網(wǎng)信辦：APP需設(shè)立“數(shù)據(jù)安全責(zé)任人”

5月28日零點(diǎn)，國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布關(guān)于《數(shù)據(jù)安全管理辦法（征求意見稿）》公開征求意見的通知。新京報(bào)記者查閱“征求意見稿”發(fā)現(xiàn)，其分總則、數(shù)據(jù)收集、數(shù)據(jù)處理使用、數(shù)據(jù)安全監(jiān)督管理、附則五章，共包含四十條規(guī)定。“征求意見稿”在個(gè)人信息收集、爬蟲抓取、廣告精準(zhǔn)推送、APP過度索取權(quán)限、賬戶注銷難等經(jīng)常涉及隱私的問題上均做出了明確規(guī)定。

APP收集個(gè)人信息不得默認(rèn)授權(quán)

新京報(bào)記者注意到，在“征求意見稿”的數(shù)據(jù)收集一章中，網(wǎng)信辦首先強(qiáng)調(diào)APP必須明確產(chǎn)品的信息收集使用規(guī)則，不得以改善服務(wù)質(zhì)量、提升用戶體驗(yàn)、定向推送信息、研發(fā)新產(chǎn)品等為由，以默認(rèn)授權(quán)、功能捆綁等形式強(qiáng)迫、誤導(dǎo)個(gè)人信息主體同意其收集個(gè)人信息。

對(duì)此，中國(guó)社會(huì)科學(xué)院信息化研究中心秘書長(zhǎng)姜奇平認(rèn)為，把信息采集主導(dǎo)權(quán)、選擇權(quán)交給消費(fèi)者，是信息服務(wù)的原則性問題。為了收集信息采取脅迫或者誤導(dǎo)行為，都是堅(jiān)決不能被允許的。

值得注意的是，為明確APP的責(zé)任，“征求意見稿”第二條特別標(biāo)注使用規(guī)則中必須包含“數(shù)據(jù)安全責(zé)任人的姓名及聯(lián)系方式”。根據(jù)意見第十七條，網(wǎng)絡(luò)運(yùn)營(yíng)者以經(jīng)營(yíng)為目的收集重要數(shù)據(jù)或個(gè)人敏感信息的，應(yīng)當(dāng)明確數(shù)據(jù)安全責(zé)任人。并規(guī)定“數(shù)據(jù)安全責(zé)任人由具有相關(guān)管理工作經(jīng)歷和數(shù)據(jù)安全專業(yè)知識(shí)的人員擔(dān)任，參與有關(guān)數(shù)據(jù)活動(dòng)的重要決策，直接向網(wǎng)絡(luò)運(yùn)營(yíng)者的主要負(fù)責(zé)人報(bào)告工作。”

據(jù)了解，目前不少大型企業(yè)已設(shè)有類似角色。如360設(shè)立有首席隱私官，騰訊設(shè)立有專門的數(shù)據(jù)隱私部門。而“征求意見稿”的規(guī)定則意味著“數(shù)據(jù)安全責(zé)任人”一職將推廣到每一家以經(jīng)營(yíng)為目的收集重要數(shù)據(jù)或個(gè)人敏感信息的APP，且該責(zé)任人的姓名與聯(lián)系方式必須公開。

此外，“征求意見稿”第十六條規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者采取自動(dòng)化手段訪問收集網(wǎng)站數(shù)據(jù)，不得妨礙網(wǎng)站正常運(yùn)行；此類行為嚴(yán)重影響網(wǎng)站運(yùn)行，如自動(dòng)化訪問收集流量超過網(wǎng)站日均流量三分之一，網(wǎng)站要求停止自動(dòng)化訪問收集時(shí)，應(yīng)當(dāng)停止。

該規(guī)定直指目前流行的“網(wǎng)絡(luò)爬蟲”技術(shù)。新京報(bào)記者了解到，目前有不少網(wǎng)站已經(jīng)針對(duì)網(wǎng)絡(luò)爬蟲采取了限流的應(yīng)對(duì)措施，但在法規(guī)層面對(duì)“網(wǎng)絡(luò)爬蟲”技術(shù)做出限制，這尚屬首次。

新京報(bào)記者發(fā)現(xiàn)，“征求意見稿”對(duì)未成年人信息收集也做出了規(guī)定，如第十二條規(guī)定“收集14周歲以下未成年人個(gè)人信息的，應(yīng)當(dāng)征得其監(jiān)護(hù)人同意。”

用戶注銷后信息應(yīng)及時(shí)刪除

目前，APP存在“注銷難”的情況。如2018年6月，新京報(bào)記者曾實(shí)測(cè)35款熱門APP發(fā)現(xiàn)，其中21款沒有注銷選項(xiàng)，可以注銷的也選項(xiàng)苛刻，如微博注銷需要滿足7項(xiàng)條件。

對(duì)于此種“注銷難”狀況，“征求意見稿”在第二十條及二十一條專門作出規(guī)定：網(wǎng)絡(luò)運(yùn)營(yíng)者保存?zhèn)€人信息不應(yīng)超出收集使用規(guī)則中的保存期限，用戶注銷賬號(hào)后應(yīng)當(dāng)及時(shí)刪除其個(gè)人信息；網(wǎng)絡(luò)運(yùn)營(yíng)者收到有關(guān)個(gè)人信息查詢、更正、刪除以及用戶注銷賬號(hào)請(qǐng)求時(shí)，應(yīng)當(dāng)在合理時(shí)間和代價(jià)范圍內(nèi)予以查詢、更正、刪除或注銷賬號(hào)。

