?

定向推送、过度索权、追根溯源……《数据安全管理办法》对我们来说意味着什么?

2018 年 3 月,Facebook 剑桥分析事件的爆出,一把扯下了科技公司各自在用户数据保护方面披上的遮羞布。随后 5 月,欧盟正式开始执行「史上最严的数据隐私保护法案」《通用数据保护条例》(GDPR),更是把关于数据隐私的讨论推向了巅峰。

无论是连番的数据泄漏丑闻还是各国政府和机构组织的纷纷表态,2018 年一整年,隐私和数据安全都是一个绕不开的话题,公司和用户都不得不开始重视它背后的经济效益、利用关系以及个人权利。

定向推送、过度索权、追根溯源……《数据安全管理办法》对我们来说意味着什么?

         前所未有严苛的数据保护法《GDPR》 | GDPR 官网截屏

据中国互联网网络信息中心的数据显示,截至 2018 年底,中国网民达 8.29 亿,手机网民 8.17 亿。在这个背景下,无论是对管理者的要求还是民意的诉求,数据安全管理规章化不可避免。

5 月 24 日,国家网信办联合国家发改委等 12 个部门起草了《网络安全审查办法(征求意见稿)》(以下简称《办法》)。四天后,5 月 28 日,中国国家互联网信息办公室(以下简称「网信办」)发表《数字安全管理办法(征求意见稿)》,发布《数字安全管理办法(征求意见稿)》,向社会公开征求意见。6 月 28 日,《数据安全管理办法》的意见反馈正式截止。

《办法》只针对「网络运营者」,要求它们保护国家、社会、个人在网上的信息和数据安全,包括个人要给企业多少数据,哪些不必再给,企业无权再要;企业要如何保护用户个人数据,如何利用和处理已有的数据,在何种情况下把用户数据交与政府;政府如何监管企业不滥用个人数据。在《办法》出台之前,因为此前条例的模糊性,网络运营者得以钻了数据收集的漏洞。现在,《办法》就个人隐私和数据收集、广告和新闻精准投放、app和平台对权限的无理索求以及账户、平台在停用后数据归宿等近几年来多发的数据隐私争议点上作出了明确地要求,《办法》也可能将成为中国首个围绕网络安全和数据管理落实的规章。


堵上所有能钻的空子

近几年的移动应用的普及,新入网用户激增,但同时,零基础直接上手的移动互联网用户对数据和隐私的权利概念模糊,绝大多数用户在这方面意识薄弱,因此导致了不少互联网公司肆意收割数据的现状。在五章四十条的《办法》中,有诸多条例都体现着对当前互联网乱象的「对症下药」。

· 《用户协议》要「说人话」

每当用户注册一个新网站的账号时,总是习惯把那些长篇累牍的《平台数据手机条约》一拉到底,点击同意。对此,《办法》第二章第八条要求:收集使用规则应当明确具体、简单通俗、易于访问,并给出了九小点的「具体要求凸显的条例」。

定向推送、过度索权、追根溯源……《数据安全管理办法》对我们来说意味着什么?

对运营方面向用户的条款作出明确规定 | 网信办官网截屏

换句话说,满篇堆砌法律名词,用尽各种语言技巧的「数据收集条约」将被取缔。尽管用户和平台之间「不同意就不能用」的协议不会改变,但平台必须让用户明确地知晓数据收集的意图,或者说用户自己使用服务的代价。

· 用不到的信息不许强行收集

在第十一条中,《办法》明确规定了「网络运营者不得以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息。」

即网站和应用用不到的信息,运营方不能强行收集,更不能因为用户不同意提供这些「用不到」的信息,就拒绝提供服务。系统层上,苹果在 iOS 12 和 iOS 13 的更新中也作出了类似的规范和限制。

· 拒绝大数据杀熟

在十三条中,《办法》则规定了禁止对个人信息分析后进行定价歧视,此举也明显针对的就是去年国内频繁曝出的「大数据杀熟」现象。

· 治理垃圾推送消息

在《办法》第三章《数据处理使用》中第二十三条规定,运营者利用用户数据和算法推送新闻信息、商业广告等,应当以明显方式标明「定推」字样;要对用户提供停止接收定向推送信息的功能,并且当用户关闭该功能后,应当停止推送,并删除已经收集的设备识别码等用户数据和个人信息。

· 标注机器生成内容

随着人工智能的愈发成熟,机器替代人工回复消息甚至生产内容正在慢慢成为一种趋势。比如前几年开始在社交网络上流行的各类 bot 就属于该类,各类服务中的自动客服回复和智能助手也可归为该类。在《办法》第二十四条规定,利用大数据和人工智能合成的新闻、博文、帖子、评论等信息,应以明显方式表明「合成」字样。

· 设立「数据安全负责人」职位

《办法》中也要求网络运营方要有「数据安全负责人」职位,这个职位要求有数据安全专业知识的人员担任,专员需要参与有关数据活动的重要决策,且运营方要保证这个职位「独立履行职责」。

· 对已有数据的保护

《办法》第三章规定,如运营方被兼并或破产,所拥有的数据要么交接要么删除,不得保留;个人信息泄露、毁损、丢失等数据安全事件,或者发生数据安全事件风险明显加大时,网络运营者应当立即采取补救措施,及时告知用户并向网信部门报告。

相关推荐
新闻聚焦
猜你喜欢
热门推荐
返回列表
Ctrl+D?将本页面保存为书签,全面了解最新资讯,方便快捷。