近日,国家互联网信息办公室发布《数据安全管理办法(征求意见稿)》,不仅对公众关注的个人敏感信息收集方式、广告精准推送、APP过度索权、账户注销难等问题作出了直接回应,还对网络运营者在数据收集、处理使用、安全监督管理等方面提出了要求,为个人数据安全加上了一把锁——
随便注册一个应用就要身份证号,推送来的广告好像会“读心”,大数据“杀熟”防不胜防,注销账号“难于上青天”……这些在个人数据保护中频频出现的难题有望迎刃而解。
国家互联网信息办公室日前发布《数据安全管理办法(征求意见稿)》(以下简称《办法》),对网络运营者在数据收集、处理使用、安全监督管理等方面提出了要求,为个人数据安全加上了一把锁。
为啥出台《办法》?这与当前日趋严峻的个人信息滥用和泄露的状况显然息息相关。根据官方对百款常用手机应用统计数据显示,其中相当一部分手机应用存在强制超范围索要权限情况,平均每个应用申请收集个人信息相关权限数有10项,但实际上用户不同意开启则APP无法安装或运行的权限数平均仅为3项。
来自“电子商务消费纠纷调解平台”的大数据同样显示,近年来包括天猫、淘宝、京东、苏宁易购、唯品会等电商平台,以及大众点评、百度糯米、携程等生活服务平台,均曾出现过用户信息泄露事件。仅在2018年,就多次出现用户个人信息泄露事件,比如圆通、顺丰十几亿条个人信息在暗网被出售,12306数百万条旅客信息在网上被出售等。
数据保护“有章可循”
在《办法》中,数据活动被界定为“利用网络开展数据收集、存储、传输、处理、使用等活动”。“与已经发布的《信息安全技术个人信息安全规范》和《互联网个人信息安全保护指南》相比,未来有可能作为部门规章发布的《办法》效力层级更高,既是大数据时代数据安全的刚需体现,也在为5G市场铺平国内数据处理合规化道路。”上海汉盛律师事务所高级合伙人李旻说。
北京观韬中茂(上海)律师事务所合伙人王渝伟也认为,与《网络安全法》相比,此次征求意见稿更为详尽,也有望为未来个人信息保护方面的法律提供参考。
此次《办法》中的“亮点”提法,也让个人数据保护有章可循。一方面,《办法》强调了用户的选择权,如其中明确要求“制定并公开个人信息收集使用规则”,且强调“如果收集使用规则包含在隐私政策中,应相对集中,明显提示,以方便阅读”,突出信息使用规则的重要性,以便个人信息主体享有充分选择权。此外还特别规定,对“网络产品核心业务功能运行的个人信息”以外的信息,网络运营者不得因个人信息主体未同意收集而拒绝提供核心业务功能服务。也就是说,网络运营者不能在数据索取上“漫天要价”。
“这实际上就是为了避免网络服务提供者为了收集数据采取胁迫或者误导行为。”中国社会科学院信息化研究中心秘书长姜奇平表示,信息采集的主导权和选择权必须交给消费者,这是信息服务的原则性问题。
另一方面,《办法》也进一步强调了对用户隐私的保护,《办法》要求“网络运营者以经营为目的收集重要数据或个人敏感信息的,应向所在地网信部门备案”。根据《信息安全技术个人信息安全规范》,包括身份证信息、电话号码、邮箱地址、浏览记录、定位信息乃至个人指纹、声纹,这些都属于个人敏感信息。“通过国家强制力对隐私信息的收集使用予以限制,在隐私信息泄漏时亦有迹可循,以实现个人隐私信息的数据安全。”李旻说。
中国信息安全研究院副院长左晓栋表示,只有能对隐私信息的收集者追根溯源,才能从源头保护个人数据安全。
解决方法直面“痛点”
“《办法》对于近年来层出不穷的网络数据安全问题予以细化,针对新型数据安全管理的规定能及时填补因社会发展导致的法律漏洞,具有前瞻性。”李旻说。
从《办法》的具体规定来看,不少一直困扰用户的“痛点”被明确点名,比如刚订了一张机票,马上各个应用就开始推荐目的地相关信息,这种利用用户浏览历史,通过定向推送获得广告收入的“精准广告”,让不少用户觉得毫无隐私。对此,《办法》明确规定,要求利用用户数据和算法推送新闻信息、商业广告需显著标明“定推”字样, 并为用户拒绝接受定向推送信息提供选择权,“用户选择停止接收定向推送信息时,应当停止推送,并删除已经收集的设备识别码等用户数据和个人信息”。
“广告主采集用户的信息难度会增加,但这也是全球范围内的大趋势,各个主要国家的相关法规,也都在强调保护消费者的个人数据隐私。”网络广告平台Marteker创始人冯祺表示。
再比如,针对账号注销难,账号注销后个人信息消除难,《办法》也特别提出,要保护用户的“被遗忘权”。《办法》强调,“收集使用规则应突出个人信息主体撤销同意,以及查询、更正、删除个人信息的途径和方法”。“网络运营者收到有关个人信息查询、更正、删除以及用户注销账号请求时,应当在合理时间和代价范围内予以查询、更正、删除或注销账号。”
“突出‘被遗忘权’保护也是办法的一个亮点。‘被遗忘’是消费者的合理诉求。”左晓栋说。
在北京亿达(上海)律师事务所律师董毅智看来,“被遗忘权”仍需进一步细化,“比如,在用户注销账户后,网络经营者对于已经散发出去的信息如何处理?用户是否有权要求网络经营者对已经散发出去的信息予以删除或者负责?”
此外,包括“网络爬虫”访问收集流量不得超过网站日均流量的三分之一,限制“大数据杀熟”等歧视性推送行为,明确数据安全责任人的任职要求,要求提供数据安全责任人的姓名及联系方式等,《办法》中的相关规定,为个人数据保护中的一系列热点问题提供了解决方案。
“互联网行业头部企业的天然主导性,导致行业内部缺乏竞争,基于用户对平台服务的信任而建立起的黏性,不能成为某些平台实行差别定价、数据反复买卖的底气。从这个角度来讲,《办法》对同行业、跨行业之间企业联手利用用户信息的合规性提出了新要求。”
网友评论