网络运营者向用户收集了什么信息,用在什么地方,要用多久等,都要向网信部门备案,压缩了灰色操作空间。这样就避免了用户信息被互联网企业拿走之后,“飞入黄花寻不见”。
5月28日,国家互联网信息办公室发布《数据安全管理办法(征求意见稿)》(以下简称“《办法》”)。公众关注的个人敏感信息收集方式、广告精准推送、APP过度索权、账户注销难等问题,《办法》都进行了直接回应。此次的《办法》旨在解决“牛栏关猫”的问题,对互联网企业立下硬规矩,提供可执行、可监督的信息安全措施。
比如,《网络安全法》原则性地规定:“网络运营者不得收集与其提供的服务无关的个人信息”。但是何谓“与服务无关的信息”,并没有明确界定,导致这扇信息安全门由互联网企业单方面拿着钥匙,往往随心所欲索要用户信息。比如,用户在社交平台上做个心理测试需要提交手机号,注册一个会员需要提供姓名和身份证号……消费者往往遭遇商家的“信息勒索”,所填写的信息五花八门,形同“政审”。
而《办法》第15条明确规定:“网络运营者以经营为目的收集重要数据或个人敏感信息的,应向所在地网信部门备案。备案内容包括收集使用规则,收集使用的目的、规模、方式、范围、类型、期限等,不包括数据内容本身。”这就意味着,网络运营者向用户收集了什么信息,用在什么地方,要用多久等,都要向网信部门备案,压缩了灰色操作空间。这样就避免了用户信息被互联网企业拿走之后,“飞入黄花寻不见”。今后再遭遇各种骚扰电话,可以倒溯出信息泄露的源头。因为收集用户信息之前是有备案,形成清晰的个人信息收集、利用的路径图,也可以成为用户个人维权诉讼时的证据基础。正像中国信息安全研究院副院长左晓栋所说:“这样可以对收集者追根溯源,从源头保护个人信息安全。”
并且,4月30日,国家市场监督管理总局已在官网上发布了作为《电子商务法》配套规章的《网络交易监督管理办法(征求意见稿)》,其中明确商家向消费者索要个人信息的必须“逐次授权”,不得采取一次性授权方式获得消费者同意。这样一来,“逐次授权”+事前备案,对网络经营者索要用户信息形成了“双保险”的机制。
此外,如今越来越多互联网企业通过用户浏览痕迹,进行客户精准画像、定向推送,《办法》对这种行为也规定了约束性条款。《办法》第23条规定:网络运营者利用用户数据和算法推送新闻信息、商业广告等,应当以明显方式标明“定推”字样。这可以有效遏制“大数据宰熟”问题。一者,明确相关精准推送是“定推”,明确其“信息定制”和“广告”的身份,也就明确相关主体的广告主体责任,要对“广告”的真实、合法性负责,要遵守“诚信”这条商业金律,不能把责任推给所谓算法。二者,《办法》充分赋权用户,保障用户“说不”的权利,如果用户选择停止接收定向推送信息时,应当停止推送,并删除已经收集的设备识别码等用户数据和个人信息。
移动互联网时代的数据安全,关乎个人的身家性命安全。规矩立得细,才能把滥用个人信息的老问题关进笼子里。
(作者系知名评论员)
文章来源:深圳特区报