中國(guó)信息安全研究院副院長(zhǎng)左曉棟:App收集隱私時(shí),應(yīng)默認(rèn)用戶(hù)不同意

責(zé)任編輯:editor004

2017-06-01 10:39:42

摘自:南方都市報(bào)

在5月3 1日由南方都市報(bào)和中國(guó)政法大學(xué)傳播法研究中心主辦的“個(gè)人信息保護(hù)政策透明度報(bào)告發(fā)布會(huì)”上,中國(guó)信息安全研究院副院長(zhǎng)左曉棟透露,為落實(shí)網(wǎng)絡(luò)安全法中對(duì)個(gè)人信息保護(hù)的原則和要求,國(guó)家標(biāo)準(zhǔn)《個(gè)人信息安全規(guī)范》已經(jīng)報(bào)批,即將出臺(tái)。

在5月3 1日由南方都市報(bào)和中國(guó)政法大學(xué)傳播法研究中心主辦的“個(gè)人信息保護(hù)政策透明度報(bào)告發(fā)布會(huì)”上,中國(guó)信息安全研究院副院長(zhǎng)左曉棟透露,為落實(shí)網(wǎng)絡(luò)安全法中對(duì)個(gè)人信息保護(hù)的原則和要求,國(guó)家標(biāo)準(zhǔn)《個(gè)人信息安全規(guī)范》已經(jīng)報(bào)批,即將出臺(tái)。同時(shí),個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法也已經(jīng)征求意見(jiàn),近期就會(huì)發(fā)布。

確立個(gè)人信息保護(hù)八原則

今日,網(wǎng)絡(luò)安全法和最高法、最高檢《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》開(kāi)始實(shí)施。網(wǎng)絡(luò)安全法共有7章共79條。其中,關(guān)于個(gè)人信息保護(hù)的主要是在第四章網(wǎng)絡(luò)信息安全,共11條,其中有6條涉及個(gè)人信息保護(hù)。

在左曉棟看來(lái),網(wǎng)絡(luò)安全法是以保障技術(shù)安全為主,互聯(lián)網(wǎng)信息內(nèi)容管理不是主要部分,但網(wǎng)絡(luò)安全法對(duì)個(gè)人信息保護(hù)仍頗費(fèi)筆墨,這些條款體現(xiàn)了保護(hù)個(gè)人信息的8個(gè)原則。

據(jù)左曉棟介紹,這8個(gè)原則包括:責(zé)任原則,即“網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)對(duì)其收集的用戶(hù)信息嚴(yán)格保密,并建立健全用戶(hù)信息保護(hù)制度”;目的明確原則,即“網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息,應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則”;最少夠用原則,即“網(wǎng)絡(luò)運(yùn)營(yíng)者不得收集與其提供的服務(wù)無(wú)關(guān)的個(gè)人信息”;同意和選擇原則,即“(明示收集、使用信息的目的、方式和范圍)并經(jīng)被收集者同意”;確保安全原則,即“網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施,確保其收集的個(gè)人信息安全”;質(zhì)量保證原則,即“發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營(yíng)者收集、存儲(chǔ)的其個(gè)人信息有錯(cuò)誤的,有權(quán)要求網(wǎng)絡(luò)運(yùn)營(yíng)者予以更正”;主體參與原則,即“個(gè)人發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營(yíng)者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個(gè)人信息的,有權(quán)要求網(wǎng)絡(luò)運(yùn)營(yíng)者刪除其個(gè)人信息”;開(kāi)放透明原則,即“明示收集、使用信息的目的、方式和范圍”。

個(gè)人信息保護(hù)標(biāo)準(zhǔn)正在制定

左曉棟表示,網(wǎng)絡(luò)安全法的規(guī)定比較原則,制定《個(gè)人信息安全規(guī)范》的國(guó)家標(biāo)準(zhǔn)就是落實(shí)網(wǎng)絡(luò)安全法關(guān)于個(gè)人信息保護(hù)的要求,目前已經(jīng)報(bào)批,近期可能就會(huì)正式發(fā)布。

北京大學(xué)互聯(lián)網(wǎng)發(fā)展研究中心高級(jí)顧問(wèn)洪延青也介紹,個(gè)人信息保護(hù)標(biāo)準(zhǔn)是一個(gè)體系,包括個(gè)人信息影響評(píng)估(P rivacy Im pactA ssess-m ent,PIA )指南。“好比建一個(gè)大壩需要開(kāi)展環(huán)境影響評(píng)價(jià)”,洪延青說(shuō),企業(yè)在做新上線(xiàn)業(yè)務(wù)之前對(duì)個(gè)人信息安全會(huì)有什么樣的影響?企業(yè)應(yīng)該在開(kāi)展業(yè)務(wù)之前預(yù)估到這些風(fēng)險(xiǎn),采取相應(yīng)措施。

個(gè)人信息的去標(biāo)識(shí)化指南也在個(gè)人信息保護(hù)標(biāo)準(zhǔn)體系之中。大數(shù)據(jù)的應(yīng)用應(yīng)該匿名、偽匿名。

