网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


和精准推荐说拜拜!《个人信息保护法》11月1日实施

2021-09-08 16:45 推荐: 浏览: 17 字号:

摘要: 30秒快读 1.《个人信息保护法》11月1日起实施,不同意隐私协议App就不能用,授权个人信息后只能注销账号才能撤回授权,这些情况都将面临整改。 2.《IT时报》记者随机选择了包括短视频、金融、旅游、出行等在内的数十款App测试,几乎都是需先同...

30秒快读

1.《个人信息保护法》11月1日起实施,不同意隐私协议App就不能用,授权个人信息后只能注销账号才能撤回授权,这些情况都将面临整改。

2.《IT时报》记者随机选择了包括短视频、金融、旅游、出行等在内的数十款App测试,几乎都是需先同意隐私政策,才能继续下一步操作。

3.专家呼吁:有“一键登录”就该有“一键撤回”。

被互联网“脱下”的个人信息外衣,将由法律重新穿上。

8月20日,酝酿多年的《个人信息保护法》被正式表决通过,并将于11月1日正式实施。这是我国首部个人信息保护领域的专门立法,自此,大数据、算法等技术将被关在“笼子”里,“大数据杀熟”等以科技、便捷为名对个人信息的侵害,将受到法律的严格监管。

《个人信息保护法》中,“取得个人的同意”是个人信息处理者可处理个人信息的首要条件,但如何定义“同意”?“不同意授权个人信息”是否还能正常使用App?“一键撤销”能否和“一键登录”同样便利?《IT时报》记者请专业人士一一解读。

01 调查:不同意隐私协议,App能用吗?

每个人都有这样的经历,新注册一个App时,第一步要同意其服务协议以及隐私政策协议,如果不同意,意味着无法使用这些App,鲜有App在“被拒”的情况下继续提供服务。

“如果我只想在某个购物App上浏览一下商品,不购买,我能不同意它的隐私政策吗?”黄小姐向《IT时报》记者表示。

《IT时报》记者随机选择了包括短视频、金融、旅游、出行等在内的数十款App测试,几乎都是需先同意隐私政策,才能继续下一步操作。比如OTA平台游侠客,打开之后页面呈现的是服务协议和隐私政策,如果选择“暂不使用”,就退出了App;同样,西瓜视频的操作也是如此,在拒绝同意其服务协议和隐私政策后,页面提示“你需要同意个人信息保护指引后才能继续使用,如不同意该指引,我们将无法为你提供服务”。不过,记者在未登录什么值得买的情况下,依然可以正常浏览其内容。

法条:不得以不同意拒绝提供服务

《个人信息保护法》第十六条规定,个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务,处理个人信息属于提供产品或者服务所必需的除外。

解读:隐私政策应更具针对性

北大光华博士后田力告诉《IT时报》记者,App在为用户提供服务时,基于应用场景需要,的确有必要获取一些个人信息以提供服务。但实际情况是很多App都存在过度收集“非必要”信息,违背了法律要求的“最少原则”。

“当前,绝大部分App无论属于哪个领域,其隐私政策文本内容趋同,没有体现出该领域数据获取和使用的特殊性和针对性。”田力表示。

正如田力所说,大多数App的隐私政策内容趋同,包括个人身份信息、地址位置、通讯录、相册、摄像头等,但这些用户信息真的是App所必需的吗?

记者发现,一些网购类App要求获取用户的日历权限,理由是为了方便用户了解促销信息,但在业内人士看来,相应的功能完全可以通过后台推送来实现,而且大多数用户会使用日历功能记录工作和个人日常安排等内容,很有可能涉及个人信息、商业机密的内容

“同意并不意味着无限授权,同意仅仅是为了App某项功能的使用,如果要进一步处理个人信息必须经过用户同意。”北京市京师(上海)律师事务所合伙人徐延轩向《IT时报》记者表示,如果信息属于提供产品或服务必须的,用户拒绝提供可能导致功能无法使用,比如打车软件中的位置信息,一旦拒绝就没法提供服务,这种拒绝是不违法的

田力建议,App应该根据自己所提供的应用场景和所处领域的特征,定制和完善隐私政策,严格遵守“必要”和“最少”原则。

5月1日,国家互联网信息办公室、工业和信息化部等四部门联合发布的《常见类型移动互联网应用程序必要个人信息范围规定》正式实施,明确对39类App划定了必要个人信息范围,消费者可以将这个规定和《个人信息保护法》对照查询,判断App是否涉嫌过度获取索权。

02 调查:授权可以撤回吗?

