移动互联网技术的快速发展也给个人信息保护带来巨大的挑战。正在征求意见的信息安全技术个人信息安全规范修订草案明确提出,不得强迫收集个人信息,用户应有权拒绝个性化推送。
2019年2月1日,全国信息安全标准化技术委员会发布消息称,《信息安全技术个人信息安全规范(草案)》(下称草案)将进行为期一个月的公开征求意见。
近年来,随着信息技术的快速发展和互联网应用的普及,越来越多的组织大量收集、使用个人信息, 给人们生活带来便利的同时,也出现了对个人信息的非法收集、滥用、泄露等问题,个人信息安全面临严重威胁。
根据CNNIC发布的2018上半年《中国互联网络发展状况统计报告》中,有54%的网民在2018上半年遇到过网络安全问题,在上网过程中遇到个人信息泄露的比例达到28.5%,较2017年末增加1.4%。
实际上,个人信息泄露一直是互联网领域最严重的安全问题之一。此前我国已出台涉及个人信息保护方面的法律法规有将近70部,如2009年2月出台的 《刑法修正案(七)》、2012年底全国人大出台的 《全国人民代表大会常务委员会关于加强网络信息保护的决定》、2013年工信部发布的 《电信和互联网用户个人信息保护规定》均在不同程度上强调了要加强消费者个人信息保护。但其中一些规定因为过于空泛,在司法实践中面临难以操作的困境。
2018年5月1日,推荐性国家标准《信息安全技术个人信息安全规范》正式实施,这份规范从收集、保存、使用、共享、转让、公开披露等个人信息处理活动方面,填补了国内个人信息保护在具体实践标准上的空白。实施大半年后,根据新的草案,此次修订增加了“不得强迫收集个人信息的要求”等内容。
其中,草案明确提出“当产品或服务提供多项需收集个人信息的业务功能时,个人信息控制者不得违背个人信息主体的自主意愿,强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求。”
草案强调,不得通过捆绑产品或服务各项业务功能的方式,要求个人信息主体一次性接受并授权同意各项业务功能收集个人信息的请求;如个人信息主体不同意使用、关闭或退出特定业务功能,个人信息控制者不得频繁征求个人信息主体的同意。
同时,草案新增了“个性化展示”的定义,并在“个人信息使用”章节中明确了相关要求。其中第一条规定,个人信息控制者推送新闻或信息服务时,应以显著方式标明“个性化展示”等字样,并且要为个人信息主体提供简单直观的退出个性化展示模式的选项。
对于个性化展示所依赖的个人信息(如标签、画像维度等) ,平台应为用户提供自主控制机制,保障用户调控个性化展示相关程度的能力。特别是当用户选择退出个性化展示模式时,用户应享有删除或匿名化定向推送活动所基于的个人信息的权利。
针对第三方接入管理的问题,草案指出,涉及第三方嵌入或接入的自动化工具(如代码、脚本、接口、算法模型、软件开发工具包、小程序等)的,宜开展技术检测确保其个人信息收集、使用行为符合约定要求,并对第三方嵌入或接入的自动化工具收集个人信息的行为进行审计,发现超出约定行为的及时切断接入。
草案还指出,个人信息主体之所以识别或挑选某项产品或服务,主要依据个人信息控制者对所提供产品或服务开展的市场推广和商业定位、产品或服务本身的名称、在应用商店中的描述、所属的应用类型等因素。因此,个人信息控制者应根据一般用户对上述因素的最可能的认识和理解,而非自身想法来确定用户的主要需求和期待来划定基本业务功能。
此前,为了保障个人信息安全,维护广大网民合法权益,中央网信办等四部门日前在新闻发布会上公布,自2019年1月至12月,在全国范围组织开展App违法违规收集使用个人信息专项治理。
中央网信办网络安全协调局巡视员、副局长杨春艳在会上表示,目前App的种类和数量迅猛增长,但强制授权、过度索权、超范围收集个人信息等情况大量存在。此次专项整治预计在2019年底前完成千款左右用户数量大、社会关注度高的App的评估工作,切实整治个人信息收集方面的乱象。
“这次评估不仅针对隐私条款文本,还要评估App收集使用个人信息的实施行为,核实其是否履行了隐私承诺,依法依规收集和使用个人信息。专项治理包括评估、执法、认证等系列工作。”杨春艳表示。
