【专栏】数据安全管理办法，将如何影响大数据行业？

我国的公民个人信息保护，太严苛了吗？

平日里与大数据行业、金融科技行业的朋友交流，大家普遍认为我国的法律对公民个人信息的保护十分严苛，尤其是祭出了刑法第253条之一侵犯公民个人信息罪。司法实践中，不少大数据企业主、从业人员因为不懂法，而误入刑事犯罪的领域，至今身陷囹圄。

然而，网络时代，信息海量，总不能所有的information都要经过被采集人的逐一、书面、明确同意。在移植欧盟对公民个人信息保护的相关法律体系的基础上，我们是否要考虑留出信息商业化的适当空间？值得思考。

咱们来看，正在广泛征求意见的数据安全办法，对于公民个人信息的“数据收集”，似乎有了些许松动。请注意，在第二章第七条中，明确指出“网络运营者通过网站、应用程序等产品收集使用个人信息，应当分别制定并公开收集使用规则。收集使用规则可以包含在网站、应用程序等产品的隐私政策中，也可以其他形式提供给用户”。

由此可见，对网络运营者收集公民个人信息是认可的（当然还是要本着“最少够用原则”而不能大肆无原则收集），通过网站、App收集信息可以较为隐蔽的方式，而不是直接要求在明显页面出现“同意与否”字样，看到“以其他形式提供”的字眼时，不禁可以想象从业机构法务人员的努力。

然而，我们反对采纳这样的“兜底条款”，否则被采集信息的我们在“无感”的情况下就“被同意采集个人信息”了，所谓“易于访问”在实践中如同进了大型超市，进来容易，出去难，非要让咱们转几个弯弯绕增加消耗时间，以方便进一步促销。

在网络上就是凡是不利于商家的条款、“卖出持有份额”的按钮都难找，漏斗一样，宽进严出，甚至不让出。

收集规则，要突出哪些内容？

数据安全办法第八条对个人信息的收集使用规则作出了规定，即收集使用规则应当明确具体、简单通俗、易于访问，突出以下内容：

（1）网络运营者基本信息；

（2）网络运营者主要负责人、数据安全责任人的姓名及联系方式；   

（3）收集使用个人信息的目的、种类、数量、频度、方式、范围等；   

（4）个人信息保存地点、期限及到期后的处理方式；    

（5）向他人提供个人信息的规则，如果向他人提供的；   

（6）个人信息安全保护策略等相关信息；   

（7）个人信息主体撤销同意，以及查询、更正、删除个人信息的途径和方法；    

（8）投诉、举报渠道和方法等；    

（9）法律、行政法规规定的其他内容。
 

不得强迫、误导信息主体“同意”

我们欣喜地发现，数据安全办法试图帮我们解决一个痛点：不同意收集信息，就不给咱提供服务。

从第十一条来看，“网络运营者不得以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由，以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息”，其本意是帮忙解决如上痛点，然而，接下来的规定有“放水之嫌”。

“个人信息主体同意收集保证网络产品核心业务功能运行的个人信息后，网络运营者应当向个人信息主体提供核心业务功能服务，不得因个人信息主体拒绝或撤销同意收集上述信息以外的其他信息，而拒绝提供核心业务功能服务”。

飒姐设想了一下真实场景，网络运营者会那么好心，把该收集的数据和不该收集的数据区分开来吗？！实践里，他们绝大多数会把所有的信息采集要求放在同一个“同意”按钮的项下，如隐私条款，一键同意，否则就认为用户不同意收集保证网络产品的“核心业务功能运行”的个人数据。
 

价格敏感度与“消费歧视”

作为一枚普通的消费者，我也会对某些打车软件的行为感到由衷愤慨，一开始疯狂贴钱让我们形成了打车习惯，然后逐渐取消补贴、折扣券，已经放弃自驾的我们因为习惯和单位有报销制度等，已然选择打车办事。

悄然，我们发现与同事朋友一起打车，同样里程，价格出现差异，这就是“消费歧视”。读者可能以为，飒姐是不是要痛批这帮网约车公司，歧视我们常坐车的老客，杀熟！但是，咱们从理性角度看，用金钱来筛选需求，是一件符合经济学逻辑的事，与道德无关。

还记得那年在新加坡，一位大学老教授驾车带我品尝本地小吃，途径几个公路口，他一会笑着说我们走这条路要多花一些新加坡元，但是我们着急去吃饭，所以愿意付出这样的成本。

我发现整个新加坡的车辆并不少，但井然有序，想必“用钱来筛选谁更着急”比较合理，总比用其他人为因素更公平些。

我自己生孩子的时候遭遇突然破水，先生不在身边，情急之下只能加钱叫出租车去医院，这时候用钱来筛选“着急程度”显然是合乎道理的，虽然不一定符合高尚的道德，但也能够为人们所容忍。

因此，网络运营商是否可以根据大数据的分析，对某些价格不敏感的人（城市新中产）多收个块儿八毛的，对其他人群进行补贴和公益，这完全可以由市场决定，而不用直接否定“价格差异”。
 

“定推”与“合成”

所谓定推，是指网络运营者利用用户数据和算法推送新闻信息、商业广告等。数据安全办法要求，应当以明显方式标明“定推”字样，如用户选择停止定推，应当停止并删除已经收集的设备识别码等信息。

飒姐质疑这些网络运营者是否会在明显位置给我们用户一个拒绝或者停止定推的按钮，同时，如果其不删除设备识别码又有什么惩戒措施呢，拭目以待。

所谓“合成”，是指网络运营者利用大数据、人工智能等技术自动合成新闻、博文、帖子、评论等信息，应当以明显方式标明“合成”字样；同时，提出“不得以谋取利益或损害他人利益为目的自动合成信息”。

不得损害他人利益还是明白的，不得谋取利益是指的不能写“软文”？还是不能“商用”？这个有点歧义，还望立规者给出一定的具体解释，方便具体执行时少出现扯皮。
 

并非所有的个人信息都不能提供给第三方

请注意，我们认为数据安全办法第二十七条对以大数据提供为主商业模式的公司，具有一票否决权。

根据2017年的相关司法政策，我们可以看出对于数据买卖和交换的态度是严格的，随着市场的发展，大数据流转的必要性被进一步认识，于是，本次数据安全办法有一定的释放“春风”的作用。

网络运营者向他人个人信息前，应当评估可能带来的安全风险，并征得个人信息主体同意。下列情况除外，也就是说以下五种情况，可以不经过公民本人同意即可进行“向他人提供”：

（1）从合法公开渠道收集且不明显违背个人信息主体意愿；

（2）个人信息主体主动公开；    

（3）经过匿名化处理；    

（4）执法机关依法履行职责所必需；    

（5）维护国家安全、社会公共利益、个人信息主体生命安全所必需。

飒姐不多说了，想必聪明的大数据公司的朋友们脑子里已经跳出了很多商业模式，且慢，咱们今天所关注的数据安全办法仅仅是征求意见稿，还没有正式颁布生效，大家不要提前就做出某种行为，万一有变化呢？！牢记刑法还有侵犯公民个人信息罪呢，咱可别以身试法，快半步是英雄，快一步是烈士。不着急，再等等。