中国新规,有望加强个人信息安全保护
面对手机APP条款繁复、晦涩难懂的隐私政策,还有一揽子授权,必须要点同意吗?邮箱、手机,甚至身份证、家庭住址、社会关系、银行卡号……这些被拿去的个人信息会不会被泄露和滥用?
近期,中国有关部门公布的管理办法,有望进一步规范互联网企业搜集用户信息的范围,并加强数据使用环节的规定。
1个人信息安全规范修订
2019年6月25日,全国信息安全标准化委员会发布《信息安全技术个人信息安全规范》(以下简称《个人信息安全规范》)征求意见稿。
对于数据安全,中国此前最重要的法律依据是2017年实施的《网络安全法》。其中第40—44条是对个人信息保护的条款,但都是原则性的表述,需要细致的可落地方案,这也是2018年5月第一版《个人信息安全规范》的由来。
一般情况下,国家标准修订一次会间隔五年左右的时间,而修订《个人信息安全规范》距离上一版只有一年的时间,可见在大数据产业高速发展的今天,个人信息安全工作的重要和迫切。
本质上来说,《个人信息安全规范》是推荐性标准,没有强制力。“这个标准虽然是推介性的,但是很多的监管部门用这个标准在执法,对企业来说,就等同强制性。”《个人信息安全规范》主要起草人、北京大学法治与发展研究院高级研究员洪延青介绍,“现在的企业,基本上按照2018年的安全规范标准在做”。
相对于第一版,新版个人信息安全规范的修订主要集中在三大方面:限制搜集信息的范围,打破一揽子强制授权;加强数据使用环节的规定;调整隐私政策模板。
“在参考国际现有标准借鉴国际经验的基础上,按照中国的法律法规调整,尽量做到接轨。”洪延青表示。
有些问题也具有中国特色。“比如,在国外很少有一个APP想干很多事儿,平台式的,上面放各种小程序,所以使用这样的APP就面临很多的个人信息授权。为了解决这个事儿,我们在信息收集那一章节列出很多细则要求,就是打破一揽子授权同意。” 洪延青说。
据个人信息安全规范主要起草者之一、中国电子技术标准化研究院的何延哲介绍,新版个人信息安全规范主要是增加了一些条款,比如“用户画像的使用限制”和“个性化展示及退出”,这部分也是起草过程中内部讨论最多的。
用户画像越准确,广告推送就越精准。准确的用户画像来源于个人信息。从利益驱动来说,企业肯定期望收集的用户个人信息越多越好。
那么,个人信息收集的度在哪里?
《个人信息安全规范》中明确,收集个人信息的度是:最小必要。而且,向用户推送新闻信息,如果使用个性化展示的,应标明“个性化展示”或“定推”等字样,而且应提供简单直观的退出或关闭个性化展示模式的选项。
但目前的一些APP产品的个性化推送,没有为用户提供更多选择。只能等新的规范生效,靠监管部门的推进执行下去。
2将规范搜集信息的范围
根据新规,APP收集用户的个人信息,必须是实现它的基本功能所必要的,不能超范围收集。
据网络安全审查技术与认证中心检测部主管张志强介绍,在进行APP审查和认证中,他们把向用户收集的信息分为必要信息、非必要(与产品功能)相关联的信息和无关联非必要信息。
张志强举例,比如一款订餐APP需要联系人电话信息,因为没有这个信息,餐食无法送到本人手中,这就是必要信息。但是它还收集订餐人的定位信息,用户订餐其实可以手动输入地址,实时定位信息不是必需的,但是这个定位信息能改善用户体验,加快送达效率,而且可以查到用户附近相关的餐饮店状况,改善提高服务,和基本功能业务相关,因此属于非必要相关联信息。
在非必要相关联信息这一点上,很多用户遇到过这样的烦恼:选择不同意,界面直接关闭,基本功能也不让用;或者,不停地弹出界面反复循环询问,用户不胜其扰,只好选择同意。
按照新规,这个问题将得到解决。新规明确规定,APP如果使用非必要相关联的信息,需要征求用户的同意。如果用户选择不同意,不可以影响基本功能的使用。
张志强表示,当前App还普遍存在超范围收集、强制授权、过度索权、功能捆绑等个人信息安全问题。
“但是辨别这些需要专业技术门槛,超出了个体的判断能力,所以这也是检测认证(的)价值和意义。”张志强强调。
2019年3月,中国网络安全审查技术与认证中心(CCRC)开始正式受理认证申请。目前,网络安全审查技术与认证中心主导的 APP 安全认证属于自愿性认证,并鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的 App。
张志强透露,目前已经开展了第一批 App 安全认证试点,入围第一批试点的 App有9家企业16款产品,部分已完成认证技术验证。
3数据安全背后的博弈
在企业收集个人信息之后,用户最担心的是:会不会被泄露或转卖?有没有被滥用?
