导读
摘要:近日,网经社电子商务研究中心特约研究员、北京亿达(上海)律师事务所律师董毅智在接受《红星新闻》记者采访时表示,用“难、严、细、好”四个字概括了他对此次《草案》公布的看法。
董律师称,“《草案》的公布在意料之中,因为长期以来大众都呼吁对移动互联网信息安全 进行市场监管,但实施起来可能比想象中更困难。”董律师表示,现在移动互联网涉及的广度、深度越来越大,涉及的领域、行业也越来越多,“每个行业都有自己 的规则,要统一标准也需要协调每一个行业每一个领域的具体需求,所以这也是相关监管进展缓慢的原因。”
董律师表示,从全球移动互联网的趋势上看,对移动互联网的监管也是越来越严了,“你会发现现在移动互联网的隐私安全已经不仅仅局限于个人安全,甚至与国家安全也联系在了一起,所以这次《草案》的公布是符合全球的趋势的。”但董律师也谈到,目前公布的草案只是一个基本的规范标准,并不涉及到立法层面,如何处罚、怎么处罚是需要深入挖掘的。
“总的来说,《草案》公布是一个非常好的事情,因为互联网更新换代太快,标准先行、监管滞后是完全可以理解的事情。正因为有了标准,才给了立法一个很好的契机与起点。”董律师谈到,监管需要一步步的进行改进,“比如监管由谁进行?预算怎么定?这些都需要细细讨论。”
以下是报道原文全文:
《移动互联网应用个人信息国标草案:不准乱索要用户隐私》
近日,国家互联网信息办公室公布《信息安全技术 移动互联网应用(App)收集个人信息基本规范》(草案),并向全社会征求意见。《草案》中明确规定,App不得收集与所提供的服务无关的个人信息。对外共享、转让个人信息前,App应事先征得用户明示同意。App应对其使用的第三方代码、插件的个人信息收集行为负责。《草案》更对21种常用APP类型可收集的“最少信息”进行了界定。这也被看作是移动互联网应用一项国家标准的出台。相信在不久的将来,移动互联网个人信息的保护将步入正轨。
1
APP不应收集“最少信息”外的无关信息
今年2月,一则京东金融App涉嫌获取用户的敏感图片并上传的新闻一度将APP是否过度收集用户隐私的话题推上风口浪尖,7月底,铁路官方APP“铁路12306”也被曝出不同意获取个人信息就“闪退”的新闻。是否同意移动互联网应用的隐私条款,是否同意移动互联网应用搜集你的部分个人信息,成为不少移动互联网应用是否可以被用户使用的先决条件。
铁路12306收集用户个人信息截图
为落实《网络安全法》对个人信息保护的相关要求,加快相应标准化工作,国家互联网信息办公室8日公布了《信息安全技术 移动互联网应用(App)收集个人信息基本规范(草案)》(以下简称《草案》)。红星新闻记者查阅《草案》发现,不少用户日常会遇见的头痛问题,草案中都进行了明确界定,可谓树立了行业标准。
《草案》规定,App运营者应保障用户个人信息安全,当用户同意App收集某服务类型的最少信息时,App不得因用户拒绝提供最少信息之外的个人信息而拒绝提供该类型服务,App也不得收集与所提供的服务无关的个人信息。《草案》更明确规定了21种常用APP类型可收集的“最少信息”,也指出当收集的个人信息超出服务类型的“最少信息”时,超出部分的个人信息,App应逐项征得用户明示同意。
21种常见APP类型中,网络约车、网络支付、交通票务、金融借贷、房屋租售、二手车交易等APP类型明确可收集的最少信息包括个人身份信息。即时通讯、博客论坛、新闻资讯、短视频等类别仅对公众账号信息发布服务使用者收集个人身份信息,问诊挂号类则仅对患者收集身份信息。
根据《草案》,浏览器、输入法、安全管理这三类APP可收集的最少信息只有网络日志一项。
《草案》还规定,当用户退出某服务类型后,App应终止该服务类型收集个人信息的活动,并对仅用于该服务的个人信息进行删除或匿名化处理。
此外,《草案》中明确,App应对其使用的第三方代码、插件的个人信息收集行为负责。第三方代码、插件收集个人信息视同App收集,App应防止第三方代码、插件收集无关的个人信息。
1
实测:APP确仍存在收集个人无关信息现象
今年5月,App专项治理工作组发布《百款常用App申请收集使用个人信息权限列表》,其中显示在10大类26项个人信息相关权限中,平均每个App申请收集数目达10项。按《草案》规定的21种常见APP应收集“最少信息”来看,目前的APP收集个人信息权限申请是远远不合格的。
以常用的地图导航一项类别来看,《草案》规定只能收集用户的网络日志和精准定位信息。但据《百款常用App申请收集使用个人信息权限列表》显示,百度地图申请收集了包括修改或查看拨号、拍摄、读取通讯录、录音、读取电话状态等10项个人信息相关权限,其中用户不同意开启,则App无法安装或运行的权限数达2项。另外一款高德地图也申请收集了包括拍摄、录音、读取电话状态等8项个人信息相关权限,其中用户不同意开启,则App无法安装或运行的权限数更高达5项。
记者下载了属于浏览器类别的UC浏览器,按《草案》规定该APP可收集的“最少信息”只有网络日志这一项。下载后,UC浏览器随即要求访问记者的位置,但选择不允许后仍可正常使用。7月底刚因过度收集用户个人信息而被舆论关注的“铁路12306”仍要求获取记者包括定位、相机、相册、推送权限等一系列权限。记者点击不同意选项,APP随即闪退。对此“铁路12306”在请求收集个人信息页显示,其申请相机权限是为了“方便使用扫描车票二维码等功能”,申请相册权限是为了“方便保存、分享列车信息等功能”,申请定位是为了“方便在‘最近常用’车站中自动增加当前所在城市的车站等功能。”
1
相关专家:标准符合市场趋势,监管会有一定滞后性
据全国信息安全标准化技术委员会公告显示,《草案》现面向社会公开征求意见,意见征集结束日期将在于2019年8月31日24:00前。《草案》是否具有指导意义?能否从根本上解决移动互联网应用过度收集用户个人信息,从而保护用户的隐私安全呢?记者采访了网经社电子商务研究中心特约研究员、合规监管专家董毅智律师,董律师用“难、严、细、好”四个字概括了他对此次《草案》公布的看法,“《草案》的公布在意料之中,因为长期以来大众都呼吁对移动互联网信息安全进行市场监管,但实施起来可能比想象中更困难。”董律师表示,现在移动互联网涉及的广度、深度越来越大,涉及的领域、行业也越来越多,“每个行业都有自己的规则,要统一标准也需要协调每一个行业每一个领域的具体需求,所以这也是相关监管进展缓慢的原因。”
董律师称,从全球移动互联网的趋势上看,对移动互联网的监管也是越来越严了,“你会发现现在移动互联网的隐私安全已经不仅仅局限于个人安全,甚至与国家安全也联系在了一起,所以这次《草案》的公布是符合全球的趋势的。”但董律师也谈到,目前公布的草案只是一个基本的规范标准,并不涉及到立法层面,如何处罚、怎么处罚是需要深入挖掘的。
“总的来说,《草案》公布是一个非常好的事情,因为互联网更新换代太快,标准先行、监管滞后是完全可以理解的事情。正因为有了标准,才给了立法一个很好的契机与起点。”董律师谈到,监管需要一步步的进行改进,“比如监管由谁进行?预算怎么定?这些都需要细细讨论。”(来源:红星新闻 文/陈成)
领取专属 10元无门槛券
私享最新 技术干货