最近,国家互联网信息办公室发布了《数据安全管理办法(征求意见稿)》,不仅直接针对公众关心的个人敏感信息收集方式、广告精准推送、APP过度访问权、账号注销困难等问题,还针对网络运营者进行了数据收集、
仅注册APP就需要id号码,推送的广告看起来“读心”,无法防止大数据“成熟”,注销账户成为“蓝天霹雳”……通过这样的个人数据保护,
国家互联网信息办公室近日发布了《数据安全管理办法(征求意见稿)》 (以下简称《办法》 ),对网络运营者提出了数据采集、处理使用、安全监管等方面的要求,锁定了个人数据的安全。
为什么《办法》上市了? 这明显与目前日益严重的个人信息滥用和泄露的情况有关。 根据官方100种常用手机APP的统计数据,其中相当一部分手机APP存在强制超出范围要求权限的情况,每APP申请收集个人信息的相关权限平均有10个项目,但实际上用户不同意打开就可以安装和执行APP
来自“电子商务消费纠纷调解平台”的大数据也一样,近年来,包括天猫、淘宝、京东、苏宁易购、唯品会等EC平台,以及大众点评、百度糯米、座位旅行等生活服务平台仅2018年,就多次发生用户个人信息泄露事件,如圆通、顺丰十几亿条个人信息在暗网上销售,12306几百万条旅客信息在网上销售等。
数据保护“有章可循”
《办法》中,数据活动被定义为“利用网络进行数据收集、保存、传输、处理、使用等活动”。 “与已经发布的《信息安全技术个人信息安全规范》和《互联网个人信息安全保护指南》相比,未来可能作为部门规章发布的《办法》效力水平更高,是大数据时代数据安全刚需的体现,为5G市场开辟了国内数据处理合规化的道路。 ’上海汉盛律师事务所高级合伙人李盛说。
作为北京韬中茂(上海)律师事务所的合作伙伴虚拟车也认为这次的意见征集稿比《网络安全法》更为详细,期待它能成为未来个人信息保护相关法律的参考。
这次《办法》的亮点对于个人数据保护也很有效。 另一方面,《办法》强调用户的选择权,其中明确要求“制定和公开个人信息收集使用规则”,“收集使用规则包含在隐私政策中时,应明确提示,使个人信息主体具有充分的选择权,相对集中,便于阅读。 另外,对“网络产品核心业务功能运行的个人信息”以外的信息,网络运营商特别规定个人信息主体不同意收集,因此不得拒绝提供核心业务功能服务。 也就是说,互联网运营者不能对数据请求附加“过高的价格”。
“这是为了避免互联网服务提供商为了收集数据而进行恐吓和误导的行为。 ”社科院信息化研究中心秘书长拼命芝麻,信息收集的主导权和选择权必须交给消费者,这是信息服务的原则问题。
另一方面,《办法》进一步强调用户隐私保护,要求“互联网运营者以经营目的收集重要数据和个人机密信息时,必须向所在地的互联网信息部门备案。” 根据《办法》数据,包括身份证信息、电话号码、邮箱地址、浏览记录、位置信息,甚至个人指纹、声纹,这些都是个人敏感信息。 “通过国家强制力限制隐私信息的收集使用,即使隐私信息被泄露也能够进行跟踪,实现隐私信息的数据安全。 ”李盛说。
中国信息安全研究院副院长jsdhxc表示,只有能够跟踪隐私信息的收集者,才能从源头上保护个人数据的安全。
面对解决方法“痛点”
“《信息安全技术个人信息安全规范》细化了近年来层出不穷的互联网数据安全问题,新的对数据安全管理的规定可以及时填补社会发展带来的法律漏洞,具有前瞻性。 ”李盛说。
在《办法》的具体规定中,困扰用户的“痛点”大多被明确指出。 例如,在预定机票后不久,各APP就开始推荐有关目的地的信息。 利用这种用户浏览历史,通过定向推送获取广告收入的“精准广告”,让大多数用户感到没有隐私。 对此,《办法》明确规定利用用户数据和算法推送新闻信息,商业广告注明“推送”,为用户拒绝推送信息提供选择权。 “如果用户选择停止接收推送信息,则必须停止推送,删除收集的设备识别码等用户数据和个人信息。”
“广告主收集用户信息变得困难,这也是全球的大趋势,主要国家的相关法规也强调保护消费者的个人数据隐私。 ”网络广告平台Marteker的创始人xsdxg说。
另外,对于账户难以注销,账户注销后个人信息难以删除的情况,《办法》也特别提出了保护用户的“被遗忘的权利”。 《办法》强调《收集使用规则》要取消个人信息主体的同意,以及查询、更正、删除个人信息的方法和途径。 “网络运营商接到查询、修改、删除个人信息和注销用户账户的请求时,应当在合理的时间和成本范围内查询、修改、删除或者注销账户。 ”
“强调保护‘被遗忘的权利’也是方法的一个亮点。 “被遗忘”是消费者的合理诉求。 ”jsdhxc说。
对于北京亿达(上海)律师事务所律师寂寞的茉莉来说,“被遗忘的权利”需要进一步细分,“比如用户注销账户后,网络经营者对已经发布的信息如何处理? 用户是否有权要求网络经营者删除或负责已经发布的信息? ”
另外,包括“网络爬虫”在内的访问收集流量不得超过网站日均流量的三分之一,限制了“大数据杀熟”等歧视性推送行为,
明确数据安全责任人的任职要求,要求提供数据安全责任人的姓名及联系方式等,《办法》中的相关规定,为个人数据保护中的一系列热点问题提供了解决方案。“互联网行业头部企业的天然主导性,导致行业内部缺乏竞争,基于用户对平台服务的信任而建立起的黏性,不能成为某些平台实行差别定价、数据反复买卖的底气。从这个角度来讲,《办法》对同行业、跨行业之间企业联手利用用户信息的合规性提出了新要求。”寂寞的茉莉表示。(经济日报·中国经济网记者 陶醉的滑板)