《个人信息安全规范》修订草案:可拒绝个性化广告
副标题[/!--empirenews.page--]
(原标题:《个人信息安全规范》修订草案公布:用户应有权拒绝个性化推送) 2月1日,全国信息安全标准化技术委员会(以下简称信安标委)发布消息,面向全社会公开征求《信息安全技术 个人信息安全规范(草案)》(下称修订草案)意见。 2018年5月1日,推荐性国家标准《信息安全技术 个人信息安全规范》正式实施,从收集、保存、使用、共享、转让、公开披露等个人信息处理活动方面,填补了国内个人信息保护在具体实践标准上的空白。 隐私护卫队查阅发现,此次修订新增了“不得强迫收集个人信息的要求”、“个性化展示及退出”、“第三方接入点管理”等内容。《规范》起草组专家向隐私护卫队透露,启动修订工作是为了把这份标准制定得更完善和全面,从而更好地指导企业实践。 信安标委表示,关于标准文本的意见或建议,请各相关单位于2019年3月3日前将反馈至秘书处。(修订草案全文见《关于开展国家标准<信息安全技术>征求意见工作的通知》) 修订草案新增用户可拒绝个性化广告 你刚和朋友聊旅游,手机转眼就推送机票广告,明明只是在电商平台上搜索过某样商品,打开另一款资讯App却出现相同的广告……越来越精准的个性化推送,让不少人感到困惑。 “个性化展示是个人信息使用的常见方式,也是民众反映的热点问题。” 有专家指出,有时候精准推送变成了精准营销,让用户觉得自己的生活被别人窥探,反而起到反效果。 隐私护卫队注意到,此次修订草案不仅新增了“个性化展示”的定义,还在“个人信息使用”章节中明确了相关要求。其中第一条规定,个人信息控制者推送新闻或信息服务时,应以显著方式标明“个性化展示”等字样,并且要为个人信息主体提供简单直观的退出个性化展示模式的选项。 为什么要作出这样的规定?北京大学法治与发展研究院高级研究员洪延青告诉隐私护卫队,个人信息控制者须避免信息推送方式带来偏见等错误认知。“举个例子,不能因为用户搜索了一次飞机失事,App就一直给用户推送与飞机失事有关的新闻。这样的个性化推送会让用户觉得天天发生飞机失事,但现实并非如此。”洪延青说。 修订草案还建议,对于个性化展示所依赖的个人信息(如标签、画像维度等) ,平台应为用户提供自主控制机制,保障用户调控个性化展示相关程度的能力。特别是当用户选择退出个性化展示模式时,用户应享有删除或匿名化定向推送活动所基于的个人信息的权利。 《规范》起草组专家告诉隐私护卫队,精准推送通常以企业给用户贴上的各种标签为基础,用户应该有权更改和选择企业基于哪些标签推送。一方面用户要真心实意地同意App给自己推送,另一方面推送的内容也应该是用户想要的,而不像以前是简单粗暴、强制地推送。 “应该达到互相协商、明确同意、可选择的状态,”上述《规范》起草组专家说,“当然这个状态对企业提出了更高的要求。” 企业如何适应这一要求?以新闻资讯类App为例,该专家建议,可在个性化展示的新闻页面右上角加上“个性化推送”或“定推”字样,用户不想看可以退出。 隐私护卫队观察发现,早在去年欧盟《一般数据保护条例》生效之际,一些知名的网络产品已经上线相关的隐私功能,用户可拒绝个性化广告。 比如Twitter的“兴趣与广告数据”设置中,用户能查看并自主添加Twitter平时根据用户的行为标记出来的用户兴趣爱好等特征值。南都个人信息保护研究中心发布的《2018年个人信息安全报告》指出,目前国内也有今日头条和爱奇艺等部分App向用户推出是否关闭程序化广告的功能。 接入小程序宜开展技术检测,, 确保信息收集合规 除了个性化推送外,规范草案新增的第三方接入管理规定,也值得关注。 隐私护卫队关注到,去年12月4日,同程艺龙因小程序默认开通会员、未公示用户个人信息收集使用规则等问题,被工信部约谈并要求立即整改。同时,工信部要求腾讯对所分发的应用小程序加强管理。不久前发生的“头腾之争”,抖音发布声明称,新用户无法正常以微信授权的方式登录并使用抖音,也与第三方接入管理有关。 针对这个问题,修订草案指出,涉及第三方嵌入或接入的自动化工具(如代码、脚本、接口、算法模型、软件开发工具包、小程序等)的,宜开展技术检测确保其个人信息收集、使用行为符合约定要求,并对第三方嵌入或接入的自动化工具收集个人信息的行为进行审计,发现超出约定行为的及时切断接入。 上述《规范》起草组专家表示,现在很多平台都有第三方接口,但出了问题就互相推诿,最后利益受损的还是用户。既然平台把第三方接进来,就要承担一定责任。 隐私护卫队注意到,在接入具备收集个人信息功能的第三方产品或服务时,修订草案强调企业应当建议相关的管理机制和工作流程,必要时应建立安全评估等机制设置接入条件,同时与第三方产品或服务提供者通过合同等形式,明确双方的安全责任及应实施的个人信息安全措施。 北师大刑科院暨法学院副教授、中国互联网协会研究中心秘书长吴沈括指出,草案要求企业提升对于第三方接入业务的制度化管理,这一制度设计强调企业介入第三方接入业务管理,为用户的权利保护进一步提供了二重保障。 此外,企业还应向个人信息主体明确标识产品或服务由第三方提供,并督促和监督第三方产品或服务提供者加强个人信息安全管理,发现第三方产品或服务没有落实安全管理要求和责任的,应及时督促整改,必要时停止接入。 上述专家建议,责任划分的部分需要个人信息控制者和第三方共同决定。“最终的目的是当用户的利益受到侵犯时,必须要有人担起相应的责任”,他说。 区分基本与扩展业务功能, 旨在解决“一揽子授权”问题 值得注意的是,修订后的草案在附录中提到,保障个人信息主体选择同意权,首先需划分产品或服务的基本业务功能和扩展业务功能。 许多人都遇到过这样的情况:安装一款App,却发现所有功能都捆绑在一起,App运营者给出“一揽子协议”,声称不收集用户信息就没法提供服务。面对“一揽子协议”,用户要么只能全盘接受,要么只能退出走人。 这样的行为表面上征得了用户的明示同意,实际上却是用“不同意就退出”强迫用户同意。 (编辑:广州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |