5月28日，國家互聯網信息辦公室會同相關部門起草的《數據安全管理辦法（征求意見稿）》（以下簡稱：數據安全辦法）正式向全社會征求意見。

數據安全辦法的上位法是2017年6月1日正式實施的《網絡安全法》，也就是說其規制的是公民、法人、其他組織在網絡空間的行為和權益，確保公民個人信息和重要數據的安全。

我們認為，對于整個大數據行業而言，數據安全辦法是必須認真研究的規則，如有實踐中的不同做法和觀點，請及時反饋立規部門，否則，將影響大數據行業的發展進程和方向。

1.我國的公民個人信息保護，太嚴苛了嗎？

平日里與大數據行業、金融科技行業的朋友交流，大家普遍認為我國的法律對公民個人信息的保護十分嚴苛，尤其是祭出了刑法第253條之一侵犯公民個人信息罪。司法實踐中，不少大數據企業主、從業人員因為不懂法，而誤入刑事犯罪的領域，至今身陷囹圄。

然而，網絡時代，信息海量，總不能所有的information都要經過被采集人的逐一、書面、明確同意。在移植歐盟對公民個人信息保護的相關法律體系的基礎上，我們是否要考慮留出信息商業化的適當空間？值得思考。

咱們來看，正在廣泛征求意見的數據安全辦法，對于公民個人信息的“數據收集”，似乎有了些許松動。請注意，在第二章第七條中，明確指出“網絡運營者通過網站、應用程序等產品收集使用個人信息，應當分別制定并公開收集使用規則。收集使用規則可以包含在網站、應用程序等產品的隱私政策中，也可以其他形式提供給用戶”。

由此可見，對網絡運營者收集公民個人信息是認可的（當然還是要本著“最少夠用原則”而不能大肆無原則收集），通過網站、App收集信息可以較為隱蔽的方式，而不是直接要求在明顯頁面出現“同意與否”字樣，看到“以其他形式提供”的字眼時，不禁可以想象從業機構法務人員的努力。

然而，我們反對采納這樣的“兜底條款”，否則被采集信息的我們在“無感”的情況下就“被同意采集個人信息”了，所謂“易于訪問”在實踐中如同進了大型超市，進來容易，出去難，非要讓咱們轉幾個彎彎繞增加消耗時間，以方便進一步促銷。

在網絡上就是凡是不利于商家的條款、“賣出持有份額”的按鈕都難找，漏斗一樣，寬進嚴出，甚至不讓出。

2.收集規則，要突出哪些內容？

數據安全辦法第八條對個人信息的收集使用規則作出了規定，即收集使用規則應當明確具體、簡單通俗、易于訪問，突出以下內容：

（1）網絡運營者基本信息；

（2）網絡運營者主要負責人、數據安全責任人的姓名及聯系方式；

（3）收集使用個人信息的目的、種類、數量、頻度、方式、范圍等；

（4）個人信息保存地點、期限及到期后的處理方式；

（5）向他人提供個人信息的規則，如果向他人提供的；

（6）個人信息安全保護策略等相關信息；

（7）個人信息主體撤銷同意，以及查詢、更正、刪除個人信息的途徑和方法；

（8）投訴、舉報渠道和方法等；

（9）法律、行政法規規定的其他內容。

3.不得強迫、誤導信息主體“同意”

我們欣喜地發現，數據安全辦法試圖幫我們解決一個痛點：不同意收集信息，就不給咱提供服務。

從第十一條來看，“網絡運營者不得以改善服務質量、提升用戶體驗、定向推送信息、研發新產品等為由，以默認授權、功能捆綁等形式強迫、誤導個人信息主體同意其收集個人信息”，其本意是幫忙解決如上痛點，然而，接下來的規定有“放水之嫌”。

“個人信息主體同意收集保證網絡產品核心業務功能運行的個人信息后，網絡運營者應當向個人信息主體提供核心業務功能服務，不得因個人信息主體拒絕或撤銷同意收集上述信息以外的其他信息，而拒絕提供核心業務功能服務”。

颯姐設想了一下真實場景，網絡運營者會那么好心，把該收集的數據和不該收集的數據區分開來嗎？！實踐里，他們絕大多數會把所有的信息采集要求放在同一個“同意”按鈕的項下，如隱私條款，一鍵同意，否則就認為用戶不同意收集保證網絡產品的“核心業務功能運行”的個人數據。

4.價格敏感度與“消費歧視”

作為一枚普通的消費者，會對某些打車軟件的行為感到由衷憤慨，一開始瘋狂貼錢讓我們形成了打車習慣，然后逐漸取消補貼、折扣券，已經放棄自駕的我們因為習慣和單位有報銷制度等，已然選擇打車辦事。

悄然，我們發現與同事朋友一起打車，同樣里程，價格出現差異，這就是“消費歧視”。讀者可能以為，颯姐是不是要痛批這幫網約車公司，歧視我們常坐車的老客，殺熟！但是，咱們從理性角度看，用金錢來篩選需求，是一件符合經濟學邏輯的事，與道德無關。

還記得那年在新加坡，一位大學老教授駕車帶我品嘗本地小吃，途徑幾個公路口，他一會笑著說我們走這條路要多花一些新加坡元，但是我們著急去吃飯，所以愿意付出這樣的成本。

整個新加坡的車輛并不少，但井然有序，想必“用錢來篩選誰更著急”比較合理，總比用其他人為因素更公平些。

因此，網絡運營商是否可以根據大數據的分析，對某些價格不敏感的人（城市新中產）多收個塊兒八毛的，對其他人群進行補貼和公益，這完全可以由市場決定，而不用直接否定“價格差異”。

5.“定推”與“合成”

所謂定推，是指網絡運營者利用用戶數據和算法推送新聞信息、商業廣告等。數據安全辦法要求，應當以明顯方式標明“定推”字樣，如用戶選擇停止定推，應當停止并刪除已經收集的設備識別碼等信息。

颯姐質疑這些網絡運營者是否會在明顯位置給我們用戶一個拒絕或者停止定推的按鈕，同時，如果其不刪除設備識別碼又有什么懲戒措施呢，拭目以待。

所謂“合成”，是指網絡運營者利用大數據、人工智能等技術自動合成新聞、博文、帖子、評論等信息，應當以明顯方式標明“合成”字樣；同時，提出“不得以謀取利益或損害他人利益為目的自動合成信息”。

不得損害他人利益還是明白的，不得謀取利益是指的不能寫“軟文”？還是不能“商用”？這個有點歧義，還望立規者給出一定的具體解釋，方便具體執行時少出現扯皮。

6.并非所有的個人信息都不能提供給第三方

請注意，我們認為數據安全辦法第二十七條對以大數據提供為主商業模式的公司，具有一票否決權。

根據2017年的相關司法政策，我們可以看出對于數據買賣和交換的態度是嚴格的，隨著市場的發展，大數據流轉的必要性被進一步認識，于是，本次數據安全辦法有一定的釋放“春風”的作用。

網絡運營者向他人個人信息前，應當評估可能帶來的安全風險，并征得個人信息主體同意。下列情況除外，也就是說以下五種情況，可以不經過公民本人同意即可進行“向他人提供”：

（1）從合法公開渠道收集且不明顯違背個人信息主體意愿；

（2）個人信息主體主動公開；

（3）經過匿名化處理；

（4）執法機關依法履行職責所必需；

（5）維護國家安全、社會公共利益、個人信息主體生命安全所必需。