DataLaws观点 |《数据安全管理办法》修改建议汇总（上

《数据安全管理办法（征求意见稿）》（以下简称《办法》）修改建议汇总由上海交通大学法学院何渊副教授及上海交通大学法学院的潘瑜婧、 魏雪颖及嵇若琳等三位同学一起整理，感谢大家的辛苦劳动！

引言：近期，国家网信办发布了《数据安全管理办法》，标志着我国数据法律制度的建设进入一个新的阶段，引起了法学界和企业界的广泛关注。为此，数据法盟（DataLaws）联合上海交通大学法学院合规研究中心举行了第四期“数据合规沙龙”，针对国家网信办四新规征求意见稿召开了闭门研讨会，同时还通过组织专题座谈会、书面征求意见、头部企业调研等多种形式，广泛征求了企业法务、合规专员、信息安全官、数据保护官、高校学者等来自全国60多名行业内专家的意见，形成了本《办法》的修改建议汇总。

特别感谢上海市经信委和上海市数据治理与安全生产产业专业委员会，他们的《办法》修改意见汇总给本文提供了有力的支撑！

由于《办法》修改建议汇总全文篇幅过长，我们将分成上、中、下三篇共享给大家，请大家多批评指正！以下是《数据安全管理办法》修改建议汇总（上）：

1、建议延长《办法》征求意见时间

原文：

意见反馈截止时间为2019年6月28日。

修改建议：

建议调整《办法》征求意见反馈截止时间为2019年9月28日。

修改理由：

数据安全和治理的基本原则是多方共治，在个人信息保护和数据安全保障方面，应充分重视并调动网络运营者行业组织的作用。网络运营者行业组织应当履行行业自律职责，在个人信息保护和数据安全保障上制定行业标准或者规范，并予以监督落实。考虑到一个月的意见征求期较短，为了充分调动数据安全各责任主体的积极性，平衡多方利益，妥善规定网络运营者责任，建议延长《数据安全管理办法》的征求意见时间。

2、建议明确“网络运营者”的概念

应明确将“根据法律法规授权获取个人信息的机关单位”排除于本办法调整的范围。

理由：

政府机关、履行公共职能的事业单位若与市场主体以同一标准适用本办法的相关规定（如第八条），显然不合理，因此应排除适用。而另一方面，对于本办法规定的有关保护的措施，上述机关单位也可适用。

3、建议明确“个人信息”中“个人”的指代

可借鉴美国的做法，让各部委、各行业从自己的角度，结合自身特点，分别制定相应的个人信息保护规范。

理由：

“个人信息”中的“个人”到底指代为何，仍待明确。

          “一刀切”的规定不利于个人信息保护的实效性和实操性。

4、第一条

原文：

为了维护国家安全、社会公共利益，保护公民、法人和其他组织在网络空间的合法权益，保障个人信息和重要数据安全，根据《中华人民共和国网络安全法》等法律法规，制定本办法。

修改建议：

观点一：建议修改为“为了维护个人信息和重要数据安全，保护公民、法人和其他组织在网络空间的合法权益，社会公共利益，国家安全，根据《中华人民共和国国家安全法》《中华人民共和国网络安全法》等法律法规，制定本办法。”

