《数据安全管理办法》即将发布 支付信息采集和使用有章可循

合利宝POS办理整理编辑：

　　近日，国家互联网信息办公室发布《数据安全管理办法(征求意见稿)》，不仅对公众关注的个人敏感信息收集方式、广告精准推送、APP过度索权、账户注销难等问题作出了直接回应，还对网络运营者在数据收集、处理使用、安全监督管理等方面提出了要求，为个人数据安全加上了一把锁——

　　随便注册一个应用就要身份证号，推送来的广告好像会“读心”，大数据“杀熟”防不胜防，注销账号“难于上青天”……这些在个人数据保护中频频出现的难题有望迎刃而解。

　　国家互联网信息办公室日前发布《数据安全管理办法(征求意见稿)》(以下简称《办法》)，对网络运营者在数据收集、处理使用、安全监督管理等方面提出了要求，为个人数据安全加上了一把锁。

　　为啥出台《办法》?这与当前日趋严峻的个人信息滥用和泄露的状况显然息息相关。根据官方对百款常用手机应用统计数据显示，其中相当一部分手机应用存在强制超范围索要权限情况，平均每个应用申请收集个人信息相关权限数有10项，但实际上用户不同意开启则APP无法安装或运行的权限数平均仅为3项。

　　来自“电子商务消费纠纷调解平台”的大数据同样显示，近年来包括天猫、淘宝、京东、苏宁易购、唯品会等电商平台，以及大众点评、百度糯米、携程等生活服务平台，均曾出现过用户信息泄露事件。仅在2018年，就多次出现用户个人信息泄露事件，比如圆通、顺丰十几亿条个人信息在暗网被出售，12306数百万条旅客信息在网上被出售等。

　　数据保护“有章可循”

　　在《办法》中，数据活动被界定为“利用网络开展数据收集、存储、传输、处理、使用等活动”。“与已经发布的《信息安全技术个人信息安全规范》和《互联网个人信息安全保护指南》相比，未来有可能作为部门规章发布的《办法》效力层级更高，既是大数据时代数据安全的刚需体现，也在为5G市场铺平国内数据处理合规化道路。”上海汉盛律师事务所高级合伙人李旻说。

　　北京观韬中茂(上海)律师事务所合伙人王渝伟也认为，与《网络安全法》相比，此次征求意见稿更为详尽，也有望为未来个人信息保护方面的法律提供参考。

　　此次《办法》中的“亮点”提法，也让个人数据保护有章可循。一方面，《办法》强调了用户的选择权，如其中明确要求“制定并公开个人信息收集使用规则”，且强调“如果收集使用规则包含在隐私政策中，应相对集中，明显提示，以方便阅读”，突出信息使用规则的重要性，以便个人信息主体享有充分选择权。此外还特别规定，对“网络产品核心业务功能运行的个人信息”以外的信息，网络运营者不得因个人信息主体未同意收集而拒绝提供核心业务功能服务。也就是说，网络运营者不能在数据索取上“漫天要价”。

　　“这实际上就是为了避免网络服务提供者为了收集数据采取胁迫或者误导行为。”中国社会科学院信息化研究中心秘书长姜奇平表示，信息采集的主导权和选择权必须交给消费者，这是信息服务的原则性问题。

　　另一方面，《办法》也进一步强调了对用户隐私的保护，《办法》要求“网络运营者以经营为目的收集重要数据或个人敏感信息的，应向所在地网信部门备案”。根据《信息安全技术个人信息安全规范》，包括身份证信息、电话号码、邮箱地址、浏览记录、定位信息乃至个人指纹、声纹，这些都属于个人敏感信息。“通过国家强制力对隐私信息的收集使用予以限制，在隐私信息泄漏时亦有迹可循，以实现个人隐私信息的数据安全。”李旻说。

　　中国信息安全研究院副院长左晓栋表示，只有能对隐私信息的收集者追根溯源，才能从源头保护个人数据安全。

　　解决方法直面“痛点”

　　“《办法》对于近年来层出不穷的网络数据安全问题予以细化，针对新型数据安全管理的规定能及时填补因社会发展导致的法律漏洞，具有前瞻性。”李旻说。

　　从《办法》的具体规定来看，不少一直困扰用户的“痛点”被明确点名，比如刚订了一张机票，马上各个应用就开始推荐目的地相关信息，这种利用用户浏览历史，通过定向推送获得广告收入的“精准广告”，让不少用户觉得毫无隐私。对此，《办法》明确规定，要求利用用户数据和算法推送新闻信息、商业广告需显著标明“定推”字样, 并为用户拒绝接受定向推送信息提供选择权，“用户选择停止接收定向推送信息时，应当停止推送，并删除已经收集的设备识别码等用户数据和个人信息”。

