網(wǎng)安法搭建了網(wǎng)絡個人信息保護的法律框架,而今的國家標準則是“壘土砌磚”,讓個人信息安全保護制度大廈愈加堅實。
據(jù)報道,1月24日,《信息安全技術個人信息安全規(guī)范》在國家標準全文公開系統(tǒng)上線。該《規(guī)范》屬于推薦性國家標準,去年12月29日由國家質量監(jiān)督檢驗檢疫總局和國家標準化管理委員會發(fā)布,即將于5月1日正式實施。
在網(wǎng)絡化背景下,這一“國家標準”的全新上線,意義并不遜于去年6月1日《網(wǎng)絡安全法》的出臺。如果說,網(wǎng)安法搭建了網(wǎng)絡個人信息保護的法律框架,而今的國家標準則是“壘土砌磚”,從指標量化、技術解釋的角度,讓個人信息安全保護制度大廈愈加堅實。
大數(shù)據(jù)時代,個人信息的收集、保存、使用、轉讓等環(huán)節(jié),目前都存在個人信息保護不力的問題。不經意地一次瀏覽網(wǎng)頁、購物支付,或是做個心理測試、回答回答問題,也許就將個人信息無意中泄露了出去。對此,《規(guī)范》均提出了嚴格要求,并對人們最為關注的“個人敏感”信息做出了明確界定。
在工信部《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》中,即規(guī)定了個人一般信息與敏感信息的不同處理原則:前者可以建立在默許同意的基礎上,后者則建立在明示同意的基礎上,收集和利用必須獲得個人信息主體明確授權。
不過,該《規(guī)范》則進一步明確了個人敏感信息的具體概念,所謂個人敏感信息,是指“一旦泄露、非法提供或濫用可能危害人身和財產安全,極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息”。除了財產信息、健康生理信息、生物識別信息、身份信息和網(wǎng)絡身份標識信息以外,還包括電話號碼、網(wǎng)頁瀏覽記錄、行蹤軌跡等。在國家標準層面,首次界定和例舉了個人敏感信息的內涵與外延,不僅有利于平衡市場與隱私權益,也為企業(yè)、監(jiān)管部門和第三方評估機構的監(jiān)督、管理、評估,提供了基本依據(jù)。
從現(xiàn)實情況來看,個人信息保護的失守,多源于平臺過度收集用戶信息等,而作為第一道“閘門”的隱私政策,也有虛置亂象。
新上線的《規(guī)范》,對一個機構如何收集、處理個人信息作出了嚴格說明。比如,在收集個人敏感信息時,個人信息控制者需在收集前向個人信息主體逐一說明個人敏感信息為完成何種附加功能所必需,并允許個人信息主體逐項選擇是否提供或同意自動采集個人敏感信息。當個人信息主體拒絕時,可不提供相應的附加功能,但不應以此為理由停止提供核心業(yè)務功能。
這樣的規(guī)范,首先是公開透明原則的基本體現(xiàn),也大幅提升了用戶知情權與選擇權。更重要的是,對之前飽受詬病的第三方暗箱操作、秘密竊取個人信息用于商業(yè)交易、收集平臺的“霸王條款”等方面,將起到極大的約束作用。
網(wǎng)絡的新時代,個人信息保護是檢驗文明的試金石。從網(wǎng)安法出臺,到兩高解釋出爐,再到個人信息安全國標“上線”,由“抽象”到“具體”,由“主干”到“配套”,漸趨完善的法治體系,才能保證,在大數(shù)據(jù)時代,個人信息更加安全。