如何看待《网络数据安全管理条例》整条删去“国家建立数据跨境安全网关,阻断境外反动信息”?

发布时间:
2024-10-15 06:42
阅读量:
18

没有省流,多图警告。

本人非法律专业,仅从从业者角度出发分析问题,不作为参考或依据。


下文中使用了两篇政府文章

第一篇是当年(21年)的《网络数据安全管理条例(征求意见稿)》(下称草案

国家互联网信息办公室关于《网络数据安全管理条例(征求意见稿)》公开征求意见的通知_中央网络安全和信息化委员会办公室

第二篇是今年(24年)的《网络数据安全管理条例》(下称条例

网络数据安全管理条例_信息产业(含电信)_中国政府网

下文使用条例原文做对比图时使用了差异工具高亮:

  • 红色为草案,高亮背景部分为删除部分。
  • 绿色为条例,高亮背景部分为新增部分。

整条删去“国家建立数据跨境安全网关,阻断境外反动信息”以及禁止为翻墙提供工具服务的规定及其罚则。

首先数据跨境是云上贵州、欧盟服那种概念,一般来说就是对用户数据存储地和访问者的合规性/法律性要求。之前滴滴就是这样挨了一刀,当时的讨论可见

如何看待国家网信办就数据安全问题对滴滴全球股份有限公司处人民币 80.26 亿元罚款?有何警示作用?

虽然草案中被删除的部分确实是关于“建立数据跨境安全网关”的内容,但条例内却有了一个笼统称为“采取措施(防范、处置风险和威胁)”的东西,而“网关”确实可以是一种“措施”,因此可以认为这方面上并不会放宽题主/聊天记录想说的那个东西,反而是扩大了实施的自由度。


对数据处理者受理“个人信息转移请求”的义务,增加“转移个人信息具备技术可行性”限定。

这一点对网民来说其实是不公平的,因为技术可行性这种东西能扯皮的东西很多,平台可以以很多方式去否认转移存在技术可行性(需要停机、会导致数据一致性损坏等),不过目前来说严格符合“个人信息转移请求”的业务好像也就只有一个移动联通电信等通信运营商之间的携号转网,如果有相关需求的读者可能需要注意一下。


删去对数据处理者删除或匿名化个人信息“15个工作日内”的限定。

可以看到十五日内的时间限制的确被删除了。这也意味着当用户提出个人信息删除请求时,将无法得到对该请求完整实施的时间的保障。虽然条例第二十四条补充了对于这种情况下,处理者应停止必要措施之外的处理,但该条款能否正确执行,仍然是个问号。当然草案那个说法其实也没有办法保障,但至少超期的情况可以试着去磨嘴皮。


删去“不得将生物特征作为唯一身份认证方式”。

草案第二十五条,整段删除

草案第二十五条的内容在条例中被完全删除,虽然我们通常不抱最大的恶意,但如果按照法无禁止即可为的思想看待这个问题,意味着可以”让生物特征作为唯一方式来收集生物特征信息。对用户来说是一个比较隐私而又有风险的做法,尤其是当平台采用较为脆弱的生物特征技术例如人脸作为认证方式时,其中存在的安全隐患与数据泄露带来的影响也较高,有点难以理解为什么最终条例会放任这个问题。

目前我比较怀疑是因为条例第四十三条

条例第四十三条,措辞优化

国家要推进统一网络身份认证公共服务(SSO?)那么的确有可能它真的需要(难被攻击的)生物特征作为唯一方式。这样可能解释得通,但是我也不太赞同这种做法。


将“即时通信工具不得无理限制用户访问其他平台”,泛化为“大型平台不得无理限制用户访问使用其产生的数据”。

这个问题不知道为什么题主(原聊天记录)中将这两个问题糅合在一起,其实关系没那么大。

先说前半句:

草案第四十五条、第四十八条,整段删除

草案第四十五条、第四十八条被整段删除。这部分感觉属于草案中就不该提的,而条例中又不该删的内容,说得难听一点的话,就是默许了现在某些即时通信软件的恶意干涉行为,这里不点名也不举例,读者自行理解。

而后半句:

大型网络平台,是指注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。

草案中这部分内容是禁止平台利用数据杀熟杀生、(恶意)市场竞争、未经允许使用/分享数据、垄断行为,而条例中修改为禁止平台利用数据、算法、规则未经允许使用/分享数据、不合理封禁、杀熟杀生、做其他法律法规禁止的活动。

相比之下不知为何删去了“禁止损害公平竞争”、“禁止设置不合理的限制和障碍”,这一点上目前我还没有在条例中找到对应的条款能为这一缺口进行填充的内容,如果有的话请告诉我。


题目描述(聊天记录)中提到的内容基本上就到这里为止,最后所提及的

数据跨境安全网关是指阻断访问境外反动网站和有害信息、防止来自境外的网络攻击、管控跨境网络数据传输、防范侦查打击跨境网络犯罪的重要安全基础设施。

这个问题,我认为不要只看前半句就说的只是防火长城(大陆出口方向),也要注意后半句说的防火长城(大陆入口方向),并且官方提供的专家解读[1]是这么说的:

一般将数据跨境流动理解为“数据从一法域被转移至另一法域的行为”或“跨境对存储在计算机中的机器可读数据进行处理”

更何况按照前文所述情况,很可能这类措施只会更多,不会减少。


如果你只关心那些聊天记录,那么读到这里就可以划走了,内容就到这里。

黑曜石奶奶可爱捏

但如果你也想关心聊天记录没批判的内容,接下来还有两个点我想谈,角度比较刁钻,感兴趣请继续阅读。


草案第五章第三十六条,全文删除

条例第五章全文

真的,条例和草案这边对比完我很纳闷,为什么这边关于数据出境的内容没有提到需要征得用户同意?这个我不想评价是好是坏,但是另一个问题是条例第五章内的确提到了数据出境“应当通过国家网信部门组织的数据出境安全评估”,可是“未被相关地区、部门告知或者公开发布为重要数据的,不需要将其作为重要数据申报数据出境安全评估”,考虑到不需要用户同意也就是说这里有监管滞后的可能性


条例第二十六条,完全新增

数据出境要在国内设立个类似办事处的东西才行,这段条例应该也不能解决前面这个问题,但是这段确实是新增的,而且还挺有意思的。虽然我看不出来目的在哪,难道是给外企降低建立国内独立数据中心的成本压力?

END