观点二：明确本管理办法的立法目的（保障国家安全还是保护个人信息安全？）。

观点三：明确本管理办法的定位为“保护数据安全”，不涉及数据安全的内容可以剔除（如第十三条、第二十三条、第二十四条中的有关内容）。

修改理由：

观点一：立法目的表述顺序通常由近及远，立法依据不仅包括《网络安全法》，同时也应包括《国家安全法》。

观点二：保护国家安全和保护个人信息，这两者的保护目的实际上不同，保护个人信息安全涉及个人隐私与个人权利。混合目的使得对后续具体条款的规定难以明确。

观点三：定位模糊会带来一系列问题。本办法既然名为《数据安全管理办法》，应侧重于对“数据安全”的规定。

5、第二条

原文：

在中华人民共和国境内利用网络开展数据收集、存储、传输、处理、使用等活动（以下简称数据活动），以及数据安全的保护和监督管理，适用本办法。纯粹家庭和个人事务除外。

修改建议：

建议后文增加数据存储、传输、销毁等方面内容。

修改理由：

后文实际条款只有数据收集、处理使用两个部分，与本条内容存在出入。

6、第五条

原文：

在中央网络安全和信息化委员会领导下，国家网信部门统筹协调、指导监督个人信息和重要数据安全保护工作。

地（市）及以上网信部门依据职责指导监督本行政区内个人信息和重要数据安全保护工作。

修改建议：

在中央网络安全和信息化委员会领导下，国家网信部门统筹协调、指导监督个人信息和重要数据安全保护工作。

地（市）及以上网信部门依据职责指导监督在本行政区内注册的企业开展个人信息和重要数据安全保护工作。

修改理由：

“本行政区”范围宽泛，指导监督的具体对象和范围不够明确，建议按照“注册所在地”的标准，明确监管范围，避免多行政区（市）及以上网信部门同时监管同一企业的情况，造成执法资源浪费。

7、第六条

原文：

网络运营者应当按照有关法律、行政法规的规定，参照国家网络安全标准，履行数据安全保护义务，建立数据安全管理责任和评价考核制度，制定数据安全计划，实施数据安全技术防护，开展数据安全风险评估，制定网络安全事件应急预案，及时处置安全事件，组织数据安全教育、培训。

修改建议：

观点一：建议修改为“制定数据安全保护计划，开展数据安全风险评估，实施数据安全技术防护，落实数据安全事件应急预案，响应并处置数据安全事件，……”。并对“网络流程应急响应”进行具化阐述。

观点二：删去“按照有关法律、行政法规的规定，参照国家网络安全标准”的表述。

修改理由：

观点一：

（1）条款对于网络运营者开展数据安全工作描述与一般性数据安全保护工作顺序存在出入；

（2）网络事件流程应急响应与数据安全保护无直接关联。

观点二：

该条所规定的“参照国家有关标准”，含义较为宽泛，容易造成理解歧义、执行困难的问题，建议删掉“参照国家有关标准”或进一步限定国家标准的范围。

8、第七条

原文：

网络运营者通过网站、应用程序等产品收集使用个人信息，应当分别制定并公开收集使用规则。收集使用规则可以包含在网站、应用程序等产品的隐私政策中，也可以其他形式提供给用户。

修改建议：

观点一：建议删除“分别”。

观点二：“可以”包含在网站、应用程序等产品的隐私政策中，调整为“应该”。“也可以”，调整为“并”，同时用列举+兜底的方式对“其他形式”进行限定。

修改理由：

观点一：网络产品、服务应当依据功能分类，采取通用个人信息收集使用规则：

（1）网络产品和服务的基本功能，一般不会因为技术呈现方式的不同而发生改变。在实质性功能一致情况下，应当围绕对应的功能进行具体说明，形成一套通用的收集使用规则。

（2）在实践中，多套个人信息收集使用规则会给企业合规和用户认知带来重大挑战。一方面，企业需要在不同呈现方式的入口处，需就个人信息收集使用规则重复征求用户同意，产品体验伤害巨大，维护成本高。另一方面，针对用户隐私政策应当清晰易懂，维持多种版本的收集使用规则，会增加用户阅读理解的负担。

观点二：这里用的是“也可以”的表述，意味着收集使用规则可以仅通过其他形式提供给用户而不是必须包含在隐私政策中，这与《App违法违规收集使用个人信息行为认定方法（征求意见稿）》第一条第一项似乎存在矛盾之处。

