當前位置:資訊 > 正文

金融借貸類不可強制讀取通訊錄

2019-06-11 10:56:16  來源:南方都市報(深圳)

《規范》清晰界定了地圖導航、網絡支付等16類基本業務功能相關的必要信息范圍。南都記者段奇攝

6月1日,全國信息安全標準化技術委員會發布《網絡安全實踐指南———移動互聯網應用基本業務功能必要信息規范》(下稱《規范》),App超范圍收集、強制授權、過度索權等個人信息安全問題有望得到進一步規范。

《規范》針對16類常用的基本業務功能界定了必要信息的范圍,比如金融借貸類功能不能強制讀取通訊錄,設備信息只能用于安全目的等。

有專家向南都記者表示,《規范》提供了一個共識基礎,有利于提高判定必要信息的效率;如果A pp需要超出必要性范疇收集信息,必須有充分的理由,并且允許用戶自主選擇同意。

對象:

導航、社交等16類基本業務功能

據悉,《規范》依據《中華人民共和國網絡安全法》中的相關要求,以及相關國家標準提出的個人信息最少夠用原則,針對用戶數量大、社會關注度高的A pp的基本業務功能,明確界定了保障其正常運行所需收集的個人信息,為其收集個人信息提供實踐指引。

中國信息安全研究院副院長左曉棟對南都記者表示,《規范》首次對網安法提出的“合法、正當、必要”原則中的“必要原則”給出具體界定,對推動網安法的實施有積極意義。

其中,基本業務功能是指滿足個人信息主體選擇使用App的最主要需求和根本期待的業務或功能。《規范》清晰界定了地圖導航、網絡約車、即時通訊社交、社區社交、網絡支付、新聞資訊、網上購物、短視頻、快遞配送、餐飲外賣、交通票務、婚戀相親、求職招聘、金融借貸、房產交易、汽車交易等16類基本業務功能相關的必要信息范圍。

“以前在判定什么是必要信息時,通常只能‘一事一議’,效率比較低。現在有了《規范》之后,大家相對來說能形成比較一致的觀點,在這個基礎上再去討論,會變得更加方便一點。”談及《規范》的意義,中國電子技術標準化研究院信息安全研究中心審查部總監何延哲說。

南都記者注意到,《規范》有多處定義與《信息安全技術個人信息安全規范》修訂草案保持了一致,比如個人信息收集原則、對基本業務功能的定義等等。

“《規范》確實是在個人信息安全規范的基礎上編寫的,但它更為具體”,何延哲提到,《規范》針對的是每一類基本業務功能,根據它們的特點制定的必要信息。

近日,中央網信辦、公安部等陸續發布了一系列個人信息保護、數據安全相關的政策法規,《規范》的法律效力應該如何理解?

浙江墾丁律師事務所聯合創始人麻策表示,《規范》在性質上屬于技術文件,不屬于國家標準,企業可以不必完全依樣遵守執行。但若有企業收集使用了超出《規范》所列的必要信息,應當有更充分的理由進行說明,否則容易被認為超出必要性范疇,帶來監管執法風險。

除安全目的外,

不得強制收集設備信息

《規范》指出,必要信息主要包括基本業務功能相關必要信息和通用功能相關必要信息:

基本業務功能相關必要信息,是與基本業務功能直接關聯,一旦缺少會導致基本業務功能無法實現或無法正常運行的個人信息;

通用功能相關必要信息,是相關法律法規要求、保障移動互聯網應用安全風險管控所必需的個人信息。

以新聞資訊類為例。由于該業務功能以提供新聞資訊瀏覽為主要目的,其基本業務功能必要信息僅有兩大項:關注的賬號,以及自媒體用戶信息。前者用于向用戶展示和推送關注的賬號發布的新聞資訊,后者用于滿足實名認證要求,基本不涉及用戶的個人信息。

然而,在傳統新聞資訊類A pp之外,也存在像今日頭條這種以個性化推薦為核心業務模式的A pp,需要收集用戶的瀏覽操作記錄向用戶推送可能感興趣的內容。

對此,《規范》指出:瀏覽、搜索、點擊等操作記錄通常是非必要信息,需要收集時告知用戶并征得其同意;保存和使用個人上網記錄時,應對個人信息進行去標識化處理。

針對定向推送需求,《規范》進一步要求,如果用戶拒絕,App應提供讓其退出定向推送模式的渠道。

此外,南都記者還注意到,《規范》在通用功能相關必要信息中明確,設備信息(包括唯一設備識別碼、硬件序列號)僅適用于“具有安全風控需求的業務功能”,應對反作弊、反欺詐、違法不良信息管控等安全風險。但事實上,大多數App都在隱私政策中聲稱需要收集設備識別碼。

