▂ ⊙ 女妈 分享 回@六镇wechat.com百度
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
1123456起源 解读 龚1'"冬川豆▂ ⊙ 女妈 分享 回@六镇wechat.com百度
分类
社会娱乐国际人权科技经济其它
查看原文
其他

《数据安全管理办法》的监管诉求及文本改进建议:DPO社群的现场讨论

洪延青 网安寻路人 2020-02-26

对近期公开征求意见的《数据安全管理办法》,数据保护官(DPO)社群于6月14日举办了一次沙龙集中讨论。现场讨论的具体情况,见第十三期DPO沙龙纪实:厘清《数据安全管理办法》中的重点条款


以下是DPO社群在现场讨论中的部分认识:


针对《数据安全管理办法》,我们理解监管部门制定该办法的初衷,在于保护作为“国家基础性战略资源”的数据。在中央政府看来,数据的重要性,实际上高于土地、草原、稀土等“战略资源”。总书记也曾专门提出:强化国家关键数据资源保护能力。



目前,对于数据安全最权威、完整的法律规定,来自于《网络安全法》。《网络安全法》对数据安全提出了三个层次的要求。



但《网络安全法》的规定过于原则,在某些方面也不甚完整,突出体现:



从这个角度来说,《数据安全管理办法》沿着《网络安全法》建立的三个层次,分别进行细化和增强:




此外,《数据安全管理办法》还针对时下非常突出的数据滥用问题(“新”数据安全问题),作出了非常有针对性的规定:




DPO社群非常认可监管部门完善数据安全管理框架和规则体系的努力。对一线从事数据安全保护工作的人员来说,《数据安全管理办法》,特别是其中关于“数据安全管理负责人”的相关规定,意味着更明确的监管要求、内部工作中更有力的抓手。同时DPO社群认识到,《数据安全管理办法》中提出的监管要求源自于政府部门实际碰见的突出问题,从中央到相关主管部门均已下定决心拿出解决方案。在此前提下,从平衡产业发展和增强《数据安全管理办法》可操作性和可落地性的角度,参与此次沙龙的DPO社群成员着重对办法中部分条文展开深入讨论。


以下是公号君本人在综合社群成员意见和建议的基础上,总结提出的修改建议,不代表任何组织的官方立场,仅供各界参考:


原文:

修改建议:

第十一条  


网络运营者不得以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息。

第十一条


网络运营者不以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息。


不得以改善服务质量、提升用户体验、研发新产品为单独的目的而收集个人信息。


原文:

修改建议:

第二十三条  


网络运营者利用用户数据和算法推送新闻信息、商业广告等(以下简称“定向推送”),应当以明显方式标明“定推”字样,为用户提供停止接收定向推送信息的功能;用户选择停止接收定向推送信息时,应当停止推送,并删除已经收集的设备识别码等用户数据和个人信息。

第二十三条


网络运营者利用用户个人信息和算法推送新闻信息、商业广告等(以下简称“定向推送”),应当以明显方式提示用户,同时为用户提供调控定向推送与其兴趣爱好、消费习惯相关程度的功能,或为用户提供不基于其个人信息的信息推送功能。


原文:

修改建议:

第二十四条  


网络运营者利用大数据、人工智能等技术自动合成新闻、博文、帖子、评论等信息,应以明显方式标明“合成”字样;不得以谋取利益或损害他人利益为目的自动合成信息。

第二十四条


网络运营者利用大数据、人工智能等技术自动合成新闻、博文、帖子、评论等信息,应当以明显方式注明,并与其他内容区分;不得以谋取非法利益或损害他人利益为目的自动合成信息。


原文:

建议删除,或修改为以下表述:

第二十五条  


网络运营者应采取措施督促提醒用户对自己的网络行为负责、加强自律,对于用户通过社交网络转发他人制作的信息,应自动标注信息制作者在该社交网络上的账户或不可更改的用户标识。

第二十五条


社交网络运营者应当采取措施确保个人通信秘密和安全。对于用户在社交网络上选择公开发布的原创或首发信息,社交网络运营者应当采取措施自动添加用户的账户标识。


原文:

修改建议:

