当前,在互联网领域,个人信息的收集、使用十分广泛。图/unsplash
11月14日,国家网信办发布关于《网络数据安全管理条例(征求意见稿)》(以下简称《征求意见稿》)公开征求意见的通知。
《征求意见稿》结合了《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律,融合了关于个人信息保护和数据安全的法律法规,以更加清晰精炼的方式,对一系列信息隐私保护、数据安全的法律进行总结归纳,提高了法律的可行性和可理解性。
《征求意见稿》提出 ,日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。
信息数据治理生态的“一剂良方”
截至2020年12月,我国互联网用户达9.89亿,网站超过443万个、应用程序超过345万个。
当前,在互联网领域,个人信息的收集、使用十分广泛,随意收集、违法获取、过度使用、非法买卖个人信息、大数据杀熟等问题突出,信息数据治理生态总体状况不乐观。
《征求意见稿》赋予了用户更多权益,包括:同意权、知情权、信息获取权(可以索要信息复制件)、信息修改权、被遗忘权(可以删除信息,取消授权)、限制处理权、数据可携权(转移数据)、异议权(举报数据违规)等。
《征求意见稿》也赋予互联网平台更多责任和义务,包括:平台需要公布数据安全规则、平台需要记录数据使用过程、平台要和数据安全监管部门合作、平台在数据泄露的时候有上报的义务、平台要设立专门的数据安全部门等。
通过增加用户权益,明确互联网平台在数据安全和信息保护领域的责任和义务,《征求意见稿》将推动互联网平台数据治理模式变革,以此来改变我国当前严峻的信息数据治理生态。
日活超亿互联网平台的“新规矩”
当前,我国日活用户超过1亿的大型互联网平台大约在20个左右,不过,其中部分平台的日活用户并不稳定。
《征求意见稿》对日活用户超过1亿的大型互联网平台运营者专门提出了规定,要求其平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。
这可能意味着未来互联网平台的平台规则和隐私政策将是制度性的。此类大型互联网平台的平台规则和隐私政策,涉及群体利益和公众利益,牵一发而动全身,所以平台的规则自主权受到限制。未来,互联网大平台的规则属于制度规则范畴,这增加了平台规则的刚性。
除此之外,此项规定还意味着:
其一,未来大型互联网平台将进一步定位为涉及公共利益的基础设施,平台的规则制定和控制力将受到约束。
其二,未来大型互联网平台将逐渐转向技术创新,规模优势和市场支配地位将无法直接给平台经营者带来超额收益。因为平台规则相对固定,其从平台获取的收益更加清晰可见。
其三,《征求意见稿》明确数据授权问题举证责任在平台一方。这意味着未来大型互联网平台在初始设置平台规则和隐私政策的时候需要力求简明、清晰、全面。否则,不清晰的规则条款,会让平台运营者自食恶果。
信息数据保护规则的“冲击”
从全球看,目前全球共有128个国家通过立法保护个人信息。
其中,结合市场规模、规制范围等因素,以欧盟《通用数据保护条例》( GDPR,2018年5月起施行)和美国《加利福尼亚州消费者隐私法案》(CCPA,2020年1月起施行)最具影响力。
我国隐私保护立法和欧盟GDPR,相对《加利福尼亚州消费者隐私法案》更加严格。
从互联网平台业务层面看,根据相关券商的报告,GDPR实施后,从短期来看,欧盟网页浏览量下滑11.7%,电商网站收入下滑13.3%,原因是大量用户拒绝网页留存Cookie进行广告推送。
但从长期来看,数字广告行业整体依然乐观,由于在线人数、在线时长增加,未来数字广告曝光量依然是增长趋势。只是在数字广告投放渠道方面,用户推送广告模式将转向对用户信息要求度更低的社交嵌入和搜索引擎嵌入的广告模式。