此外，第三十一條也規(guī)定了當(dāng)APP方破產(chǎn)時(shí)數(shù)據(jù)的處理方式；“網(wǎng)絡(luò)運(yùn)營(yíng)者兼并、重組、破產(chǎn)的，數(shù)據(jù)承接方應(yīng)承接數(shù)據(jù)安全責(zé)任和義務(wù)。沒有數(shù)據(jù)承接方的，應(yīng)當(dāng)對(duì)數(shù)據(jù)作刪除處理。法律、行政法規(guī)另有規(guī)定的，從其規(guī)定。”

“突出‘被遺忘權(quán)’保護(hù)是征求意見稿的一個(gè)亮點(diǎn)。”中國(guó)信息安全研究院副院長(zhǎng)左曉棟表示，以網(wǎng)購(gòu)為例，消費(fèi)者在購(gòu)物網(wǎng)站完成交易后刪除相關(guān)信息，這樣的合理訴求理應(yīng)得到滿足。

此外，“征求意見稿”首次對(duì)使用算法技術(shù)與人工智能技術(shù)驅(qū)動(dòng)的定向推送和智能聚合功能提出了法規(guī)要求。

“征求意見稿”第二十三條規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者利用用戶數(shù)據(jù)和算法推送新聞信息、商業(yè)廣告等，應(yīng)當(dāng)以明顯方式標(biāo)明“定推”字樣，為用戶提供停止接收定向推送信息的功能；用戶選擇停止接收定向推送信息時(shí)，應(yīng)當(dāng)停止推送，并刪除已經(jīng)收集的設(shè)備識(shí)別碼等用戶數(shù)據(jù)和個(gè)人信息。

第二十四條內(nèi)容則顯示，網(wǎng)絡(luò)運(yùn)營(yíng)者利用大數(shù)據(jù)、人工智能等技術(shù)自動(dòng)合成新聞、博文、帖子、評(píng)論等信息，應(yīng)以明顯方式標(biāo)明“合成”字樣；不得以謀取利益或損害他人利益為目的自動(dòng)合成信息。

有業(yè)內(nèi)人士對(duì)新京報(bào)記者表示，若此項(xiàng)規(guī)定確定施行，或?qū)⒂绊懡袢疹^條等一批以算法推薦為主要機(jī)制的APP。

小程序出現(xiàn)數(shù)據(jù)泄露微信或需擔(dān)責(zé)

此外，“征求意見稿”還對(duì)接入平臺(tái)的第三方應(yīng)用與平臺(tái)的數(shù)據(jù)責(zé)任歸屬做出了規(guī)定。

目前，接入第三方應(yīng)用最多的平臺(tái)當(dāng)屬微信“小程序”，新京報(bào)記者發(fā)現(xiàn)，相比當(dāng)下對(duì)APP隱私協(xié)議的規(guī)定，小程序由于“隸屬”于微信平臺(tái)，其在隱私保護(hù)方面的要求和規(guī)定也較為模糊。

騰訊團(tuán)隊(duì)曾于2019年1月3日對(duì)新京報(bào)記者表示，微信小程序主體通過用戶授權(quán)獲得的服務(wù)數(shù)據(jù)存儲(chǔ)在其服務(wù)器上，微信一直通過相關(guān)服務(wù)協(xié)議和平臺(tái)規(guī)則要求開發(fā)者對(duì)用戶隱私安全進(jìn)行保護(hù)。“比如在需要用戶授權(quán)隱私數(shù)據(jù)信息的服務(wù)場(chǎng)景中，我們要求開發(fā)者在小程序前端界面必須向用戶提示‘授權(quán)使用信息’，用戶也可以自行在該小程序主頁(yè)的‘設(shè)置’撤銷相關(guān)信息的授權(quán)。”

“征求意見稿”第三十條內(nèi)容則顯示，網(wǎng)絡(luò)運(yùn)營(yíng)者對(duì)接入其平臺(tái)的第三方應(yīng)用，應(yīng)明確數(shù)據(jù)安全要求和責(zé)任，督促監(jiān)督第三方應(yīng)用運(yùn)營(yíng)者加強(qiáng)數(shù)據(jù)安全管理。第三方應(yīng)用發(fā)生數(shù)據(jù)安全事件對(duì)用戶造成損失的，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)承擔(dān)部分或全部責(zé)任，除非網(wǎng)絡(luò)運(yùn)營(yíng)者能夠證明無(wú)過錯(cuò)。

這意味著，當(dāng)微信小程序中的第三方應(yīng)用發(fā)生信息泄露事件，微信或也要承擔(dān)一定責(zé)任。對(duì)此，左曉棟表示，平臺(tái)與第三方應(yīng)用需要共同承擔(dān)相關(guān)責(zé)任，這樣可以倒逼網(wǎng)絡(luò)經(jīng)營(yíng)者，加強(qiáng)對(duì)用戶個(gè)人信息安全的保護(hù)。

新京報(bào)記者 羅亦丹 李大偉