运营者|《网络数据安全管理条例》草案,有哪些首创性规定?

运营者|《网络数据安全管理条例》草案,有哪些首创性规定?
文章插图
作者|游云庭,上海大邦律师事务所高级合伙人、知识产权律师
近日,国家网信办发布了《网络数据安全管理条例(征求意见稿)》[i](以下简称“草案”),这是《网络安全法》、《数据安全法》和《个人信息保护法》三大数据法规在执行层面的重要的配套法规,有不少规范互联网产业的首创性规定,互联网平台数据责任和违规代价都空前巨大,草案对面向消费者的快消、商超这些行业也有不小的影响,今天就该草案的产业影响谈谈我的个人观点。
一、规范互联网产业的首创性规定草案中有很多对互联网产业进行规范的具体规定,不少还是首创的:
1、爬虫不得干扰网络服务义务
【 运营者|《网络数据安全管理条例》草案,有哪些首创性规定?】草案规定互联网公司用爬虫等自动化工具访问、收集数据时,应当评估对网络服务的性能、功能带来的影响,不得干扰网络服务的正常功能。如有违反法律、行政法规或者行业自律公约、影响网络服务正常功能,或者侵犯他人知识产权等合法权益的情况,应当停止访问、收集数据行为并采取相应补救措施。
爬虫影响互联网公司正常服务其实法律风险很大,前不久公布的公安破获某电商网站直播数据被爬[ii],新闻里说就是因为爬虫造成直播异常才报的案,草案对此进行明确确实很有必要。
2、平台对第三方插件收集个人信息的集中展示义务
平台上的第三方插件一直是数据违规的高发领域。比如可能通过数据违规采集直接颠覆了美国大选结果的facebook剑桥事件,数据泄露的途径就是就是facebook上一个不起眼的第三方性格分析小程序。[iii]
国内API、SDK接入不规范的情况其实也不少见,草案规定,平台应以集中展示等便利用户访问的方式说明产品服务中嵌入的所有收集个人信息的第三方代码、插件的名称,以及每个第三方代码、插件收集个人信息的目的、方式、种类、频次或者时机及其个人信息处理规则。对此,笔者非常认同,公开透明可以引入社会的力量监督平台和第三方进行数据规范,是解决问题的好办法。
3、平台规则隐私协议合规门槛高
草案对互联网平台规则、隐私政策和算法策略披露提出了新的要求;平台规则、隐私政策制定或者对用户权益有重大影响的修订前应当公开征求意见,并充分采纳公众意见,公布意见采纳情况,说明未采纳的理由,接受社会监督。
日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。
以后互联网公司修订平台规则和隐私政策前的公示会很重要,其必须尊重用户反馈并保留相应记录才能做到合规,至于大型平台,法律要求更高,除了公众监督,网信部门、电信部门和第三方评估机构也会监督。
4、互联互通义务
前阵工信部曾要求各经营即时通讯的平台限期内必须按标准解除网址屏蔽,但该要求没有落实到具体的行政法规上,这次网信办则直接在草案中规定了互联网平台的互联互通义务:互联网平台运营者面向公众提供即时通信服务的,应当按照国务院电信主管部门的规定,为其他互联网平台运营者的即时通信服务提供数据接口,支持不同即时通信服务之间用户数据互通,无正当理由不得限制用户访问其他互联网平台以及向其他互联网平台传输文件。
平台拒绝互联互通本质上是《反垄断法》上拒绝交易的滥用市场支配地位行为,某即时通讯软件屏蔽竞争对手之后曾引发了几个《反垄断法》诉讼,笔者还代理了其中的一个。但打民事官司比较旷日持久,如果草案近期生效,苦主们直接到网信办行政投诉,效率肯定会高不少。