新京報：給《數據安全管理辦法》的幾點建議

互聯網治理的基本原則是多方共治，在個人信息保護和數據安全保障方面，應充分重視并調動網絡運營者行業組織的作用。

近日，國家互聯網信息辦公室會同相關部門研究起草了《數據安全管理辦法（征求意見稿）》（以下簡稱《征求意見稿》），正在向社會公開征求意見。

《征求意見稿》在《中華人民共和國網絡安全法》基礎上，覆蓋數據全生命周期，系統地規定了網絡運營者數據收集、數據處理使用、數據安全監督管理等方面的要求，就大眾關心的廣告精準推送、APP過度索權、賬戶注銷難、自動化洗稿、算法歧視等問題作出了明確規定，具有明顯的進步意義。但是該《征求意見稿》仍有一些問題值得繼續探討。

數據安全立法應秉持總體國家安全觀

《中華人民共和國國家安全法》指出，國家安全工作應當堅持總體國家安全觀，以人民安全為宗旨，以政治安全為根本，以經濟安全為基礎，以軍事、文化、社會安全為保障，以促進國際安全為依托，維護各領域國家安全，構建國家安全體系，走中國特色國家安全道路。

2019年5月26日，習近平總書記在中國國際大數據產業博覽會強調，要切實保障國家數據安全。要加強關鍵信息基礎設施安全保護，強化國家關鍵數據資源保護能力，增強數據安全預警和溯源能力。而“數據安全”本身就是“國家安全”的重要組成部分。《中華人民共和國網絡安全法》對網絡安全的規定是踐行《中華人民共和國國家安全法》規定的國家安全觀。

因此，《征求意見稿》第一條“根據《中華人民共和國網絡安全法》等法律法規，制定本辦法”，有不妥之處，此處應表述為根據《中華人民共和國國家安全法》《中華人民共和國網絡安全法》。

關于主體的表達應與《民法總則》保持一致

《征求意見稿》第一條規定“為了維護國家安全、社會公共利益，保護公民、法人和其他組織在網絡空間的合法權益，保障個人信息和重要數據安全，根據《中華人民共和國網絡安全法》等法律法規，制定本辦法”。

其中，關于主體的表達應與《民法總則》保持一致，即將“公民、法人和其他組織”修改為“自然人、法人和非法人組織”。附則部分對“個人信息主體”進行界定時，提到“是指個人信息所標識或關聯到的自然人”，因此，從立法語言嚴謹性的角度應保持一致，采用“自然人”而非“公民”的表達。

在網絡運營者收集個人信息的條件上，設置例外條款

《征求意見稿》第九條規定：“如果收集使用規則包含在隱私政策中，應相對集中，明顯提示，以方便閱讀。另僅當用戶知悉收集使用規則并明確同意后，網絡運營者方可收集個人信息”。此處在網絡運營者對個人信息收集上，設置的條件為“僅當用戶知悉收集使用規則并明確同意”，即“知悉并同意”是網絡運營者收集個人信息的充分必要條件。

但是，在《征求意見稿》第二十七條規定：“網絡運營者向他人提供個人信息前，應當評估可能帶來的安全風險，并征得個人信息主體同意。”同時，列出了五項例外情況。

根據對條文的文義解釋，網絡運營者向他人提供的個人信息并在特殊情形下可以不需要征得信息主體同意。由此可見，《征求意見稿》對網絡運營者收集個人信息設置的條件缺乏彈性。可以借鑒《一般數據保護條例（GDPR）》，規定除了用戶同意外，網絡經營者還可以基于用戶的重大利益考慮、雙方簽訂合同、為履行法定義務等其他條件收集用戶信息。

網絡運營者向用戶定向推送廣告的，應遵守《中華人民共和國廣告法》有關規定

《征求意見稿》第二十三條規定：“網絡運營者利用用戶數據和算法推送新聞信息、商業廣告等，應當以明顯方式標明‘定推’字樣，為用戶提供停止接收定向推送信息的功能；用戶選擇停止接收定向推送信息時，應當停止推送，并刪除已經收集的設備識別碼等用戶數據和個人信息。網絡運營者開展定向推送活動應遵守法律、行政法規，尊重社會公德、商業道德、公序良俗，誠實守信，嚴禁歧視、欺詐等行為”。

本條主要沿用了《個人信息安全規范（征求意見稿）》第7.4條關于個性化展示及退出的相關規定，明確了“定向推送”的內涵，進一步規定了定向推送不得違反公序良俗等規定，應在明顯地方顯示“定推”字樣時，還應附有停止推送的功能，具有重要意義。

就定向推送問題，既然該條文區分了新聞信息、商業廣告，可以在條文最后一款強調“網絡運營者向用戶發送廣告的，應當遵守《中華人民共和國廣告法》的有關規定”，以更好地保障用戶的知情權和選擇權。

平衡多方利益，妥善規定網絡運營者責任

《征求意見稿》第三十條規定：“網絡運營者對接入其平臺的第三方應用，應明確數據安全要求和責任，督促監督第三方應用運營者加強數據安全管理。第三方應用發生數據安全事件對用戶造成損失的，網絡運營者應當承擔部分或全部責任，除非網絡運營者能夠證明無過錯”。

網絡運營者對于接入其平臺的第三方應用負有資質資格的審核義務和對于用戶的安全保障義務等義務，因此，當第三方應用發生數據安全事件并對用戶造成損失的，網絡運營者理應承擔責任。但是，為平衡網絡運營者、第三方應用、用戶等多方利益，同時考慮到網絡運營者所涉領域廣、種類多，所涉及的第三方應用運營者情況比較復雜，需要具體情況具體分析。

建議根據不同情況，具體認定網絡運營者所應承擔的法律責任。結合《侵權責任法》第三十六條第三款、《侵權責任法》第三十七條、《消費者權益保護法》第四十四條第二款、《電子商務法》第三十八條等規定，可以修改為“網絡運營者應當承擔相應責任”。“相應責任”從民事責任來看，可以包括連帶責任、補充責任、按份責任等多種類型。

互聯網治理的基本原則是多方共治，在個人信息保護和數據安全保障方面，應充分重視并調動網絡運營者行業組織的作用。網絡運營者行業組織應當履行行業自律職責，在個人信息保護和數據安全保障上制定行業標準或者規范，并予以監督落實。

□孫瑩（法律學者）