DataLaws观点 |（中篇）《数据安全管理办法》修改建议汇总

《数据安全管理办法（征求意见稿）》（以下简称《办法》）修改建议汇总由上海交通大学法学院何渊副教授及上海交通大学法学院的潘瑜婧、 魏雪颖及嵇若琳等三位同学一起整理，感谢大家的辛苦劳动！

引言：近期，国家网信办发布了《数据安全管理办法》，标志着我国数据法律制度的建设进入一个新的阶段，引起了法学界和企业界的广泛关注。为此，数据法盟（DataLaws）联合上海交通大学法学院合规研究中心举行了第四期“数据合规沙龙”，针对国家网信办四新规征求意见稿召开了闭门研讨会，同时还通过组织专题座谈会、书面征求意见、头部企业调研等多种形式，广泛征求了企业法务、合规专员、信息安全官、数据保护官、高校学者等来自全国60多名行业内专家的意见，形成了本《办法》的修改建议汇总。

特别感谢上海市经信委和上海市数据治理与安全生产产业专业委员会，他们的《办法》修改意见汇总给本文提供了有力的支撑！

由于《办法》修改建议汇总全文篇幅过长，我们将分成上、中、下三篇共享给大家，请大家多批评指正！昨天发布的是《数据安全管理办法》修改建议汇总（上篇）点击阅读

以下是《数据安全管理办法》修改建议汇总（中篇）：

15、第十四条

原文：

网络运营者从其他途径获得个人信息，与直接收集个人信息负有同等的保护责任和义务。

修改建议：

网络运营者从其他途径获得个人信息，同样负有法律法规规定的数据安全保护责任和义务。

修改理由：

（1）间接收集信息者应当负安全保护责任和义务，但该义务不应界定为“与直接收集个人信息同等”。间接收集信息者应当负安全保护责任和义务，但该义务不应界定为“与直接收集个人信息同等”。如何认定两者尽到同等的责任和义务？是包含数据收集、使用、处理等各方面，还是仅包括数据安全方面，防止数据泄露事故方面？这些问题未有清晰的界定。且同等责任与现有法律责任认定机制相矛盾，这里的责任包括民事责任、行政责任乃至行政责任。民事责任一般根据合同约定；刑事责任需法院根据具体情节定罪量刑；行政责任也需要执法机关根据具体情节进行判断。

（2）间接收集信息方既存在提供更高安全保护水平的情况，也可能存在提供较低安全保护水平但已经达到法律规定的保护水平的情况，应当肯定上述任一一种情形，间接收集信息方都达到了法律规定的保护水平，均值得肯定和认可。等同责任会让企业因担心不确定的数据安全责任，而不愿意推动数据流动，进而影响大数据产业的发展。因此，建议删除“与直接收集个人信息负有同等的保护责任和义务”，改成“依据法律法规，承担安全保护责任和义务”。

16、第十五条

原文：

网络运营者以经营为目的收集重要数据或个人敏感信息的，应向所在地网信部门备案。备案内容包括收集使用规则，收集使用的目的、规模、方式、范围、类型、期限等，不包括数据内容本身。

修改建议：

观点一：建议完善本条。

观点二：删除本条。

修改理由：

观点一：

（1）从法律角度而言，本条规定缺乏相关的上位法依据，可能违反《立法法》的规定。若备案附带网信部门审核要求，则还有可能涉嫌新设审批，违反《行政许可法》。

（2）从实践角度而言，对于“以经营为目的”概念、场景的界定较为模糊，是仅仅指依赖数据获取和提供为日常业务的情形，还是指业务开展过程中涉及使用收集的行为均包含在内，尚待确认。同时，对于收集信息的数量也未明确限定，待监管明确。

（3）备案流程和程序性规定不明确，“所在地”是指法人注册所在地、经营所在地还是数据中心所在地，网信部门需要明确是市级还是省级。

（4） “个人敏感信息”定义模糊，上文并未有过相同表述，下文第十七条条同理。

（5）若按照广义理解来执行，该备案要求几乎覆盖了大部分存在网络业务的经营者，涉及范围极广，该范围是否过于广泛，有待商榷；同时，这对监管部门的监管成本和能力也会提出很高的要求，而且备案具有较高的不确定性和成本，过于漫长的流程和排队会影响互联网企业的产品服务创新；在简政放权和互联网投融资寒冬的背景下，不建议再增加互联网企业的负担。

（6）重要数据和个人敏感信息处于动态收集的过程，其收集使用规则、目的、规模、方式、范围、类型和期限都可能随着网络运营者的业务发展方向、经济和市场环境的变化而产生变化，也就意味着备案的内容也会处于动态变化过程中。发生何等变化时，需要重新备案，本条并未明确。

