麻辣财经事关数据安全这个地方立法了

麻辣财经事关数据安全这个地方立法了
2021-07-09 08:43:55  浏览量:87314   人民日报中央厨房
麻辣财经事关数据安全这个地方立法了

安装个手电筒程序,却要客户提供地理位置信息;下载一个文字编辑App,商家却要求看你的通讯录……在使用一些手机应用程序时,商家过度收集和索要个人信息,是人们最为纠结和头痛的事情。

如今,随着互联网的发展,各种类型的手机应用程序层出不穷,极大满足了人们在社交、购物、娱乐、办公等多方面的需求。但这些程序在给人们生活带来便利的同时,也给网民的个人信息安全带来威胁。

如何让这些应用程序在方便大家的工作和生活的同时,有效防止商家过度收集个人数据,切实保障个人信息安全?7月6日,《深圳经济特区数据条例》(以下简称《条例》)公布,将于明年1月1日起实施。这是我国首部地方出台的数据领域的法律法规,引发了业界的众多关注。

我国当前个人数据保护现状如何?对于个人信息保护,《条例》有哪些借鉴意义?在保护用户隐私和促进行业发展之间,应当如何寻找平衡?围绕这些问题,麻辣哥采访了权威专家,带您解读。

“告知—同意”为前提,用户有权拒绝被画像和被推荐

对于个人数据信息,广大网民感受最为深刻、呼声也最强烈的就是在使用一些App时,这些应用程序设置了“一揽子协议”捆绑服务——为了使用该App,不少用户往往被迫接受授权要求。针对这一现象,《条例》规定,数据处理者不得以自然人不同意处理其个人数据为由,拒绝向其提供相关核心功能或者服务。

专家介绍,《条例》确立了可“告知—同意”个人数据处理规则,即处理个人信息应当在事先充分告知的前提下取得个人同意,数据处理者应当提供撤回同意的途径,不得对撤回同意进行不合理限制或者附加不合理条件。

App热衷于收集信息,重要原因是可以对收集的部分信息进行商业利用。用户画像和个性化推荐,虽然为人们提供了精准、个性化的服务,但也可能对生活造成困扰。《条例》对此明确规定,数据处理者基于提升产品或者服务质量的目的,对自然人进行用户画像的,应当向其明示用户画像的具体用途和主要规则。自然人有权拒绝对其进行的用户画像或者基本用户画像推荐个性化产品或者服务,数据处理者应当以易获取的方式向其提供拒绝的有效途径。

此外,《条例》将未满十四岁未成年人的个人数据视作敏感个人数据,首次在国内立法中明确,除为了维护未满十四周岁未成年人的合法权益且征得其监护人明示同意外,不得向其进行个性化推荐。

在国内立法中,《条例》还首次确立数据公平竞争有关制度,针对数据要素市场“搭便车”“不劳而获”“大数据杀熟”等竞争乱象作出专门规定。比如,市场主体不得使用非法手段获取其他市场主体数据,不得非法收集其他市场主体数据提供替代性产品或者服务,不得通过数据分析无正当理由对交易条件相同的交易相对人实施差别待遇。违反上述规定拒不改正的,处五万元以上五十万元以下罚款,情节严重的,处上一年度营业额百分之五以下罚款,最高不超过五千万元。

专家认为,深圳出台的《条例》,将成为各地个人数据处理的参照。安全专家、绿盟科技集团副总裁曹嘉提醒,当前,App复杂的功能设计无形中也让用户疏于查看,即便界定了应用的基本功能和收集的必要个人信息范围,实际上仍可能出现采集、使用的数据常常超出规定的范围。

App处理个人信息,应遵循“知情同意”“最小必要”原则

保护隐私和个人信息,除了地方立法外,人们期待中的专门针对个人信息保护的立法——《个人信息保护法》草案已提请全国人大常委会审议。这一法律的颁布和实施,将对保护个人信息安全发挥重要的作用。

