5月28日零點，國家互聯(lián)網(wǎng)信息辦公室發(fā)布關(guān)于《數(shù)據(jù)安全管理辦法(征求意見稿)》公開征求意見的通知。新京報記者查閱“征求意見稿”發(fā)現(xiàn)，其分總則、數(shù)據(jù)收集、數(shù)據(jù)處理使用、數(shù)據(jù)安全監(jiān)督管理、附則五章，共包含四十條規(guī)定。“征求意見稿”在個人信息收集、爬蟲抓取、廣告精準推送、APP過度索取權(quán)限、賬戶注銷難等經(jīng)常涉及隱私的問題上均做出了明確規(guī)定。

APP收集個人信息不得默認授權(quán)

新京報記者注意到，在“征求意見稿”的數(shù)據(jù)收集一章中，網(wǎng)信辦首先強調(diào)APP必須明確產(chǎn)品的信息收集使用規(guī)則，不得以改善服務(wù)質(zhì)量、提升用戶體驗、定向推送信息、研發(fā)新產(chǎn)品等為由，以默認授權(quán)、功能捆綁等形式強迫、誤導(dǎo)個人信息主體同意其收集個人信息。

對此，中國社會科學(xué)院信息化研究中心秘書長姜奇平認為，把信息采集主導(dǎo)權(quán)、選擇權(quán)交給消費者，是信息服務(wù)的原則性問題。為了收集信息采取脅迫或者誤導(dǎo)行為，都是堅決不能被允許的。

值得注意的是，為明確APP的責任，“征求意見稿”第二條特別標注使用規(guī)則中必須包含“數(shù)據(jù)安全責任人的姓名及聯(lián)系方式”。根據(jù)意見第十七條，網(wǎng)絡(luò)運營者以經(jīng)營為目的收集重要數(shù)據(jù)或個人敏感信息的，應(yīng)當明確數(shù)據(jù)安全責任人。并規(guī)定“數(shù)據(jù)安全責任人由具有相關(guān)管理工作經(jīng)歷和數(shù)據(jù)安全專業(yè)知識的人員擔任，參與有關(guān)數(shù)據(jù)活動的重要決策，直接向網(wǎng)絡(luò)運營者的主要負責人報告工作。”

據(jù)了解，目前不少大型企業(yè)已設(shè)有類似角色。如360設(shè)立有首席隱私官，騰訊設(shè)立有專門的數(shù)據(jù)隱私部門。而“征求意見稿”的規(guī)定則意味著“數(shù)據(jù)安全責任人”一職將推廣到每一家以經(jīng)營為目的收集重要數(shù)據(jù)或個人敏感信息的APP，且該責任人的姓名與聯(lián)系方式必須公開。

此外，“征求意見稿”第十六條規(guī)定，網(wǎng)絡(luò)運營者采取自動化手段訪問收集網(wǎng)站數(shù)據(jù)，不得妨礙網(wǎng)站正常運行;此類行為嚴重影響網(wǎng)站運行，如自動化訪問收集流量超過網(wǎng)站日均流量三分之一，網(wǎng)站要求停止自動化訪問收集時，應(yīng)當停止。

該規(guī)定直指目前流行的“網(wǎng)絡(luò)爬蟲”技術(shù)。新京報記者了解到，目前有不少網(wǎng)站已經(jīng)針對網(wǎng)絡(luò)爬蟲采取了限流的應(yīng)對措施，但在法規(guī)層面對“網(wǎng)絡(luò)爬蟲”技術(shù)做出限制，這尚屬首次。

新京報記者發(fā)現(xiàn)，“征求意見稿”對未成年人信息收集也做出了規(guī)定，如第十二條規(guī)定“收集14周歲以下未成年人個人信息的，應(yīng)當征得其監(jiān)護人同意。”

用戶注銷后信息應(yīng)及時刪除

目前，APP存在“注銷難”的情況。如2018年6月，新京報記者曾實測35款熱門APP發(fā)現(xiàn)，其中21款沒有注銷選項，可以注銷的也選項苛刻，如微博注銷需要滿足7項條件。

對于此種“注銷難”狀況，“征求意見稿”在第二十條及二十一條專門作出規(guī)定：網(wǎng)絡(luò)運營者保存?zhèn)€人信息不應(yīng)超出收集使用規(guī)則中的保存期限，用戶注銷賬號后應(yīng)當及時刪除其個人信息;網(wǎng)絡(luò)運營者收到有關(guān)個人信息查詢、更正、刪除以及用戶注銷賬號請求時，應(yīng)當在合理時間和代價范圍內(nèi)予以查詢、更正、刪除或注銷賬號。

