ice 近年来,APP默认勾选协议、大量收集用户隐私权限、不当与第三方共享而导致信息外泄的现象,时有发生。互联网时代,作为被迫用部分隐私交换便利的用户,你该如何保护个人信息安全? 当企业收集你信息时,需要如何告知及征得你同意?如果涉及到与第三方共享数据,又该向你做出怎样的确认?
上述问题在5月1日起正式实施的《信息安全技术个人信息安全规范》,均有详细的规定。这部国家标准适用于规范各类组织个人信息处理活动,且提出了明确的安全要求。规范在内容上仅用了不到100个条款,就将个人信息保护最有效的措施简洁明了地表达出来了,易于企业和用户理解吸收。
打破“一揽子”授权,实施功能区分
规范要求,个人信息控制者开展信息处理活动,应遵守包括选择同意、最少够用和公开透明等六大基本原则。具体而言,企业不得过多收集与产品业务功能无关的用户信息类型和数量,且需明示和公开个人隐私信息处理目的、方式、范围、规则等,同时征求用户授权同意,并接受外部监督。规范首次对个人信息和个人敏感信息进行了区分。如果从信息本身可识别和关联到特定个人的,即为个人信息,如姓名、电话号码、身份证、通话记录等。
使用时超出所声称目的,需重新授权
当平台收集了信息后,在使用和处理环节中,又有哪些细节需要告知用户的?
根据规范要求,除目的所必需外,使用个人信息时应消除明确身份指向性,避免精确定位到特定个人。此外,不得超出与收集信息时所声称的目的具有直接或合理关联的范围。因业务需要,确需超出上述范围使用信息的,应再次征得个人信息主体明示同意。
对账户注销进行了强调
除了强调用户在上述处理活动中的权利外,规范还指出,用户还享有访问、更正、删除、撤回同意、获取信息副本、注销账户的权利。规范提及,通过注册账户提供服务的个人信息控制者,应向用户提供注销账户的方法,且该方法应简便易操作。同时要求,用户注销账户后,平台应删除其个人信息或做匿名化处理。
对于删除的界定,规范规定,“在实现日常业务功能所涉及的系统中去除个人信息的行为,使其保持不可被检索、访问的状态”。也就是说,根据规范要求,平台应充分保证用户注销的权利。