第三十条  


网络运营者对接入其平台的第三方应用,应明确数据安全要求和责任,督促监督第三方应用运营者加强数据安全管理。第三方应用发生数据安全事件对用户造成损失的,网络运营者应当承担部分或全部责任,除非网络运营者能够证明无过错。

第三十条


网络运营者对接入其平台的第三方应用,应登记接入其平台的第三方应用服务提供者的真实身份、联系方式等信息,通过合同明确约定数据安全要求和责任,并督促监督第三方应用运营者加强数据安全管理。


由于网络运营者未采取上述必要措施而导致第三方应用发生数据安全事件对用户造成损失的,网络运营者应当承担网络安全责任。


原文:

修改建议:

第三十六条  


国务院有关主管部门为履行维护国家安全、社会管理、经济调控等职责需要,依照法律、行政法规的规定,要求网络运营者提供掌握的相关数据的,网络运营者应当予以提供。


国务院有关主管部门对网络运营者提供的数据负有安全保护责任,不得用于与履行职责无关的用途。

第三十六条


国务院有关主管部门为履行维护国家安全、社会管理等职责需要,要求网络运营者提供掌握的且与法定职责密切相关数据的,应依照法律、行政法规的规定。


国务院有关主管部门对网络运营者提供的数据负有安全保护责任,不得用于与履行职责无关的用途。



以上仅反映了DPO沙龙现场讨论的部分内容,同时限于篇幅原因,公号君没有提供修改背后的理由。6月28日,DPO沙龙还将针对《个人信息出境安全评估办法(征求意见稿)》展开讨论,并形成修改建议,详情见【数据保护官(DPO)沙龙第十四期报名开始:形成《个人信息出境安全评估办法(征求意见稿)》的修订花脸稿】。



数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已经超过200人。关于DPO社群和沙龙更多的情况如下:


DPO社群成果

  1. 印度《2018个人数据保护法(草案)》全文翻译(中英对照版)(DPO沙龙出品)

  2. 巴西《通用数据保护法》全文中文翻译(DPO沙龙出品)

  3. 美国联邦隐私立法重要文件编译第一辑(DPO沙龙出品)

  4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译(DPO沙龙出品)

  5. 第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)

  6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)

  7. 第29条工作组《第2/2017号关于工作中数据处理的意见》(DPO沙龙出品)

  8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译(DPO沙龙出品)

  9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》(DPO沙龙出品)

  10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

  11. 第29条工作组《数据可携权指南》全文翻译(DPO沙龙出品)

  12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制(DPO沙龙出品)

  13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况(DPO沙龙出品)

  14. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译(DPO沙龙出品)

  15. 第29条工作组关于GDPR《透明度准则的指引》全文翻译(DPO沙龙出品)

  16. “108号公约”全文翻译(DPO沙龙出品)

  17. 美国司法部“云法案”白皮书全文翻译(DPO社群出品)

  18. EDPB关于GDPR中合同必要性指引的中文翻译(DPO沙龙出品)

  19. 新加坡《防止网络虚假信息和网络操纵法案》中文翻译(DPO沙龙出品)


线下沙龙实录见:

  1. 数据保护官(DPO)沙龙第一期纪实

  2. 第二期数据保护官沙龙纪实:个人信息安全影响评估指南 

  3. 第三期数据保护官沙龙纪实:数据出境安全评估

  4. 第四期数据保护官沙龙纪实:网络爬虫的法律规制

  5. 第四期数据保护官沙龙纪实之二:当爬虫遇上法律会有什么风险

  6. 第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论

  7. 数据保护官(DPO)沙龙走进燕园系列活动第一期

  8. 第六期数据保护官沙龙纪实:2018年隐私条款评审工作

  9. 第八期数据保护官沙龙纪实:重点行业数据、隐私及网络安全

  10. 第十期数据保护官沙龙纪实:数据融合可给企业赋能,但不能不问西东

  11. 第十一期数据保护官沙龙纪实:企业如何看住自家的数据资产?这里有份权威的安全指南

  12. 第十二期数据保护官纪实:金融数据保护,须平衡个人隐私与公共利益

  13. 第十三期DPO沙龙纪实:厘清《数据安全管理办法》中的重点条款


线上沙龙见:

