《个人信息安全规范》解析
↑ 点击上方“安全狗”关注我们
在各种APP满天飞的时代,各位小伙伴对这种对话框应该很熟悉吧
基本上这个“协议”里面会要求用户提供大量的隐私权限,并且收集来的数据完全属于服务商,解释权也属于服务商,不然APP不给你用。
连权威媒体都看不下去了
虽然确实不少服务商是守规矩有信用的,但架不住市场鱼龙混杂,不讲规矩、不守信用的公司仍然是存在的,他们利用各种手段获取了用户的隐私权限,并且使用过程中对用户的信息安全保护极其欠缺,因此信息外泄的事故时有发生(有时候仅仅只是愚蠢的错误,而不是遭受了恶意攻击所致)。
作为普通用户,真的只能任人宰割,听天由命了吗?
当然不是!
就在5月1日,《信息安全技术个人信息安全规范》正式实施,里面对这些情形有明确和详细的规定,据起草者介绍,这部国家标准适用于规范各类组织个人信息处理活动,且提出了明确的安全要求。
这部规定主要的意义在哪几方面呢?
什么叫“个人信息”有说法了
在狗哥看来,这部《规定》最大的意义,是明确提出了“个人信息”的内涵,并从中提炼出“个人敏感信息”的范畴,尤其是后者,一旦泄露可能会导致受害者各种权益的损失,因此平台使用个人信息时应消除明确身份指向性,避免精确定位到特定个人。
个人信息
如果从信息本身可识别和关联到特定个人的,即为个人信息,如姓名、电话号码、身份证、通话记录等。
个人敏感信息
一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等个人信息。
用户不给,你不能抢
根据《规范》的要求,个人信息控制者开展个人信息处理活动,应遵守包括权责一致、目的明确、选择同意、最少够用、公开透明、确保安全等基本原则。
这里面值得一提的是这个“最少够用”原则,《规定》是这么解释的:
企业不得过多收集与产品业务功能无关的用户个人信息类型和数量,且需明示和公开个人信息处理目的、方式、范围、规则等,同时征求用户的同意。
在具体操作中,《规范》建议首先区分核心功能和附加功能,如果收集的是核心业务功能所必需的个人敏感信息,平台应明确告知你拒绝提供或同意将带来的影响,并允许你作出自主选择;而涉及到附加功能所需收集的个人敏感信息,除需上述规定外,在你提出拒绝后,平台不应以此为理由暂停核心业务功能,并应保障相应的服务质量。
对于一款社交类APP而言,聊天沟通交流是它的核心功能,购物则是非核心的附加功能,两者对用户来说所需要提供的个人敏感信息的程度是不一样的。假如平台因为你拒绝提供购物所需的信息(比如银行卡等信息)而不让你继续使用聊天功能,那么
平台是不能这么做的,你仍然可以要求正常使用这个应用的核心功能。
跟说好的不一样,要重新授权
随着平台业务的发展,可能会开发出新的应用,这个过程会涉及到新的用户信息授权,虽然用户之前同意提供了一部分信息,不代表用户会同意将以往的信息用于新的功能,更不代表用户会同意为了新功能提供更多的信息权限。
所以按照《规定的要求》
除目的所必需外,使用个人信息时应消除明确身份指向性,避免精确定位到特定个人。此外,使用个人信息时,不得超出与收集个人信息时所声称的目的具有直接或合理关联的范围。因业务需要,确需超出上述范围使用个人信息的,应再次征得个人信息主体明示同意。
而针对数据共享问题,《规范》指出
个人信息原则上不得共享、转让。个人信息控制者确需共享、转让时,应充分重视风险,并遵守相应的要求。
今年Facebook曝出的数据泄漏事件正是如此,不评价里面涉及到的各种政治因素,单就在用户不知情的情况下,Facebook将数千万用户包括住址、年龄、工作经历、喜好等等极其详尽的信息,提供给一家第三方数据分析公司使用这一点来说,Facebook作为数据的收集方和管理方,用户信息保护的方面做得不好,让第三方“滥用”了数据。对于很多企业来说,这个丑闻随时有可能发生在自己身上,所以还是应当引以为戒的。
当然,《规定》里的条款还很多,这是狗哥觉得比较重要的几点,对于用户来说,最重要的是形成保护自己个人信息的意识,如果不了解自己数据被收集和使用的基本情况,怎么能保护好自己的权益呢?
往期精彩文章:
一定要读的深度解析:从本届RSA大会看国外云安全产品发展趋势