yzc888亚洲城

定向推送、过度索权、追根溯源……《数据安全管理办法》对我们来说意味着什么

2018年3月,Facebook对该事件进行了剑桥的剑桥分析,并粉碎了科技公司为用户数据保护提供的无花果叶。然后在5月,欧盟正式开始实施“历史上最严格的数据隐私保护法案”《通用数据保护条例》(GDPR),这将有关数据隐私的讨论推到了顶峰。

无论是一系列数据泄漏丑闻还是世界各国政府和组织的声明,隐私和数据安全都是2018年全年不可回避的话题。公司和用户必须注意其背后的经济利益。使用关系和个人权利。

前所未有的数据保护法《GDPR》| GDPR官方网站截图

根据中国互联网络信息中心的数据,截至2018年底,中国互联网用户达到8.29亿,移动互联网用户达到8.71亿。在这种情况下,对于管理人员的需求和公众舆论,数据安全管理法规都是不可避免的。

5月24日,包括国家网络办公室国家发展和改革委员会在内的12个部门起草了《网络安全审查办法(征求意见稿)》(以下称为《办法》)。四天后,即5月28日,中国国家互联网信息办公室(以下简称“网信办公室”)发布了《数字安全管理办法(征求意见稿)》,并发布了《数字安全管理办法(征求意见稿)》以公开征求意见。 6月28日,《数据安全管理办法》评论已正式关闭。

《办法》仅对于“网络运营商”,要求他们保护Internet上国家,社会和个人的信息和数据安全,包括个人必须向企业提供多少数据,以及哪些数据不必提供给企业再给它。企业无权保护;如何保护企业用户的个人数据,如何使用和处理现有数据,在何种情况下将用户数据转移给政府;政府如何规范公司不滥用个人数据。在引入《办法》之前,由于先前法规的含糊不清,网络运营商能够利用数据收集漏洞。现在,《办法》近年来在个人隐私和数据收集,准确的广告和新闻发布,不合理的应用和平台许可请求以及退役后的数据和平台主页方面引发了许多数据隐私纠纷。明确要求《办法》也将成为中国关于网络安全和数据管理的第一条法规。

堵住所有可以钻的孔

近年来,移动应用程序越来越流行,新用户数量激增。同时,直接基于零基的移动互联网用户的数据权和隐私权概念也很模糊。大多数用户在这方面都很薄弱,这导致了许多Internet。公司收集数据的意愿的当前状态。在《办法》的第5和第4章中,有许多规定反映了针对当前Internet混乱的“正确药物的疾病”。

《用户协议》要“与人交谈”

每当用户注册一个新的网站帐户时,他们总是习惯将那些冗长而繁琐的《平台数据手机条约》拉到最后,请单击以同意。在这方面,《办法》第2章第8条要求收集和使用规则应清晰,具体,简单且易于访问,并给出九个小的“突出特定要求的法规”。

明确向用户规定操作条款|筛选官方网站的网站

换句话说,将禁止具有充分法律条款并使用各种语言技能的“数据收集条约”。尽管用户与平台“不能使用”之间的协议没有改变,但平台必须让用户清楚地了解数据收集的意图或用户自己使用服务的成本。

禁止收集无法使用的信息

在第11条中,《办法》明确规定:“网络运营商不得以提高服务质量,改善用户体验,定向推送信息和开发新产品为由,以默认授权,功能捆绑等形式强迫或误导个人。产品。信息主体同意收集个人信息。”

即,运营商不能强行收集网站和应用程序未使用的信息,并且由于用户不同意提供无法使用的信息,因此用户不能拒绝提供服务。在系统级别,Apple在iOS 12和iOS 13更新中做出了类似的规范和限制。

拒绝大数据杀死

在第十三条中,《办法》规定禁止在分析个人信息后禁止价格歧视。显然,此举也针对去年在中国经常出现的“大数据杀害”现象。

管理垃圾邮件推送消息

《办法》第23条第23条规定,运营商使用用户数据和算法来推送新闻信息,商业广告等,并应清楚地标明“固定推送”一词;定向推送信息功能,当用户关闭该功能时,应停止推送,并删除用户数据和个人信息(例如已收集的设备标识码)。

标签机生成的内容

随着人工智能的成熟,机器代替人工回复消息甚至生产内容正逐渐成为一种趋势。例如,过去几年在社交网络上流行的各种类型的漫游器都属于此类别,并且各种服务中的自动客户服务响应和智能助手也可以归为该类别。《数据处理使用》的第[24]条规定,使用大数据和人工智能合成新闻,博客文章,帖子,评论和其他信息时,应以明显的方式表示“合成”一词。

建立“数据安全负责人”职位

《办法》还要求网络运营商具有“数据安全负责人”的职位,该职位要求具有数据安全专业知识的人员,专员需要参与有关数据活动的重要决策,并且运营商必须确保该职位是“独立”执行职责。”

保护现有数据

《办法》第三章规定,如果运营商合并或破产,运营商拥有的数据将被移交或删除,并且可能不会保留;诸如个人信息泄露,损坏,丢失等数据安全事件,或数据安全事件的风险显着增加时,网络运营商应立即采取补救措施,及时通知用户并向网络部门报告。

用户取消帐户后,网络运营商应及时删除其个人信息,并且该个人信息不应在收集和使用规则的保留期限之后保存。要求操作员“仅收集最必要的,有时间限制的预订,并且当用户请求时,在平台端删除或离开平台后,操作员必须主动删除用户数据。”