  1. DPO社群对数据堂事件的精彩点评

  2. DPO社群线上讨论第二期:“出售 & 提供” 个人信息之法律与实务对话

  3. 用户授权第三方获取自己在平台的数据,可以吗?不可以吗?(DPO沙龙线上讨论第三期)


时评见:

  1. 数据安全事件时评第一期

  2. 数据安全事件时评第二期

  3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目:数据可移植性的开源计划

  4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

  5. 【时事七】美国通过《NIST小企业网络安全法》

  6. 【时事八】国际数据流动:欧盟委员会启动对日本的充分性决定流程

  7. 【时评九】加州IoT设备网络安全法对物联网法律之影响(附法案翻译)

  8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

  9. 【时评十一】社交网络平台,需要多点爱还是多点管?

  10. 日本拟效仿德国:对IT巨头非法收集个人信息适用“反垄断法”

  11. 扎克伯格最新愿景:将Facebook打造成“关注隐私的社交网络“

  12. 德国最高数据保护官员就美国“云法案”提出警告


DPO社群成员观点

  1. 个人信息委托处理是否需要个人授权?(DPO社群成员观点)

  2. 企业如何告知与保护用户的个人信息主体权利(DPO社群成员观点)

  3. GDPR“首张”执行通知盯上AlQ公司的前期后后(DPO社群成员观点)

  4. 隐私条款撰写调研报告(DPO社群成员观点)

  5. 我看到的数据安全(DPO社群成员观点)

  6. 数据爬取的法律风险综述(DPO社群成员观点)

  7. 银行业金融数据出境的监管框架与脉络(DPO社群成员观点)

  8. 解析公安机关《互联网个人信息安全保护指引(征求意见稿)》(DPO社群成员观点)

  9. 详解GDPR向Google亮剑缘由(DPO社群成员观点)

  10. 从生产安全体系视角看数据安全(DPO社群成员观点)

  11. 从Android Q看安卓系统的授权机制的三次重大演进(DPO社群成员观点)

  12. APP安全认证公告和实施规则解读:治理思路的创新与多样化(DPO社群成员观点)

  13. 从数据融合角度分析CNIL处罚谷歌案(DPO社群成员观点)

  14. 历史和国际比较视角DPO法律制度探源(DPO社群成员观点)

  15. 谷歌数据融合合规之路:从欧盟监管机构调查与处罚来看——上篇(DPO社群成员观点)

  16. 数据保护官岗位角色技术能力分析(DPO社群成员观点)

  17. 中国企业境外投资中儿童个人信息保护(DPO社群成员观点)

  18. 企业上市过程面临的数据合规问题和相关风险:境内篇(DPO社群成员观点)

  19. 企业上市过程面临的数据合规问题和相关风险:境外篇(DPO社群成员观点)

  20. 数据保护岗位需求与能力发展(DPO社群成员观点)

  21. DPO互助平台对企业数据治理实务的指导(DPO社群成员观点)

  22. 对网络安全负责人岗位的思考(DPO社群成员观点)

  23. 结合良好实践,细说APP自评估指南之一(DPO社群成员观点)

  24. 《个人信息安全规范》的效力与功能

  25. 结合良好实践,细说APP自评估指南之二(DPO社群成员观点)

  26. 《网络安全法》中数据出境安全评估真的那么“另类”吗

  27. 实施已满三月,区块链新规“回头看”(DPO社群成员观点)

  28. 从“布拉格提案”看美国政府的策略

  29. 《欧盟GDPR合规指引》前言:从一个损毁的雕像说起

  30. 对《网络安全审查办法(征求意见稿)》的几点观察

  31. 使命与界限:近期个人信息和数据安全新规的一些思考(DPO社群成员观点)

  32. 解析《个人信息出境安全评估办法(征求意见稿)》实体保护规则背后的主要思路

  33. “惟危惟微,允执厥中”:对《数据安全管理办法》中“定向推送”部分的思考

  34. 《儿童个人信息网络保护规定(征求意见稿)》评析:与美国COPPA对比的视角

  35. 网安法中的“范围”如何理解和落地:从头条案说起


    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存