消费者还会经常遇到这样的情况,一旦授权给某个App某项权利,就意味着永久授权。如果想撤销授权,很难在App里找到撤回按钮,有的App更是在隐私政策中说明,只有注销账号才会撤销授权。也正因此,一旦授权大门打开,App就毫无禁忌。

记者查询了多个App的隐私协议,大多表示,如果想要撤回授权或者删除个人信息,可以通过主动注销账户的方式,撤回其继续收集个人信息的全部授权,同时也说明,注销账户之后,将停止提供产品或服务。

但对消费者来说,这又回到前文第一个问题:如果不同意个人隐私协议,是否可以使用App,而且与注册时,只要勾选一下便可“一键登录”的便捷相比,撤销授权要按照指定的路径联系App客服,而且时间需要15个工作日甚至更长。

改变授权同意的范围,则相对比较简单。比如想要撤回原先授权的查看图片、定位等功能,可以在手机设置中直接关闭,并不影响其他功能使用。

法条:应当提供便捷的撤回同意方式

《个人信息保护法》第十五条规定:基于个人同意处理个人信息的,个人有权撤回其同意,个人信息处理者应当提供便捷的撤回同意的方式。个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。

解读:有“一键登录”就应该有“一键撤回”

在田力看来,App对于用户某一次特定服务下授权的个人信息获取或共享,应当提供撤销授权的方式,避免出现“一次授权、终身使用”现象。

早在2017年,微信、淘宝网、京东商城等上线了便利的在线“一站式”撤回和关闭授权、在线访问、更正、删除其个人信息、在线注销账户等功能。

App应该在显著位置以简单快捷的方式,让用户点击即可取消授权,改造其客户端的界面展示,设置明显、有效、操作友好的操作路径,供用户随时撤销其授权,比如有‘一键登录’就应该有‘一键撤回’。而且,‘一键撤回’并不意味着用户得注销账户或者限制使用。” 徐延轩告诉《IT时报》记者,如果注销账号才能撤回授权,明显与《个人信息保护法》规定的便捷撤回同意相违背,如果撤回的授权不是提供产品或服务功能所必需的,App应该继续为用户提供服务。

田力建议,可借鉴Facebook的隐私政策,当用户连续三个月或六个月未使用该App时,主动删除用户个人信息

不过,当用户撤回授权时,对于某些行业,意味着需要进一步加强风控能力。比如在互联网金融行业,贷中、贷后阶段,用户撤销同意后,App无法继续使用、处理借款人的个人信息,已发放的贷款有违约风险,需要App在产品设计时有更多考量。

03 调查:大型互联网公司内部App之间能信息共享吗?

为什么有的App那么了解你,因为除了你授权给它之外,还有其他渠道获取你的信息。

手机越来越“懂”你。刚说了想吃新疆菜,外卖App的首页里就神奇地出现了新疆菜的推荐;刚说了要买除螨仪,电商App里就出现了除螨仪广告。更加吊诡的是,当你打开手机设置,想要关闭某些App的麦克风权限时,却赫然发现这个App根本没有这一权限。

本报曾连续报道“手机窃听术”,为何两人聊天谈及的内容,一会变成手机App里推荐的商品?在本报《原来,手机是这样“窃听”你的!》报道中解释,互联网上留下用户使用痕迹和浏览记录变成了用户的“浏览器指纹”,而公开的潜规则是,不同互联网公司之间会通过某种方式共享这些“指纹”,尤其随着“生态说”兴起,大型互联网公司旗下的App之间都在互通有无。

一位安全专家明确向记者表示,经过多次实验验证,如果给某App授权了麦克风权限,那么它会将用于个人画像的信息和敏感词,在同体系里共享。这在一定程度上解释了为何有些没有被授权麦克风的App,却能知道用户在想什么

法条:授权其他App使用个人信息,必须明确告知用户

《个人信息保护法》第二十二条、二十三条规定,个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。接收方变更原先处理目的、处理方式的,应当依照本法规定重新取得个人同意。第二十三条规定,个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。

解读:如发现被收集的信息被滥用,可投诉举报

田力告诉《IT时报》记者,App如果要向其他第三方共享用户信息,应当在每次共享前都征得用户同意。

和这种情况相似的是,当App的运营主体变更后,原先用户授权的个人信息该如何处理?

根据“如果因合并、分立、解散、宣告破产等原因需要转让个人信息,接收方不需要再取得个人同意,但如果改变了原来的处理目的、处理方式,就需要重新取得用户同意,接收方继续承担信息的安全保护义务,不得非法买卖、转让以及匿名化处理。”徐延轩解释说。

7月2日,“滴滴出行”被实施网络安全审查,原因是其存在严重违法违规收集使用个人信息问题,对此,有网友评论,如果自己的信息已经被拿走了,如何再拿回来?

对此,徐延轩认为,用户有权向履行个人信息保护职责的部门进行投诉、举报,“目前主要的监管部门有网信办、工业部、公安部等。”

当然数据毕竟属于“边际成本递减性”资源,复制和分享成本低,之前已经被收集和使用的信息,即便违反《个人信息保护法》,用户也很难发现。不过,有专家表示,一旦发生确定性泄露事件,《个人信息保护法》明确规定个人信息处理者的义务规则,要求其立即采取补救措施,并且面向履行个人信息保护职责的部门和个人通知个人信息泄露的原因、丢失的个人信息种类和可能造成的危害、已采取的补救措施以及个人可以采取的减轻危害的措施等重要事项。

作者/IT时报记者 潘少颖

编辑/郝俊慧 挨踢妹

排版/季嘉颖

来源/《IT时报》公众号vittimes

联系站长租广告位!

中国首席信息安全官