　　“广告主采集用户的信息难度会增加，但这也是全球范围内的大趋势，各个主要国家的相关法规，也都在强调保护消费者的个人数据隐私。”网络广告平台Marteker创始人冯祺表示。

　　再比如，针对账号注销难，账号注销后个人信息消除难，《办法》也特别提出，要保护用户的“被遗忘权”。《办法》强调，“收集使用规则应突出个人信息主体撤销同意，以及查询、更正、删除个人信息的途径和方法”。“网络运营者收到有关个人信息查询、更正、删除以及用户注销账号请求时，应当在合理时间和代价范围内予以查询、更正、删除或注销账号。”

　　“突出‘被遗忘权’保护也是办法的一个亮点。‘被遗忘’是消费者的合理诉求。”左晓栋说。

　　在北京亿达(上海)律师事务所律师董毅智看来，“被遗忘权”仍需进一步细化，“比如，在用户注销账户后，网络经营者对于已经散发出去的信息如何处理?用户是否有权要求网络经营者对已经散发出去的信息予以删除或者负责?”

　　此外，包括“网络爬虫”访问收集流量不得超过网站日均流量的三分之一，限制“大数据杀熟”等歧视性推送行为，明确数据安全责任人的任职要求，要求提供数据安全责任人的姓名及联系方式等，《办法》中的相关规定，为个人数据保护中的一系列热点问题提供了解决方案。

　　“互联网行业头部企业的天然主导性，导致行业内部缺乏竞争，基于用户对平台服务的信任而建立起的黏性，不能成为某些平台实行差别定价、数据反复买卖的底气。从这个角度来讲，《办法》对同行业、跨行业之间企业联手利用用户信息的合规性提出了新要求。”董毅智表示。(经济日报·中国经济网记者陈静)

　　为了维护国家安全、社会公共利益，保护公民、法人和其他组织在网络空间的合法权益，保障个人信息和重要数据安全，根据《中华人民共和国网络安全法》等法律法规，国家互联网信息办公室会同相关部门研究起草了《数据安全管理办法(征求意见稿)》，现向社会公开征求意见。公众可通过以下途径和方式提出反馈意见：

　　1.登陆中国政府法制信息网(网址：http://www.chinalaw.gov.cn)，进入首页的“立法意见征集”提出意见。

　　2.通过电子邮件方式发送至：security@cac.gov.cn。

　　3.通过信函方式将意见寄至：北京市西城区车公庄大街11号国家互联网信息办公室网络安全协调局，邮编100044，并在信封上注明“数据安全管理办法征求意见”。

　　意见反馈截止时间为2019年6月28日。

　　附件：《数据安全管理办法(征求意见稿)》

　　国家互联网信息办公室

　　2019年5月28日

　　数据安全管理办法

　　(征求意见稿)

　　第一章 总 则

　　第一条为了维护国家安全、社会公共利益，保护公民、法人和其他组织在网络空间的合法权益，保障个人信息和重要数据安全，根据《中华人民共和国网络安全法》等法律法规，制定本办法。

　　第二条在中华人民共和国境内利用网络开展数据收集、存储、传输、处理、使用等活动(以下简称数据活动)，以及数据安全的保护和监督管理，适用本办法。纯粹家庭和个人事务除外。

　　法律、行政法规另有规定的，从其规定。

　　第三条国家坚持保障数据安全与发展并重，鼓励研发数据安全保护技术，积极推进数据资源开发利用，保障数据依法有序自由流动。

　　第四条国家采取措施，监测、防御、处置来源于中华人民共和国境内外的数据安全风险和威胁，保护数据免受泄露、窃取、篡改、毁损、非法使用等，依法惩治危害数据安全的违法犯罪活动。

