阅读:0
听报道
撰文 | 柴爱新 责编 | 夏志坚
面对手机APP条款繁复、晦涩难懂的隐私政策,还有一揽子授权,必须要点同意吗?邮箱、手机,甚至身份证、家庭住址、社会关系、银行卡号……这些被拿去的个人信息会不会被泄露和滥用?
近期,中国有关部门公布的管理办法,有望进一步规范互联网企业搜集用户信息的范围,并加强数据使用环节的规定。
01 个人信息安全规范修订
2019年6月25日,全国信息安全标准化委员会发布《信息安全技术个人信息安全规范》(以下简称《个人信息安全规范》)征求意见稿。
对于数据安全,中国此前最重要的法律依据是2017年实施的《网络安全法》。其中第40—44条是对个人信息保护的条款,但都是原则性的表述,需要细致的可落地方案,这也是2018年5月第一版《个人信息安全规范》的由来。
一般情况下,国家标准修订一次会间隔五年左右的时间,而修订《个人信息安全规范》距离上一版只有一年的时间,可见在大数据产业高速发展的今天,个人信息安全工作的重要和迫切。
本质上来说,《个人信息安全规范》是推荐性标准,没有强制力。“这个标准虽然是推介性的,但是很多的监管部门用这个标准在执法,对企业来说,就等同强制性。”《个人信息安全规范》主要起草人、北京大学互联网发展研究中心高级顾问洪延青介绍,“现在的企业,基本上按照2018年的安全规范标准在做”。
相对于第一版,新版个人信息安全规范的修订主要集中在三大方面:限制搜集信息的范围,打破一揽子强制授权;加强数据使用环节的规定;调整隐私政策模板。
“在参考国际现有标准借鉴国际经验的基础上,按照中国的法律法规调整,尽量做到接轨。”洪延青表示。
有些问题也具有中国特色。“比如,在国外很少有一个APP想干很多事儿,平台式的,上面放各种小程序,所以使用这样的APP就面临很多的个人信息授权。为了解决这个事儿,我们在信息收集那一章节列出很多细则要求,就是打破一揽子授权同意。” 洪延青说。
据个人信息安全规范主要起草者之一、中国电子技术标准化研究院的何延哲介绍,新版个人信息安全规范主要是增加了一些条款,比如“用户画像的使用限制”和“个性化展示及退出”,这部分也是起草过程中内部讨论最多的。
用户画像越准确,广告推送就越精准。准确的用户画像来源于个人信息。从利益驱动来说,企业肯定期望收集的用户个人信息越多越好。
那么,个人信息收集的度在哪里?
《个人信息安全规范》中明确,收集个人信息的度是:最小必要。而且,向用户推送新闻信息,如果使用个性化展示的,应标明“个性化展示”或“定推”等字样,而且应提供简单直观的退出或关闭个性化展示模式的选项。
但目前的一些APP产品的个性化推送,没有为用户提供更多选择。只能等新的规范生效,靠监管部门的推进执行下去。
02 将规范搜集信息的范围
根据新规,APP收集用户的个人信息,必须是实现它的基本功能所必要的,不能超范围收集。
据网络安全审查技术与认证中心检测部主管张志强介绍,在进行APP审查和认证中,他们把向用户收集的信息分为必要信息、非必要(与产品功能)相关联的信息和无关联非必要信息。
张志强举例,比如一款订餐APP需要联系人电话信息,因为没有这个信息,餐食无法送到本人手中,这就是必要信息。但是它还收集订餐人的定位信息,用户订餐其实可以手动输入地址,实时定位信息不是必需的,但是这个定位信息能改善用户体验,加快送达效率,而且可以查到用户附近相关的餐饮店状况,改善提高服务,和基本功能业务相关,因此属于非必要相关联信息。
在非必要相关联信息这一点上,很多用户遇到过这样的烦恼:选择不同意,界面直接关闭,基本功能也不让用;或者,不停地弹出界面反复循环询问,用户不胜其扰,只好选择同意。
按照新规,这个问题将得到解决。新规明确规定,APP如果使用非必要相关联的信息,需要征求用户的同意。如果用户选择不同意,不可以影响基本功能的使用。
张志强表示,当前App还普遍存在超范围收集、强制授权、过度索权、功能捆绑等个人信息安全问题。
“但是辨别这些需要专业技术门槛,超出了个体的判断能力,所以这也是检测认证(的)价值和意义。”张志强强调。
2019年3月,中国网络安全审查技术与认证中心(CCRC)开始正式受理认证申请。目前,网络安全审查技术与认证中心主导的 APP 安全认证属于自愿性认证,并鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的 App。
张志强透露,目前已经开展了第一批 App 安全认证试点,入围第一批试点的 App有9家企业16款产品,部分已完成认证技术验证。
03 数据安全背后的博弈
在企业收集个人信息之后,用户最担心的是:会不会被泄露或转卖?有没有被滥用?
