• 台灣網移動版

    台灣網移動版

《數據安全管理辦法(徵求意見稿)》發佈 為個人數據安全加把鎖

2019-06-05 20:41:00
來源:經濟日報
字號

  近日,國家網際網路信息辦公室發佈《數據安全管理辦法(徵求意見稿)》,不僅對公眾關注的個人敏感資訊收集方式、廣告精準推送、APP過度索權、賬戶登出難等問題作出了直接回應,還對網路運營者在數據收集、處理使用、安全監督管理等方面提出了要求,為個人數據安全加上了一把鎖——

  隨便註冊一個應用就要身份證號,推送來的廣告好像會“讀心”,大數據“殺熟”防不勝防,登出賬號“難於上青天”……這些在個人數據保護中頻頻出現的難題有望迎刃而解。

  國家網際網路信息辦公室日前發佈《數據安全管理辦法(徵求意見稿)》(以下簡稱《辦法》),對網路運營者在數據收集、處理使用、安全監督管理等方面提出了要求,為個人數據安全加上了一把鎖。

  為啥出臺《辦法》?這與當前日趨嚴峻的個人資訊濫用和洩露的狀況顯然息息相關。根據官方對百款常用手機應用統計數據顯示,其中相當一部分手機應用存在強制超範圍索要許可權情況,平均每個應用申請收集個人資訊相關許可權數有10項,但實際上用戶不同意開啟則APP無法安裝或運作的許可權數平均僅為3項。

  來自“電子商務消費糾紛調解平臺”的大數據同樣顯示,近年來包括天貓、淘寶、京東、蘇寧易購、唯品會等電商平臺,以及大眾點評、百度糯米、攜程等生活服務平臺,均曾出現過用戶資訊洩露事件。僅在2018年,就多次出現用戶個人資訊洩露事件,比如圓通、順豐十幾億條個人資訊在暗網被出售,12306數百萬條旅客資訊在網上被出售等。

  數據保護“有章可循”

  在《辦法》中,數據活動被界定為“利用網路開展數據收集、存儲、傳輸、處理、使用等活動”。“與已經發佈的《資訊安全技術個人資訊安全規範》和《網際網路個人資訊安全保護指南》相比,未來有可能作為部門規章發佈的《辦法》效力層級更高,既是大數據時代數據安全的剛需體現,也在為5G市場鋪平國內數據處理合規化道路。”上海漢盛律師事務所高級合夥人李旻說。

  北京觀韜中茂(上海)律師事務所合夥人王渝偉也認為,與《網路安全法》相比,此次徵求意見稿更為詳盡,也有望為未來個人資訊保護方面的法律提供參考。

  此次《辦法》中的“亮點”提法,也讓個人數據保護有章可循。一方面,《辦法》強調了用戶的選擇權,如其中明確要求“制定並公開個人資訊收集使用規則”,且強調“如果收集使用規則包含在隱私政策中,應相對集中,明顯提示,以方便閱讀”,突出資訊使用規則的重要性,以便個人資訊主體享有充分選擇權。此外還特別規定,對“網路產品核心業務功能運作的個人資訊”以外的資訊,網路運營者不得因個人資訊主體未同意收集而拒絕提供核心業務功能服務。也就是說,網路運營者不能在數據索取上“漫天要價”。

  “這實際上就是為了避免網路服務提供者為了收集數據採取脅迫或者誤導行為。”中國社會科學院資訊化研究中心秘書長姜奇平表示,資訊採集的主導權和選擇權必須交給消費者,這是資訊服務的原則性問題。

  另一方面,《辦法》也進一步強調了對用戶隱私的保護,《辦法》要求“網路運營者以經營為目的收集重要數據或個人敏感資訊的,應向所在地網信部門備案”。根據《資訊安全技術個人資訊安全規範》,包括身份證資訊、電話號碼、郵箱地址、瀏覽記錄、定位資訊乃至個人指紋、聲紋,這些都屬於個人敏感資訊。“通過國家強制力對隱私資訊的收集使用予以限制,在隱私資訊泄漏時亦有跡可循,以實現個人隱私資訊的數據安全。”李旻說。

  中國資訊安全研究院副院長左曉棟表示,只有能對隱私資訊的收集者追根溯源,才能從源頭保護個人數據安全。

  解決方法直面“痛點”

  “《辦法》對於近年來層出不窮的網路數據安全問題予以細化,針對新型數據安全管理的規定能及時填補因社會發展導致的法律漏洞,具有前瞻性。”李旻說。

  從《辦法》的具體規定來看,不少一直困擾用戶的“痛點”被明確點名,比如剛訂了一張機票,馬上各個應用就開始推薦目的地相關資訊,這種利用用戶瀏覽歷史,通過定向推送獲得廣告收入的“精準廣告”,讓不少用戶覺得毫無隱私。對此,《辦法》明確規定,要求利用用戶數據和演算法推送新聞資訊、商業廣告需顯著標明“定推”字樣, 併為用戶拒絕接受定向推送資訊提供選擇權,“用戶選擇停止接收定向推送資訊時,應當停止推送,並刪除已經收集的設備識別碼等用戶數據和個人資訊”。

  “廣告主採集用戶的資訊難度會增加,但這也是全球範圍內的大趨勢,各個主要國家的相關法規,也都在強調保護消費者的個人數據隱私。”網路廣告平臺Marteker創始人馮祺表示。

  再比如,針對賬號登出難,賬號登出後個人資訊消除難,《辦法》也特別提出,要保護用戶的“被遺忘權”。《辦法》強調,“收集使用規則應突出個人資訊主體撤銷同意,以及查詢、更正、刪除個人資訊的途徑和方法”。“網路運營者收到有關個人資訊查詢、更正、刪除以及用戶登出賬號請求時,應當在合理時間和代價範圍內予以查詢、更正、刪除或登出賬號。”

  “突出‘被遺忘權’保護也是辦法的一個亮點。‘被遺忘’是消費者的合理訴求。”左曉棟說。

  在北京億達(上海)律師事務所律師董毅智看來,“被遺忘權”仍需進一步細化,“比如,在用戶登出賬戶後,網路經營者對於已經散發出去的資訊如何處理?用戶是否有權要求網路經營者對已經散發出去的資訊予以刪除或者負責?”

  此外,包括“網路爬蟲”訪問收集流量不得超過網站日均流量的三分之一,限制“大數據殺熟”等歧視性推送行為,明確數據安全責任人的任職要求,要求提供數據安全責任人的姓名及聯繫方式等,《辦法》中的相關規定,為個人數據保護中的一系列熱點問題提供了解決方案。

  “網際網路行業頭部企業的天然主導性,導致行業內部缺乏競爭,基於用戶對平臺服務的信任而建立起的黏性,不能成為某些平臺實行差別定價、數據反覆買賣的底氣。從這個角度來講,《辦法》對同行業、跨行業之間企業聯手利用用戶資訊的合規性提出了新要求。”董毅智表示。(經濟日報·中國經濟網記者 陳 靜)

[責任編輯:張玲]