【重磅】国家亮剑APP过度索权 斩断公民信息泄露源头 专家称有四大亮点
27001做个心理测试需要提交手机号,不给“一揽子授权”就不让用APP,线上办个会员卡还要提供姓名和身份证号……个人隐私信息越来越多地被不同渠道广泛收集,让广大消费者深受其扰,如何规范这种收集行为,防止信息被泄露、滥用?5月28日,国家互联网信息办公室发布了《数据安全管理办法(征求意见稿)》向社会公开征求意见。
《数据安全管理办法(征求意见稿)》(以下简称“《数据安全管理办法》”)对网络运营者在数据收集、处理使用、安全监督管理三方面作出了要求,包括企业利用用户数据和算法推送新闻信息、商业广告时,应标明“定推”字样、并为用户提供停止接收定向推送信息的功能等。其中网络运营者不得以改善服务质量、提升用户体验、定向推送信息等为由,以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息。
无独有偶,5月24日据网信办官方通报,在中央网信办、工信部、公安部、市场监管总局指导下,App专项治理工作组开通了违法违规收集使用个人信息举报渠道,认真受理网民举报。期间,工作组收到大量关于App强制、超范围索要权限等举报信息。统计结果显示相当部分APP都有存在强制超范围索要权限情况,平均每个APP申请收集个人信息相关权限数有10项,而用户不同意开启则APP无法安装或运行的权限数平均仅为3项(详见《百款常用App申请收集使用个人信息权限列表》。对此,网经社-电子商务研究中心(100EC.CN)发布快评:百个APP用户信息调查 存强制超范围要权限
近年来,信息泄露事件屡屡发生,而App过度索要授权是个人信息泄露的导火索之一。2019中央电视台3·15晚会曝光多家科技企业存在私自采集个人信息的情况,其中包括萨摩耶金服利用探针盒子私自采集用户信息以及“社保掌上通”App通过隐藏的用户条款窃取用户社保信息等。
另据“电子商务消费纠纷调解平台”(www.315.100ec.cn )近年来受理的全国电商投诉案件大数据表明,包括天猫/淘宝、京东、唯品会、当当网、苏宁易购、国美在线、1号店等在内的电商平台,以及窝窝团、美团、大众点评、百度糯米、携程、去哪儿、支付宝等在内的生活服务O2O平台,均曾出现用户信息泄露事件。而仅2018年,就多次出现用户个人信息泄露事件,圆通、顺丰十几亿条个人信息在暗网被出售,以及12306数百万条旅客信息在网上被出售等。
对此,网经社-电子商务研究中心特约研究员、上海汉盛律师事务所高级合伙人律师李旻(律师微信:shliminlawyer)从法律的角度解读认为,《数据安全管理办法(征求意见稿)》存在以下几大亮点:
亮点一
既保护个人信息安全保护
又维护网络空间主权和国家安全
李旻表示,《数据安全管理办法》第一条明确指出其上位法依据为《中华人民共和国网络安全法》(以下简称“《网络安全法》”)等法律法规,《数据安全管理办法》将数据活动的范围界定为“利用网络开展数据收集、存储、传输、处理、使用等活动”具有上位法依据,即《网络安全法》第七十六条第(四)款:“网络数据是指通过网络收集、存储、传输、处理和产生的各种电子数据。”《数据安全管理办法》并非仅仅是《网络安全法》第十条的细化配套实施办法,其更为侧重对个人信息安全的保护。
此前,已出台的与个人信息有关的文件包括《信息安全技术个人信息安全规范》(下称《规范》)、《互联网个人信息安全保护指南》(下称《指南》)等,《数据安全管理办法》可能作为部门规章发布,效力层级比《规范》和《指南》更高,进一步实现《网络安全法》保障网络安全,维护网络空间主权和国家安全的宗旨。由于《数据安全管理办法》发布在中美贸易华为攻坚战期间,既是大数据时代我国数据安全的刚需体现,也在为5G市场铺平国内数据处理合规化道路。
亮点二
收集个人敏感信息和数据需备案
李旻律师认为,与《规范》中将个人信息处理规则列入隐私政策的内容要求中不同,《数据安全管理办法》明确要求“制定并公开个人信息收集使用规则”,且强调“如果收集使用规则包含在隐私政策中,应相对集中,明显提示,以方便阅读”,突出信息使用规则的重要性,以便个人信息主体享有充分选择权。
此外,对于此前网络运营者超出运营需要收集个人信息的行为予以限制,对“网络产品核心业务功能运行的个人信息”以外的信息,网络运营者不得因个人信息主体未同意收集而拒绝提供核心业务功能服务。
此外,李旻律师还表示,在指导性国家标准《规范》对敏感信息收集限定的基础上,《数据安全管理办法》大力保护用户隐私,要求“网络运营者以经营为目的收集重要数据或个人敏感信息的,应向所在地网信部门备案”,通过国家强制力对隐私信息的收集使用予以限制,在隐私信息泄漏时亦有迹可循,以实现个人隐私信息的数据安全。
