去年6月施行的《网络安全法》规定了网络运营者收集个人信息的大原则:应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,并不得收集与其提供的服务无关的个人信息。
但客观地说,原则还是偏“粗”,什么算“公开收集”,怎么才算“明示收集信息的目的”?
事实上,在 《网络安全法》实施之后的去年9月,中央网信办等四部门就公布过京东商城、新浪微博、微信等10款移动互联网产品和服务隐私条款的评审结果,当时就点名了隐私条款笼统“霸道”问题:不主动展示隐私条款,展示的内容晦涩冗长,隐私条款笼统不清晰,部分网络运营者采取默认勾选、“一揽子”打包授权等形式……
所谓“魔鬼出在细节里”,要捍卫公民的隐私权,还得将规矩做细、做实。其实就在2018年辞旧迎新之际,中国的个人信息保护就出了一个大动作。
2017年年底,全国信息安全标准化技术委员会归口的《信息安全技术:个人信息安全规范》正式发布,并作为国家推荐标准将于2018年5月1日正式实施。其中明确了权责一致;选择同意;最少够用等关键性技术原则。
比如,“最少够用”原则,要求个人信息的收集类型、频率和数量应在必要性的最小要求之内,在能达到所需目的条件下,只处理最少的个人信息类型和数量。这意味着互联网运营者不能对用户进行“信息榨取”,不能搞“政审”、“查三代”,索要与使用功能无关的信息,收集的信息“最少够用”就可以。
网友评论