“虽然目前在中国数据泄露还没有严重的处罚和索赔的案例,但实际从规则上来说,根据《网络安全法》,数据泄露属于违法行为,转卖更是犯罪行为,会被追究法律责任。”一直关注数据安全领域的北京安理律师事务所合伙人王新锐律师说,“对于很多互联网公司来说,数据(包括个人信息)是最重要的资产,企业肯定不会主动泄露,不会被黑客偷走,这一点,从商业利益上来说,是有很大动力的。”
比如,据腾讯守护者计划安全专家徐一可介绍,过去十年,腾讯陆续建立了七大实验室,专注安全技术研究及安全攻防体系搭建,其核心目的之一就是保障用户的个人信息安全。
不过,“使用的目的和范围,和收集的时候不一样,这才是最大的问题”。王新锐接着说,“如果发现有些APP不太对劲儿,感觉超出了范围收集或使用你的个人信息,最好退出,或者举报。”
在《个人信息安全规范》征求意见稿中,王新锐提到的这些问题得到了细化。
“在使用上,无论国际标准,还是国内法律法规的要求,你收集了哪些个人信息,用在什么方面,目的是什么,都要明确透明。如果收集信息后,改变使用目的,需要再次向用户征求同意,并且,敏感权限需要设置关闭功能。”《个人信息安全规范》主要起草人洪延青说道。此外,如果没有征得用户同意,企业不得将用户信息共享,即使是隶属于同一家公司的不同产品。
比如,用户比较熟悉的QQ,其“通讯录权限”、“通话权限”、“短信权限”等敏感权限设置了用户授权的互动界面,QQ安全团队负责人也演示了如何在应用场景下通过用户授权,和如何在产品设置内关闭敏感权限的访问。作为起步较早的互联网公司,由于在数据安全上积累了较多经验,腾讯有关技术部门参与了《个人信息安全规范》的起草。
2019年1月,中央网信办、工信部、公安部、市场监管总局发布了联合公告,成立APP专项治理工作组,受理对APP违法违规收集使用个人信息的举报(受理举报的微信公号是“APP个人信息举报”)。对发现问题的APP,必须整改。
但是在整改的过程中,也会遇到难题。“有时候发现需要整改的地方正好是这家企业业务发展的主要模式。企业以生存和发展为第一目标,如果直接影响到他们的核心利益,在推进的过程中会遇到阻力。” 张志强说。
对于这一点,王新锐认为:“也不一定是说企业在作恶或者很霸道,因为目前在国内APP提供的服务基本都是免费的,向国外一样全面开启付费或者会员制不现实,那么这个模式造成企业主要靠广告盈利活下去,造成了中国企业更需要用户信息。所以,在保证运营收益的情况下,又能提供安全便捷免费的服务,关键是把握这个度。”
“数据安全背后是多重力量博弈,不是一个简单的是非判断,牵扯到多方利益平衡,要充分能理解各方立场,才能保持可持续发展。” 律师王新锐强调。