《数据安全管理办法》征求意见 App不得强迫用户同意收集信息

5月28日，国家互联网信息办公室发布《数据安全管理办法（征求意见稿）》，对公众关注的个人敏感信息收集方式、广告精准推送、APP过度索权、账户注销难等问题进行了直接回应。

李嘉制图

如何规范收集行为需要备案

在社交平台上做个心理测试需要提交手机号，线上办个会员卡要提供姓名和身份证号……个人敏感信息越来越多地被不同渠道广泛收集。如何规范这种收集行为，防止信息被泄露、滥用？

办法第十五条规定：网络运营者以经营为目的收集重要数据或个人敏感信息的，应向所在地网信部门备案。备案内容包括收集使用规则，收集使用的目的、规模、方式、范围、类型、期限等，不包括数据内容本身。

根据国家标准化管理委员会等部门去年实施的《信息安全技术个人信息安全规范》，不仅身份证信息和电话号码属于个人敏感信息，个人指纹、声纹等生物识别信息，邮箱地址、网页浏览记录、精准定位信息都属于个人敏感信息范畴。

业内人士认为，从“不知道谁掌握敏感信息”到“收集前需要备案”，备案制无论从数据安全还是用户隐私保护来看，都是一种进步。中国信息安全研究院副院长左晓栋表示，这样可以对收集者追根溯源，从源头保护个人信息安全。

如何约束精准广告用户可拒绝

刚用APP叫外卖，就在浏览资讯APP时收到相关广告，这样的精准广告让不少人觉得惊心。这种利用用户浏览痕迹进行精准画像，通过定向推送获得广告收入的方式，在办法中规定了约束性条款。

办法第二十三条规定：网络运营者利用用户数据和算法推送新闻信息、商业广告等，应当以明显方式标明“定推”字样，为用户提供停止接收定向推送信息的功能；用户选择停止接收定向推送信息时，应当停止推送，并删除已经收集的设备识别码等用户数据和个人信息。

中华全国律师协会网络与高新技术专业委员会副主任兼秘书长陈际红表示，定向推送技术在带来便利之外，产生了大数据歧视等问题。办法明确要求互联网平台充分尊重用户的选择权，可以让用户免受太多广告骚扰；要求平台需将此前收集的用户设备识别码和个人信息等内容删除，表明了对保护用户信息的重视。

如何应对“默认勾选” 明令禁止

不给“一揽子授权”就不让用APP，或者在某个不起眼的选项前设置“默认勾选”……这些行为都将被明令禁止。

办法第十一条规定：网络运营者不得以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由，以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息。个人信息主体同意收集保证网络产品核心业务功能运行的个人信息后，网络运营者应当向个人信息主体提供核心业务功能服务，不得因个人信息主体拒绝或者撤销同意收集上述信息以外的其他信息，而拒绝提供核心业务功能服务。

中国社会科学院信息化研究中心秘书长姜奇平认为，把信息采集主导权、选择权交给消费者，是信息服务的原则性问题。为了收集信息采取胁迫或者误导行为，都是坚决不能被允许的。

注销账号难怎么办尊重“被遗忘权”

不少网民反映，想注销APP账号不容易，并且之前登记的个人信息难以消除。

办法第八条规定：收集使用规则应突出个人信息主体撤销同意，以及查询、更正、删除个人信息的途径和方法。

第二十一条规定：网络运营者收到有关个人信息查询、更正、删除以及用户注销账号请求时，应当在合理时间和代价范围内予以查询、更正、删除或注销账号。

“突出‘被遗忘权’保护也是办法的一个亮点。”左晓栋说，以网购为例，消费者在购物网站完成交易后删除相关信息，这样的合理诉求理应得到满足。

小程序泄露信息怎么办平台要担责

目前，一些社交类和支付类APP大量接入第三方小程序服务，这些小程序经常向用户收集个人信息。如果用户个人信息被泄露，平台是否可以免责？办法明确规定，不可以！

根据办法第三十条规定：网络运营者对接入其平台的第三方应用，应明确数据安全要求和责任，督促监督第三方应用运营者加强数据安全管理。第三方应用发生数据安全事件对用户造成损失的，网络运营者应当承担部分或全部责任，除非网络运营者能够证明无过错。

左晓栋表示，办法规定了平台与第三方应用需要共同承担相关责任，这样可以倒逼网络经营者，加强对用户个人信息安全的保护。据新华社

【现状】

“越界”收集数据令人担忧

2018年底，中消协发布的《100款APP个人信息收集与隐私政策测评报告》显示，10类100款APP中，多达91款APP列出的权限存在涉嫌“越界”过度收集用户个人信息的问题。

“在我们对安卓手机APP的检测中，可能涉及获取的隐私权限包括读取位置信息、手机号码、联系人等16项权限。”360公司安全专家介绍，连续几年的跟踪研究显示，“读取联系人”权限的申请占比从2017年的3.5%攀升至2018年的29.3%。

今年1月，中央网信办等四部委联合发布《关于开展APP违法违规收集使用个人信息专项治理的公告》，要求加强对违法违规收集使用个人信息行为的监管和处罚。今年3月，市场监管总局、中央网信办决定开展APP安全认证工作。

2018年8月，一网民出售上海某酒店集团旗下5亿条酒店会员数据，引起广泛关注。上海公安成立专案组，成功打掉该窃取个人信息并实施敲诈的犯罪团伙。

侵犯个人信息，常常是电信诈骗、敲诈勒索、恶意注册账号等一系列违法犯罪的源头。“数据泄露会造成用户人身财产受到威胁，不法分子通过各种途径收集人们被泄露出去的个人信息，经过筛选分析用户特征，从事电信诈骗、非法讨债甚至绑架勒索等精准犯罪活动。”360安全专家表示，如果是国家重点行业、领域的数据被泄露，那不仅对企业来说是致命的，还会对国家安全造成严重威胁。据人民日报