人民日报社中国经济周刊官方网站  中央新闻网站  互联网新闻信息稿源单位

经济网 中国经济论坛


首页 > 周刊杂志 > 正文

这项新规五一正式实施,马云、李彦宏准备好了吗?(3)

5月1日起,推荐性国家标准《信息安全技术 个人信息安全规范》正式实施,对目前互联网行业取得用户个人信息时发生的“默认勾选”“最小化原则”以及“跨界融合”三大常见问题进行了详细规定。

“默认勾选”“最小化原则”“跨界融合”

“个人信息安全规范”针对三大问题出招

将于5月1日起正式实施

2018年1月10日,国家互联网信息办公室网络安全协调局约谈“支付宝年度账单事件”当事企业,即蚂蚁金服负责人。网络安全协调局负责人指出,支付宝、芝麻信用收集使用个人信息的方式,不符合即将于5月1日实施的“个人信息安全规范”国家标准的精神,也违背了蚂蚁金服与其他企业在2017年9月共同签署的个人信息保护倡议书的承诺。

其实,彼时“个人信息安全规范”并未正式生效,但已成为有关部门监管时的重要依据。

2017年12月,推荐性国家标准《信息安全技术 个人信息安全规范》(下称《规范》)出台,将于2018年5月1日起正式实施;在更早之前的2017年6月1日,《中华人民共和国网络安全法》正式实施,其中有专门章节针对保护个人信息安全。

“在我个人看来,《规范》首先遵循了网络安全法确立的个人信息保护框架,其次也提供了遵从网络安全法关于个人信息保护要求的一个良好方案。”《规范》起草人之一、北京大学互联网发展研究中心研究主管洪延青在署名文章中表示,不能说如果企业的做法与《规范》不符合就一定违反了网络安全法对个人信息保护的相关要求,但如果企业按照《规范》去做,达到合规,则肯定会符合网络安全法的规定。也就是说,如果企业没有对《规范》合规,不能说其肯定触犯了网络安全法,其完全可以在《规范》之外自己制定一套符合网络安全法对个人信息保护要求的制度,但其制定成本会远远大于对《规范》合规。

《规范》对目前互联网行业取得用户个人信息时发生的“默认勾选”“最小化原则”以及“跨界融合”三大常见问题进行了详细规定,企业终于有标准可以参照了。

“默认勾选”绑架用户

“支付宝年度账单事件”中比较令人关注的是涉事企业在页面中并不显眼的地方安排了“我同意《芝麻服务协议》”的选项,并且提前替用户勾选,用户如果不同意,需要再点击一下复选框。用户如果稍有疏漏,就会“被自愿”地同意该协议,存在第三方和支付宝内的个人信息便会被企业收集。

《规范》规定,有关数据控制方“在间接获取个人信息时,作为接收方的企业有义务要求提供方对相关个人信息的来源进行说明并确认其合法性,同时还应当了解个人信息主体对于提供方的授权范围,包括使用目的、个人信息主体是否授权同意转让、共享、公开披露等内容,若接收方处理个人信息超出上述范围的,还应在合理期限内另行征得个人信息主体的明示同意。”在此事件中,支付宝对用户的提示信息字体很小,并处在按钮下方易被忽略的位置,且默认勾选也远远不能算是个人信息主体的“明示同意”。

类似于“默认勾选”的“绑架”做法其实不只存在于某一家企业,其似乎是互联网行业的“顽疾”。

线上医疗企业丁香园创始人李天天曾在国外体验过一种具有自助挂号功能的软件,该软件也会让用户选择同意或不同意隐私政策,若不同意,则无法进入服务流程的下一步,也就是说无法实现自助挂号功能,线上医疗行业内部对此条款称为“知情同意”,但背后的一句话则是,“若不同意,则无法使用该服务”。也就是说,“知情同意”其实是“知情后必须同意,否则不提供服务”。值得注意的是,此种做法在目前国内的线上医疗企业中也是相当普遍,浙江省卫生信息学会秘书长倪荣曾对《中国经济周刊》记者评价说:“这种‘知情同意’其实是对消费者个人信息保护程度严重不到位的。”

获取信息“最小化原则”将打倒一大片互联网企业?

