《数据安全管理办法》解读：中国版“GDPR”要来了

监管赵越零壹财经 2019-05-31 阅读：21973

关键词：数据安全管理办法 解读 中国

5月28日，网信办发布关于《数据安全管理办法（征求意见稿）》，向社会公开征求意见。

5月8日，天津市互联网信息办公室发布关于《天津市数据安全管理办法（暂行）》（征求意见稿）公开征求意见的公告，相关内容一度引发热议。时隔20天，5月28日，国家互联网信息办公室（以下简称“网信办”）发布关于《数据安全管理办法（征求意见稿）》（以下简称《管理办法》）公开意见的通知，向社会公开征求意见。

《管理办法》明确了个人信息和重要数据的收集、处理使用和安全监督管理的相关标准，提出网络运营者以经营为目的收集重要数据或个人敏感信息，应向所在地网信部门备案，网络运营者通过网站、应用程序等产品收集使用个人信息，应当分别制定并公开收集使用规则。

2018年，欧盟曾出台《通用数据保护条例》（General Data Protection Regulation ，简称GDPR），被成为史上最严格的数据法规，它不仅对个人数据权力保护做出了详细说明，还对违规行为制定了严格的处罚措施。

《管理办法》公布后，有从业者便称这比GDPR还要严格……

一、内容解读

2017年6月，《中华人民共和国网络安全法》（以下简称《网络安全法》）实施，此次的《管理办法》根据《网络安全法》等法律法规制定，从内容看，《管理办法》针对重要数据和个人信息管理，并大篇幅介绍了个人信息安全管理的相关内容。

前央行征信中心副主任汪路向零壹财经表示，《管理办法》将命名调整为《个人数据安全管理办法》更为妥帖。《管理办法》内容上大篇幅介绍个人数据的安全管理，而且国家安全、企业数据和个人数据的性质完全不同，一些对个人数据的保护条款并不适用于企业数据，国家信息安全则需另一套更为严格的数据规范体系，《管理办法》若是涵盖所据，则存在数据分类保护模糊的弊端。此外，优先解决市场上突出的个人数据安全更有现实和紧迫意义。

2017年12月，全国信息安全标准化技术委员会发布《信息安全技术个人信息安全规范》（以下简称《规范》）；2019年4月，公安部网络安全保卫局联合北京网络行业协会、公安部第三研究所正式发布《互联网个人信息安全保护指南》（以下简称《指南》），虽然《规范》和《指南》在效力上有一定的限制，但两者均对个人信息安全管理进行了严格约束。

为此，零壹财经将《管理办法》和《网络安全法》、《规范》和《指南》相关内容进行了对比分析。

重点内容

1、明确监管主体，施行备案制管理

根据《管理办法》，在中华人民共和国境内利用网络开展数据收集、存储、传输、处理、使用等活动，以及数据安全的保护和监督管理均在此办法的监管范围。

而《网络安全法》中曾提到国家网信部门负责统筹协调网络安全工作和相关监督管理工作，国务院电信主管部门、公安部门和其他有关机关在各自职责范围内负责网络安全保护和监督管理工作。《管理办法》又进一步明确了统一监管主体，即国家网信部门统筹协调、指导监督个人信息和重要数据安全保护工作，地（市）及以上网信部门依据职责指导监督本行政区内个人信息和重要数据安全保护工作。

在监管方式上，《管理办法》指出，网络运营者以经营为目的收集重要数据或个人敏感信息的，应向所在地网信部门备案。备案内容包括收集使用规则，收集使用的目的、规模、方式、范围、类型、期限等，不包括数据内容本身。

2、建立个人信息收集使用规则，提出安全责任人制度

《规范》中提出了“个人信息控制者”的概念，指有权决定个人信息处理目的、方式等的组织或个人，并规定个人信息控制者应制定隐私政策，并对隐私政策的具体内容做了说明。

根据《管理办法》，网络运营者只要收集使用个人信息，应分别制定并公开收集使用规则，收集使用规则可以包含在隐私政策中，也可以其他形式提供给用户。并规定仅当用户知悉收集使用规则并明确同意后，网络运营者方可收集个人信息。收集使用规则的具体内容包括：

（一）网络运营者基本信息；

（二）网络运营者主要负责人、数据安全责任人的姓名及联系方式；

（三）收集使用个人信息的目的、种类、数量、频度、方式、范围等；

（四）个人信息保存地点、期限及到期后的处理方式；

（五）向他人提供个人信息的规则，如果向他人提供的；

（六）个人信息安全保护策略等相关信息；

（七）个人信息主体撤销同意，以及查询、更正、删除个人信息的途径和方法；

（八）投诉、举报渠道和方法等；

（九）法律、行政法规规定的其他内容。

从收集使用规则的内容看，和《规范》中隐私政策的内容大致相同，但增加了对数据安全责任人的要求，并提到了应分别制定并公开收集使用规则。

根据《管理办法》，网络运营者以经营为目的收集重要数据或个人敏感信息的，应当明确数据安全责任人，并规定了安全责任人的具体要求和职责。

3、约束默认授权、功能捆绑相关行为，要求停止“定推”后删除用户数据

《指南》中提到，完全依靠自动化处理的用户画像技术应用于精准营销、搜索结果排序、个性化推送新闻、定向投放广告等增值应用，可事先不经用户明确授权，但应确保用户有反对或者拒绝的权利。

《管理办法》则对这一行为进行了严格约束，规定网络运营者不得以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由，以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息。

同时还对“定向推送”做出了明确规定，要求网络运营者利用用户数据和算法推送新闻信息、商业广告等，应当以明显方式标明“定推”字样，为用户提供停止接收定向推送信息的功能；用户选择停止接收定向推送信息时，应当停止推送，并删除已经收集的设备识别码等用户数据和个人信息。

4、提出数据爬取要求，规定“合成”内容要求

《管理办法》对数据爬取和“合成”信息进行了首次规定。根据《管理办法》，网络运营者采取自动化手段访问收集网站数据，不得妨碍网站正常运行；此类行为严重影响网站运行，如自动化访问收集流量超过网站日均流量三分之一，网站要求停止自动化访问收集时，应当停止。

对于“合成”信息，则要求网络运营者利用大数据、人工智能等技术自动合成新闻、博文、帖子、评论等信息，应以明显方式标明“合成”字样；不得以谋取利益或损害他人利益为目的自动合成信息。

尚待明确内容

在将《管理办法》和《网络安全法》、《规范》和《指南》进行对比的过程中，零壹财经发现，《管理办法》中也存在一些需进一步明确的内容。

1、个人敏感信息不明确

《管理办法》中提到网络运营者以经营为目的收集重要数据和个人敏感信息时，应该向所在地网信部门备案。但并没有对个人敏感信息做出说明，只提到了个人信息包含哪些内容。

根据《规范》中提到的个人敏感信息判断标准，个人敏感信息指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。

表1：《管理办法》和《规范》中个人敏感信息的范围

来源：零壹智库根据《管理办法》和《规范》整理

2、个人信息定义不统一

《管理办法》中个人信息的范围和《网络安全法》相同，指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

相较于《规范》和《指南》，《管理办法》未在个人信息范围中明确提到财产信息、征信信息和交易信息等。

表2：《管理办法》、《网络安全法》、《规范》和《指南》中个人信息的范围

来源：零壹智库根据《管理办法》、《网络安全法》、《规范》和《指南》整理

3、未说明个人信息保存期限

《规范》中提到个人信息保存期限应为实现目的所必需的最短时间，超出上述个人信息保存期限后应对个人信息进行删除或匿名化处理。

《管理办法》在个人信息收集使用规则中也提到了信息的保存期限，并规定网络运营者保存个人信息不应超出收集使用规则中的保存期限，用户注销账号后应当及时删除其个人信息，但对于“保存期限”并未具体说明。

表3：《管理办法》和《规范》中对信息保存期限的定义

来源：零壹智库根据《管理办法》和《规范》整理

4、未明确具体需备案机构类型

《管理办法》规定，网络运营者以经营为目的收集重要数据或个人敏感信息的，应向所在地网信部门备案。不仅对于个人敏感信息未明确说明，对于网络运营者，《管理办法》也没有明确具体的机构类型，只提到，网络运营者，指网络的所有者、管理者和网络服务提供者。

二、业内看法

2017年6月，《网络安全法》实施，它被视为数据行业最严格的法规。但数据问题屡禁不止，过度采集、泄露、暗网出售……数据问题不断暴露。

汪路表示《管理办法》的发布有着非常积极的意义，也是市场期待已久的一项制度安排。目前，市场上个人数据，尤其是个人隐私数据被盗用、滥用的现象十分普遍，而我国尚未制定专门的个人隐私法、个人信息权利保护法或个人信息保护法。2013年我国发布的第一部征信法规《征信业管理条例》，对个人信用信息权利做出了一些原则性规范，但总体看，条例涉及的个人信息权利保护的规范还较笼统，不够明晰、具体，尤其是实现这些权利的保障措施还不够完善和强有力。

作为从业者，一位知名征信公司董事长向零壹财经表示，维护好数据信息安全，保护个人隐私不泄露，才能更好的营造良好的网络环境。《管理办法》的发布，给从事运用网络进行数据收集、存储、处理、应用的从业者提供了数据安全管理的关键要素和指南。但《管理办法》缺乏行业自律机制、数据安全技术标准及认证机制与数据安全保护的普及教育相关内容。

三、对数据从业者影响

根据《管理办法》，在中华人民共和国境内利用网络开展数据收集、存储、传输、处理、使用等活动，以及数据安全的保护和监督管理，均使用本办法。《管理办法》一旦实施，对从事数据活动的机构又会产生哪些影响？

汪路从四方面分析了《管理办法》对从事数据活动机构的影响，他表示，第一，可以有效遏制目前市场上多数从事数据活动的机构盗用、滥用数据现象；第二，可以有效促成数据活动机构加强数据采集规范的研究，并为最终形成社会统一的数据采集标准提供基础；第三，为一些从事存储、传输的技术研究机构提供了一定的市场空间；第四，为市场上从事数据活动的机构提供了一个相对公平、公开的竞争环境。

上述知名征信公司董事长从从业者角度出发，认为《管理办法》可以为从业者提供数据安全管理的方向，但对于《管理办法》对从业者的影响则需要从正、反两方面来看，正向来看，从业企业有了更清晰的数据安全管理方向，明确了什么可以做，什么不能做，什么需要谨慎考虑后再做，这也能帮助机构发现自身在数据管理的不足和盲区，逐步完善自己的数据安全管理制度。从反向来看，任何管理制度的出台都会增加企业的管理成本、业务成本，因此，相关企业需提高技术水平，提高营销的精准性，努力降低营销成本。

扫描下方二维码添加作者（添加时请注明身份），加入零壹财经·Fintech前线活跃交流社群。