来源/财经网
编辑/木由
10月24日消息,国家标准GB/T35273《信息安全技术个人信息安全规范》征求意见稿再次更新,针对APP违法违规收集使用个人信息等乱象,对用户授权与注销等方面进行了规范,并进一步明确了与第三方合作时,个人信息安全的主要责任主体应为个人信息控制者,即有权决定个人信息处理目的、方式等的组织或个人。
3、对不得强迫接受多项业务功能、授权同意等内容进行更新;
6、补充了委托处理、共享、转让等对受委托者和接受方的管理要求;
其中,针对APP过度收集个人信息的现象,新增的"5.3不得强迫接受多项业务功能"明确表示,当产品或服务提供多项需要收集个人信息的业务功能时,个人信息控制者不应违背个人信息主体的自主意愿,强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求。
有业内人士曾向财经网表示,为了方便风控,基本上所有的金融理财类APP都会要求用户开通读取联系人、读取手机内存等权限。
但在实际操作中,常常出现对个人信息过度收集的情况。
去年中国消费者协会发布的《100款App个人信息收集与隐私政策测评报告》显示,金融理财类App平均分仅为28.91分,在10个大类中排名垫底。
9月,国家计算机病毒中心发布的《移动App违法违规问题及治理举措》中,京东金融、云闪付均因涉嫌超范围采集用户隐私信息而上榜。
此次,财经网对多款金融理财类App进行了测评,发现小米金融在《隐私政策》中称,其可能收集其他各类与个人无关联的匿名信息,用于改善产品和服务,这一条款与《个人信息安全规范》中多项业务不得捆绑授权等原则相悖;
来分期则要求用户授权访问手机设备上几乎所有储存信息,包括照片、媒体内容及文件信息。
针对APP注销账号难的问题,"7.12个人信息主体注销账户"指出,通过注册账户提供
服务的个人信息控制者,应向个人信息主体提供注销账户的方法,且方法应简便易操作。
此前据新京报等多家媒体报道,包括微博、京东、携程等多款主流APP注销入口难找,还需满足"填写两年前的历史订单"、"证明手机是你的"等苛刻的注销条件。
财经网尝试了借贷宝、来分期、京东金融、闪银等多款金融APP,发现其界面都没有提供销户入口,需通过客服咨询完成。
其中,借贷宝要求将"3分钱的账户余额清零",途径为"充值至10元并提现";
闪银则在与客服沟通销户后,也将继续保存用户信息。
这些都与《个人信息安全规范》中的标准相悖。
根据《个人信息安全规范》,注销过程不应设置不合理的条件或提出额外要求增加个人信息主体义务。
同时,注销过程进行身份核验需要个人信息主体重新提供的个人信息不应多于注册、使用等服务环节收集的个人信息。
针对数据转移到第三方进行处理的情况,该规范进一步指明个人信息控制方应为个人信息安全的主要责任主体,对合作方应起到监督义务。
《个人信息安全规范》指出,个人信息控制方需对数据处理的受托方或接收方履行监督义务,若数据处理的受托方或接收方未被其信息保护义务或未按约定处理个人信息,个人信息控制方应采取"更改口令、收回权限、断开网络连接"或"终止业务关系"等手段保护个人信息安全。
如有通过部署第三方插件收集个人信息的,个人信息控制者承担该第三方引起的安全责任。
此外,在个人信息公开披露一项,除不应公开披露个人生物识别信息外,新增"不应公开披露我国公民的种族、民族、政治观点、宗教信仰等个人敏感数据的分析结果"。
APP专项治理工作组表示,《个人信息安全规范》于2019年6月公开向社会征求意见,得到密切关注,截至目前,标准编制组共收到并处理意见约400条。
基于各单位反馈意见以及APP违法违规收集使用个人信息专项治理工作实践经验,标准编制组对征求意见稿版本予以补充完善、优化和更新。
《个人信息安全规范》的首次发布时间为2017年12月29日,并于2018年5月1日开始实施。
这一规范类属于推荐性标准,而非强制性标准,并不具备法律强制力。
2019年1月以后,该规范针对数据的授权、使用与第三方接入管理等内容进行了数次修订。
更新后的征求意见稿进一步保障了个人信息主体对个人信息使用的主动权,并明确了个人信息控制者为个人信息使用安全的主要责任主体。
目前我国已有多份关于个人信息安全的制度文件出炉,并进入征求意见阶段。
今年5月,国家网信办就《数据安全管理办法(征求意见稿)》公开征求意见,这份征求意见稿共分为5章,有40条条款,画出了数据采集、使用、监管等方面的底线。
近日,据多家媒体报道,《个人金融信息(数据)保护试行办法(初稿)》已经由央行下发各家银行,目前也在征求意见中。
这一系列个人信息安全保护文件紧锣密鼓的出台,以及一批大数据公司接连被查,都显示出我国对于个人信息安全监管的节奏正在加速且日益趋严。