9、第八条

原文：

收集使用规则应当明确具体、简单通俗、易于访问，突出以下内容：

（一）网络运营者基本信息；

（二）网络运营者主要负责人、数据安全责任人的姓名及联系方式；

（三）收集使用个人信息的目的、种类、数量、频度、方式、范围等；

（四）个人信息保存地点、期限及到期后的处理方式；

（五）向他人提供个人信息的规则，如果向他人提供的；

（六）个人信息安全保护策略等相关信息；

（七）个人信息主体撤销同意，以及查询、更正、删除个人信息的途径和方法；

（八）投诉、举报渠道和方法等；

（九）法律、行政法规规定的其他内容。

修改建议：

观点一：建议删除“姓名及”“ 数量、频度、”“撤销同意，以及”，将本条修改为：

收集使用规则应当明确具体、简单通俗、易于访问，突出以下内容：

（一）网络运营者基本信息；

（二）网络运营者数据安全责任部门或个人信息保护部门的联系方式；

（三）收集使用个人信息的目的、种类、方式、范围等；

（四）个人信息保存地点、期限及到期后的处理方式；

（五）向他人提供个人信息的规则，如果向他人提供的；

（六）个人信息安全保护策略等相关信息；

（七）个人信息主体查询、更正、删除个人信息的途径和方法；

（八）投诉、举报渠道和方法等；

（九）法律、行政法规规定的其他内容。

建议第二条改为公示部门联系方式，或者改为“网站主要负责人、数据安全责任人联系方式向相关主管部门备案。”同时，对第十七条中的“数据安全责任人”，也一并修改为“数据安全责任部门或个人信息保护部门”或“备案”。

观点二：删除第二项中明确“网络运营者主要负责人的姓名及联系方式”要求。

修改理由：

观点一：（1）现实中，网络运营者内部人员职位变动概率较高，频繁公示、更换姓名会给企业日常维护带来较高的成本，不良的用户认知、体验；现实网络环境中，对运营者个人信息的公开披露，可能给其个人生活造成困扰（例如网络“黑粉”的人肉骚扰）

（2）网络产品收集个人信息的数量和频度，会根据用户选择使用的产品版本不同、选择的业务功能不同、面临的安全风险不同等主客观原因而实时发生变化，难以量化，规制可能带来使用规则的晦涩难懂、冗长繁琐。且在实践中，境内外隐私政策也极少涉及此类。

（3）撤回同意与合同法第八条确立的依合同履行义务原则直接冲突，若无上位法授权，即便《办法》作为规章，也不应当新增这项要求。另外，《立法法》第八十条明确规定，没有法律或者国务院的行政法规、决定、命令的依据，部门规章不得设定减损公民、法人和其他组织权利或者增加其义务的规范。因此，《办法》不适宜增加网络运营者配合撤回同意权利实现的义务。

观点二：突出网络运营者主要负责人的姓名及联系方式，可能也会给主要负责人带来信息公开的烦恼。

10、第九条

原文：

如果收集使用规则包含在隐私政策中，应相对集中，明显提示，以方便阅读。另仅当用户知悉收集使用规则并明确同意后，网络运营者方可收集个人信息。

修改建议：

观点一：建议本条修改为：第九条 如果收集使用规则包含在隐私政策中，应相对集中，明显提示，并经被收集者明确同意。

观点二：建议将第二句修改为“当用户知悉收集使用规则并明确同意后，网络运营者方可收集个人信息，法律行政法规另有规定的除外”，或增加豁免条款。

观点三：将隐私与个人信息两个概念区分开来，对敏感信息、非敏感信息与隐私的关系进行界定。

观点四：删去“如果……包含在隐私政策中”，即“收集使用规则应相对集中，明显提示，以方便阅读。另仅当用户知悉收集使用规则并明确同意后，网络运营者方可收集个人信息。”

