个人信息安全规范国标将引导企业自律. 2018-02-01
记者从全国信息安全标准化技术委员会获悉,由该委员会制定和归口管理的个人信息保护国家标准《信息安全技术个人信息安全规范》(G B /T35273-2017)于日前正式发布,内容涵盖个人信息的收集、保存、使用、共享转让以及安全事件处置等方方面面。该《规范》将于2018年5月1日开始实施。
近年来,因APP默认勾选、第三方数据采集等问题引发的纠纷频出,个人信息保护的议题被高密度置于公共视野中。大数据时代,消费者该怎样保护自己的合法权益,怎样维护自己的隐私、切实保护好自己的个人信息?
首先,当然需要消费者提高个人信息的保护意识,其次,则必须谈到企业、商家的责任。两者相比,后者毋宁更为重要,因为即使一个消费者对个人信息安全非常敏感,发现信息泄露之后的维权意识也颇高,但就目前而言,由于面临维权成本高昂的问题,多数消费者即使遭遇了信息泄露,往往也只能息事宁人。实际上这也是虽然公民信息泄露事件频发,却鲜有个人起诉案例的原因。
要真正重视个人信息安全保护,遏制所谓公民个人信息“裸奔”的现象,从企业和商家入手显然是一个最优的路径。
但是企业和商家对此也许会倍感委屈。在大数据时代,公民不提供足够的信息会导致一些业务无法开展,也可能影响产业的进步。但究竟哪些信息是必要的;哪些信息不应该被采集;哪些又属于个人敏感信息,采集之后需要给予额外保护,如此种种,明确的定义和边界在哪里?缺乏明确的定义和边界,企业和商家要履行保护公民个人信息安全的责任,又该从何处着手?
现在,随着《信息安全技术个人信息安全规范》的出台,企业和商家的上述困惑已经迎刃而解。
据媒体报道,该《规范》被定位为中国个人信息保护工作的基础性标准文件,它从收集、保存、使用、共享、转让、公开披露等个人信息处理活动方面进行了详细规定。比如关于个人敏感信息,《规范》首次定义,是指“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息”,并由此出发,明确了企业收集此类信息时的前提和义务。
阅读这份标准,可以发现其把消费者的知情权和选择权放在一个很高的位置。无论个人信息的采集、使用还是共享,消费者都应该知道信息会用于哪些方面、可能存在哪些风险,如果关涉个人敏感信息,消费者还应该有拒绝的权利,而且不会因此失去企业所提供的基本服务,否则就不是给消费者选择而成了“霸王条款”。过去消费者常会遭遇一个纠结的场景,如果不完全满足企业关于个人信息采集的要求,则意味着失去企业的服务。但现在《规范》明确,“当个人信息主体拒绝时,可不提供相应的附加功能,但不应以此为理由停止提供核心业务功能,并应保障相应的服务质量”。
个人信息安全规范国标发布意义重大,诚如专家所言,该《规范》对个人信息保护的一些原则性规定进行了细化,突出了可操作性,使法律在这个问题上的落地成为了可能。但也有人担心,这份国标只是一份推荐性标准,如果缺乏强制力,又能在多大程度上影响企业的作为呢?
这种担心或许有一定道理,但同时也要注意到,在整个社会日益重视个人信息安全的背景下,任何一个企业对此轻忽都会付出不菲的代价。现在随着国标的正式出台,企业不再如过去那样拥有一块天然的免责挡箭牌,明智的企业会作出什么样的选择,会不会因此而逐渐学会自律,其实是不言而喻的。
即使是推荐性标准,本次规范的出台也会对行业起到良好的引导作用。同时,规范在实施过程中还会为个人信息保护提供丰富经验,假以时日,这些经验无疑都是将来个人信息保护立法的重要参考。
网腾科技:保护核心数据,捍卫网络安全!