何延哲說,收集設備信息的確是一個普遍現象。“現在還有很多企業,說是為了安全風控,但是用的過程中可不一定”,他指出,《規范》的這條要求意味著要是A pp強制收集設備信息,就超出了必要信息的范圍,除非是出于安全目的;如果變更使用目的,需要再次征得用戶同意。

左曉棟也強調,太多的A pp試圖獲得唯一設備識別碼,一定會出現將“安全風控”擴大化的情況,“這一點應當引起警惕”。

專家說法

超出必要性范疇,收集信息須有充分理由

近年來,因在金融借貸類App上欠錢不還,導致家人朋友被瘋狂催債的案例屢見不鮮。讀取通訊錄似乎已經成為此類App的“標配”,但其合規性往往飽受質疑。對此,《規范》首次明確,不應強制讀取用戶的通訊錄。

根據《規范》要求,金融借貸基本業務功能必要信息有手機號碼、賬號信息、身份信息、銀行賬戶信息、個人征信信息、緊急聯系人信息、借貸交易記錄等七項。其中“緊急聯系人信息”僅限兩人,用于逾期不還情況下進行催款,且應允許手動輸入,而非強制讀取通訊錄。

針對這一要求,麻策解釋說,在金融類業務場景中,基于還款催收等核心業務功能,App可以直接向借款人催收,而基于貸款業務場景中失信人慣于“玩消失”的行業特色,允許A pp適當通過其他聯系人了解情況也是符合行業習慣的。

但他強調,借款人通訊錄中的其他所有用戶,除非基于擔保等法定情形,并無接收任何催收信息的義務,故強制讀取通訊錄的做法不符合最小化收集的原則,此類催收不被法律所允許。

如果確實需要超出必要信息范疇收集個人信息,企業怎樣做才算合規?

“不論是否為核心業務功能,App都只能收集業務功能所必要的用戶信息。”麻策分析說,當某項業務屬于App的核心功能時,用戶若拒絕提供必要信息,App可以拒絕向用戶提供服務(例如強制退出);非核心業務功能收集個人信息時,用戶有權拒絕其收集但仍可正常使用核心業務功能。

他舉例說,用戶拒絕向地圖類App提供地理位置信息時,App可以直接拒絕提供導航服務,但App中若有用戶評論這一擴展功能,App就不能因為用戶拒絕提供評論相關的個人信息而拒絕提供導航服務這一核心功能。

何延哲也表示,不是說App完全不能超出必要性范疇收集信息,但是必須得有充分的理由,或者額外的規定,比如國家的法律法規或行業管理要求等等,并且允許用戶自主選擇同意。

推薦閱讀

00后為什么鐘愛QQ

QQ的審美仿佛還停留在十年前。關于QQ最令人討厭的地方,知乎里最簡短的回答獲得了最多的贊同。過去幾年,QQ似乎遇到了前所未有的挑戰,一面 【詳細】

NASA曾想讓囚犯成首批宇航員

宇航員是個讓人既羨慕又敬佩的職業,許多人都夢想著成為這樣的太空英雄。然而在50多年前,當美國宇航局(NASA)挑選第一批宇航員時,卻擔心沒 【詳細】

跟谷歌合作談判4個月 庫克每天4點上班

蘋果公司元法律總顧問休厄爾在退休之后接受媒體專訪6月11日上午消息,蘋果公司原高級副總裁兼法律總顧問布魯斯-休厄爾(Bruce Sewell)近期 【詳細】

特斯拉的雇主形象變差 評分不及平均值

北京時間6月11日凌晨消息,特斯拉公司在兩個知名就業網站上的排名有所下降,這表明在這家電動汽車公司裁減員工、轉變戰略和高管更替的背景 【詳細】

百度要求多家醫療平臺簽署獨家合作協議事情曝光

近日,百度要求多家醫療平臺簽署獨家合作協議事情曝光。根據獨家合作協議,醫療健康內容生產方將其內容通過百度的醫療權威資源平臺提交后, 【詳細】



科技新聞網版權
决战世界杯援彩金 梦幻诛仙2灯谜攻略 绝地求生官网推荐配置 中彩网3d洞庭湖水 广东快乐十分开奖时间 英雄联盟外挂 三国杀袁术 上海到纽卡斯尔机票多少钱 pk10牛牛计划 巴登娱乐城代理加盟 白小姐一码中特网站 qq杭州麻将 没财神 秒速时时彩最精准人工计划 双色球137期开奖结果 体彩p3专家预测号码 西甲助攻榜最新排名 网易彩票网官