此外,據(jù)洪延青介紹,在數(shù)據(jù)安全方面,另外還有四個(gè)標(biāo)準(zhǔn)正在制定中,包括大數(shù)據(jù)服務(wù)能力要求、大數(shù)據(jù)服務(wù)能力評(píng)估模型、大數(shù)據(jù)交易服務(wù)安全要求和大數(shù)據(jù)安全管理指南。

收集信息應(yīng)保持合理頻率

把網(wǎng)絡(luò)安全法原則落實(shí)到具體規(guī)范,需要解釋很多具體問(wèn)題。比如,什么叫用戶(hù)“同意”?左曉棟認(rèn)為,“同意是在完全知情的基礎(chǔ)上自愿給出的具體的、清晰明確的愿望表示”。

他舉例,現(xiàn)在很多用戶(hù)在收集個(gè)人信息時(shí),往往都是默認(rèn)同意,用戶(hù)簡(jiǎn)單點(diǎn)擊“下一步”就可以往下走。左曉棟說(shuō),在制定起草國(guó)家標(biāo)準(zhǔn)的時(shí)候,這種“默認(rèn)同意”的做法都不能叫同意。“以后,默認(rèn)的鍵應(yīng)該在不同意上,用戶(hù)不能夠自然地往下走,至少要用戶(hù)主動(dòng)地去做出一個(gè)自主的選擇。這是一個(gè)細(xì)節(jié)的要求。”

另外,現(xiàn)在很多A pp的做法是“一次同意,頻繁收集”,如用戶(hù)只同意了一次,A pp就可以頻繁地收集用戶(hù)的位置信息。為此,標(biāo)準(zhǔn)規(guī)定,收集動(dòng)態(tài)性的個(gè)人信息時(shí),應(yīng)保持合理的頻率,避免超出服務(wù)目的所必需。

再比如,現(xiàn)在的很多隱私政策都是使用用戶(hù)看不懂的法律語(yǔ)言,冗長(zhǎng)晦澀。左曉棟認(rèn)為,隱私政策應(yīng)該采用“用戶(hù)可以理解的語(yǔ)言”,復(fù)雜的法律語(yǔ)言或者非本地語(yǔ)言都是不被接受的。

立法和規(guī)范的天平向誰(shuí)傾斜?

“不管是立法還是制定標(biāo)準(zhǔn),我們始終考慮的是天平向哪方面傾斜的問(wèn)題”,左曉棟認(rèn)為,在個(gè)人信息保護(hù)上,應(yīng)該向公民個(gè)人傾斜,相比而言,互聯(lián)網(wǎng)服務(wù)提供商是比較強(qiáng)勢(shì)的。

左曉棟認(rèn)為,為讓天平向個(gè)人傾斜,網(wǎng)絡(luò)安全法的要求引出了幾項(xiàng)機(jī)制:查詢(xún)機(jī)制、更正機(jī)制、刪除機(jī)制、撤回同意的機(jī)制、注銷(xiāo)賬戶(hù)和取消服務(wù)的機(jī)制,獲取自身個(gè)人信息的機(jī)制,約束信息系統(tǒng)自動(dòng)決策的機(jī)制。

在他看來(lái),“刪除機(jī)制、注銷(xiāo)賬戶(hù)和取消服務(wù)的機(jī)制”也意味著確立了中國(guó)版的“被遺忘權(quán)”。“我們現(xiàn)在很多時(shí)候只要使用了服務(wù),比如說(shuō)我們上網(wǎng)購(gòu)物,可能購(gòu)物信息一輩子不刪除的”。

不過(guò),中國(guó)政法大學(xué)傳播法研究中心副主任朱巍認(rèn)為,個(gè)人信息保護(hù)也不是越嚴(yán)格越好,因?yàn)楝F(xiàn)在的互聯(lián)網(wǎng)企業(yè)的基礎(chǔ)就是數(shù)據(jù),如果管太嚴(yán)可能沒(méi)辦法讓數(shù)據(jù)自由流動(dòng)、沒(méi)辦法搞大數(shù)據(jù)。

北京師范大學(xué)法學(xué)院教授、亞太網(wǎng)絡(luò)法律研究中心主任劉德良也表示,立法規(guī)制的應(yīng)該是防止和遏制個(gè)人信息被濫用,“沒(méi)有濫用就沒(méi)有所謂的泄露和買(mǎi)賣(mài)”,而不是一味追求保密。

“網(wǎng)絡(luò)安全法里面有一條,指‘經(jīng)過(guò)處理無(wú)法識(shí)別特定個(gè)人且不能復(fù)原的除外’”。即匿名化后的信息不再屬于個(gè)人信息,左曉棟說(shuō),這為大數(shù)據(jù)應(yīng)用留下了充分的考慮。

左曉棟表示,現(xiàn)在沒(méi)有規(guī)范的情況下,很多服務(wù)提供者希望盡可能留下完整的個(gè)人信息,遠(yuǎn)遠(yuǎn)超出了實(shí)際需要。“這方面亟需規(guī)范的,應(yīng)該鼓勵(lì)更多的使用匿名化的措施,既充分保護(hù)了個(gè)人信息,也有利于大數(shù)據(jù)的應(yīng)用。”

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)