国家信息安全技术标准《个人信息安全规范》正式实施

近年来，APP默认勾选协议、大量收集用户隐私权限、不当与第三方共享而导致信息外泄的现象，时有发生。互联网时代，作为被迫用部分隐私交换便利的用户，你该如何保护自己的信息安全？当企业收集你信息时，需要如何告知及征得你同意？如果涉及到与第三方共享数据，又该向你做出怎样的确认？

上述问题在5月1日起正式实施的《个人信息安全规范》技术标准，均有详细的规定。这部贯彻《中华人民共和国网络安全法》中个人信息安全要求的重要配套标准，从2016年4月开始起草，历经两年终于得以正式实施，从收集、保存、使用、共享、转让、公开披露等个人信息处理活动方面，填补了国内个人信息保护在具体实践标准上的空白。

当前，互联网企业通常采用让用户同意隐私政策的方式达到这一合规要求，而绝大多数的用户并无完整阅读隐私政策的习惯。其中的原因之一在于，即便不同意平台的“霸王条款”也无济于事，一旦用户点击注册，即被默认同意收集个人信息。

如何破解“一揽子”授权的难题？规范提供了一项可借鉴的思路，当收集个人敏感信息时，平台应征得用户明示同意。

具体表现为，规范建议首先区分核心功能和附加功能，如果收集的是核心业务功能所必需的个人敏感信息，平台应明确告知你拒绝提供或同意将带来的影响，并允许你作出自主选择。而涉及到附加功能所需收集的个人敏感信息，除需上述规定外，在你提出拒绝后，平台不应以此为理由暂停核心业务功能，并应保障相应的服务质量。

规范首次对个人信息和个人敏感信息进行了区分。如果从信息本身可识别和关联到特定个人的，即为个人信息，如姓名、电话号码、身份证、通话记录等。而个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等个人信息。

规范要求，收集个人信息时应告知用户所提供的产品或服务需收集的用户个人信息类型及规则，并征得用户的授权同意。规范保障了用户充分行使选择同意的权利，尤其是对个人敏感信息的收集，用户有增强式同意的控制权利。

当平台收集了个人信息后，在使用和处理环节中，又有哪些细节需要告知用户的？

根据规范要求，除目的所必需外，使用个人信息时应消除明确身份指向性，避免精确定位到特定个人。此外，使用个人信息时，不得超出与收集个人信息时所声称的目的具有直接或合理关联的范围。因业务需要，确需超出上述范围使用个人信息的，应再次征得个人信息主体明示同意。

今年3月，Facebook爆出大规模数据泄露事件，起因源于剑桥分析公司在Facebook平台上推广的一款的个性分析测试软件。以“有偿心理研究”为名，这款应用收集了超过8700万Facebook用户数据，包括住址、年龄、工作经历、人际关系网络，喜好等细节内容。然而，这些数据却在用户不知情的情况下，又被剑桥分析公司转为商用。在这起数据外泄事件中，Facebook备受指责之处在于，将收集来的用户数据共享给第三方，但又无法限制和保证数据不被第三方滥用。

对于绝大多数互联网企业来说，Facebook此次所曝出的数据丑闻随时可能发生，必须引以为戒。南都记者注意到，针对数据共享问题，规范指出，个人信息原则上不得共享、转让。个人信息控制者确需共享、转让时，应充分重视风险，并遵守相应的要求。

其中包括事先开展个人信息安全影响评估，向用户告知共享、转让个人信息的目的、数据接收方的类型，并事先征得用户的授权同意，帮助用户了解数据接收方对个人信息的保存、使用等情况，涉及个人敏感信息，还需告知用户涉及的信息类型、数据接收方的身份和数据安全能力。

那么，当企业发生安全事件如何告知用户？规范要求，应及时将事件相关情况，如内容和影响，所采取的处置措施等，告知受影响用户，并提供补救措施和自主防范和降低风险的建议。

除了强调用户在上述个人信息处理活动中的权利外，规范还指出，用户还享有访问、更正、删除、撤回同意、获取个人信息副本、注销账户的权利。

规范提及，通过注册账户提供服务的个人信息控制者，应向用户提供注销账户的方法，且该方法应简便易操作。同时要求，用户注销账户后，平台应删除其个人信息或做匿名化处理。

对于删除的界定，规范规定，“在实现日常业务功能所涉及的系统中去除个人信息的行为，使其保持不可被检索、访问的状态”。也就是说，根据规范要求，平台应充分保证用户注销的权利。

来源：南方都市报