亮点三
明确大数据推送合成信息
标注“定推”、“合成”等字样
李旻律师表示,与《电子商务法》要求竞价排名结果需显著标明为“广告”的规定相类似,为保护用户的知情权和拒绝广告推广的选择权,《数据安全管理办法》要求利用用户数据和算法推送新闻信息、商业广告需显著标明“定推”字样, 并为用户拒绝接受定向推送信息提供选择权。
此外,对于利用大数据、人工智能等技术自动合成新闻、博文、帖子、评论等信息需显著标明“合成”字样,针对以往屡禁不止的网络水军利用技术手段自动刷贴、刷评论的行为,《数据安全管理办法》严令禁止以谋取利益或损害他人利益为目的自动合成信息的行为。
亮点四
明确针对新型数据的安全管理
“《数据安全管理办法》针对网络爬虫等抓取网页的自动化手段,明确限制在不妨碍网站正常运行的范围内,并列明具体的访问收集流量不得超过网站日均流量三分之一;针对“大数据杀熟”等歧视性推送行为,其要求网络运营者开展定向推送活动应诚实守信,严禁歧视、欺诈等行为。《数据安全管理办法》针对新型数据的安全管理的规定能及时填补因社会发展导致的法律漏洞,具有前瞻性。”李旻律师表示。
《数据安全管理办法》对于近年来层出不穷的网路数据安全问题予以细化规定,如对以往手机app过度获取权限的问题,其要求“网络运营者不得以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息”;对数据泄露才确定网络安全负责人的问题,其明确数据安全责任人的任职要求,突出网络运营者主要负责人、数据安全责任人的姓名及联系方式等。
李旻律师认为,尽管《数据安全管理办法》尚存在部分概念及定义有待明确等问题,但从加强公民个人信息保护意识、规范企业数据处理活动的角度来看,其影响不容小觑。大数据时代的数据安全管理尤为重要,《数据安全管理办法》是我国逐步构建数据安全监管的框架的初步成果,也是维护网络空间主权和国家安全的必然要求。
总结
我国对数据保护的推进
是时代的必然选择
对此,网经社-电子商务研究中心特约研究员、北京亿达(上海)律师事务所律师董毅智(律师微信:ziranren2012)认为,去年GDPR出台之后也产生了几例比较著名的高额处罚案例,美国方面Facebook等提供互联网服务的公司也数次因数据保护问题被群众以及监管机构问责,我国对数据保护的推进也成为了必然。
董毅智认为,本次《数据安全管理办法》主要强调了网络运营者对于数据收集、使用的规范性,并第20条、第21条、第23条设立了类似GDPR中的被遗忘权内容,但这部分总体来说并不细致,网络经营者对于已经散发出去的信息如何处理?用户是否有权要求网络经营者对已经散发出去的信息进行删除或者负责?
“另外值得注意的是《数据安全管理办法》特别指出对于用户转发的他人制作的信息应当标注用户表示这件事,以及对于假冒、仿冒、盗用他人名义发布信息的举报投诉,网络运营者应当及时处理,这部分内容与知识产权保护相交叉,适用过程中对网络运营商的技术以及对知识产权的认识提出了需求。”董毅智说到。
董毅智还认为,数据安全责任人的身份也值得关注,在网络运营过程中数据安全责任起到了监督、组织、负责的作用,“网络运营者应为数据安全责任人提供必要的资源,保障其独立履行职责”,那么在其尚未履行职责时,如何与其他法律相衔接?又如何评估其职责履行?如何保障其并非形同虚设?除去监管部门的压力,如何让企业自身进行严格地评估?
“去年互联网“杀熟”一度成为热门,这背后也是数据泄露的问题。”董毅智提到。
最后,董毅智表示,基于用户对平台服务的信任而建立起的“黏性”,却成为了某些平台进行差别定价、数据反复买卖的“底气”。此外,互联网行业头部企业的天然主导性,导致行业内部缺乏竞争,某些平台更加肆无忌惮地出手。另一角度来说,过去对于同类竞争企业、上下游企业乃至行业之间的垄断竞争产生了反垄断法,而现在则对于同行业、跨行业之间企业联手利用用户信息提出了挑战。
近年来,信息泄露事件屡屡发生,而App过度索要授权是个人信息泄露的导火索之一。互联网信息安全存在的问题主要表现为,过度收集、非法收集、泄露隐患、非法售卖、无法注销。为此,电子商务消费纠纷调解平台进行2019电商系列调查专项行动之互联网信息安全,通过快评发布、滚动曝光、专题聚焦、密集播报、媒体联动、法律援助,关注互联网用户信息安全。如果您有相关线索,请提供给我们!
为帮助电商各产业链相关主体更好的规避法律风险,即时解决法律纠纷,同时帮助需要融资上市的电商提供法律服务,网经社法律权益部推出电商法律服务产品,包括但不仅限于电商平台合规审查与合规设置、专家法律研讨鉴定会、电商法律顾问、电商内部法律培训、官司诉讼代理、融资并购法律服务、行业标准制定以及网络侵权舆情管理等。(法律服务微信咨询:mhxdmn)
