記者從全國信息安全標準化技術(shù)委員會獲悉,由該委員會制定和歸口管理的個人信息保護國家標準《信息安全技術(shù)個人信息安全規(guī)范》(G B /T35273-2017)于日前正式發(fā)布,內(nèi)容涵蓋個人信息的收集、保存、使用、共享轉(zhuǎn)讓以及安全事件處置等方方面面。該《規(guī)范》將于2018年5月1日開始實施。
近年來,因APP默認勾選、第三方數(shù)據(jù)采集等問題引發(fā)的糾紛頻出,個人信息保護的議題被高密度置于公共視野中。大數(shù)據(jù)時代,消費者該怎樣保護自己的合法權(quán)益,怎樣維護自己的隱私、切實保護好自己的個人信息?
首先,當然需要消費者提高個人信息的保護意識,其次,則必須談到企業(yè)、商家的責任。兩者相比,后者毋寧更為重要,因為即使一個消費者對個人信息安全非常敏感,發(fā)現(xiàn)信息泄露之后的維權(quán)意識也頗高,但就目前而言,由于面臨維權(quán)成本高昂的問題,多數(shù)消費者即使遭遇了信息泄露,往往也只能息事寧人。實際上這也是雖然公民信息泄露事件頻發(fā),卻鮮有個人起訴案例的原因。
要真正重視個人信息安全保護,遏制所謂公民個人信息“裸奔”的現(xiàn)象,從企業(yè)和商家入手顯然是一個最優(yōu)的路徑。
但是企業(yè)和商家對此也許會倍感委屈。在大數(shù)據(jù)時代,公民不提供足夠的信息會導致一些業(yè)務無法開展,也可能影響產(chǎn)業(yè)的進步。但究竟哪些信息是必要的;哪些信息不應該被采集;哪些又屬于個人敏感信息,采集之后需要給予額外保護,如此種種,明確的定義和邊界在哪里?缺乏明確的定義和邊界,企業(yè)和商家要履行保護公民個人信息安全的責任,又該從何處著手?
現(xiàn)在,隨著《信息安全技術(shù)個人信息安全規(guī)范》的出臺,企業(yè)和商家的上述困惑已經(jīng)迎刃而解。
據(jù)媒體報道,該《規(guī)范》被定位為中國個人信息保護工作的基礎性標準文件,它從收集、保存、使用、共享、轉(zhuǎn)讓、公開披露等個人信息處理活動方面進行了詳細規(guī)定。比如關(guān)于個人敏感信息,《規(guī)范》首次定義,是指“一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全,極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息”,并由此出發(fā),明確了企業(yè)收集此類信息時的前提和義務。
閱讀這份標準,可以發(fā)現(xiàn)其把消費者的知情權(quán)和選擇權(quán)放在一個很高的位置。無論個人信息的采集、使用還是共享,消費者都應該知道信息會用于哪些方面、可能存在哪些風險,如果關(guān)涉?zhèn)€人敏感信息,消費者還應該有拒絕的權(quán)利,而且不會因此失去企業(yè)所提供的基本服務,否則就不是給消費者選擇而成了“霸王條款”。過去消費者常會遭遇一個糾結(jié)的場景,如果不完全滿足企業(yè)關(guān)于個人信息采集的要求,則意味著失去企業(yè)的服務。但現(xiàn)在《規(guī)范》明確,“當個人信息主體拒絕時,可不提供相應的附加功能,但不應以此為理由停止提供核心業(yè)務功能,并應保障相應的服務質(zhì)量”。
個人信息安全規(guī)范國標發(fā)布意義重大,誠如專家所言,該《規(guī)范》對個人信息保護的一些原則性規(guī)定進行了細化,突出了可操作性,使法律在這個問題上的落地成為了可能。但也有人擔心,這份國標只是一份推薦性標準,如果缺乏強制力,又能在多大程度上影響企業(yè)的作為呢?
這種擔心或許有一定道理,但同時也要注意到,在整個社會日益重視個人信息安全的背景下,任何一個企業(yè)對此輕忽都會付出不菲的代價。現(xiàn)在隨著國標的正式出臺,企業(yè)不再如過去那樣擁有一塊天然的免責擋箭牌,明智的企業(yè)會作出什么樣的選擇,會不會因此而逐漸學會自律,其實是不言而喻的。
即使是推薦性標準,本次規(guī)范的出臺也會對行業(yè)起到良好的引導作用。同時,規(guī)范在實施過程中還會為個人信息保護提供豐富經(jīng)驗,假以時日,這些經(jīng)驗無疑都是將來個人信息保護立法的重要參考。