如何规范个人敏感信息的收集行为?网络运营者需备案
在社交平台上做个心理测试需要提交手机,线上办个会员卡要提供姓名和身份证……个人敏感信息越来越多地被不同渠道广泛收集。如何规范这种收集行为,防止信息被泄露、滥用?
根据《数据安全管理办法(征求意见稿)》第十五条规定,网络运营者以经营为目的收集重要数据或个人敏感信息的,应向所在地网信部门备案。备案内容包括收集使用规则,收集使用的目的、规模、方式、范围、类型、期限等,但不包括数据内容本身。
国家标准化管理委员会等部门去年实施的《信息安全技术 个人信息安全规范》明确指出,不仅身份证信息和电话码属于个人敏感信息,个人指纹、声纹等生物识别信息,邮箱地址、网页浏览记录、精准定位信息也都属于个人敏感信息范畴。
业内人士认为,从“不知道谁掌握敏感信息”到“收集前需要备案”,备案制无论从数据安全还是用户隐私保护来看,都是一种进步。中国信息安全研究院副院长左晓栋表示,这样可以对收集者追根溯源,从源头保护个人信息安全。
如何约束定向精准推送?标识需清晰且用户可拒绝
刚用叫外卖,就在浏览资讯时收到相关,这样的精准推送让不少人觉得惊心。这种利用用户浏览痕迹进行精准画像,通过定向推送获得收入的方式,在办法中规定了约束性条款。
办法第二十三条规定,网络运营者利用用户数据和算法推送新闻信息、商业等,应当以明显方式标明“定推”字样,为用户提供停止接收定向推送信息的功能;用户选择停止接收定向推送信息时,应当停止推送,并删除已经收集的设备识别码等用户数据和个人信息。
中华全国律师协会网络与高新技术专业委员会副主任陈际红表示,定向推送技术在带来便利之外,产生了大数据歧视等问题。办法明确要求互联网平台充分尊重用户的选择权,可以让用户免受太多骚扰;要求平台需将此前收集的用户设备识别码和个人信息等内容删除,表明了对保护用户信息的重视。
如何应对强迫授权或默认勾选?明令禁止
不给“一揽子授权”就不让用,或者在某个不起眼的选项前设置“默认勾选”……这些行为都将被明令禁止。
办法第十一条规定,网络运营者不得以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息。个人信息主体同意收集保证网络产品核心业务功能运行的个人信息后,网络运营者应当向个人信息主体提供核心业务功能服务,不得因个人信息主体拒绝或者撤销同意收集上述信息以外的其他信息,而拒绝提供核心业务功能服务。
中国社会科学院信息化研究中心姜奇平认为,把信息采集主导权、选择权交给消费者,是信息服务的原则性问题。为了收集信息采取胁迫或者误导行为,都是坚决不能被允许的。
注销账和删除个人信息难怎么办?尊重用户“被遗忘权”
不少网民反映,想注销账不容易,并且之前登记的个人信息难以消除。
办法第八条规定,收集使用规则应突出个人信息主体撤销同意,以及查询、更正、删除个人信息的途径和方法。第二十一条规定,网络运营者收到有关个人信息查询、更正、删除以及用户注销账请求时,应当在合理时间和代价范围内予以查询、更正、删除或注销账。
“突出‘被遗忘权’保护也是办法的一个亮点。”左晓栋说,以网购为例,消费者在购物网站完成交易后删除相关信息,这样的合理诉求理应得到满足。
小程序泄露用户信息怎么办?平台承担部分或全部责任
目前,一些社交类和支付类应用大量接入第三方小程序服务,这些小程序经常向用户收集个人信息。如果用户个人信息被泄露,平台是否可以免责?办法明确规定,不可以!
根据办法第三十条规定,网络运营者对接入其平台的第三方应用,应明确数据安全要求和责任,督促监督第三方应用运营者加强数据安全管理。第三方应用发生数据安全事件对用户造成损失的,网络运营者应当承担部分或全部责任,除非网络运营者能够证明无过错。
左晓栋表示,办法规定了平台与第三方应用需要共同承担相关责任,这样可以倒逼网络经营者,加强对用户个人信息安全的保护。