除“默认勾选”外,支付宝的做法实际上也不符合《规范》中的“最小化原则”。

所谓“最小化原则”包含数量和存储时间两个概念上的“最小化”。《规范》规定数据控制方“自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率;间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最低频率;个人信息保存期限应为实现目的所必需的最短时间”。也就是说,既然不勾选同意《芝麻服务协议》也可生成个性化年度账单,支付宝应在尽可能少量、低频收集个人信息的前提下实现账单功能,连对用户出示同意《芝麻服务协议》的选项都 “多此一举”。

按照洪延青在署名文章中的说法,网络安全法中的正当性和必要性原则给出了一个大的框架,此为《规范》中“最小化原则”的司法背书来源。

“最小化原则”可能会“打倒一大片”互联网企业,原因在于目前不少企业所遵循的不是“最小化原则”,而是“最大化原则”。

“最小化原则肯定是法律精神,但在国内互联网企业中,之前推行的一套做法其实是严重违背这个精神的。”一位资深投资人士对《中国经济周刊》记者表达了自己的担忧,他表示,从商业利益角度出发,数据控制方只有尽可能多地获得用户海量,且类型多样的数据,才能生成最准确的用户画像,进而产生更精确的营销内容,比如“精准推送”。

然而,若企业减少收集用户个人信息的频率和数量,也缩短了存储时间,是否意味着用户所能享受到的个性化服务变得不那么“贴心”?中国政法大学知识产权研究中心特约研究员李俊慧对此持否定态度,“用户个人信息与大数据分析有相关性但没有必然联系,互联网企业精准营销更多是基于大数据分析,只是在其使用的设备中予以推送展示,对个人敏感信息并不一定需要使用,因此精准营销与个人信息保护并不冲突。”

丁香园创始人李天天的回答则更加直接:“如果由于监管限制,导致业务无法开展或者影响品质,我认为还是应该服从监管。”他表示,以医疗行业为例,美国的监管十分严格,但确实避免了很多问题。

APP演变成多功能平台,“一揽子”授权不可取

p24

如今,随着“跨界融合”,不少应用已不再具备单一功能,而是在基本服务之上叠加了各种其他功能,演变成聚合性平台。

以微信和支付宝两款人们常用的APP为例,微信最初以社交功能切入市场,随后演变出支付、理财、生活缴费等叠加功能,同时也搭载了大众点评、美团外卖、京东优选等第三方服务;支付宝此前以支付功能入局,此后也开发出包括红包在内的社交和聊天功能,叠加了如余额宝、芝麻信用等金融服务。“我已经说不清楚微信究竟还是不是聊天工具了,好像不是。”一位从2012年微信发布不久便开始使用微信的用户对记者说。

在扎克伯格出席听证会期间也被问道,“Facebook是一家电视公司吗?”扎克伯格回应说,我认为我们是一家科技公司。

多功能聚合性平台也对个人信息保护带来了隐患。当某个平台拥有多项功能时,从减少成本的角度出发,平台可能会采取“一揽子”协议的做法,即在用户最初使用平台提供的服务时,采用较为明显的方式对隐私政策以及收集个人信息的类别和用途做出较为详细的展示,当用户点击“同意”后,则被视为该用户在使用所有类别的功能时都同意了这一版本的条款。

针对“一揽子”授权“绑架用户”的嫌疑,《规范》做出了改善的建议:将核心功能与附加功能区分。洪延青在由中国互联网协会研究中心主办的"网络产业与《个人信息安全规范》国家标准"研讨会上解读这一条款时称,即便点击了隐私政策长文本的同意,并不意味着附加功能同时一并打开,在现实使用中,还是需要再次点击同意。“以即时通信APP为例,其核心功能是聊天,在实现这一核心功能时需要收集敏感信息或是普通个人信息,用户为了使用都需要提供。但其中的理财等功能,明显属于附加功能,如果用户只想聊天,不想使用理财功能,就不能认为同意了隐私政策就意味着开通理财功能时不需要再次征询。”

