清华大学金融科技研究院孵化
金融科技与金融创新全媒体

扫描分享

本文共字,预计阅读时间

近日,全国信息安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南(征求意见稿)》(以下简称“自评估指南”),并向社会公开收集意见。自评估指南共总结出评估点6大项,28小项,供APP运营者自评估参考,提高个人信息的保护水平。本文对其中部分内容进行解读:

一、是否公开APP运营者的基本情况(1.5

自评估指南中要求隐私政策中需要对APP运营者的基本情况进行表述,至少包括组织或公司名称、 注册地址或常用办公地址、个人信息保护工作机构或相关负责人。

部分APP隐私政策中,仅有运营者的名称,用户在使用APP过程中若涉及到个人信息的相关问题,无法较为便利的联系到运营者或运营者关于个人信息保护的对接人。此评估点的要求,也从另一方面督促APP运营者明确关于个人信息保护的具体机构或负责人,有利于运营者提高个人信息保护水平。

二、是否公开收集使用个人信息的其他规则(1.6

1、自评估指南中要求,如果APP运营者将个人信息用于用户画像、个性化展示等,隐私政策中应说明其应用场景和可能对用户产生的影响。

今年10月1日将正式实施的2020版《个人信息安全规范》中,将能够单独或与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的用户画像或特征标签,归为个人信息的范畴。此评估点的要求进一步细化了APP运营者对个人信息使用规则的公开及明确,限定了运营者在获取个人信息及使用、二次加工的应用范围,均需要得到用户的知情、甚至是同意,并要求运营者告知用户可能受到的影响,方便用户做出判断,减少用户对个人信息的滥用、泄露的担心或投诉。

2、自评估指南中要求,隐私政策中应对APP运营者在个人信息保护方面采取的措施和具备的能力进行说明,如身份鉴别、数据加密、访问控制、恶意代码防范、安全审计等。

3、自评估指南中要求,隐私政策中应对以下用户权利和相关操作方式进行明确说明:①个人信息查询;②个人信息更正;③个人信息删除;④用户账户注销;⑤撤回已同意的授权。

从此评估点中看出监管部门对个人信息主体权利的保护的进一步落实,与2020版《个人信息安全规范》的修改基本一致,如2017版中个人信息的“访问”改为了“查询”,“主体撤回同意”改为了“主体撤回授权同意”,APP运营者可结合2020版《个人信息安全规范》的相关内容进行整改并自评估。

三、用户明确表示不同意收集后是否频繁征求用户同意、干扰用户正常使用(3.3

自评估指南中针对“频繁征求用户同意”中的频繁提供了参考,如每次重新打开APP,或使用某一业务功能时48小时内再次询问。

评估指南提供了除外情形,当用户选择APP的某一具体功能触发征得同意的动作,如用户自行选择拍摄、扫码等功能,APP需获取“相机”权限,不属于频繁干扰情形。

四、是否以非正当方式强迫收集用户个人信息(4.3

自评估指南中再次强调,APP运营者不应仅以“改善服务质量、提升用户体验、定向推送信息、研发新产品等”为由,强制要求用户同意收集其个人信息并以此作为提供服务的条件。即APP运营者收集用户个人信息,需要明确其使用目的,并向用户提供自主选择权。

此次的自评估指南(征求意见稿)与《APP违法违规收集个人信息自评估指南》、《APP违法违规收集个人信息行为认定办法》的观点一脉相承,对部分违法违规的行为进一步明确及规范,若APP运营者对此评估指南有意见或建议,可在2020年4月2日前反馈至全国信息安全标准化技术委员会秘书处。

[Source]

本文系未央网专栏作者发表,属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!

本文为作者授权未央网发表,属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!

本文版权归原作者所有,如有侵权,请联系删除。

评论


发表评论
您的评论提交后会进行审核,审核通过的留言会展示在上方留言区域,请耐心等待。
猜你喜欢

扫描二维码或搜索微信号“iweiyangx”
关注未央网官方微信公众号,获取互联网金融领域前沿资讯。