修改理由：

观点一、二：不能将先行同意收集使用规则作为收集个人信息的绝对前提。

（1）本条规定过于严格和绝对化，难以涵盖实践中的数据收集情形。无论是网站还是应用程序，在用户同意隐私权政策等收集使用规则前，网站因为履行网络安全合规责任、安全风控的需求，在用户访问时，就会先行收集cookie及用户IP等访问日志，以及软硬件特征等设备适配信息，这类信息根据《信息安全技术个人信息安全规范》，也属于广义的个人信息范畴。

实践中，很多APP用户并不需要注册或者登录就可以使用，用户也保持相对匿名的状态，如果都要求用户先提示阅读隐私政策，既缺乏必要性也影响用户体验。据此，建议收集使用规则的告知同意方式与《网络安全法》的措辞保持一致。

观点三：我国的隐私概念与美国不同，美国法上的隐私是“大隐私”，包括了个人一般信息与非敏感信息，而我国的隐私是“小隐私”，是绝对人格权。其概念为“非常私密不为其他人所知的信息”，即使是在用户个人同意的情况下也不能被处分。对于非敏感信息，可以对企业在用户未同意情况下进行数据收集的行为进行规制。

观点四：收集使用规则相对集中、明显提示的要求，是否仅限于包含在隐私政策的情形？是否应该作为收集使用规则的普适要求，不论其是包含在隐私政策中，还是包含在用户协议、用户个人信息授权协议等其他形式的文本中？普适要求的落实成本不高，可能更能保障易读性。

11、第十条

原文：

网络运营者应当严格遵守收集使用规则，网站、应用程序收集或使用个人信息的功能设计应同隐私政策保持一致，同步调整。

修改建议：

建议本条修改为：第十条 网络运营者应当严格遵守收集使用规则，网站、应用程序收集或使用个人信息的功能设计发生重大变更时，应及时调整隐私政策。

修改理由：

同步调整收集使用规则在实践中无法实现，且缺乏必要性

（1）实践中，隐私政策应随着业务功能的调整而变更，而不是让业务功能设计与隐私政策保持一致。

（2）为保证收集使用规则的稳定性，隐私权政策的变更，往往会发生在业务功能设计有重大变化的情况下，且很多功能设计改变，较少会涉及收集使用目的、方式、范围的改变，在不涉及基本功能的日常维护更新下频繁改变隐私权政策是不现实的。

（3）隐私条款的更新能否以对应业务场景中通过增强式告知取得用户的授权同意来实现。

12、第十一条

原文：

网络运营者不得以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由，以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息。

个人信息主体同意收集保证网络产品核心业务功能运行的个人信息后，网络运营者应当向个人信息主体提供核心业务功能服务，不得因个人信息主体拒绝或者撤销同意收集上述信息以外的其他信息，而拒绝提供核心业务功能服务。

修改建议：

观点一：

请明确本条款与《互联网个人信息安全保护指南》冲突条款的适用问题。

建议本条修改为：除非用户明确同意，网络运营者不得单独以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由收集个人信息。不得以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息。

进一步具体阐述“核心功能”的含义。

观点二：

将本条修改为“网络运营者不得强迫、误导个人信息主体同意其收集个人敏感信息。”

观点三：

   （1）调整为“网络运营者不得单独以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由收集个人信息。不得以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息。”

    （2）删除第二款“核心功能”的“核心”限定，增加“相应”业务功能，即“个人信息主体同意收集保证网络产品业务功能运行的个人信息后，网络运营者应当向个人信息主体提供相应业务功能服务，不得因个人信息主体拒绝或者撤销同意收集上述信息以外的其他信息，而拒绝提供相应业务功能服务。”  

修改理由：

观点一：

与已有有法律冲突，对于定推等创新限制过于严格

（1）公安部等三部门联合发布的《互联网个人信息安全保护指南》中曾规定：“完全依靠自动化处理的用户画像技术应用于精准营销、搜索结果排序、个性化推送新闻、定向投放广告等增值应用，可事先不经用户明确授权”，与本条款存在不一致情况。

