《數據安全管理辦法(征求意見稿)》發布 為個人數據安全加把鎖
近日,國家互聯網信息辦公室發布《數據安全管理辦法(征求意見稿)》,不僅對公眾關注的個人敏感信息收集方式、廣告精準推送、APP過度索權、賬戶注銷難等問題作出了直接回應,還對網絡運營者在數據收集、處理使用、安全監督管理等方面提出了要求,為個人數據安全加上了一把鎖——
隨便注冊一個應用就要身份證號,推送來的廣告好像會“讀心”,大數據“殺熟”防不勝防,注銷賬號“難于上青天”……這些在個人數據保護中頻頻出現的難題有望迎刃而解。
國家互聯網信息辦公室日前發布《數據安全管理辦法(征求意見稿)》(以下簡稱《辦法》),對網絡運營者在數據收集、處理使用、安全監督管理等方面提出了要求,為個人數據安全加上了一把鎖。
為啥出臺《辦法》?這與當前日趨嚴峻的個人信息濫用和泄露的狀況顯然息息相關。根據官方對百款常用手機應用統計數據顯示,其中相當一部分手機應用存在強制超范圍索要權限情況,平均每個應用申請收集個人信息相關權限數有10項,但實際上用戶不同意開啟則APP無法安裝或運行的權限數平均僅為3項。
來自“電子商務消費糾紛調解平臺”的大數據同樣顯示,近年來包括天貓、淘寶、京東、蘇寧易購、唯品會等電商平臺,以及大眾點評、百度糯米、攜程等生活服務平臺,均曾出現過用戶信息泄露事件。僅在2018年,就多次出現用戶個人信息泄露事件,比如圓通、順豐十幾億條個人信息在暗網被出售,12306數百萬條旅客信息在網上被出售等。
數據保護“有章可循”
在《辦法》中,數據活動被界定為“利用網絡開展數據收集、存儲、傳輸、處理、使用等活動”。“與已經發布的《信息安全技術個人信息安全規范》和《互聯網個人信息安全保護指南》相比,未來有可能作為部門規章發布的《辦法》效力層級更高,既是大數據時代數據安全的剛需體現,也在為5G市場鋪平國內數據處理合規化道路。”上海漢盛律師事務所高級合伙人李旻說。
北京觀韜中茂(上海)律師事務所合伙人王渝偉也認為,與《網絡安全法》相比,此次征求意見稿更為詳盡,也有望為未來個人信息保護方面的法律提供參考。
此次《辦法》中的“亮點”提法,也讓個人數據保護有章可循。一方面,《辦法》強調了用戶的選擇權,如其中明確要求“制定并公開個人信息收集使用規則”,且強調“如果收集使用規則包含在隱私政策中,應相對集中,明顯提示,以方便閱讀”,突出信息使用規則的重要性,以便個人信息主體享有充分選擇權。此外還特別規定,對“網絡產品核心業務功能運行的個人信息”以外的信息,網絡運營者不得因個人信息主體未同意收集而拒絕提供核心業務功能服務。也就是說,網絡運營者不能在數據索取上“漫天要價”。
“這實際上就是為了避免網絡服務提供者為了收集數據采取脅迫或者誤導行為。”中國社會科學院信息化研究中心秘書長姜奇平表示,信息采集的主導權和選擇權必須交給消費者,這是信息服務的原則性問題。
另一方面,《辦法》也進一步強調了對用戶隱私的保護,《辦法》要求“網絡運營者以經營為目的收集重要數據或個人敏感信息的,應向所在地網信部門備案”。根據《信息安全技術個人信息安全規范》,包括身份證信息、電話號碼、郵箱地址、瀏覽記錄、定位信息乃至個人指紋、聲紋,這些都屬于個人敏感信息。“通過國家強制力對隱私信息的收集使用予以限制,在隱私信息泄漏時亦有跡可循,以實現個人隱私信息的數據安全。”李旻說。
中國信息安全研究院副院長左曉棟表示,只有能對隱私信息的收集者追根溯源,才能從源頭保護個人數據安全。
解決方法直面“痛點”
“《辦法》對于近年來層出不窮的網絡數據安全問題予以細化,針對新型數據安全管理的規定能及時填補因社會發展導致的法律漏洞,具有前瞻性。”李旻說。
從《辦法》的具體規定來看,不少一直困擾用戶的“痛點”被明確點名,比如剛訂了一張機票,馬上各個應用就開始推薦目的地相關信息,這種利用用戶瀏覽歷史,通過定向推送獲得廣告收入的“精準廣告”,讓不少用戶覺得毫無隱私。對此,《辦法》明確規定,要求利用用戶數據和算法推送新聞信息、商業廣告需顯著標明“定推”字樣, 并為用戶拒絕接受定向推送信息提供選擇權,“用戶選擇停止接收定向推送信息時,應當停止推送,并刪除已經收集的設備識別碼等用戶數據和個人信息”。
“廣告主采集用戶的信息難度會增加,但這也是全球范圍內的大趨勢,各個主要國家的相關法規,也都在強調保護消費者的個人數據隱私。”網絡廣告平臺Marteker創始人馮祺表示。
再比如,針對賬號注銷難,賬號注銷后個人信息消除難,《辦法》也特別提出,要保護用戶的“被遺忘權”。《辦法》強調,“收集使用規則應突出個人信息主體撤銷同意,以及查詢、更正、刪除個人信息的途徑和方法”。“網絡運營者收到有關個人信息查詢、更正、刪除以及用戶注銷賬號請求時,應當在合理時間和代價范圍內予以查詢、更正、刪除或注銷賬號。”
“突出‘被遺忘權’保護也是辦法的一個亮點。‘被遺忘’是消費者的合理訴求。”左曉棟說。
在北京億達(上海)律師事務所律師董毅智看來,“被遺忘權”仍需進一步細化,“比如,在用戶注銷賬戶后,網絡經營者對于已經散發出去的信息如何處理?用戶是否有權要求網絡經營者對已經散發出去的信息予以刪除或者負責?”
此外,包括“網絡爬蟲”訪問收集流量不得超過網站日均流量的三分之一,限制“大數據殺熟”等歧視性推送行為,明確數據安全責任人的任職要求,要求提供數據安全責任人的姓名及聯系方式等,《辦法》中的相關規定,為個人數據保護中的一系列熱點問題提供了解決方案。
“互聯網行業頭部企業的天然主導性,導致行業內部缺乏競爭,基于用戶對平臺服務的信任而建立起的黏性,不能成為某些平臺實行差別定價、數據反復買賣的底氣。從這個角度來講,《辦法》對同行業、跨行業之間企業聯手利用用戶信息的合規性提出了新要求。”董毅智表示。(經濟日報·中國經濟網記者 陳 靜)