新规:App不能强迫个人同意收集信息
网络运营者不能默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息。
5月28日凌晨,《数据安全管理办法(征求意见稿)》由国家互联网信息办公室发布。随着数字经济的发展,数据的收集、处理与使用,在为用户带来便利和数字经济繁荣的同时,个人隐私泄露与数据滥用也成为很多人担忧的隐患。征求意见稿重点明确了网络运营者收集个人信息、数据收集处理应用的细则,这也是目前个人和网络运营者最关注的领域。
不得以改善服务为由强迫收集信息
在收集个人信息方面,征求意见稿称,网络运营者不得以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息。
文件还提到,个人信息主体同意收集保证网络产品核心业务功能运行的个人信息后,网络运营者应当向个人信息主体提供核心业务功能服务,不得因个人信息主体拒绝或者撤销同意收集上述信息以外的其他信息,而拒绝提供核心业务功能服务。
个人用户在使用App时会发现,使用前一般会被要求点击同意App收集相关个人信息,一般来说,个人不点击同意收集信息的话,个人自然也无法获取相关App应用服务。比较有代表性的企业界观点是百度董事长兼首席执行官李彦宏。他曾表示,中国的消费者在隐私保护的前提下,很多时候是愿意以一定的个人数据授权使用,去换取更加便捷的服务。
广东省公安厅最新消息,2019年一季度,广东警方共监测发现1670余款App存在超范围收集用户信息行为。其中WiFi万能钥匙、钱聚易等10款App问题突出,特别是WiFi万能钥匙问题最多,共超范围收集了7类信息。其中,WiFi万能钥匙(4.3.56版本)存在读取用户短信或彩信、联系人,收集用户设备上已知账号,使用用户设备摄像头或麦克风等问题。
在5月25日的数博会上,北京市信息资源管理中心副主任穆勇在接受采访时表示,目前中国消费者、信息服务企业乃至一些政府部门的工作人员,个人数据保护法律规则意识还有待加强。消费者个人数据被卷入“商业链”后,数据的去向、范围和被开发使用的深度往往是不可控的,与消费者从商业机构直接获取的便利相比,也是不等价的。
按照征求意见稿,“不得因个人信息主体拒绝或者撤销同意收集上述信息以外的其他信息,而拒绝提供核心业务功能服务”,或对App等收集个人信息方面起到规范作用。
不得因是否同意收集信息歧视用户征求意见稿还提到,网络运营者不得依据个人信息主体是否授权收集个人信息及授权范围,对个人信息主体采取歧视行为,包括服务质量、价格差异等。
对于上述征求意见稿,5月28日早上,接受21世纪经济报道记者采访的一位专家解读,上述文件在对个人信息保护方面的规范上有所进步,部分解决知情同意问题,消费者的选择权与应用的决定权及权益维护体现不够,处罚条款不清晰力度还不够。
目前颇具代表性的数据保护条例是2018年5月25日开始实施的欧洲通用数据保护条例(The General Data Protection Regulation,简称GDPR),被认为最严格的网络数据管理法规。
条例规定,对未采取技术或管理措施来避免、降低隐私侵权损害风险的互联网公司,最高可罚款1000万欧元或全球营业额的2%(以较高者为准);对违反个人信息收集和使用基本原则以及没有保障数据主体权利的互联网公司,最高可罚款2000万欧元或全球营业额的4%(以较高者为准)。