個人信息安全規(guī)范修訂草案面向全社會征求意見

——來源：中國信用

　　隨著信息技術的快速發(fā)展和互聯網應用的普及，個人信息安全也面臨著前所未有的嚴重威脅。近日，全國信息安全標準化技術委員會發(fā)布消息，面向全社會公開征求《信息安全技術個人信息安全規(guī)范（草案）》（以下簡稱“修訂草案”）意見。修訂草案明確提出，不得強迫收集個人信息，用戶應有權拒絕個性化推送。

　　《信息安全技術個人信息安全規(guī)范》為推薦性國家標準，已于2018年5月1日正式實施。此次草案的修訂目的在于落實《網絡安全法》對個人信息保護的相關要求，加快相應標準化工作的推進。記者了解到，該規(guī)范剛剛實施不到一年就進行修改，也體現了有關部門對社會關切的及時回應。

　　“個性化展示是個人信息使用的常見方式，也是民眾反映的熱點問題?！?有專家指出，有時候精準推送變成了精準營銷，讓用戶覺得自己的生活被別人窺探，反而起到反效果。記者注意到，此次修訂草案不僅新增了“個性化展示”的定義，還在“個人信息使用”章節(jié)中明確了相關要求。其中第一條規(guī)定，個人信息控制者推送新聞或信息服務時，應以顯著方式標明“個性化展示”等字樣，并且要為個人信息主體提供簡單直觀的退出個性化展示模式的選項。

　　修訂草案還建議，對于個性化展示所依賴的個人信息(如標簽、畫像維度等) ，平臺應為用戶提供自主控制機制，保障用戶調控個性化展示相關程度的能力。特別是當用戶選擇退出個性化展示模式時，用戶應享有刪除或匿名化定向推送活動所基于的個人信息的權利。

　　除了個性化推送外，修訂草案新增的第三方接入管理規(guī)定也值得關注。修訂草案指出，涉及第三方嵌入或接入的自動化工具(如代碼、腳本、接口、算法模型、軟件開發(fā)工具包、小程序等)的，宜開展技術檢測確保其個人信息收集、使用行為符合約定要求，并對第三方嵌入或接入的自動化工具收集個人信息的行為進行審計，發(fā)現超出約定行為的及時切斷接入。

　　在接入具備收集個人信息功能的第三方產品或服務時，修訂草案強調企業(yè)應當建立相關的管理機制和工作流程，必要時應建立安全評估等機制設置接入條件，同時與第三方產品或服務提供者通過合同等形式，明確雙方的安全責任及應實施的個人信息安全措施。

　　北師大刑科院暨法學院副教授、中國互聯網協會研究中心秘書長吳沈括指出，修訂草案要求企業(yè)提升對于第三方接入業(yè)務的制度化管理，這一制度設計強調企業(yè)介入第三方接入業(yè)務管理，為用戶的權利保護進一步提供了二重保障。

　　為了更好地解決公眾反映強烈的個人信息過度收集的問題，修訂草案還專門新增了一項條款，規(guī)定個人信息控制者“不得強迫收集個人信息”。當產品或服務提供多項需收集個人信息的業(yè)務功能時，個人信息控制者不得違背用戶的自主意愿，強迫用戶接受信息收集請求。

　　該條款內容再次強調，企業(yè)不得通過捆綁各項業(yè)務功能的方式，要求個人信息主體一次性接受并授權同意各項業(yè)務功能收集個人信息的請求。企業(yè)應把用戶主動填寫、點擊、勾選等自主行為作為業(yè)務功能開啟或開始收集個人信息的條件，并提供與使用功能同樣簡便的關閉或退出功能的途徑。

　　此外，全國信息安全標準化技術委員會表示，關于修訂草案的意見或建議，請各相關單位于2019年3月3日前將反饋至秘書處。