观点二：

（1）本条缺乏相关的上位法依据。本条要求网络运营者以经营为目的收集重要数据或个人敏感信息的主体应向网信部门备案，并无相关的上位法依据。

（2）该备案规定较为宽泛，没有具体的操作细则。包括如何备案，以什么样的频率进行备案，是否收集信息类型发生变更就需要备案等，都尚未明确，给企业在实践执行上造成了一定的难度。

（3）容易导致多头监管，无法集中解决问题。目前，公安部、市场监管总局也要求相关运营主体向这些机构备案个人信息。多次备案，可能导致各个机构标准不一、资源分散、执行困难等问题。另外，对企业而言，数据是网络运营者重要的商业资源，多次备案可能引起商业秘密泄露的风险。因此，建议将本条规定删除。

17、第十六条

原文：

网络运营者采取自动化手段访问收集网站数据，不得妨碍网站正常运行；此类行为严重影响网站运行，如自动化访问收集流量超过网站日均流量三分之一，网站要求停止自动化访问收集时，应当停止。

修改建议：

观点一：网络运营者采取自动化手段访问收集其他网络运营者数据，不得妨碍其网络服务功能正常运行。

观点二：将本条修改为“网络运营者采取自动化手段访问收集网络数据，应当征得被收集网络平台的同意，除非法律法规另有规定或按行业惯例允许收集。收集数据不得干扰被收集方网站的正常运行，被收集方要求停止自动化访问收集的，收集方应当及时停止。”

观点三：建议修改为“网络运营者采取自动化手段收集网站数据，如干扰网站的正常运行，被收集网站可以要求网络运营者停止收集活动。”

修改理由：

观点一：

（1）在技术上，“收集网站数据”描述过于简单了，还有收集API接口数据等情况对被收集对象也会带来负面影响。

（2）在实践中，网站的流量统计需要一个较为权威、标准的口径，三分之一的标准是否需要第三方评估，需要条款进行进一步明确。

观点二：

（1）本条规定网络爬虫的法律红线，但“自动化访问收集流量超过网站日均流量三分之一”，不一定构成严重影响网站运行的程度，判断是否严重影响网站运行难以量化，需根据具体情况进行判断。建议不要将是否严重影响网站运行限定在具体的数字范围，在网站要求停止自动化访问收集时，应当停止相关数据爬取行为。

（2）数据爬取根据具体内容，可能涉及侵犯著作权、商业秘密、用户个人信息、反不正当竞争法保护等法律竞合内容，建议进行原则性规定，即调整为网络运营者采取自动化手段访问收集网络数据，应当征得被收集网络平台的同意，除非法律法规另有规定或按行业惯例（或robots协议等条款）允许收集。避免出现违反被爬取方的意愿，规避网站设置的反爬虫措施、强行突破其反爬措施等情形。

观点三：

（1）该条针对网络爬虫进行规制。对该条的理解存在多种歧义，如：是不是只有当“严重影响网站运行”时才产生法律后果？是否只有当自动化访问收集流量超过日均流量1/3时才产生法律后果？并且实践中，很少有一个IP地址扒取超过1/3的流量，如果多个IP地址累积扒取超过1/3流量，那么哪一个IP承担法律后果？针对此类网络入侵建议交给《刑法》和《反不正当竞争法》进行约束。

（2）考虑实践中“增加网站流量”不是衡量网站正常运行或网站性能的较好指标，建议删除此类表述，而以体现收集方和被收集方的双方意愿为主。当被收集方通过自身技术手段感知其网站无法正常运行时，可要求收集方停止收集行为。

（3）若对“明显增加网站流量”进行量化，需综合考虑收集网站数据的周期、频率等因素来计算收集数据的流量，实际操作中存在较多不确定因素，现有表述方式可以做出不同解读，容易引起歧义，建议删除。

18、第十七条

原文：

网络运营者以经营为目的收集重要数据或个人敏感信息的，应当明确数据安全责任人。数据安全责任人由具有相关管理工作经历和数据安全专业知识的人员担任，参与有关数据活动的重要决策，直接向网络运营者的主要负责人报告工作。

修改建议：

观点一：建议将本条修改为“网络运营者以经营为目的收集重要数据或个人信息的，规模较大的企业应当明确独立数据安全责任人，规模较小的企业应当明确专人负责数据安全。数据安全责任人由具有相关管理工作经历和数据安全专业知识的人员担任，参与有关数据活动的重要决策，直接向网络运营者的主要负责人报告工作。”