由于在线人数、在线时长增加,未来数字广告曝光量依然是增长趋势。图/IC photo
对照国内市场,《征求意见稿》的落地,短期对自媒体内容平台的内容推送和电商的商品精准推送将产生一定的冲击,对传统媒体广告行业影响甚微。
在互联网平台合规层面,根据统计,欧盟GDPR生效第一年(2018年6月-2019年5月),欧洲各国执法机构共作出了48项约5183万欧元的处罚决定,而在第二年(2019年6月-2020年5月),欧洲各国又执行了187项约4.1565亿欧元的罚款。
可以预见,我国《征求意见稿》落地之后,互联网平台企业会面临一定的合规压力。不过,与欧盟不同的是,虽然我国单笔违规罚款额度相对较低,但我国监管处罚往往附加经营限制,比如责令改正、停业整顿、责任人罚款等,所以实际上互联网平台的合规问题也不容小觑。
互联网平台的“规则路径”
在欧洲GDPR推出之前,欧洲各国都有各自的信息保护法律,其中比较有代表性的就是1995年的《数据保护指令》,所以GDPR是替代性和整合性的。
在隐私保护和数据安全方面,我国互联网平台从数据利用到兼顾数据利用和隐私保护,要实现“急转弯”,在适应新环境的过程中,需要寻求不同于欧盟企业的“合规路径”。也就是说,互联网企业需要在内部以最短的时间建立保护隐私和数据安全的规则策略。
具体说来,有以下几种途径:
路径一:平台制定简化明晰的隐私保护规则,增强内部透明度。
一方面,互联网平台本该公布规则。在《征求意见稿》第四十三条就强调,互联网平台有责任披露平台规则、隐私规则和算法策略。平台若在这些方面模糊不清,最终受损的是平台自身。
《征求意见稿》规定,“对个人同意行为有效性存在争议的,数据处理者负有举证责任。”
2019年,在欧盟起诉谷歌的一起案件中,谷歌由于在广告推送中的用户告知条款含糊不清而被起诉。
资料图。图/unsplash
另一方面,现实中,普通用户对数据安全存在更高的学习成本,所以规则策略的公布关键词是“简化”,以简化直观的方式告诉用户:平台如何获取信息、存储信息、对外提供信息;用户如何访问和处理自身信息。
路径二:平台对数据进行匿名化和假名化处理,继续推进数据应用。
信息和数据既统一,又有区别。数据可能包含用户信息,但如果通过匿名化和假名化,数据则可以和个人隐私脱钩,这样人工智能、大数据等需要数据驱动的技术就可以继续发展。
根据国外GDPR实践的经验,个人非重要数据匿名化和假名化后,可以实现和个人隐私脱钩,从个人信息隐私范畴归入数据安全管理范畴,告知义务、数据安全管理规则依然有效,但可以合规应用于数字技术的开发,在数据使用中此举被称为“脱敏”。
路径三:平台可能会寻求更专业的第三方数据风控企业。隐私保护和数据安全最终将走向专业化分工。合规成本高,则会有风险外部转移的需求。对于互联网平台,其可能会在规则的许可下,谋求自身分裂出专业化的第三方数据风控企业,也可能会向外购买服务。这可能会打造一个繁盛的数据风控行业。
综上,互联网平台需要适应新的法律环境,建立新的数据安全规则,发展数据安全技术。如果互联网企业以此为契机,实现数据安全、信息保护技术的提升,甚至发展出新技术、新业态,则有可能“化危为机”,迎来新的发展机遇。
信息隐私保护和数据安全,关乎每个人的切身利益。从某种角度来看,《征求意见稿》以及其他关于隐私保护、数据安全、网络安全的立法,并非为了阻滞数字经济和互联网平台企业的发展,恰恰相反,规则是数字经济前进道路上的标识标线,是为了数字经济和互联网平台在标识标线指示下实现可持续发展。
特约撰稿人 | 盘和林(中南财经政法大学数字经济研究院执行院长、教授)
编辑 | 张笑缘
校对 | 刘越
,