網信辦：App需設立“數據安全責任人”

網信辦：App需設立“數據安全責任人”

139w.com 鼎點網絡

5月28日零點，國家互聯網信息辦公室發佈關於《數據安全管理辦法（徵求意見稿）》公開徵求意見的通知。新京報記者查閱“徵求意見稿”發現，其分總則、數據收集、數據處理使用、數據安全監督管理、附則五章，共包含四十條規定。“徵求意見稿”在個人信息收集、爬蟲抓取、廣告精準推送、App過度索取權限、賬戶註銷難等經常涉及隱私的問題上均做出了明確規定。
App收集個人信息不得默認授權

新京報記者注意到，在“徵求意見稿”的數據收集一章中，網信辦首先強調App必須明確產品的信息收集使用規則，不得以改善服務質量、提升用戶體驗、定向推送信息、研發新產品等爲由，以默認授權、功能捆綁等形式強迫、誤導個人信息主體同意其收集個人信息。

對此，×××信息化研究中心祕書長姜奇平認爲，把信息採集主導權、選擇權交給消費者，是信息服務的原則性問題。爲了收集信息採取脅迫或者誤導行爲，都是堅決不能被允許的。

值得注意的是，爲明確App的責任，“徵求意見稿”第二條特別標註使用規則中必須包含“數據安全責任人的姓名及聯繫方式”。根據意見第十七條，網絡運營者以經營爲目的收集重要數據或個人敏感信息的，應當明確數據安全責任人。並規定“數據安全責任人由具有相關管理工作經歷和數據安全專業知識的人員擔任，參與有關數據活動的重要決策，直接向網絡運營者的主要負責人報告工作。”

據瞭解，目前不少大型企業已設有類似角色。如360設立有首席隱私官，騰訊設立有專門的數據隱私部門。而“徵求意見稿”的規定則意味着“數據安全責任人”一職將推廣到每一家以經營爲目的收集重要數據或個人敏感信息的App，且該責任人的姓名與聯繫方式必須公開。

此外，“徵求意見稿”第十六條規定，網絡運營者採取自動化手段訪問收集網站數據，不得妨礙網站正常運行；此類行爲嚴重影響網站運行，如自動化訪問收集流量超過網站日均流量三分之一，網站要求停止自動化訪問收集時，應當停止。

該規定直指目前流行的“網絡爬蟲”技術。新京報記者瞭解到，目前有不少網站已經針對網絡爬蟲採取了限流的應對措施，但在法規層面對“網絡爬蟲”技術做出限制，這尚屬首次。

新京報記者發現，“徵求意見稿”對未成年人信息收集也做出了規定，如第十二條規定“收集14週歲以下未成年人個人信息的，應當徵得其監護人同意。”

用戶註銷後信息應及時刪除

目前，App存在“註銷難”的情況。如2018年6月，新京報記者曾實測35款熱門App發現，其中21款沒有註銷選項，可以註銷的也選項苛刻，如微博註銷需要滿足7項條件。

對於此種“註銷難”狀況，“徵求意見稿”在第二十條及二十一條專門作出規定：網絡運營者保存個人信息不應超出收集使用規則中的保存期限，用戶註銷賬號後應當及時刪除其個人信息；網絡運營者收到有關個人信息查詢、更正、刪除以及用戶註銷賬號請求時，應當在合理時間和代價範圍內予以查詢、更正、刪除或註銷賬號。

此外，第三十一條也規定了當App方破產時數據的處理方式；“網絡運營者兼併、重組、破產的，數據承接方應承接數據安全責任和義務。沒有數據承接方的，應當對數據作刪除處理。法律、行政法規另有規定的，從其規定。”

“突出‘被遺忘權’保護是徵求意見稿的一個亮點。”中國信息安全研究院副院長左曉棟表示，以網購爲例，消費者在購物網站完成交易後刪除相關信息，這樣的合理訴求理應得到滿足。

此外，“徵求意見稿”首次對使用算法技術與人工智能技術驅動的定向推送和智能聚合功能提出了法規要求。

“徵求意見稿”第二十三條規定，網絡運營者利用用戶數據和算法推送新聞信息、商業廣告等，應當以明顯方式標明“定推”字樣，爲用戶提供停止接收定向推送信息的功能；用戶選擇停止接收定向推送信息時，應當停止推送，並刪除已經收集的設備識別碼等用戶數據和個人信息。

第二十四條內容則顯示，網絡運營者利用大數據、人工智能等技術自動合成新聞、博文、帖子、評論等信息，應以明顯方式標明“合成”字樣；不得以謀取利益或損害他人利益爲目的自動合成信息。

有業內人士對新京報記者表示，若此項規定確定施行，或將影響一批以算法推薦爲主要機制的App。

小程序出現數據泄露微信或需擔責

此外，“徵求意見稿”還對接入平臺的第三方應用與平臺的數據責任歸屬做出了規定。

目前，接入第三方應用最多的平臺當屬微信“小程序”，新京報記者發現，相比當下對App隱私協議的規定，小程序由於“隸屬”於微信平臺，其在隱私保護方面的要求和規定也較爲模糊。

騰訊團隊曾於2019年1月3日對新京報記者表示，微信小程序主體通過用戶授權獲得的服務數據存儲在其服務器上，微信一直通過相關服務協議和平臺規則要求開發者對用戶隱私安全進行保護。“比如在需要用戶授權隱私數據信息的服務場景中，我們要求開發者在小程序前端界面必須向用戶提示‘授權使用信息’，用戶也可以自行在該小程序主頁的‘設置’撤銷相關信息的授權。”

“徵求意見稿”第三十條內容則顯示，網絡運營者對接入其平臺的第三方應用，應明確數據安全要求和責任，督促監督第三方應用運營者加強數據安全管理。第三方應用發生數據安全事件對用戶造成損失的，網絡運營者應當承擔部分或全部責任，除非網絡運營者能夠證明無過錯。

 這意味着，當微信小程序中的第三方應用發生信息泄露事件，微信或也要承擔一定責任。對此，左曉棟表示，平臺與第三方應用需要共同承擔相關責任，這樣可以倒逼網絡經營者，加強對用戶個人信息安全的保護。