观点二：明确如何理解“以经营为目的”。

观点三：将本条修改为“网络运营者收集重要数据或个人敏感信息的，应当明确数据安全责任部门。

数据安全责任部门由具有相关管理工作经历和数据安全专业知识的人员组成，参与有关数据活动的重要决策，直接向网络运营者的主要负责人报告工作。”

修改理由：

观点一：

（1）“个人敏感信息” 定义比较模糊，与“个人信息”是否存在差异，建议全文统一用“个人信息”表述，或是对“个人敏感信息”进行进一步具化说明。

（2）数据安全责任人这个岗位是否可以和其他安全责任人重复，对于中小企业而言单独设立具备相当专业技能的数据安全责任人岗位是不小的成本，或是对网络运营者的规模进行分类管理，并进行明确阐述。

观点二：

对于“以经营为目的”概念、场景的界定较为模糊，是仅仅指依赖数据获取和提供为日常业务的情形，还是指业务开展过程中涉及使用收集的行为均包含在内，尚待确认。

观点三：

（1）网络运营者收集重要数据或个人敏感信息，即应当负有安全保障义务，不应区分是否以经营为目的。《中国人民共和国网络安全法》第四十条规定，网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。第四十九条规定，网络运营者应当建立网络信息安全投诉、举报制度，公布投诉、举报方式等信息，及时受理并处理有关网络信息安全的投诉和举报。网安法并未区分是否以经营为目的。因此，管理办法该条规定缺乏合理依据，不应仅规范以经营为目的主体。

（2）从企业人员流动和职位变化角度，数据安全责任人的姓名难以固定。在企业内部，相关数据安全责任人离职、职位变动等属于常见的人力资源异动情形，这样有可能导致信息收集使用规则的重大变更。依据相关规则，重大变更应当及时告知用户。因此，公布数据安全责任人的姓名，可能导致在实质内容无重大变更的情况下，频繁打扰用户，带来不必要的困扰。此外，当前个人数据泄露事件高发，公布相关人姓名、联系方式，可能导致企业相关人员被人肉搜索，从而被犯罪分子和恶意泄愤等极端分子利用，对企业相关人员人身安全造成威胁。法律不仅应当保护一般用户个人信息，也应保护相关行业从业者的个人信息，不宜在网站上公开从业者姓名、联系方式，导致用户通过隐私政策上下文即可推导出相关人员姓名、联系方式、地址、所在单位等个人敏感信息。

因此，建议删除数据安全责任人的“姓名”，将责任人改成职能部门或机构，更加具有稳定性且起到保护相关人员个人信息的作用。因此，从稳定性和安全性上看，建议将责任人改成责任部门或机构。

19、第十九条

原文：

网络运营者应当参照国家有关标准，采用数据分类、备份、加密等措施加强对个人信息和重要数据保护。

修改建议：

对数据按照重要程度和业务场景进行分类，并采取备份、加密等措施加强对个人信息和重要数据保护。

修改理由：

国家有关标准应当明确，与下文的数据分类的定义对应，是以数据保密性/敏感性分类，还是业务类别分类。

20、第二十条

原文：

网络运营者保存个人信息不应超出收集使用规则中的保存期限，用户注销账号后应当及时删除其个人信息，经过处理无法关联到特定个人且不能复原（以下称匿名化处理）的除外。

修改建议：

观点一：建议本条修改为：网络运营者保存个人信息不应超出收集使用规则中的保存期限，用户注销账号后网络运营者应及时将账户所关联个人信息归档，并在系统中删除，依照法律、行政法规的规定或者双方约定保存的，依照其规定。

观点二：将本条修改为“除法律法规规定外，网络运营者保存个人信息不应超出收集使用规则中的保存期限，用户注销账号后应当在合理的时间内删除其个人信息，经过处理无法关联到特定个人且不能复原（以下称匿名化处理）的除外。”

修改理由：

观点一：与现行法律存在冲突，且删除“个人信息”的要求在一些行业中较为严格

（1）国内诸多法律对个人信息存留提出了明确的要求，包括《网络安全法》对网络日志存留6该月的要求，《电子商务法》对交易信息存储三年的要求等等。另外，对于删除权，《网络安全法》第四十三条明确规定，个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。据此，《办法》本条规定应该增加必要的限定条件，确保在高位法律规定范围内设定删除权。

（2）网络运营注销账号不代表其于改运营服务提供者间业务中断了，比如保险可以网上买也可以线下，线上注销只是不提供APP等服务，依旧会存在线下的保险服务，这种情况下个人信息是无法删除。

