随着以大数据、云计算、移动互联网、人工智能为代表的新一代信息技术逐渐发挥更大作用,数字世界和物理世界、在线和离线之间的界限日益模糊。经济社会的数据化,使大量的数据集中于平台企业。当平台企业将所收集的数据运用到其运营的生态中,数据在平台竞争中的作用便愈发凸显。平台企业将数据作为一种战略资产,倾向于收集更多数据。数据高度集中在平台企业,或将给用户隐私保护带来挑战。如何更好地保护网络数据安全,捍卫网络时代的个人隐私,是各界普遍关注的问题。
我国高度重视数据安全保护,在顶层设计方面,已出台了《网络安全法》《数据安全法》《个人信息保护法》等专门法律,加上《民法典》关于数据保护的相关内容,数据安全保护方面的整体架构已经比较健全。具体来看,《APP违法违规收集使用个人信息行为认定方法》《汽车数据安全管理若干规定(试行)》等相关规定,就数据安全细分领域进行了规范。日前发布的《网络数据安全管理条例(征求意见稿)》(以下简称《条例》),对数据安全保护的整体操作性层面进行了规定,从而使相关法律在具体执行方面更具有可操作性,形成了具有中国特色的、可操作的网络数据保护体系。
从整体上看,《条例》为我国数据保护相关的法律实施提供了更具体的操作指南,并对现实中存在的一些问题进行回应。
首先,《条例》兼顾了公共利益和数据要素价值发挥之间的平衡。数据是当今社会重要的生产资料之一,对社会生产效率的提升具有重要的意义。有观点认为,数据堪称数字时代新的石油。《条例》为平台企业采集、运用等提供了规范,使企业能够在规范许可的范围内更好地利用数据,发挥数据要素应有的价值。
其次,《条例》建立了数据分级分类保护制度,对一些特殊数据加以严格保护,以更好地维护个人隐私及保护公共利益。《条例》对敏感个人信息、未成年人个人信息等收集与运用进行了特别规定。例如,《条例》规定,不得强制个人同意收集其个人生物特征信息,不得以个人生物信息作为唯一的个人身份认证方式。
再次,《条例》对数据“出海”进行了明确而又细致的规定。在数字化时代,数据跨境流动对很多企业运营来说是一种刚需,《数据安全法》等对数据跨境流动问题有着较为严格的规定,但是,对基于企业运营所需要的数据跨境流动具体如何管理,在申报条件、具体程序等方面没有进行明确。《条例》对此进行了重点规定,从而对数据“出海”进行了明确,包括数据安全评估等问题,均有所涉及。
同时,对平台规则、隐私政策制定或者对用户权益有重大影响的修订等重大问题的程序,以及利益攸关者的参与等问题,《条例》进行了明确。平台隐私规则日益复杂化,充斥着难懂的法律术语,大多数人要么根本不读,要么读也读不懂。而且,很多平台还在用户毫不知情的情况下,单方面修改这些隐私条款,使用户难以获得自己数据被收集、使用的情况。《条例》针对不同的平台,要求平台对其平台规则、隐私政策等的制定和重大修订,采取必要程序。这将使平台在规则制定方面更加规范,更有利于加强对用户数据的事先保护。
此外,《条例》对违法行为的处罚更为明确。《条例》的很多罚则,比如对某些行为可按营业额的比例进行罚款等,不但在金额上有所加强,更重要的是很多罚则直接处罚直接负责的主管人员和其他直接责任人员,这使《条例》更具威慑性。
总之,《条例》的出台将意味着我国在数据保护方面的法律体系更为健全和完善,将进一步推动我国数据安全保护发展到更高水平。
(李勇坚 作者单位:中国社会科学院财经战略研究院)