網信辦:APP需設立“數據安全責任人”

發佈時間:2019-05-31 14:08:48 | 來源:新京報 | 作者:羅亦丹 李大偉 | 責任編輯:胡俊


5月28日零點,國家網際網路信息辦公室發佈關於《數據安全管理辦法(徵求意見稿)》公開徵求意見的通知。新京報記者查閱“徵求意見稿”發現,其分總則、數據收集、數據處理使用、數據安全監督管理、附則五章,共包含四十條規定。“徵求意見稿”在個人資訊收集、爬蟲抓取、廣告精準推送、APP過度索取許可權、賬戶登出難等經常涉及隱私的問題上均做出了明確規定。

APP收集個人資訊不得默認授權

新京報記者注意到,在“徵求意見稿”的數據收集一章中,網信辦首先強調APP必須明確産品的資訊收集使用規則,不得以改善服務品質、提升用戶體驗、定向推送資訊、研發新産品等為由,以默認授權、功能捆綁等形式強迫、誤導個人資訊主體同意其收集個人資訊。

對此,中國社會科學院資訊化研究中心秘書長姜奇平認為,把資訊採集主導權、選擇權交給消費者,是資訊服務的原則性問題。為了收集資訊採取脅迫或者誤導行為,都是堅決不能被允許的。

值得注意的是,為明確APP的責任,“徵求意見稿”第二條特別標注使用規則中必須包含“數據安全責任人的姓名及聯繫方式”。根據意見第十七條,網路運營者以經營為目的收集重要數據或個人敏感資訊的,應當明確數據安全責任人。並規定“數據安全責任人由具有相關管理工作經歷和數據安全專業知識的人員擔任,參與有關數據活動的重要決策,直接向網路運營者的主要負責人報告工作。”

據了解,目前不少大型企業已設有類似角色。如360設立有首席隱私官,騰訊設立有專門的數據隱私部門。而“徵求意見稿”的規定則意味著“數據安全責任人”一職將推廣到每一家以經營為目的收集重要數據或個人敏感資訊的APP,且該責任人的姓名與聯繫方式必須公開。

此外,“徵求意見稿”第十六條規定,網路運營者採取自動化手段訪問收集網站數據,不得妨礙網站正常運作;此類行為嚴重影響網站運作,如自動化訪問收集流量超過網站日均流量三分之一,網站要求停止自動化訪問收集時,應當停止。

該規定直指目前流行的“網路爬蟲”技術。新京報記者了解到,目前有不少網站已經針對網路爬蟲採取了限流的應對措施,但在法規層面對“網路爬蟲”技術做出限制,這尚屬首次。

新京報記者發現,“徵求意見稿”對未成年人資訊收集也做出了規定,如第十二條規定“收集14周歲以下未成年人個人資訊的,應當徵得其監護人同意。”

用戶登出後資訊應及時刪除

目前,APP存在“登出難”的情況。如2018年6月,新京報記者曾實測35款熱門APP發現,其中21款沒有登出選項,可以登出的也選項苛刻,如微網志登出需要滿足7項條件。

對於此種“登出難”狀況,“徵求意見稿”在第二十條及二十一條專門作出規定:網路運營者保存個人資訊不應超出收集使用規則中的保存期限,用戶登出賬號後應當及時刪除其個人資訊;網路運營者收到有關個人資訊查詢、更正、刪除以及用戶登出賬號請求時,應當在合理時間和代價範圍內予以查詢、更正、刪除或登出賬號。

此外,第三十一條也規定了當APP方破産時數據的處理方式;“網路運營者兼併、重組、破産的,數據承接方應承接數據安全責任和義務。沒有數據承接方的,應當對數據作刪除處理。法律、行政法規另有規定的,從其規定。”

“突出‘被遺忘權’保護是徵求意見稿的一個亮點。”中國資訊安全研究院副院長左曉棟表示,以網購為例,消費者在購物網站完成交易後刪除相關資訊,這樣的合理訴求理應得到滿足。

此外,“徵求意見稿”首次對使用演算法技術與人工智慧技術驅動的定向推送和智慧聚合功能提出了法規要求。

“徵求意見稿”第二十三條規定,網路運營者利用用戶數據和演算法推送新聞資訊、商業廣告等,應當以明顯方式標明“定推”字樣,為用戶提供停止接收定向推送資訊的功能;用戶選擇停止接收定向推送資訊時,應當停止推送,並刪除已經收集的設備識別碼等用戶數據和個人資訊。

第二十四條內容則顯示,網路運營者利用大數據、人工智慧等技術自動合成新聞、博文、帖子、評論等資訊,應以明顯方式標明“合成”字樣;不得以謀取利益或損害他人利益為目的自動合成資訊。

有業內人士對新京報記者表示,若此項規定確定施行,或將影響今日頭條等一批以演算法推薦為主要機制的APP。

小程式出現數據洩露微信或需擔責

此外,“徵求意見稿”還對接入平臺的第三方應用與平臺的數據責任歸屬做出了規定。

目前,接入第三方應用最多的平臺當屬微信“小程式”,新京報記者發現,相比當下對APP隱私協議的規定,小程式由於“隸屬”于微信平臺,其在隱私保護方面的要求和規定也較為模糊。

騰訊團隊曾于2019年1月3日對新京報記者表示,微信小程式主體通過用戶授權獲得的服務數據存儲在其伺服器上,微信一直通過相關服務協議和平臺規則要求開發者對用戶隱私安全進行保護。“比如在需要用戶授權隱私數據資訊的服務場景中,我們要求開發者在小程式前端界面必須向用戶提示‘授權使用資訊’,用戶也可以自行在該小程式主頁的‘設置’撤銷相關資訊的授權。”

“徵求意見稿”第三十條內容則顯示,網路運營者對接入其平臺的第三方應用,應明確數據安全要求和責任,督促監督第三方應用運營者加強數據安全管理。第三方應用發生數據安全事件對用戶造成損失的,網路運營者應當承擔部分或全部責任,除非網路運營者能夠證明無過錯。

這意味著,當微信小程式中的第三方應用發生資訊洩露事件,微信或也要承擔一定責任。對此,左曉棟表示,平臺與第三方應用需要共同承擔相關責任,這樣可以倒逼網路經營者,加強對用戶個人資訊安全的保護。