南都讯在5月31日由南方都市报和中国政法大学传播法研究中心主办的“个人信息保护政策透明度报告发布会”上,中国信息安全研究院副院长左晓栋透露,为落实网络安全法中对个人信息保护的原则和要求,国家标准《个人信息安全规范》已经报批,即将出台。同时,个人信息和重要数据出境安全评估办法也已经征求意见,近期就会发布。
确立个人信息保护八原则
今日,网络安全法和最高法、最高检《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》开始实施。网络安全法共有7章共79条。其中,关于个人信息保护的主要是在第四章网络信息安全,共11条,其中有6条涉及个人信息保护。
据左晓栋介绍,这8个原则包括:责任原则,即“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度”;目的明确原则,即“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则”;最少够用原则,即“网络运营者不得收集与其提供的服务无关的个人信息”;同意和选择原则,即“(明示收集、使用信息的目的、方式和范围)并经被收集者同意”;确保安全原则,即“网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全”;质量保证原则,即“发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正”;主体参与原则,即“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息”;开放透明原则,即“明示收集、使用信息的目的、方式和范围”。
个人信息保护标准正在制定
左晓栋表示,网络安全法的规定比较原则,制定《个人信息安全规范》的国家标准就是落实网络安全法关于个人信息保护的要求,目前已经报批,近期可能就会正式发布。
北京大学互联网发展研究中心高级顾问洪延青也介绍,个人信息保护标准是一个体系,包括个人信息影响评估(PrivacyImpactAssess-ment,PIA)指南。“好比建一个大坝需要开展环境影响评价”,洪延青说,企业在做新上线业务之前对个人信息安全会有什么样的影响?企业应该在开展业务之前预估到这些风险,采取相应措施。
个人信息的去标识化指南也在个人信息保护标准体系之中。大数据的应用应该匿名、伪匿名。
此外,据洪延青介绍,在数据安全方面,另外还有四个标准正在制定中,包括大数据服务能力要求、大数据服务能力评估模型、大数据交易服务安全要求和大数据安全管理指南。
收集信息应保持合理频率
把网络安全法原则落实到具体规范,需要解释很多具体问题。比如,什么叫用户“同意”?左晓栋认为,“同意是在完全知情的基础上自愿给出的具体的、清晰明确的愿望表示”。
他举例,现在很多用户在收集个人信息时,往往都是默认同意,用户简单点击“下一步”就可以往下走。左晓栋说,在制定起草国家标准的时候,这种“默认同意”的做法都不能叫同意。“以后,默认的键应该在不同意上,用户不能够自然地往下走,至少要用户主动地去做出一个自主的选择。这是一个细节的要求。”
另外,现在很多App的做法是“一次同意,频繁收集”,如用户只同意了一次,App就可以频繁地收集用户的位置信息。为此,标准规定,收集动态性的个人信息时,应保持合理的频率,避免超出服务目的所必需。
再比如,现在的很多隐私政策都是使用用户看不懂的法律语言,冗长晦涩。左晓栋认为,隐私政策应该采用“用户可以理解的语言”,复杂的法律语言或者非本地语言都是不被接受的。
立法和规范的天平向谁倾斜?
“不管是立法还是制定标准,我们始终考虑的是天平向哪方面倾斜的问题”,左晓栋认为,在个人信息保护上,应该向公民个人倾斜,相比而言,互联网服务提供商是比较强势的。
左晓栋认为,为让天平向个人倾斜,网络安全法的要求引出了几项机制:查询机制、更正机制、删除机制、撤回同意的机制、注销账户和取消服务的机制,获取自身个人信息的机制,约束信息系统自动决策的机制。
在他看来,“删除机制、注销账户和取消服务的机制”也意味着确立了中国版的“被遗忘权”。“我们现在很多时候只要使用了服务,比如说我们上网购物,可能购物信息一辈子不删除的”。
不过,中国政法大学传播法研究中心副主任朱巍认为,个人信息保护也不是越严格越好,因为现在的互联网企业的基础就是数据,如果管太严可能没办法让数据自由流动、没办法搞大数据。
北京师范大学法学院教授、亚太网络法律研究中心主任刘德良也表示,立法规制的应该是防止和遏制个人信息被滥用,“没有滥用就没有所谓的泄露和买卖”,而不是一味追求保密。
“网络安全法里面有一条,指‘经过处理无法识别特定个人且不能复原的除外’”。即匿名化后的信息不再属于个人信息,左晓栋说,这为大数据应用留下了充分的考虑。
左晓栋表示,现在没有规范的情况下,很多服务提供者希望尽可能留下完整的个人信息,远远超出了实际需要。“这方面亟需规范的,应该鼓励更多的使用匿名化的措施,既充分保护了个人信息,也有利于大数据的应用。”