据了解,京东目前通行的《京东隐私政策》就在向《规范》的要求靠拢。“新的政策条款对于用户的隐私保护做到了具体化和透明化,用户对个人信息的掌控力度更高;在收集、使用、存储和传输用户信息的时候,京东会明确告知用户相关信息的使用目的和范围,包括如果将用户信息用于新的目的或范围将重新获取用户同意,提供如何关闭位置、通知等授权的具体操作步骤等。”京东首席安全官李德浩对《中国经济周刊》记者说。

但接下来的问题是,在聚合化趋势日益明显的互联网行业,巨头们都不愿将自身定位为某个领域,从事单一业务的企业。京东早已不再是单纯的零售平台,BAT莫不如此。“什么是核心功能,什么是附加功能,普遍认可的理解是核心功能是用户注册产品或服务的基本需求,除此之外为用户提升体验而设计的功能则是附加功能。”京东法律研究院秘书长严少敏曾在一篇署名文章中如此区分核心与附加功能。以B2C电商为例,其核心功能简单说是实现网上购物所必需的功能,而智能化的搜索词提示和个性化推荐功能,则是为了满足缩小搜索目标范围以及体验“逛店”感受的,也应当被认定为核心功能。

值得注意的是,《规范》并未采取“一刀切”的方法来认定某一数据控制方的核心业务是什么。“我们的标准当时没有想规定什么叫核心和附加,就是想故意留一个口子,希望通过市场竞争或者社会监督能够起到这样的作用。”洪延青在上述研讨会上说。

未来不排除有的企业为减少用户授权次数,以期用一次授权获得用户对更多项功能的隐私授权,就将核心功能定得很多,附加功能定得很少,而实质上它本身只是个通讯软件,而另外一些通讯软件则只将通讯和社交功能定为核心功能,其他功能一律定为附加功能。对此,洪延青在研讨会上称,相信一定会有社会监督机构或者监管机构约谈相关企业时说,“你为什么定得不一样?”这样通过市场竞争和比较,逐渐形成行业惯例。

个人信息保护法“在路上”

尽管《规范》为数据控制方提供了一系列既遵循网络安全法,又切实可行的做法,但其法律效力却并不高。据了解,国家标准分为强制性和推荐性两种,而《规范》属于后者,无强制力。

李俊慧告诉《中国经济周刊》记者,《规范》并不属于法律或法规,其层级低于法律、法规。如果法律、法规的要求与标准不一致,则以法律、法规为准。对于法律、法规未明确的事项,该标准作为一项推荐性标准,可以作为评估企业相关个人信息保护措施的参照。

尽管我国已经存在一部网络安全法,但其解决的主要是与网络安全相关的问题,涉及面比较广泛,虽然网络安全法中有专门针对个人信息安全保护的章节,但由于立法目的不同,可能对个人信息的保护并不全面,因此一直有声音呼吁制定一部专门的个人信息保护法。

2018年2月,全国人大常委会法工委经济法室主任王瑞贺曾在接受媒体采访时透露,全国人大常委会法工委正在会同有关方面对个人信息保护立法的有关问题进行研究论证。2017年全国两会期间,吴晓灵等40余位全国人大代表向大会提交了《关于制定<中华人民共和国个人信息保护法>的议案》,建议尽快制定《中华人民共和国个人信息保护法》,同时将《中华人民共和国个人信息保护法(草案)》作为附件提交。

有分析认为,作为正式法律,个人信息保护法完全可以将《规范》当中对识别和关联路径、“最小化原则”以及将核心与附加功能进行区分等内容确定为未来正式的法律条款。

上一页 1 234下一页

中国经济周刊-经济网版权作品,转载时须获得授权并注明来源,违者将被追究法律责任。

(网络编辑:何颖曦)
作者
  • 微笑
  • 流汗
  • 难过
  • 羡慕
  • 愤怒
  • 流泪
0