近年来,随着数字经济的快速发展,个人数字身份特征日益显化。算法应用与个人信息共享为公众提供便捷服务的同时,也使得个人信息泄露和数据安全风险时有发生。为落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律关于数据安全管理的规定,规范网络数据处理活动,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益,国家互联网信息办公室会同相关部门研究制定《网络数据安全管理条例(征求意见稿)》(以下简称“意见稿”),并向社会公开征求意见。
意见稿拟加强数据安全防护能力建设,保障数据依法有序自由流动,促进数据依法合理有效利用。它对个人信息保护和重要数据安全两个方面进行专章规定,对互联网平台运营者应尽的义务,以及监督者的监督管理责任进行了明确规定,这将使得App强制用户授权、强制用户人脸识别等问题有规可依。网络数据与个人信息涉及主体众多,为落实个人信息保护法、数据安全法以及意见稿的相关规定,促进数据处理合规治理,互联网运营者和监管部门应形成合力,共同作为。
互联网运营者应积极履行运营者义务
互联网运营者以物理空间为载体,在网络空间对网络数据和个人信息实施收集处理等行为,个人信息主体看似是个人信息的实际享有者,但由于算法技术不透明、公众对互联网运营的具体操作不甚了解,使得互联网运营者在实施个人信息和网络数据处理行为时,具有很大自主性。因此,依法落实互联网运营者主体责任,加强互联网治理力度,维护数据主体权益,互联网运营者应当加强自律,积极履行法律法规规定的义务。
依据个人信息保护法、数据安全法等法律规范建立数据安全管理制度,并制定相关平台规则。要落实安全管理责任,互联网运营者首先要建立健全内部安全管理制度,只有建立健全网络安全内控制度,才可能开展有效的安全管理。互联网运营者应当通过公司章程、内部安全管理制度、用户协议等对网络平台和用户信息进行管理,为数据安全和个人信息保护提供内部制度支撑。此外,互联网运营者应当注重对平台规则的制定和完善,利用平台的门槛机制、监督惩戒机制对平台内企业违规行为进行有效治理,建立完善投诉受理、纠纷解决机制,为纠纷解决提供实质性保障。
加快形成处理结果反馈机制,提升用户信息安全感。针对App强制用户授权否则不得使用以及账号注销不了等问题,此次意见稿专门作了规定,要求数据处理者对个人复制、更正、补充、限制处理、删除本人个人信息、撤回授权同意或者注销账号的申请,应当在15个工作日内处理并反馈。个人信息保护法和意见稿规制的主要对象是具有商业性或专业性信息收集能力的互联网运营者或者类似主体。因此,基于公平信息实践原则,个人信息处理者应当在合理利用数据的情况下承担更多义务,如账号注销、数据处理者在删除个人信息或者进行匿名化处理时应当以短信等方式及时提醒用户,将结果及时反馈用户,并积极做好备案工作。
创新算法应用技术,处理好信息流通与保护之间的关系。随着智慧城市、智慧治理等概念的提出,个人信息使用范围将逐步扩大,个人信息滥用风险仍可能存在。因此,对互联网运营者来说,在商业运用过程中,必须首先处理好信息流通与保护之间的关系,平衡二者之间的利益。专业性的数据处理者一般集中于大型的互联网平台,如阿里巴巴、腾讯、美团、百度等。诸如此类的数据处理者或者实际控制者作为利益享有者,应当承担起数据保护的重任,深挖大数据、算法分析等技术,运用代码技术设置信息不当处理自动报警程序,通过技术为个人信息保护赋能。同时,移动互联网运营者应及时建立健全信息内容审核管理机制,对平台上发布的违规、违法信息及时进行清理,并对信息发布者采取警告、限制和关闭账号等措施,规范传播者和使用者的行为。
监管部门应推进数据依法合理利用
我国个人信息保护和数据安全法律体系已经基本形成。监管部门应在依法加强监管的同时,推进数据依法合理利用。需要注意的是,随着政府治理对个人信息需求的发展,使得政府与互联网运营者之间既有合作又有存在监督。因此,监管部门应当积极履行职责,明确监管权限,创新监管方式,提升监管效能。
坚持合法合理监管,提升监管民主性、正当性。一方面要遵守合法性原则,使监管行为不逾越法律规定,且积极履行自己的法定义务。另一方面,监管应当坚持合理性原则,基于法律目的采取的监管措施应符合适当性要求,且所采取的措施造成的损害最小,即符合最小伤害原则。
明确监管职责,提升监管效能。个人信息保护法和意见稿规定,由国家网信部门统筹监管工作,其他机关和部门在各自范围内承担数据安全监管职责。个人信息和数据牵扯到多个部门,网信部门可以对现有监管部门职责做进一步划分,明确权限范围。这样既可以防止各自为政现象发生,又可以克服责任推脱问题,切实做到监管有责、监管有力、监管有效。
创新监管方式,加大监管和处罚力度。监管部门应当运用大数据和人工智能等新兴技术提升监管准确性和覆盖率,采取线上监管和线下监管相结合方式,提升监管效率。同时,加大监管力度,实时追踪数据处理者的行为,做到有效预防违法数据处理行为。对互联网运营者实施违法行为的,应当依据情节轻重对运营者或者处理者予以制裁,拒不改正的,加大处罚力度,必要时移送司法机关追究刑事责任。
(作者单位:西南政法大学公法研究中心)