　　第五条在中央网络安全和信息化委员会领导下，国家网信部门统筹协调、指导监督个人信息和重要数据安全保护工作。

　　地(市)及以上网信部门依据职责指导监督本行政区内个人信息和重要数据安全保护工作。

　　第六条网络运营者应当按照有关法律、行政法规的规定，参照国家网络安全标准，履行数据安全保护义务，建立数据安全管理责任和评价考核制度，制定数据安全计划，实施数据安全技术防护，开展数据安全风险评估，制定网络安全事件应急预案，及时处置安全事件，组织数据安全教育、培训。

　　第二章 数据收集

　　第七条网络运营者通过网站、应用程序等产品收集使用个人信息，应当分别制定并公开收集使用规则。收集使用规则可以包含在网站、应用程序等产品的隐私政策中，也可以其他形式提供给用户。

　　第八条收集使用规则应当明确具体、简单通俗、易于访问，突出以下内容：

　　(一)网络运营者基本信息;

　　(二)网络运营者主要负责人、数据安全责任人的姓名及联系方式;

　　(三)收集使用个人信息的目的、种类、数量、频度、方式、范围等;

　　(四)个人信息保存地点、期限及到期后的处理方式;

　　(五)向他人提供个人信息的规则，如果向他人提供的;

　　(六)个人信息安全保护策略等相关信息;

　　(七)个人信息主体撤销同意，以及查询、更正、删除个人信息的途径和方法;

　　(八)投诉、举报渠道和方法等;

　　(九)法律、行政法规规定的其他内容。

　　第九条如果收集使用规则包含在隐私政策中，应相对集中，明显提示，以方便阅读。另仅当用户知悉收集使用规则并明确同意后，网络运营者方可收集个人信息。

　　第十条网络运营者应当严格遵守收集使用规则，网站、应用程序收集或使用个人信息的功能设计应同隐私政策保持一致，同步调整。

　　第十一条网络运营者不得以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由，以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息。

　　个人信息主体同意收集保证网络产品核心业务功能运行的个人信息后，网络运营者应当向个人信息主体提供核心业务功能服务，不得因个人信息主体拒绝或者撤销同意收集上述信息以外的其他信息，而拒绝提供核心业务功能服务。

　　第十二条收集14周岁以下未成年人个人信息的，应当征得其监护人同意。

　　第十三条网络运营者不得依据个人信息主体是否授权收集个人信息及授权范围，对个人信息主体采取歧视行为，包括服务质量、价格差异等。

　　第十四条网络运营者从其他途径获得个人信息，与直接收集个人信息负有同等的保护责任和义务。

　　第十五条网络运营者以经营为目的收集重要数据或个人敏感信息的，应向所在地网信部门备案。备案内容包括收集使用规则，收集使用的目的、规模、方式、范围、类型、期限等，不包括数据内容本身。

　　第十六条网络运营者采取自动化手段访问收集网站数据，不得妨碍网站正常运行;此类行为严重影响网站运行，如自动化访问收集流量超过网站日均流量三分之一，网站要求停止自动化访问收集时，应当停止。

　　第十七条网络运营者以经营为目的收集重要数据或个人敏感信息的，应当明确数据安全责任人。

　　数据安全责任人由具有相关管理工作经历和数据安全专业知识的人员担任，参与有关数据活动的重要决策，直接向网络运营者的主要负责人报告工作。

　　第十八条数据安全责任人履行下列职责：

　　(一)组织制定数据保护计划并督促落实;

　　(二)组织开展数据安全风险评估，督促整改安全隐患;

　　(三)按要求向有关部门和网信部门报告数据安全保护和事件处置情况;

　　(四)受理并处理用户投诉和举报。

　　网络运营者应为数据安全责任人提供必要的资源，保障其独立履行职责。

　　第三章 数据处理使用

　　第十九条网络运营者应当参照国家有关标准，采用数据分类、备份、加密等措施加强对个人信息和重要数据保护。

　　第二十条网络运营者保存个人信息不应超出收集使用规则中的保存期限，用户注销账号后应当及时删除其个人信息，经过处理无法关联到特定个人且不能复原(以下称匿名化处理)的除外。

　　第二十一条网络运营者收到有关个人信息查询、更正、删除以及用户注销账号请求时，应当在合理时间和代价范围内予以查询、更正、删除或注销账号。

　　第二十二条网络运营者不得违反收集使用规则使用个人信息。因业务需要，确需扩大个人信息使用范围的，应当征得个人信息主体同意。

　　第二十三条网络运营者利用用户数据和算法推送新闻信息、商业广告等(以下简称“定向推送”)，应当以明显方式标明“定推”字样，为用户提供停止接收定向推送信息的功能;用户选择停止接收定向推送信息时，应当停止推送，并删除已经收集的设备识别码等用户数据和个人信息。