（3）个人信息的删除应当在不影响对不当用户账户的不当行为的追溯前提下进行。

观点二：

（1）《中华人民共和国网络安全法》第二十一条第三项规定，采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月。又如，《支付机构反洗钱和反恐怖融资管理办法》第三十一条规定，支付机构应当按照下列期限保存客户身份资料和交易记录：（一）客户身份资料，自业务关系结束当年计起至少保存5年；（二）交易记录，自交易记账当年计起至少保存5年。如客户身份资料和交易记录涉及反洗钱和反恐怖融资调查，且反洗钱和反恐怖融资调查工作在前款规定的最低保存期届满时仍未结束的，支付机构应将其保存至反洗钱和反恐怖融资调查工作结束。同一介质上存有不同保存期限客户身份资料或者交易记录的，应当按最长期限保存。同一客户身份资料或者交易记录采用不同介质保存的，至少应当按照上述期限要求保存一种介质的客户身份资料或者交易记录。法律、行政法规和规章对客户身份资料和交易记录有更长保存期限要求的，遵守其规定。单纯依据信息收集、使用规则，不一定符合法律法规的要求。因此，本条规定应该增加限定条件，明确“法律法规以外，依照信息收集、使用规则进行处理”。

（2）用户在注销后，可能存在账户下资金尚未结算、或相关争议尚待解决的情形，此种情形下，需要继续保留一段时间用户个人信息，此外，为未来争议解决存证取证需要，也需要在用户注销账户后继续保留一段时间用户个人信息。因此，建议将“及时删除其个人信息”改为“在合理时间内删除其个人信息”。

21、第二十一条

原文：

网络运营者收到有关个人信息查询、更正、删除以及用户注销账号请求时，应当在合理时间和代价范围内予以查询、更正、删除或注销账号。

修改建议：

观点一：建议本条修改为“网络运营者应当明示用户信息查询、更正、删除以及用户注销的方式、程序，不得对用户信息查询、更正、删除以及用户注销设置不合理条件。网络运营者收到用户信息查询或者更正、删除的申请的，应当在核实身份后及时提供查询或者更正、删除用户信息。”

观点二：将本条修改为“网络运营者收到有关个人信息查询、更正、删除以及用户注销账号请求时，应当要求用户提供初步证明资料，并在合理时间和代价范围内予以处理。”

修改理由：

观点一：

（1）合理时间和代价范围具有较强的主观性。合理时间是多久，不同行业和场景是否要统一；代价是指数据主体要付出合理的费用，还是网络运营者需考量查询、更正、删除或注销账号所付出的成本，如果超出成本是否可以拒绝数据主体的要求，如何评估。建议参考《电子商务法》等表述，明确网络运营者合理设定相关规则等义务，同时增加必要的响应程序机制限定。

（2）对于用户删除权，这与企业的数据留存义务是相冲突的，需要明确适用场景和范围。

观点二：

（1）网络运营者不应仅在用户请求的情况下，处理其请求。欧盟《一般数据保护条例》（General Data Protection Regulation，GDPR）规定，控制者应当利用所有合理措施来验证请求访问的数据主体的身份，特别是在线上服务和线上鉴定人的情况下。控制者不应当仅仅为了能够应对潜在请求而保留个人数据。因此，网络运营者应当要求用户提供初步证明资料，并在审核相关身份后进行处理。

（2）具体的处理方式属于网络运营者的自主裁量权，在不违反法律法规的前提下，应由网络运营者根据实践情况，综合评估用户请求的合理性和实现成本，决定如何处理。因此，建议删除“查询、更正、删除或注销账号”，改成“处理”。

22、第二十三条

原文：

网络运营者利用用户数据和算法推送新闻信息、商业广告等（以下简称“定向推送”），应当以明显方式标明“定推”字样，为用户提供停止接收定向推送信息的功能；用户选择停止接收定向推送信息时，应当停止推送，并删除已经收集的设备识别码等用户数据和个人信息。

网络运营者开展定向推送活动应遵守法律、行政法规，尊重社会公德、商业道德、公序良俗，诚实守信，严禁歧视、欺诈等行为。

修改建议：

观点一：建议本条修改为：网络运营者利用用户个人信息和算法推送新闻信息等（以下简称“定向推送”），应当以明显方式标明“定推”字样，为用户提供停止接收定向推送信息的功能，用户选择停止接收定向推送信息时，应当停止推送。