此外，第三十一條也規(guī)定了當APP方破產(chǎn)時數(shù)據(jù)的處理方式;“網(wǎng)絡(luò)運營者兼并、重組、破產(chǎn)的，數(shù)據(jù)承接方應(yīng)承接數(shù)據(jù)安全責任和義務(wù)。沒有數(shù)據(jù)承接方的，應(yīng)當對數(shù)據(jù)作刪除處理。法律、行政法規(guī)另有規(guī)定的，從其規(guī)定。”

“突出‘被遺忘權(quán)’保護是征求意見稿的一個亮點。”中國信息安全研究院副院長左曉棟表示，以網(wǎng)購為例，消費者在購物網(wǎng)站完成交易后刪除相關(guān)信息，這樣的合理訴求理應(yīng)得到滿足。

此外，“征求意見稿”首次對使用算法技術(shù)與人工智能技術(shù)驅(qū)動的定向推送和智能聚合功能提出了法規(guī)要求。

“征求意見稿”第二十三條規(guī)定，網(wǎng)絡(luò)運營者利用用戶數(shù)據(jù)和算法推送新聞信息、商業(yè)廣告等，應(yīng)當以明顯方式標明“定推”字樣，為用戶提供停止接收定向推送信息的功能;用戶選擇停止接收定向推送信息時，應(yīng)當停止推送，并刪除已經(jīng)收集的設(shè)備識別碼等用戶數(shù)據(jù)和個人信息。

第二十四條內(nèi)容則顯示，網(wǎng)絡(luò)運營者利用大數(shù)據(jù)、人工智能等技術(shù)自動合成新聞、博文、帖子、評論等信息，應(yīng)以明顯方式標明“合成”字樣;不得以謀取利益或損害他人利益為目的自動合成信息。

有業(yè)內(nèi)人士對新京報記者表示，若此項規(guī)定確定施行，或?qū)⒂绊懡袢疹^條等一批以算法推薦為主要機制的APP。

小程序出現(xiàn)數(shù)據(jù)泄露微信或需擔責

此外，“征求意見稿”還對接入平臺的第三方應(yīng)用與平臺的數(shù)據(jù)責任歸屬做出了規(guī)定。

目前，接入第三方應(yīng)用最多的平臺當屬微信“小程序”，新京報記者發(fā)現(xiàn)，相比當下對APP隱私協(xié)議的規(guī)定，小程序由于“隸屬”于微信平臺，其在隱私保護方面的要求和規(guī)定也較為模糊。

騰訊團隊曾于2019年1月3日對新京報記者表示，微信小程序主體通過用戶授權(quán)獲得的服務(wù)數(shù)據(jù)存儲在其服務(wù)器上，微信一直通過相關(guān)服務(wù)協(xié)議和平臺規(guī)則要求開發(fā)者對用戶隱私安全進行保護。“比如在需要用戶授權(quán)隱私數(shù)據(jù)信息的服務(wù)場景中，我們要求開發(fā)者在小程序前端界面必須向用戶提示‘授權(quán)使用信息’，用戶也可以自行在該小程序主頁的‘設(shè)置’撤銷相關(guān)信息的授權(quán)。”

“征求意見稿”第三十條內(nèi)容則顯示，網(wǎng)絡(luò)運營者對接入其平臺的第三方應(yīng)用，應(yīng)明確數(shù)據(jù)安全要求和責任，督促監(jiān)督第三方應(yīng)用運營者加強數(shù)據(jù)安全管理。第三方應(yīng)用發(fā)生數(shù)據(jù)安全事件對用戶造成損失的，網(wǎng)絡(luò)運營者應(yīng)當承擔部分或全部責任，除非網(wǎng)絡(luò)運營者能夠證明無過錯。

這意味著，當微信小程序中的第三方應(yīng)用發(fā)生信息泄露事件，微信或也要承擔一定責任。對此，左曉棟表示，平臺與第三方應(yīng)用需要共同承擔相關(guān)責任，這樣可以倒逼網(wǎng)絡(luò)經(jīng)營者，加強對用戶個人信息安全的保護。

新京報記者羅亦丹李大偉

標簽： APP 數(shù)據(jù)安全責任人