數安條例百問79、80:關于先行賠付與個人通信
小貝案語
11月14日,國家互聯網信息辦公布了《網絡數據安全管理條例(征求意見稿)》。為此,小貝說安全設立《網絡數據安全管理條例(征求意見稿)》(后文簡稱《條例》)解讀專欄,以百問百答的形式對《條例》進行系列解讀。
需要指出,這些解讀只是專家個人觀點,不代表官方意見;且這些解讀針對的是征求意見稿,未來條文本身可能會發生變化,不排除會有新增和刪除
對應條款
第四十四條 互聯網平臺運營者應當對接入其平臺的第三方產品和服務承擔數據安全管理責任,通過合同等形式明確第三方的數據安全責任義務,并督促第三方加強數據安全管理,采取必要的數據安全保護措施。
第三方產品和服務對用戶造成損害的,用戶可以要求互聯網平臺運營者先行賠償。
移動通信終端預裝第三方產品適用本條前兩款規定。
解讀
《條例》第四十四條明確了先行賠償責任。就平臺上第三方服務的實現機理而言,如第三方產品和服務對用戶造成損害的,用戶當然可以對平臺提出索賠要求。
這一點,所有的互聯網平臺均不否認。問題是,“先行賠償”的界限在哪里,這是當前的焦點。
《條例》第四十四條規定,第三方產品和服務對用戶造成損害的,用戶可以要求互聯網平臺運營者先行賠償。普遍認為,這一規定過于原則,可實施性存疑。
事實上,《條例》第四十四條的規定來源于《消費者權益保護法》和《電子商務法》。
《消費者權益保護法》第四十四條規定:消費者通過網絡交易平臺購買商品或者接受服務,其合法權益受到損害的,可以向銷售者或者服務者要求賠償。網絡交易平臺提供者不能提供銷售者或者服務者的真實名稱、地址和有效聯系方式的,消費者也可以向網絡交易平臺提供者要求賠償;網絡交易平臺提供者作出更有利于消費者的承諾的,應當履行承諾。網絡交易平臺提供者賠償后,有權向銷售者或者服務者追償。網絡交易平臺提供者明知或者應知銷售者或者服務者利用其平臺侵害消費者合法權益,未采取必要措施的,依法與該銷售者或者服務者承擔連帶責任。
這意味著,消費者本身可以向平臺提供者要求賠償,且平臺提供者應當履行相關義務。《條例》第四十四條的規定符合這一原則。
除此之外,《條例》還參考了《電子商務法》的規定:消費者要求電子商務平臺經營者承擔先行賠償責任以及電子商務平臺經營者賠償后向平臺內經營者的追償,適用《中華人民共和國消費者權益保護法》的有關規定。
因此,《條例》規定的“先行賠償”義務既有出處,而且有邊界。這個邊界的范疇,以平臺是否向用戶提供維權便利,以及平臺是否對第三方侵害用戶權益行為采取措施為準。如平臺能夠為用戶提供第三方的聯系方式及維權證據,且積極協助用戶維權,則平臺不用承擔先行賠償義務。但如果平臺做不到以上幾點,則其當然要承擔一定的賠償義務。
但也要看到,《條例》對“先行賠償”并未給出詳細規定。由此導致了一些疑問。后續修改時,有必要對此進一步展開,尤其是將“先行賠償”的界限寫明確。
對應條款
第四十五條 國家鼓勵提供即時通信服務的互聯網平臺運營者從功能設計上為用戶提供個人通信和非個人通信選擇。個人通信的信息按照個人信息保護要求嚴格保護,非個人通信的信息按照公共信息有關規定進行管理。
解讀
《條例》第四十五條針對的是個人通信自由與通信秘密的保護。
《憲法》第四十條指出,中華人民共和國公民的通信自由和通信秘密受法律的保護,除因國家安全或者追查刑事犯罪的需要,由公安機關或者檢察機關依照法律規定的程序對通信進行檢查外,任何組織或者個人不得以任何理由侵犯公民的通信自由和通信秘密。這里的通信自由,是指公民通過書信、電話、電報、傳真、電子郵件等方式,自主地與他人進行交往的自由;通信秘密則指公民與他人進行交往的信件、電話、電報、電子郵件等所涉及的內容,任何個人、任何組織或者單位都無權非法干預,無權偷看、隱匿、涂改、棄毀、扣押、沒收、泄露或者竊聽。通信自由和通信秘密相互聯系,不可分割,通常作為一體。
在以往的規定中,人們一般從防止非法監聽的角度保護通信自由和通信秘密。但現實中存在一個問題:如果通信結束,留下來的語音、文字算是通信自由和通信秘密嗎?即,傳統對《憲法》第四十條的關切側重于通信過程的保護,防止非法監聽,但如今的通信環境下,用戶的通信秘密可能廣泛存在,僅通信過程的防監聽是不夠的。
為此,《條例》第四十五條規定,國家鼓勵提供即時通信服務的互聯網平臺運營者從功能設計上為用戶提供個人通信和非個人通信選擇。這意味著,除了對通信過程的保護(防非法監聽)外,國家開始對通信結束后的通信秘密進行保護。
但如何從通信自由、通信秘密角度保護發送結束后的信息呢?換言之,用戶A向用戶B發送了信息,這毫無疑問屬于兩者的通信秘密,非執法機關非履行程序不能監聽,那么通信結束后用戶B是否就可以任意公開用戶A發來的信息呢?既然這個信息仍屬于通信秘密的范疇,則用戶B對信息的公開必然要服從A的意志。在以前,這方面的規定并不完善,信息接收方并無充分的意識來保護用戶通信。
《條例》第四十五條便是針對這一情況設立的。該條明確,在提供即時通信服務時,互聯網平臺運營者要從功能設計上為用戶提供個人通信和非個人通信選擇。個人通信的信息按照個人信息保護要求嚴格保護,非個人通信的信息按照公共信息有關規定進行管理。這意味著,用戶在點對點發送信息前,需要人為選擇信息在發送成功后是否屬于通信自由和通信秘密。如屬于個人通信,則適用于個人信息保護的有關要求。
需要指出,這里使用的措辭是“適用”,并不意味著通信秘密就屬于個人信息,這完全是不同的概念。此外,“個人信息”與“個人的信息”也非相同的概念,目前這幾個詞有混用的情況,需予以注意。
相關文章:
數安條例百問15、16、17、18、19:關于數據處理者安全保護義務
數安條例百問27、28、29、30:關于“一般要求”中的幾個特定考慮
數安條例百問46、47、48:關于生物特征應用和一百萬人以上個人信息處理者的適用
數安條例百問55、56、57、58、59:關于年度評估與對外提供數據的風險評估
數安條例百問60、61:關于征得主管部門同意要求及云安全評估要求
數安條例百問66、67、68:關于數據出境的單獨同意、評估條件與國際協議
數安條例百問74、75、76、77、78:關于平臺規則、隱私政策和算法策略