近年来,我国在规范数据处理上做了一系列探索。2017年6月1日正式施行的《网络安全法》,在信息收集使用、网络运营者应尽的保护义务等方面提出了明确要求。此后,针对公众反映突出的App违法违规收集使用个人信息问题, 2019年开始,中央网信办、工信部等四部门连续两年开展了专项治理行动。今年3月,上述四部门联合发布通知,明确了移动App必要个人信息范围。比如,地图导航类应用,必要个人信息包括位置信息、出发地、到达地。超出部分则属于违法违规范围。

该通知明确规定,App运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用App基本功能服务。今年4月,工信部又打了一个“补丁”,其发布的征求意见稿要求,App处理个人信息,应遵循“知情同意”“最小必要”两项重要原则,还规定不可默认勾选、更改用户设置等。这些强力措施出台后,App违规收集、使用个人信息的情况得到一定改观。

但是,保护个人信息可能比想象复杂。“从法律层面看,个人信息与非个人信息的界限并非如想象的那样清晰。收集行为是否合法等,也就不那么容易判断。”中国人民大学法学院副教授丁晓东说。

通常,企业在收集了用户浏览网页、搜索记录等信息后,一般会将此类信息做匿名化处理。丁晓东表示,这些匿名化处理后的信息,是否属于个人信息,是否纳入个人信息的范畴来管理,学界并没有定论。而且支持者、反对者都有很充足的理由。

从现行法律看,我国也没有完全明确此类数据是否属于个人信息。此外,个人信息的范围因时代而改变,不宜做简单的二元划分。从法律角度看,这要求我们在设计相关法律与制度时,应分清个人信息的类型,采取不同的管理方式。

专家分析,此次颁布的《条例》以个人数据作为规范对象,仍然有些问题需继续探索。《条例》界定,个人数据是指载有可识别特定自然人信息的数据,不包括匿名化处理后的数据。数据处理者向他人提供其处理的个人数据,应当对个人数据进行去标识化处理。法律、法规规定或者自然人与数据处理者约定应当匿名化的,数据处理者应当依照法律、法规规定或者双方约定进行匿名化处理。

物联网设备安全防护能力弱,尤需警惕信息泄露风险

数字时代数据收集无处不在,随着物联网的应用,万物互联下一些新隐患,尤其值得警惕。

不同于PC端、手机端通常有较为成熟的安全防护体系,一些智能设备厂商,为了让产品在价格上更有优势,往往弱化了安全保护功能。更大的安全隐患则在于,虚拟世界通过物联网与物理世界紧密连接,黑客针对物联网的攻击,影响的不仅仅是虚拟空间,也会真实地危害到物理世界。比如,工业互联网上的一些应用被攻击,就可能造成生产线停产等严重后果。

事实上,这些物联网攻击行为已经引起了监管部门重视。今年6月,中央网信办、工业和信息化部、公安部、市场监管总局发布《关于开展摄像头偷窥等黑产集中治理的公告》,自5月至8月,在全国范围组织开展摄像头偷窥黑产集中治理。

安恒信息安全专家王聪建议,为了保护用户的隐私,物联网设备提供商理应提供更高等级的安全防护。此外,针对物联网的大部分网络攻击背后,都有一套成熟的黑色产业链,网络安全攻击、犯罪行为呈现出组织化、专业化、产业化的趋势。

我国有接近10亿网民,庞大的网民数量是发展数字经济的基石。事实上,保护个人信息与数字经济发展并非对立,关键是找到数据保护与合理利用的平衡点。

专家表示,从全球看,我国对数字经济发展的政策是宽容、审慎的,合理利用不是逃避保护责任的挡箭牌。利用脱敏、加密数据等安全技术,防止在存储、传输和使用过程被不法分子窃取,数据采集、使用主体义不容辞。

安全专家王聪提到,物联网安全是一个动态平衡的过程。如果大部分物联网设备的安全水平迅速提高,黑客入侵难度也加大,攻击成本增加,攻击行为就会大幅下降。

针对现实中信息倒卖、违背承诺等违法行为,丁晓东表示,有必要加强对违法行为的执法力度,提高违法成本,形成法律震慑效应。

原标题:麻辣财经事关数据安全这个地方立法了

“如果发现本网站发布的资讯影响到您的版权,可以联系本站!同时欢迎来本站投稿!