（2）本条第一款前后句分别描述的是目的违规和方式违规两种可能的违规行为，应当分别说明。对于目的而言，改善服务质量、提升用户体验、定向推送信息、研发新产品属于保障网络产品持续创新运营乃至数字经济持续发展所必需的正当目的，直接禁止容易引发重大误解，影响创新和产业发展，且无任何国内国际立法先例可循。

（3）本条款提到的“核心功能”，在实践中定义较为模糊，需要进一步具体的阐述。（核心业务功能的范围如何界定，是否有可供参考的标准？核心业务功能的范围由谁界定，是否可由企业针对自身产品定位进行确认？）

观点二：

（1）第一款前半句与后半句无明显关联，极容易造成歧义。

从国际国内相关立法来看，目前，欧盟、美国、新加坡等多地的数据保护法并无禁止以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由收集、使用个人信息的先例。

从产品创新、发展的角度而言，改善服务质量、提升用户体验、定向推送信息、研发新产品，属于数据应用的典型场景、也是互联网行业得以发展创新、数字经济得以增长的关键，这些场景应为为用户提供服务所必须使用的典型必要场景，应与其他所有数据使用场景相同，适用同样的收集使用规则。因此，建议删除“以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由”，不强调具体场景。

（2）“默认授权”不是一个法律概念，“功能捆绑”概念模糊、范围无法明确界定，如果产品中存在两个功能相关的情形，界定捆绑关系更加困难。此外，明确授权或默认授权，功能捆绑与否，均有可能产生强迫、误导的效果。因此，建议不要对强迫、误导的形式进行不周延的列举，从而从体系、上下文解释的方式将对应的一些实际可能产生强迫、误导效果的行为（例如明确授权）排除在外，建议删除默认授权、功能捆绑的定义。

（3）核心业务功能与非核心业务功能的区分，在国际国内数据保护法并无相关的先例。而且，市场环境瞬息万变，竞争激烈，难以界定产品的核心功能与非核心业务功能。某些产品功能形态多样，难以明确划分核心与非核心功能。反之，以个人信息类型来做区分，划分信息的敏感程度、分级分类，是实践中的普遍做法，也能更好地保护用户信息。建议恢复以个人信息类型为区分方式，取消区分核心业务功能与非核心业务功能，删除本条第二款。

观点三：

（1）《个人信息安全规范（征求意见稿）》和《App违法违规认定方法（征求意见稿）》的思想整体保持一致，即不得将改善服务质量、提升用户体验、定向推送信息、研发新产品等单独作为基本业务功能，不得单独作为收集用户个人信息的目的。而本条似乎可以理解为，如果不强迫、不误导个人信息主体同意收集其个人信息，改善服务质量、提升用户体验、定向推送信息、研发新产品等可以作为收集个人信息的理由。

（2）未决问题，非核心业务功能是否也应适用不得因拒绝提供非必要信息就拒绝提供服务的要求。个人信息收集的必要性原则并非只适用核心业务功能，而是适用于所有收集个人信息行为的要求。如果非核心业务功能允许网络运营者超出必需收集范围收集，且个人信息主体不同意就拒绝提供服务，实际上违反了必要性原则的要求，侵害了用户权益。

13、第十二条

原文：

收集14周岁以下未成年人个人信息的，应当征得其监护人同意。

修改建议：

观点一：进一步细化未成年个人信息的分级节点和处理方式

观点二：将本条修改为“专门向未成年人提供服务的互联网运营者收集明知是14周岁以下未成年人个人信息的，应当征得其监护人同意。”