网络运营者开展定向推送活动应遵守法律、行政法规，尊重社会公德、商业道德、公序良俗，诚实守信，严禁歧视、欺诈等行为。

观点二：将本条修改为“网络运营者开展定向推送活动应遵守法律、行政法规，尊重社会公德、商业道德、公序良俗，诚实守信，严禁歧视、欺诈等行为。网络运营者利用用户数据推送时政类新闻信息等（以下简称“定向推送”），应当以明显方式标明“定推”字样。网络运营者应为用户提供退出接收利用个人信息推送的广告的选择；用户选择退出接收利用个人信息推送的广告时，应当停止利用个人信息进行定向推送。

观点三：允许企业对“定推”进行灵活处理。将第二款放入总则部门。

观点四：“并删除已经收集的设备识别码等用户数据和个人信息”，调整为“并删除已经基于用户网络浏览历史、兴趣爱好、消费记录和习惯等生成的用户个性化标签。”

观点五：删除“并删除”的要求。

修改理由：

观点一：

（1）“用户数据”概念不明确，前后文未有类似表述，建议将“用户数据”改为“个人信息”，确保前后文保持一致。

（2）基于长期的管理与技术实践，个性化推荐技术已形成了成熟的隐私保护方案，目前行业也未出现相关大规模个人信息泄露或滥用的案例。监管机构应当继续鼓励个性化推荐技术所追求的优化用户体验和中小商家创业助力的初心，进一步优化我国小企业营商环境。

（3）基于大数据和算法的个性化信息流有其合理性和积极意义，也是是数字经济优越性所在。在数字经济尚处于起步阶段的情况下，建议合理平衡相关主体合法权益，在用户合法权益没有明显受损害，且便利用户是个性化推荐技术初衷的情况下，法律应当更加包容，审慎介入监管，注重安全的同事，要兼顾到企业创新和产业发展。

观点二：

（1）从用户感知角度，新闻和广告虽有相似之处，但本质是两类业务模式，在推送逻辑、方式、算法等各方面有存在差异，建议分为两个条款分别对新闻和广告适用的规则进行规定。

（2）“定推”标记的规定与现行广告法有所冲突。《中华人民共和国广告法》第十三条规定，通过大众传播媒介发布的广告应当有广告标记，与其他非广告信息相区别，不得使消费者产生误解。2016年9月1日实施的《互联网管理暂行办法》第七条也明确规定互联网广告要添加“广告”字样。因此，广告法已明确标记“广告”的要求，该条规定标记“定推”，与广告法内容存在冲突。

其次，移动设备的广告位显示面积有限，同时标记“广告”和“定推”实践层面存在客观困难，并且更会让用户产生困扰，难以分辨同时标记“广告”和“定推”的内容本质是什么。

因此，建议针对广告内容，删除“应当以明显方式标明“定推”字样的要求。

（3）大多数信息流产品的逻辑基础都是基于算法，没有算法，绝大多数互联网信息流服务都无法实现，因此不能因为用户选择退出利用个人信息推送，就禁止运营者使用算法。因此，建议删除“算法”的表述。另外，建议本条与《网络安全法》保持一致，“用户数据”不是一个严谨的法律概念，建议将“用户数据”改为“个人信息”，确保法律规范的客体一致。

（4）“定向推送”这一概念模糊，建议使用法律概念加以描述，以明确所规范的范围。因此，建议将“定向推送广告”改为“利用个人信息推送的广告”。

（5）建议删除“并删除已经收集的设备识别码等用户数据和个人信息”，应参考国际做法，并结合国内法律及行业实践情况，仅规定为用户提供选择退出的选项，草案中要求用户选择停止接收，网络运营者就应删除已经收集的设备识别码等用户数据和个人信息不符合现行法律法规要求，行业实践和自律标准，以及互联网产品特性，对于属于互联网产品功能所必要且已获得用户授权同意的个人信息，仍需被产品继续使用从而为用户提供相关功能和服务。并且是否删除相关数据，也应根据网安法等的规定，在用户注销账号后的合理时间内，网络运营者违法或违约收集使用，或用户要求删除等情况下进行删除。

观点三：

（1）“定推”一词并不普及，普通用户可能无法理解。如果用户不理解那么该条的保护目的可能会落空。

（2）第二款实际为一般性条款。

观点四：

用户数据和个人信息服务于定向推送功能的实现，但用户选择停止接受定向推送信息，更多地是不想接受基于其网络浏览历史、兴趣爱好、消费记录和习惯等产生的个性化推荐的信息，而非直接希望网络运营者删除其用户数据和个人信息。而且，收集设备识别码的用途并非仅限于定向推送使用，直接要求删除可能会影响其他功能的使用。

观点五：

（1）本条规定的推送是否可以增加豁免情形，如向平台用户推送信息流广告？

（2）如用户选择停止接受，要求企业删除已经收集的信息是否合理？