3 月 6 日,國家市場監督管理總局、國家標準化管理委員會正式發佈《信息安全技術 個人信息安全規範》(下稱《規範》)等8項國家標準,並定於 2020 年 10 月 1 日實施。
《規範》對個人信息收集、儲存、使用做出了明確規定,並規定了個人信息主體具有查詢、更正、刪除、撤回授權、註銷賬戶、獲取個人信息副本等權力。
與 2017 年的版本 相比,這次的變化主要有三個方面:
一、增加了“多項業務功能的自主選擇”、“用戶畫像的使用限制”、“個性化展示的使用”、“基於不同業務目所收集個人信息的匯聚融合”、“第三方接入管理”、“個人信息安全工程”、“個人信息處理活動記錄”等內容。
《規範》在附錄 C 中推薦 App 區分基本業務功能和擴展業務功能:
a:應根據個人信息主體選擇、使用所提供產品或服務的根本期待和最主要的需求,劃定產品或服務的基本業務功能;
b:不應將改善服務質量、提升個人信息主體體驗、研發新產品單獨作為基本業務功能;
c:將產品或服務所提供的基本業務功能之外的其他功能,劃定為擴展業務功能。
具體如何獲得用戶同意?《規範》建議,應通過如彈窗、文字說明、填寫框、提示條、提示音等形式進行提示,並且要讓用戶主動做出肯定性的動作,比如勾選、點擊“同意”或“下一步”。
此外,擴展的業務功能,應允許個人信息主體逐項選擇同意。用戶不同意的,個人信息控制者不得反覆徵求用戶同意,除非用戶主動選擇開啟擴展功能,且不應拒絕提供基本業務功能或降低基本業務功能的服務質量。
同時,《規範》還要求,App 在提供業務功能的過程中使用個性化展示的,應顯著區分個性化展示的內容和非個性化展示的內容,比如標明“定推”字樣。同時,App 應提供不針對用戶特徵的選項。
《規範》還建議,App 向用戶提供個性化展示的,宜建立用戶對個人信息(如標籤、畫像維度)的自主控制機制,保障用戶調控個性化展示相關程度的能力。
二、修改了“徵得授權同意的例外”、“個人信息主體註銷賬戶”、“明確責任部門與人員”、“實現個人信息主體自主意願的方法”等內容。
在徵得授權同意的例外中,《規範》明確,隱私政策的主要功能為公開個人信息控制者收集、使用個人信息範圍和規則,不應將其視為根據個人信息主體要求籤訂和履行的合同。
三、針對個人生物識別信息方面的要求,進行細化並完善。
《規範》規定在收集個人生物識別信息前,應單獨向個人信息主體告知收集、使用個人生物識別信息的目的、方式和範圍,以及存儲時間等規則,並徵得個人信息主體的明示同意。
而對於生物識別信息的存儲,《規範》也提出了具體的解決措施。
第一,個人生物識別信息要與個人身份信息分開存儲;
第二,原則上不應存儲原始個人生物識別信息,可採取的措施包括但不限於: 僅存儲個人生別信息的摘要信息;在採集終端中直接使用個人生物識別信息實現身份識別、認證等功能;在使用面部識別特徵、 指紋、掌紋、虹膜等實現識別身份、認證等功能後刪除可提取個人生物識別信息的原始圖像。
附:8項正式發佈國家標準清單:
(文章整理自雷鋒網、信安標委網站)
山西網警巡查執法
網警網上巡查執法,網絡犯罪防範警示提示,網上違法行為告知警示。網上違法犯罪信息舉報網址:www.cyberpolice.cn
閱讀更多 山西網警巡查執法 的文章