强制性的“跟踪源”

《办法》还规定“对于用户通过社交网络转发他人做出的信息,该社交网络上的信息产生者的帐户或不能更改的用户身份将被自动标记。换句话说,它是一个强制性的“可追溯性”新浪微博在最新版本中增加了“博客”功能,可以在评论区域中清楚地标识“原始博客”,但该法规规定,在社交网络中常见的“转发链”网络,无论有多少人前进,社交网络平台都需要在“原创博客”上贴上不可撤销的标签,该规定的前提是网络运营商应督促并提醒用户对自己的网络行为负责,并加强自我约束。

新浪微博上的“博客”马克新浪微博的屏幕截图

在当前的“大数据杀害”时代,个人信息被出售,私人信息被盗或流传,帐户删除困难,商业广告和新闻发布屏幕,《办法》为网络运营商制定了许多法规,并制定了法律从中央政府的执法部门到“地方(市政)及以上的网络和电信部门”,这将使他们能够履行职责。法律的难度降低了,用户更有可能捍卫自己的权利,这无疑是对数据保护的一种改进。另一方面,《办法》中许多法规的含糊之处使网络运营商可以轻松地清楚地了解其义务,但单个用户不知道他们拥有什么权利。同时,网络运营商对数据管理的要求是双向的。一方面,单个用户将更加被动地保护其数据。另一方面,政府还将更加积极地提出对运营商的数据审查要求。

更改内容|极客公园

《办法》是中国的GDP R吗?

尽管《办法》有望成为中国实施网络安全和数据管理的第一条法规,但内容也是政府从用户角度收集,处理和删除用户数据的要求。

《办法》发布后,不可避免要与GDPR进行比较。两者之间有很多相似之处。

两项法案都提到了在数据保护官中设置类似职位;数据泄漏后,操作员将责任告知用户;同样需要国际数据传输,GDPR仅允许数据控制者将数据传输到EEA EEA除了已被欧盟批准为完全保护国家的当地法律之外,中国不在此列表中。 GDPR的目的更倾向于“将数据放入具有法律监督的区域”。换句话说,您不能将GDPR放在范围内。该地区的数据将传输到非范围区域,然后重新应用滥用数据。

例如,公司不能再使用难以理解的冗长语言来允许用户签署隐私政策;用户对自己数据的“被遗忘的权利”,在积极建议删除帐户后,操作员不再有权保留过去的数据。

仍然存在一些问题,GDPR和《办法》有一个共同的理解,但是实现的实践和思路并不相同。

《办法》请求国内外数据流通的目的不同于GDPR。《办法》在要求网络运营商向海外发布,共享,交易或提供重要数据之前,他们应评估可能的安全风险并报告给行业监管机构以供批准;如果本地用户访问本地Internet,则不得路由其流量。出国。该规则是为了防止潜在的流量劫持。

另一方面,对这两项法案进行横向比较,GDPR比《办法》更详细,GDPR在用户方面,数据收集者提出了当前的“数据隐私”和维护该权利的建议。法律保护框架。《办法》更多有关数据提供者和用户如何处理数据的信息。

从这两个法案的个人用户的角度来看,GDPR为个人用户提供了对其数据的更大控制权并阐明了这些权利,而《办法》则强调赋予用户“知情权”,而运营商似乎被推倒了。《办法》不受用户的监督和保护。就个人敏感数据而言,GDPR提供了七种类型的数据,可以视为个人敏感数据,范围从种族取向到个人生物特征和遗传数据,在《办法》中未详细介绍。 “个人信息”的覆盖率数据类型。用户是GDPR中提到的“数据主体”,它使用GDPR中的三章来详细说明数据主体的知情权,访问权,更正和可移植性,删除权和限制权。反对权和自动执行个人决策的权利。在《办法》中很难找到这些权限,但是各个用户对自己的数据具有什么权限,《办法》中没有明确定义。

在GDPR中,大量空间还用于传达一个概念:“意愿”。 GDPR要求用户自由地这样做,没有任何胁迫或欺诈,知情权是明确的,并且运营商向用户提供的信息是明确的,即用户不能轻易忽略它……经过许多前提之后,用户按下的“协议协议”是如果您真的“同意”,那么您将真正使该协议从法律上生效。该同意不得有任何歧义的空间。只要用户对协议有合理的怀疑,就可以确定用户的意愿不清楚。

然后,GDPR还对孩子的同意同意,同意的要求,同意的法律要求以及同意的法律框架进行了划分。用户的意愿是GDPR中的高频词,在《办法》中,出现的更多的是“必需的运算符”。

尽管《办法》规定,如果网络运营商违反《办法》,它将面临诸如公开曝光,没收非法收入,中止相关业务,中止业务整顿,关闭网站,吊销相关营业执照等罚款。吊销营业执照;依法追究刑事责任。然而,用户可以通过这种方式了解平台的滥用数据,以及如何投诉举报和举报案件,《办法》中没有规定处罚的细节和操作员的实力。

不管《办法》如何着陆,都至少表达了一个信号:运营商必须注意数据安全性和用户隐私管理。对于用户而言,这不是法律问题。对于个人,企业和政府而言,保护个人数据隐私仍然是一个漫长而艰巨的过程。