“虽然目前在中国数据泄露还没有严重的处罚和索赔的案例,但实际从规则上来说,根据《网络安全法》,数据泄露属于违法行为,转卖更是犯罪行为,会被追究法律责任。”一直关注数据安全领域的北京安理律师事务所合伙人王新锐律师说,“对于很多互联网公司来说,数据(包括个人信息)是最重要的资产,企业肯定不会主动泄露,不会被黑客偷走,这一点,从商业利益上来说,是有很大动力的。”
比如,据腾讯守护者计划安全专家徐一可介绍,过去十年,腾讯陆续建立了七大实验室,专注安全技术研究及安全攻防体系搭建,其核心目的之一就是保障用户的个人信息安全。
不过,“使用的目的和范围,和收集的时候不一样,这才是最大的问题”。王新锐接着说,“如果发现有些APP不太对劲儿,感觉超出了范围收集或使用你的个人信息,最好退出,或者举报。”
在《个人信息安全规范》征求意见稿中,王新锐提到的这些问题得到了细化。
“在使用上,无论国际标准,还是国内法律法规的要求,你收集了哪些个人信息,用在什么方面,目的是什么,都要明确透明。如果收集信息后,改变使用目的,需要再次向用户征求同意,并且,敏感权限需要设置关闭功能。”《个人信息安全规范》主要起草人洪延青说道。此外,如果没有征得用户同意,企业不得将用户信息共享,即使是隶属于同一家公司的不同产品。
比如,用户比较熟悉的QQ,其“通讯录权限”、“通话权限”、“短信权限”等敏感权限设置了用户授权的互动界面,QQ安全团队负责人也演示了如何在应用场景下通过用户授权,和如何在产品设置内关闭敏感权限的访问。作为起步较早的互联网公司,由于在数据安全上积累了较多经验,腾讯有关技术部门参与了《个人信息安全规范》的起草。
2019年1月,中央网信办、工信部、公安部、市场监管总局发布了联合公告,成立APP专项治理工作组,受理对APP违法违规收集使用个人信息的举报(受理举报的微信公号是“APP个人信息举报”)。对发现问题的APP,必须整改。
但是在整改的过程中,也会遇到难题。“有时候发现需要整改的地方正好是这家企业业务发展的主要模式。企业以生存和发展为第一目标,如果直接影响到他们的核心利益,在推进的过程中会遇到阻力。” 张志强说。
对于这一点,王新锐认为:“也不一定是说企业在作恶或者很霸道,因为目前在国内APP提供的服务基本都是免费的,向国外一样全面开启付费或者会员制不现实,那么这个模式造成企业主要靠广告盈利活下去,造成了中国企业更需要用户信息。所以,在保证运营收益的情况下,又能提供安全便捷免费的服务,关键是把握这个度。”
“……数据安全背后是多重力量博弈,不是一个简单的是非判断,牵扯到多方利益平衡,要充分能理解各方立场,才能保持可持续发展。” 律师王新锐强调。
张志强的团队在认证时也有平衡的考虑。比如,如果反反复复出现授权同意的界面,也会影响到用户的体验。所以在考虑到合乎标准要求的同时,也会兼顾用户体验层面的产品设计。
话题:
0
推荐
财新博客版权声明:财新博客所发布文章及图片之版权属博主本人及/或相关权利人所有,未经博主及/或相关权利人单独授权,任何网站、平面媒体不得予以转载。财新网对相关媒体的网站信息内容转载授权并不包括财新博客的文章及图片。博客文章均为作者个人观点,不代表财新网的立场和观点。