中國新規,有望加強個人信息安全保護
面對手機APP條款繁復、晦澀難懂的隱私政策,還有一攬子授權,必須要點同意嗎?郵箱、手機,甚至身份證、家庭住址、社會關系、銀行卡號……這些被拿去的個人信息會不會被泄露和濫用?
近期,中國有關部門公布的管理辦法,有望進一步規范互聯網企業搜集用戶信息的范圍,并加強數據使用環節的規定。
1個人信息安全規范修訂
2019年6月25日,全國信息安全標準化委員會發布《信息安全技術個人信息安全規范》(以下簡稱《個人信息安全規范》)征求意見稿。
對于數據安全,中國此前最重要的法律依據是2017年實施的《網絡安全法》。其中第40—44條是對個人信息保護的條款,但都是原則性的表述,需要細致的可落地方案,這也是2018年5月第一版《個人信息安全規范》的由來。
一般情況下,國家標準修訂一次會間隔五年左右的時間,而修訂《個人信息安全規范》距離上一版只有一年的時間,可見在大數據產業高速發展的今天,個人信息安全工作的重要和迫切。
本質上來說,《個人信息安全規范》是推薦性標準,沒有強制力。“這個標準雖然是推介性的,但是很多的監管部門用這個標準在執法,對企業來說,就等同強制性。”《個人信息安全規范》主要起草人、北京大學法治與發展研究院高級研究員洪延青介紹,“現在的企業,基本上按照2018年的安全規范標準在做”。
相對于第一版,新版個人信息安全規范的修訂主要集中在三大方面:限制搜集信息的范圍,打破一攬子強制授權;加強數據使用環節的規定;調整隱私政策模板。
“在參考國際現有標準借鑒國際經驗的基礎上,按照中國的法律法規調整,盡量做到接軌。”洪延青表示。
有些問題也具有中國特色。“比如,在國外很少有一個APP想干很多事兒,平臺式的,上面放各種小程序,所以使用這樣的APP就面臨很多的個人信息授權。為了解決這個事兒,我們在信息收集那一章節列出很多細則要求,就是打破一攬子授權同意。” 洪延青說。
據個人信息安全規范主要起草者之一、中國電子技術標準化研究院的何延哲介紹,新版個人信息安全規范主要是增加了一些條款,比如“用戶畫像的使用限制”和“個性化展示及退出”,這部分也是起草過程中內部討論最多的。
用戶畫像越準確,廣告推送就越精準。準確的用戶畫像來源于個人信息。從利益驅動來說,企業肯定期望收集的用戶個人信息越多越好。
那么,個人信息收集的度在哪里?
《個人信息安全規范》中明確,收集個人信息的度是:最小必要。而且,向用戶推送新聞信息,如果使用個性化展示的,應標明“個性化展示”或“定推”等字樣,而且應提供簡單直觀的退出或關閉個性化展示模式的選項。
但目前的一些APP產品的個性化推送,沒有為用戶提供更多選擇。只能等新的規范生效,靠監管部門的推進執行下去。
2將規范搜集信息的范圍
根據新規,APP收集用戶的個人信息,必須是實現它的基本功能所必要的,不能超范圍收集。
據網絡安全審查技術與認證中心檢測部主管張志強介紹,在進行APP審查和認證中,他們把向用戶收集的信息分為必要信息、非必要(與產品功能)相關聯的信息和無關聯非必要信息。
張志強舉例,比如一款訂餐APP需要聯系人電話信息,因為沒有這個信息,餐食無法送到本人手中,這就是必要信息。但是它還收集訂餐人的定位信息,用戶訂餐其實可以手動輸入地址,實時定位信息不是必需的,但是這個定位信息能改善用戶體驗,加快送達效率,而且可以查到用戶附近相關的餐飲店狀況,改善提高服務,和基本功能業務相關,因此屬于非必要相關聯信息。
在非必要相關聯信息這一點上,很多用戶遇到過這樣的煩惱:選擇不同意,界面直接關閉,基本功能也不讓用;或者,不停地彈出界面反復循環詢問,用戶不勝其擾,只好選擇同意。
按照新規,這個問題將得到解決。新規明確規定,APP如果使用非必要相關聯的信息,需要征求用戶的同意。如果用戶選擇不同意,不可以影響基本功能的使用。
張志強表示,當前App還普遍存在超范圍收集、強制授權、過度索權、功能捆綁等個人信息安全問題。
“但是辨別這些需要專業技術門檻,超出了個體的判斷能力,所以這也是檢測認證(的)價值和意義。”張志強強調。
2019年3月,中國網絡安全審查技術與認證中心(CCRC)開始正式受理認證申請。目前,網絡安全審查技術與認證中心主導的 APP 安全認證屬于自愿性認證,并鼓勵搜索引擎、應用商店等明確標識并優先推薦通過認證的 App。
張志強透露,目前已經開展了第一批 App 安全認證試點,入圍第一批試點的 App有9家企業16款產品,部分已完成認證技術驗證。
3數據安全背后的博弈
在企業收集個人信息之后,用戶最擔心的是:會不會被泄露或轉賣?有沒有被濫用?