观点三：明确“以下”是否包括本数，并与《儿童个人信息网络保护规定（征求意见稿）》保持一致。

修改理由：

观点一：

（1）我国的民法总则、刑法关于未成年人年龄的节点一般有8周岁（无民事行为能力人）、14周岁（不承担刑事责任）、16周岁（以劳动为主要收入视为具有完全民事行为能力人）、18周岁（未成年）。现实中，14周岁以上的未成年人一般处于在校学习阶段，往往仍未有劳动收入，无法对其行为的法律后果承担与完全民事行为能力人同样的法律后果，如在校大学生申请“校园贷”等互联网借款产品，后续无法还款所导致的悲剧时常爆出。此处能否进一步细化关于未成年个人信息分级管理，兼顾未成年人各个年龄段的不同特点，细化收集未成年个人信息的处理方式，与民法分级规定保持一致，可借鉴《个人信息安全规范》相关规定。

（2）实践中，如何界定企业收集或可能收集了14周岁以下未成年个人信息，以及如何明确监护人同意方式。不少企业已探索或者上线的青少年模式（成年人监督下的实名制注册）是否可以当做已经获得了监护人同意。

  观点二：

对于企业而言，判断用户是否为14周岁以下难以实现。对于如何认定征得监护人同意，也是实践中的一个难点。即便是要求用户填写年龄信息，也可能是用户自主选择的结果，可能填写不真实的信息。而美国儿童在线隐私保护法（Children's Online Privacy Protection Act，COPPA）规定，要求针对儿童的网站或在线服务的经营者实际知道从儿童处收集信息的时候，才需要征得监护人同意。建议参照COPPA规定，限定为“明知”是14周岁和专门提供面向儿童服务的网络运营商。

观点三：“14周岁以下”，一般而言，以上以下包括本数，此处并未明确是否包括本数。《儿童个人信息网络保护规定（征求意见稿）》界定范围为“不满14周岁”。如果按照“以下”包括本数，两个规定之间存在矛盾之处，建议统一。

14、第十三条

内容：

网络运营者不得依据个人信息主体是否授权收集个人信息及授权范围，对个人信息主体采取歧视行为，包括服务质量、价格差异等。

修改建议：

观点一：建议修改为：网络运营者不得依据个人信息主体是否授权收集个人信息及授权范围，不得违反法律、行政法规的规定和双方的约定对个人信息主体采取价格和服务的歧视。

观点二：网络运营者不得依据个人信息主体是否授权收集个人信息及授权范围，对个人信息主体采取非法的区别对待行为。

修改理由：

观点一：

价格歧视视行为产生有其市场原因，监管需要考虑必要的场景限定条件。

在市场经济环境下，价格歧视和服务歧视需要在特定场景与行业中才能确定为属于违规行为。例如，金融行业的征信与价格相关，信息获取范围必然与金融服务的价格（利率）等挂钩；基于个性化服务，不同消费者会看到不同类型、不同价格的商品；提交会员信息加入某品牌的会员，确实可能会享受更多价格优惠或者更好的服务；同一种商品在不同地区价格存在差异，消费者提交不同地理位置信息，可能会看到不同的价格。

观点二：

歧视的法律含义应当是指非法的区别对待，比如法律上明令禁止的性别歧视、年龄歧视、种族歧视等。《中华人民共和国宪法》第三十三条规定：“中华人民共和国公民在法律面前人人平等。”“任何公民享有宪法和法律规定的权利，同时必须履行宪法和法律规定的义务。”通过这条宪法规定，可以明确宪法对全体公民一视同仁，任何依据民族、种族、性别、职业、家庭出身等对公民进行不合理的差别对待都是违反宪法规定的。然而，从资源分配和市场竞争角度而言，存在合理的差别对待情形。比如，打车软件在下班高峰期适当提高价格，属于正常的商业竞争行为，不应被纳入歧视的范畴，但如果大幅度提高价格，则构成非法地区别对待。又比如，预测用户浏览某一时段飞机而在用户后续浏览时故意大幅度抬高价值，则构成非法地区别对待。该规定不应当限制合理的差别对待。因此，建议改为不得“对个人信息主体采取非法的区别对待行为”。

来源：数据法盟（DataLaws）