　　网络运营者开展定向推送活动应遵守法律、行政法规，尊重社会公德、商业道德、公序良俗，诚实守信，严禁歧视、欺诈等行为。

　　第二十四条网络运营者利用大数据、人工智能等技术自动合成新闻、博文、帖子、评论等信息，应以明显方式标明“合成”字样;不得以谋取利益或损害他人利益为目的自动合成信息。

　　第二十五条网络运营者应采取措施督促提醒用户对自己的网络行为负责、加强自律，对于用户通过社交网络转发他人制作的信息，应自动标注信息制作者在该社交网络上的账户或不可更改的用户标识。

　　第二十六条网络运营者接到相关假冒、仿冒、盗用他人名义发布信息的举报投诉时，应当及时响应，一旦核实立即停止传播并作删除处理。

　　第二十七条网络运营者向他人提供个人信息前，应当评估可能带来的安全风险，并征得个人信息主体同意。下列情况除外：

　　(一)从合法公开渠道收集且不明显违背个人信息主体意愿;

　　(二)个人信息主体主动公开;

　　(三)经过匿名化处理;

　　(四)执法机关依法履行职责所必需;

　　(五)维护国家安全、社会公共利益、个人信息主体生命安全所必需。

　　第二十八条网络运营者发布、共享、交易或向境外提供重要数据前，应当评估可能带来的安全风险，并报经行业主管监管部门同意;行业主管监管部门不明确的，应经省级网信部门批准。

　　向境外提供个人信息按有关规定执行。

　　第二十九条境内用户访问境内互联网的，其流量不得被路由到境外。

　　第三十条网络运营者对接入其平台的第三方应用，应明确数据安全要求和责任，督促监督第三方应用运营者加强数据安全管理。第三方应用发生数据安全事件对用户造成损失的，网络运营者应当承担部分或全部责任，除非网络运营者能够证明无过错。

　　第三十一条网络运营者兼并、重组、破产的，数据承接方应承接数据安全责任和义务。没有数据承接方的，应当对数据作删除处理。法律、行政法规另有规定的，从其规定。

　　第三十二条网络运营者分析利用所掌握的数据资源，发布市场预测、统计信息、个人和企业信用等信息，不得影响国家安全、经济运行、社会稳定，不得损害他人合法权益。

　　第四章 数据安全监督管理

　　第三十三条网信部门在履行职责中，发现网络运营者数据安全管理责任落实不到位，应按照规定的权限和程序约谈网络运营者的主要负责人，督促整改。

　　第三十四条国家鼓励网络运营者自愿通过数据安全管理认证和应用程序安全认证，鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的应用程序。

　　国家网信部门会同国务院市场监督管理部门，指导国家网络安全审查与认证机构，组织数据安全管理认证和应用程序安全认证工作。

　　第三十五条发生个人信息泄露、毁损、丢失等数据安全事件，或者发生数据安全事件风险明显加大时，网络运营者应当立即采取补救措施，及时以电话、短信、邮件或信函等方式告知个人信息主体，并按要求向行业主管监管部门和网信部门报告。

　　第三十六条国务院有关主管部门为履行维护国家安全、社会管理、经济调控等职责需要，依照法律、行政法规的规定，要求网络运营者提供掌握的相关数据的，网络运营者应当予以提供。

　　国务院有关主管部门对网络运营者提供的数据负有安全保护责任，不得用于与履行职责无关的用途。

　　第三十七条网络运营者违反本办法规定的，由有关部门依照相关法律、行政法规的规定，根据情节给予公开曝光、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照等处罚;构成犯罪的，依法追究刑事责任。

　　第五章 附 则

　　第三十八条本办法下列用语的含义：

　　(一)网络运营者，是指网络的所有者、管理者和网络服务提供者。

　　(二)网络数据，是指通过网络收集、存储、传输、处理和产生的各种电子数据。

　　(三)个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

　　(四)个人信息主体，是指个人信息所标识或关联到的自然人。

　　(五)重要数据，是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据，如未公开的政府信息，大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。

　　第三十九条涉及国家秘密信息、密码使用的数据活动，按照国家有关规定执行。

　　第四十条本办法自 年 月 日起施行。