“雖然目前在中國數據泄露還沒有嚴重的處罰和索賠的案例,但實際從規則上來說,根據《網絡安全法》,數據泄露屬于違法行為,轉賣更是犯罪行為,會被追究法律責任。”一直關注數據安全領域的北京安理律師事務所合伙人王新銳律師說,“對于很多互聯網公司來說,數據(包括個人信息)是最重要的資產,企業肯定不會主動泄露,不會被黑客偷走,這一點,從商業利益上來說,是有很大動力的。”
比如,據騰訊守護者計劃安全專家徐一可介紹,過去十年,騰訊陸續建立了七大實驗室,專注安全技術研究及安全攻防體系搭建,其核心目的之一就是保障用戶的個人信息安全。
不過,“使用的目的和范圍,和收集的時候不一樣,這才是最大的問題”。王新銳接著說,“如果發現有些APP不太對勁兒,感覺超出了范圍收集或使用你的個人信息,最好退出,或者舉報。”
在《個人信息安全規范》征求意見稿中,王新銳提到的這些問題得到了細化。
“在使用上,無論國際標準,還是國內法律法規的要求,你收集了哪些個人信息,用在什么方面,目的是什么,都要明確透明。如果收集信息后,改變使用目的,需要再次向用戶征求同意,并且,敏感權限需要設置關閉功能。”《個人信息安全規范》主要起草人洪延青說道。此外,如果沒有征得用戶同意,企業不得將用戶信息共享,即使是隸屬于同一家公司的不同產品。
比如,用戶比較熟悉的QQ,其“通訊錄權限”、“通話權限”、“短信權限”等敏感權限設置了用戶授權的互動界面,QQ安全團隊負責人也演示了如何在應用場景下通過用戶授權,和如何在產品設置內關閉敏感權限的訪問。作為起步較早的互聯網公司,由于在數據安全上積累了較多經驗,騰訊有關技術部門參與了《個人信息安全規范》的起草。
2019年1月,中央網信辦、工信部、公安部、市場監管總局發布了聯合公告,成立APP專項治理工作組,受理對APP違法違規收集使用個人信息的舉報(受理舉報的微信公號是“APP個人信息舉報”)。對發現問題的APP,必須整改。
但是在整改的過程中,也會遇到難題。“有時候發現需要整改的地方正好是這家企業業務發展的主要模式。企業以生存和發展為第一目標,如果直接影響到他們的核心利益,在推進的過程中會遇到阻力。” 張志強說。
對于這一點,王新銳認為:“也不一定是說企業在作惡或者很霸道,因為目前在國內APP提供的服務基本都是免費的,向國外一樣全面開啟付費或者會員制不現實,那么這個模式造成企業主要靠廣告盈利活下去,造成了中國企業更需要用戶信息。所以,在保證運營收益的情況下,又能提供安全便捷免費的服務,關鍵是把握這個度。”
“數據安全背后是多重力量博弈,不是一個簡單的是非判斷,牽扯到多方利益平衡,要充分能理解各方立場,才能保持可持續發展。” 律師王新銳強調。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
