為個人數據安全加把鎖 近日,國家互聯網信息辦公室發布《數據安

       原標題:安全鎖定個人數據

       近日，國家互聯網信息辦公室發布了《數據安全管理辦法(征求意見稿)》，不僅收集公眾關注的個人敏感信息，準確推送廣告，APP直接回應過度索權、賬戶注銷困難等問題，還對網絡運營商在數據收集、處理和使用、安全監督管理等方面提出要求，為個人數據安全增加了一把鎖

       隨便注冊一個應用程序就需要身份證號碼，推送的廣告似乎會讀心，大數據殺熟防不勝防，注銷賬號難上青天……個人數據保護中經常出現的這些問題有望迎刃而解。

       國家互聯網信息辦近日發布了《數據安全管理辦法(征求意見稿)》(以下簡稱《辦法》)，對網絡運營商在數據收集、處理和使用、安全監督管理等方面提出了要求，為個人數據安全增加了一把鎖。

       為什么要出臺這些措施？這顯然與日益嚴重的個人信息濫用和泄露密切相關。根據100個常用手機應用程序的官方統計數據，相當一部分手機應用程序強制超出范圍索要權限，平均每個應用程序申請收集10個個人信息相關權限，但事實上，用戶不同意打開APP不能安裝或運行的權限平均只有3項。

       電子商務消費糾紛調解平臺的大數據也顯示，近年來，天貓、淘寶、京東、蘇寧、唯品會等電子商務平臺，以及公眾評論、百度糯米、攜程等生活服務平臺，都發生了用戶信息泄露事件。僅在2018年，就發生了許多用戶個人信息泄露事件，如童淵、舊金山快遞在黑暗網絡上出售超過10億條個人信息12306數百萬乘客信息在線出售。

       數據保護有章可循

       在《辦法》中，數據活動被定義為利用網絡進行數據收集、存儲、傳輸、處理、使用等活動。與已發布的《信息安全技術個人信息安全規范》和《互聯網個人信息安全保護指南》相比，未來作為部門規章發布的《辦法》可能會更有效，這不僅是大數據時代數據安全的剛性需求，也是5G上海漢盛律師事務所高級合伙人李敏表示，市場鋪平了國內數據處理合規化道路。

       北京關濤中茂（上海）律師事務所合伙人王玉偉也認為，與《網絡安全法》相比，草案更為詳細，有望為未來個人信息保護法提供參考。

       《辦法》中的亮點提法也使個人數據保護有規律可循。一方面，《辦法》強調用戶的選擇權，如明確要求制定和披露個人信息收集和使用規則，并強調如果隱私政策中包含收集和使用規則，則應相對集中、明顯提示，便于閱讀，突出信息使用規則的重要性，使個人信息主體能夠享有充分的選擇權。此外，特別規定，對于網絡產品核心業務功能運行的個人信息以外的信息，網絡運營商不得因個人信息主體不同意收集而拒絕提供核心業務功能服務。換句話說，網絡運營商不能在數據索取上要價過高。

       中國社會科學院信息化研究中心秘書長姜奇平表示，信息收集的主導權和選擇權必須交給消費者，這是信息服務的原則性問題。

       另一方面，《辦法》進一步強調了對用戶隱私的保護。《辦法》要求網絡運營商以經營為目的收集重要數據或個人敏感信息的，應當向當地網絡信息部門備案。根據《信息安全技術個人信息安全規范》，包括身份證信息、電話號碼、郵箱地址、瀏覽記錄、定位信息甚至個人指紋和聲紋，都是個人敏感信息。通過國家強制限制隱私信息的收集和使用，隱私信息泄露時也有痕跡可循，實現個人隱私信息的數據安全。李敏說。

       中國信息安全研究院副院長左曉東表示，只有追溯隱私信息的收集者，才能從源頭上保護個人數據安全。

       面對痛點的解決方案

       《辦法》細化了近年來網絡數據安全問題層出不窮，新的數據安全管理規定可以及時填補社會發展帶來的法律漏洞，具有前瞻性。李敏說。

       根據《辦法》的具體規定，很多一直困擾用戶的痛點都被明確點名了。比如剛訂了機票，各個應用馬上就開始推薦目的地相關信息。這種利用用戶瀏覽歷史，通過定向推送獲得廣告收入的精準廣告，讓很多用戶覺得沒有隱私。對此，《辦法》明確規定，用戶數據和算法推送新聞信息和商業廣告需要明顯標注定向推送字樣，并為用戶拒絕接受定向推送信息提供選擇權。用戶選擇停止接收定向推送信息時，應停止推送，并刪除已收集的設備識別碼等用戶數據和個人信息。

       廣告商收集用戶信息的難度會增加，但這也是全球的大趨勢。各大國家的相關法律法規也強調保護消費者的個人數據隱私。在線廣告平臺Marteker創始人馮祺說。

       再比如，針對賬戶注銷難、賬戶注銷后個人信息難以消除的問題，《辦法》還特別提出要保護用戶的被遺忘權。《辦法》強調，收集和使用規則應突出個人信息主體的注銷同意，以及查詢、更正和刪除個人信息的方式和方法，網絡運營商在收到個人信息查詢、更正、刪除和用戶注銷賬戶請求時，應在合理的時間和成本范圍內查詢、更正、刪除或注銷賬戶。

       突出‘被遺忘權’保護也是方法的亮點。‘被遺忘是消費者的合理訴求。左曉棟說。

       北京億達（上海）律師事務所律師董毅志認為，遺忘權仍需進一步細化。例如，用戶注銷賬戶后，網絡運營商如何處理已發布的信息？用戶是否有權要求網絡運營商刪除或負責已發布的信息？

       此外，包括網絡爬蟲訪問收集流量不得超過網站平均日流量的三分之一，限制大數據殺死等歧視性推動行為，明確數據安全責任人的任職要求，要求提供數據安全責任人的姓名和聯系方式，本辦法的有關規定為個人數據保護中的一系列熱點問題提供了解決方案。

       互聯網行業龍頭企業的自然主導導地位導致行業內缺乏競爭。基于用戶對平臺服務的信任而建立的粘性不能成為某些平臺實施差異化定價和反復數據交易的信心。從這個角度來看，《辦法》對同行業、跨行業企業共同利用用戶信息的合規性提出了新的要求。董一智說。