㈠ 网络时代如何保护个人信息不被滥用
短视频类APP,却一定要读取我的地理位置、通讯录,否则就不能使用。类似这样的APP“霸王条款”,在草案中被明令禁止。
草案第17条提出,个人信息处理者不得以个人不同意处理其个人信息或者撤回其对个人信息处理的同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
专家认为,相较于一年多前国家网信办发布的《数据安全管理办法(征求意见稿)》中提出的类似条款,草案的权威性更高。“如果是跟APP核心功能无关的权限,草案明确规定,如果用户不同意,你是不能以用户不授权为由拒绝为其提供服务的。”APP专项治理工作组专家、中国电子技术标准化研究院信息安全研究中心测评实验室副主任何延哲表示,草案保障用户使用APP时充分的知情选择权,APP强制索权在法理层面将成为历史。
何延哲建议,对于部分APP厂商所提出的“用户个人信息授权与账户安全相关”的诉求,有关部门也需加快推进行业标准的制定,“有的APP为了保障用户账户安全,可能只需要三个信息要素,有的可能需要五个,这些也需要具体问题具体分析。”
公共场所随意采集人脸信息?不再允许!
在人脸识别技术日渐普及的当下,部分企业将人脸作为新的利益增长点,街巷、商场甚至小卖部中,都有他们安装的人脸信息采集设备。
草案提出,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显着的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供;取得个人单独同意或者法律、行政法规另有规定的除外。
“草案对于在公共场所采集人脸等身份特征信息做了进一步的规范,也就是说未来在公共场所,只要不是出于公共安全目的,任何机构不得随意采集人脸信息。”何延哲说,“个人图像”和“个人身份特征信息”是两个不同维度的个人信息,“个人图像”是不包含姓名、身份证号等其他关联信息的图像,但也存在识别出个人的可能。这意味着机构如非公共安全必需,即便是无意中采集了个人图像也不能用于识别个人身份,同时也要保证信息安全,不能对外提供和公开,以免他人用于识别个人身份。
个人信息授权可随时撤回,更加体现“以人为本”精神
草案提出,基于个人同意而进行的个人信息处理活动,个人有权撤回其同意。
“就像我们平时做出一个决定可以反悔一样,哪怕你是合规收集处理我的信息,但是现在我突然不想被你收集信息了,你就不能再继续收集了。”中国信息安全研究院副院长左晓栋认为,这一条款的设立与第17条相辅相成,进一步明确用户在撤回个人信息授权后使用产品和服务的权利。
同时,草案相关条款还提出,当个人撤回同意后,个人信息处理者应当删除个人信息。也就是说,当用户“撤回同意”后,相关机构不仅丧失了继续收集该用户个人信息的权限,同时也应根据草案的有关要求,适时删除其数据库中所留存的该用户的原始个人信息。
此外,草案还要求,个人信息处理者在紧急情况下为保护自然人的生命健康和财产安全处理个人信息却无法及时向个人告知的,个人信息处理者应当在紧急情况消除后予以告知。“这一规定较好地平衡了各方面的权利。例如,在处置突发公共事件时,有时需要收集或调取个人信息,可能来不及告知个人信息主体,但相关机构在处置完毕后应当告知个人信息被收集人。”左晓栋说。
滥用个人信息企业还能“自罚三杯”吗?草案大大提高处罚标准