面对手机APP条款繁复、晦涩难懂的隐私政策,还有一揽子授权,必须要点同意吗?邮箱、手机,甚至身份证、家庭住址、社会关系、银行卡号……这些被拿去的个人信息会不会被泄露和滥用?近期,中国有关部门公布的管理办法,有望进一步规范互联网企业搜集用户信息的范围,并加强数据使用环节的规定。
2019年6月25日,全国信息安全标准化委员会发布《信息安全技术个人信息安全规范》(以下简称《个人信息安全规范》)征求意见稿。对于数据安全,中国此前最重要的法律依据是2017年实施的《网络安全法》。其中第40—44条是对个人信息保护的条款,但都是原则性的表述,需要细致的可落地方案,这也是2018年5月第一版《个人信息安全规范》的由来。
一般情况下,国家标准修订一次会间隔五年左右的时间,而修订《个人信息安全规范》距离上一版只有一年的时间,可见在大数据产业高速发展的今天,个人信息安全工作的重要和迫切。本质上来说,《个人信息安全规范》是推荐性标准,没有强制力。“这个标准虽然是推介性的,但是很多的监管部门用这个标准在执法,对企业来说,就等同强制性。
”《个人信息安全规范》主要起草人、北京大学法治与发展研究院高级研究员洪延青介绍,“现在的企业,基本上按照2018年的安全规范标准在做”。
相对于第一版,新版个人信息安全规范的修订主要集中在三大方面:限制搜集信息的范围,打破一揽子强制授权;加强数据使用环节的规定;调整隐私政策模板。“在参考国际现有标准借鉴国际经验的基础上,按照中国的法律法规调整,尽量做到接轨。”洪延青表示。
据个人信息安全规范主要起草者之一、中国电子技术标准化研究院的何延哲介绍,新版个人信息安全规范主要是增加了一些条款,比如“用户画像的使用限制”和“个性化展示及退出”,这部分也是起草过程中内部讨论最多的。
那么,个人信息收集的度在哪里?《个人信息安全规范》中明确,收集个人信息的度是:最小必要。而且,向用户推送新闻信息,如果使用个性化展示的,应标明“个性化展示”或“定推”等字样,而且应提供简单直观的退出或关闭个性化展示模式的选项。
根据新规,APP收集用户的个人信息,必须是实现它的基本功能所必要的,不能超范围收集。据网络安全审查技术与认证中心检测部主管张志强介绍,在进行APP审查和认证中,他们把向用户收集的信息分为必要信息、非必要(与产品功能)相关联的信息和无关联非必要信息。
在企业收集个人信息之后,用户最担心的是:会不会被泄露或转卖?有没有被滥用?
“虽然目前在中国数据泄露还没有严重的处罚和索赔的案例,但实际从规则上来说,根据《网络安全法》,数据泄露属于违法行为,转卖更是犯罪行为,会被追究法律责任。”一直关注数据安全领域的北京安理律师事务所合伙人王新锐律师说,“对于很多互联网公司来说,数据(包括个人信息)是最重要的资产,企业肯定不会主动泄露,不会被黑客偷走,这一点,从商业利益上来说,是有很大动力的。”
“使用的目的和范围,和收集的时候不一样,这才是最大的问题”。王新锐接着说,“如果发现有些APP不太对劲儿,感觉超出了范围收集或使用你的个人信息,最好退出,或者举报。”在《个人信息安全规范》征求意见稿中,王新锐提到的这些问题得到了细化。
2019年1月,中央网信办、工信部、公安部、市场监管总局发布了联合公告,成立APP专项治理工作组,受理对APP违法违规收集使用个人信息的举报(受理举报的微信公号是“APP个人信息举报”)。对发现问题的APP,必须整改。
“……数据安全背后是多重力量博弈,不是一个简单的是非判断,牵扯到多方利益平衡,要充分能理解各方立场,才能保持可持续发展。”律师王新锐强调。张志强的团队在认证时也有平衡的考虑。比如,如果反反复复出现授权同意的界面,也会影响到用户的体验。所以在考虑到合乎标准要求的同时,也会兼顾用户体验层面的产品设计。