個人信息安全規(guī)范修訂草案面向全社會征求意見

——來源 :中國信用

    隨著信息技術(shù)的快速發(fā)展和互聯(lián)網(wǎng)應(yīng)用的普及，個人信息安全也面臨著前所未有的嚴(yán)重威脅。近日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布消息，面向全社會公開征求《信息安全技術(shù)個人信息安全規(guī)范（草案）》（以下簡稱“修訂草案”）意見。修訂草案明確提出，不得強迫收集個人信息，用戶應(yīng)有權(quán)拒絕個性化推送。

《信息安全技術(shù)個人信息安全規(guī)范》為推薦性國家標(biāo)準(zhǔn)，已于2018年5月1日正式實施。此次草案的修訂目的在于落實《網(wǎng)絡(luò)安全法》對個人信息保護的相關(guān)要求，加快相應(yīng)標(biāo)準(zhǔn)化工作的推進。記者了解到，該規(guī)范剛剛實施不到一年就進行修改，也體現(xiàn)了有關(guān)部門對社會關(guān)切的及時回應(yīng)。

“個性化展示是個人信息使用的常見方式，也是民眾反映的熱點問題?！?有專家指出，有時候精準(zhǔn)推送變成了精準(zhǔn)營銷，讓用戶覺得自己的生活被別人窺探，反而起到反效果。記者注意到，此次修訂草案不僅新增了“個性化展示”的定義，還在“個人信息使用”章節(jié)中明確了相關(guān)要求。其中第一條規(guī)定，個人信息控制者推送新聞或信息服務(wù)時，應(yīng)以顯著方式標(biāo)明“個性化展示”等字樣，并且要為個人信息主體提供簡單直觀的退出個性化展示模式的選項。

修訂草案還建議，對于個性化展示所依賴的個人信息(如標(biāo)簽、畫像維度等) ，平臺應(yīng)為用戶提供自主控制機制，保障用戶調(diào)控個性化展示相關(guān)程度的能力。特別是當(dāng)用戶選擇退出個性化展示模式時，用戶應(yīng)享有刪除或匿名化定向推送活動所基于的個人信息的權(quán)利。

除了個性化推送外，修訂草案新增的第三方接入管理規(guī)定也值得關(guān)注。修訂草案指出，涉及第三方嵌入或接入的自動化工具(如代碼、腳本、接口、算法模型、軟件開發(fā)工具包、小程序等)的，宜開展技術(shù)檢測確保其個人信息收集、使用行為符合約定要求，并對第三方嵌入或接入的自動化工具收集個人信息的行為進行審計，發(fā)現(xiàn)超出約定行為的及時切斷接入。

在接入具備收集個人信息功能的第三方產(chǎn)品或服務(wù)時，修訂草案強調(diào)企業(yè)應(yīng)當(dāng)建立相關(guān)的管理機制和工作流程，必要時應(yīng)建立安全評估等機制設(shè)置接入條件，同時與第三方產(chǎn)品或服務(wù)提供者通過合同等形式，明確雙方的安全責(zé)任及應(yīng)實施的個人信息安全措施。

北師大刑科院暨法學(xué)院副教授、中國互聯(lián)網(wǎng)協(xié)會研究中心秘書長吳沈括指出，修訂草案要求企業(yè)提升對于第三方接入業(yè)務(wù)的制度化管理，這一制度設(shè)計強調(diào)企業(yè)介入第三方接入業(yè)務(wù)管理，為用戶的權(quán)利保護進一步提供了二重保障。

為了更好地解決公眾反映強烈的個人信息過度收集的問題，修訂草案還專門新增了一項條款，規(guī)定個人信息控制者“不得強迫收集個人信息”。當(dāng)產(chǎn)品或服務(wù)提供多項需收集個人信息的業(yè)務(wù)功能時，個人信息控制者不得違背用戶的自主意愿，強迫用戶接受信息收集請求。

該條款內(nèi)容再次強調(diào)，企業(yè)不得通過捆綁各項業(yè)務(wù)功能的方式，要求個人信息主體一次性接受并授權(quán)同意各項業(yè)務(wù)功能收集個人信息的請求。企業(yè)應(yīng)把用戶主動填寫、點擊、勾選等自主行為作為業(yè)務(wù)功能開啟或開始收集個人信息的條件，并提供與使用功能同樣簡便的關(guān)閉或退出功能的途徑。

此外，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會表示，關(guān)于修訂草案的意見或建議，請各相關(guān)單位于2019年3月3日前將反饋至秘書處。