随着信息技术的快速发展和互联网应用的普及,个人信息安全也面临着前所未有的严重威胁。近日,全国信息安全标准化技术委员会发布消息,面向全社会公开征求《信息安全技术个人信息安全规范(草案)》(以下简称“修订草案”)意见。修订草案明确提出,不得强迫收集个人信息,用户应有权拒绝个性化推送。
《信息安全技术个人信息安全规范》为推荐性国家标准,已于2018年5月1日正式实施。此次草案的修订目的在于落实《网络安全法》对个人信息保护的相关要求,加快相应标准化工作的推进。记者了解到,该规范刚刚实施不到一年就进行修改,也体现了有关部门对社会关切的及时回应。
“个性化展示是个人信息使用的常见方式,也是民众反映的热点问题。” 有专家指出,有时候精准推送变成了精准营销,让用户觉得自己的生活被别人窥探,反而起到反效果。记者注意到,此次修订草案不仅新增了“个性化展示”的定义,还在“个人信息使用”章节中明确了相关要求。其中第一条规定,个人信息控制者推送新闻或信息服务时,应以显著方式标明“个性化展示”等字样,并且要为个人信息主体提供简单直观的退出个性化展示模式的选项。
修订草案还建议,对于个性化展示所依赖的个人信息(如标签、画像维度等) ,平台应为用户提供自主控制机制,保障用户调控个性化展示相关程度的能力。特别是当用户选择退出个性化展示模式时,用户应享有删除或匿名化定向推送活动所基于的个人信息的权利。
除了个性化推送外,修订草案新增的第三方接入管理规定也值得关注。修订草案指出,涉及第三方嵌入或接入的自动化工具(如代码、脚本、接口、算法模型、软件开发工具包、小程序等)的,宜开展技术检测确保其个人信息收集、使用行为符合约定要求,并对第三方嵌入或接入的自动化工具收集个人信息的行为进行审计,发现超出约定行为的及时切断接入。
在接入具备收集个人信息功能的第三方产品或服务时,修订草案强调企业应当建立相关的管理机制和工作流程,必要时应建立安全评估等机制设置接入条件,同时与第三方产品或服务提供者通过合同等形式,明确双方的安全责任及应实施的个人信息安全措施。
北师大刑科院暨法学院副教授、中国互联网协会研究中心秘书长吴沈括指出,修订草案要求企业提升对于第三方接入业务的制度化管理,这一制度设计强调企业介入第三方接入业务管理,为用户的权利保护进一步提供了二重保障。
为了更好地解决公众反映强烈的个人信息过度收集的问题,修订草案还专门新增了一项条款,规定个人信息控制者“不得强迫收集个人信息”。当产品或服务提供多项需收集个人信息的业务功能时,个人信息控制者不得违背用户的自主意愿,强迫用户接受信息收集请求。
该条款内容再次强调,企业不得通过捆绑各项业务功能的方式,要求个人信息主体一次性接受并授权同意各项业务功能收集个人信息的请求。企业应把用户主动填写、点击、勾选等自主行为作为业务功能开启或开始收集个人信息的条件,并提供与使用功能同样简便的关闭或退出功能的途径。
此外,全国信息安全标准化技术委员会表示,关于修订草案的意见或建议,请各相关单位于2019年3月3日前将反馈至秘书处。