自5月1日起,推荐性国家标准《信息安全技术个人信息安全规范》(以下简称“《规范》”)正式生效。同时,《规范》也填补了国内个人信息保护在具体实践标准上的空白。 那么我们现有的手机App,是否符合标准呢?
1、公布第三方授权名单
在应该告知用户的内容方面,第三方授权名单的公布是重灾区。《规范》指出,在第三方通过应用获得用户个人信息后,用户可以在该应用上查找到相关第三方的身份或类型。
此外,许多条例对个人信息存储期限的表达是含糊的。大部分应用的政策提到,会在服务期间存储信息,在用户注销后删除信息,但没有给出具体的时间。
2、应用默认注册时授权不等于一直授权
值得注意的是,有些产品的政策显示,一旦注册时选择同意,就默认同意接下来的一切授权请求。《规范》指出,除少数情况外,产品的隐私政策应遵守选择同意原则,即需要获得用户的明示同意,包括注册时、共享或转让时、公司结构变化时、公开披露信息时等。总之,企业使用个人信息一旦超出所声称目的时,即需要用户重新授权。
3、获取信息副本的权利
《规范》提到,用户可以通过产品获取个人信息的副本,包括个人基本资料、身份信息、健康生理信息、教育工作信息等。同时,按照《规范》,撤回同意包括两个方面,改变授权范围和拒绝接收个性化广告。
4、隐私问题的申诉
申诉方法是各应用隐私政策中容易被忽视的一点。《规范》指出,企业应向用户提供隐私相关的申诉方法,包括时间周期、联系方式、费用相关等。
《规范》虽属于推荐性国家标准,但从2017年7月,网信办、工信部、公安部等联合开展的隐私条款专项工作主要是以《规范(征求意见稿)》为评审依据,同时近期针对个别企业的执法动向也表明,《规范》事实上作为行政执法的评审依据等等情况来看,企业应当认真看待《规范》,并参考《规范》的相关要求开展本企业相关信息安全技术的个人信息保护工作。