日前，全國資訊安全標準化技術委員會開展國家標準《資訊安全技術 個人資訊安全規範(草案)》(下稱《草案》)徵求意見工作。《草案》要求，不得強迫收集個人資訊，用戶應有權拒絕個性化推送。

　　《草案》指出，當産品或服務提供多項需收集個人資訊的業務功能時，個人資訊控制者不得違背個人資訊主體的自主意願，強迫個人資訊主體接受産品或服務所提供的業務功能及相應的個人資訊收集請求。

　　《草案》明確，個人資訊保存期限應為實現個人資訊主體授權使用的目的所必需的最短時間，法律法規另有規定或者個人資訊主體另行同意的除外；超出上述個人資訊保存期限後，應對個人資訊進行刪除或匿名化處理。同時，當個人資訊控制者停止運營其産品或服務時，應：及時停止繼續收集個人資訊的活動；將停止運營的通知以逐一送達或公告的形式通知個人資訊主體；對其所持有的個人資訊進行刪除或匿名化處理。

　　《草案》指出，在向個人資訊主體提供業務功能的過程中使用個性化展示的，宜：建立個人資訊主體對個性化展示所依賴的個人資訊(如標簽、畫像維度等)的自主控制機制，保障個人資訊主體調控個性化展示相關程度的能力；當個人資訊主體選擇退出個性化展示模式時，向個人資訊主體提供刪除或匿名化定向推送活動所基於的個人資訊的選項。

　　電子商務經營者根據消費者的興趣愛好、消費習慣等特徵向其提供商品或者服務搜索結果的個性化展示的，應當同時向該消費者提供不針對其個人特徵的選項。

　　《草案》要求，個人資訊控制者應向個人資訊主體提供方法撤回收集、使用其個人資訊的同意授權。撤回同意後，個人資訊控制者後續不得再處理相應的個人資訊；應保障個人資訊主體拒絕接收基於其個人資訊推送的商業廣告的權利。對外共用、轉讓、公開披露個人資訊，應向個人資訊主體提供撤回同意的方法。

　　《草案》顯示，當個人資訊控制者在其産品或服務中接入具備收集個人資訊功能的第三方産品或服務時，對個人資訊控制者的要求包括：應要求第三方産品或服務建立響應個人資訊主體請求、申訴等的機制，並妥善留存、及時更新，確保個人資訊主體查詢、使用；當涉及第三方嵌入或接入的自動化工具(如代碼、腳本、介面、演算法模型、軟體開發工具包、小程式等)的，宜：開展技術檢測確保其個人資訊收集、使用行為符合約定要求；宜對第三方嵌入或接入的自動化工具收集個人資訊的行為進行審計，發現超出約定行為的及時切斷接入。

未經允許不得轉載：網信浙江 » 個人資訊安全規範草案：用戶應有權拒絕個性化推送