■ 社论  

  网安法搭建了网络个人信息保护的法律框架,而今的国家标准则是“垒土砌砖”,让个人信息安全保护制度大厦愈加坚实。

  据报道,1月24日,《信息安全技术个人信息安全规范》在国家标准全文公开系统上线。该《规范》属于推荐性国家标准,去年12月29日由国家质量监督检验检疫总局和国家标准化管理委员会发布,即将于5月1日正式实施。

  在网络化背景下,这一“国家标准”的全新上线,意义并不逊于去年6月1日《网络安全法》的出台。如果说,网安法搭建了网络个人信息保护的法律框架,而今的国家标准则是“垒土砌砖”,从指标量化、技术解释的角度,让个人信息安全保护制度大厦愈加坚实。

  大数据时代,个人信息的收集、保存、使用、转让等环节,目前都存在个人信息保护不力的问题。不经意地一次浏览网页、购物支付,或是做个心理测试、回答回答问题,也许就将个人信息无意中泄露了出去。对此,《规范》均提出了严格要求,并对人们最为关注的“个人敏感”信息做出了明确界定。

  在工信部《信息安全技术公共及商用服务信息系统个人信息保护指南》中,即规定了个人一般信息与敏感信息的不同处理原则:前者可以建立在默许同意的基础上,后者则建立在明示同意的基础上,收集和利用必须获得个人信息主体明确授权。

  不过,该《规范》则进一步明确了个人敏感信息的具体概念,所谓个人敏感信息,是指“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息”。除了财产信息、健康生理信息、生物识别信息、身份信息和网络身份标识信息以外,还包括电话号码、网页浏览记录、行踪轨迹等。在国家标准层面,首次界定和例举了个人敏感信息的内涵与外延,不仅有利于平衡市场与隐私权益,也为企业、监管部门和第三方评估机构的监督、管理、评估,提供了基本依据。

  从现实情况来看,个人信息保护的失守,多源于平台过度收集用户信息等,而作为第一道“闸门”的隐私政策,也有虚置乱象。

  新上线的《规范》,对一个机构如何收集、处理个人信息作出了严格说明。比如,在收集个人敏感信息时,个人信息控制者需在收集前向个人信息主体逐一说明个人敏感信息为完成何种附加功能所必需,并允许个人信息主体逐项选择是否提供或同意自动采集个人敏感信息。当个人信息主体拒绝时,可不提供相应的附加功能,但不应以此为理由停止提供核心业务功能。

  这样的规范,首先是公开透明原则的基本体现,也大幅提升了用户知情权与选择权。更重要的是,对之前饱受诟病的第三方暗箱操作、秘密窃取个人信息用于商业交易、收集平台的“霸王条款”等方面,将起到极大的约束作用。

  网络的新时代,个人信息保护是检验文明的试金石。从网安法出台,到两高解释出炉,再到个人信息安全国标“上线”,由“抽象”到“具体”,由“主干”到“配套”,渐趋完善的法治体系,才能保证,在大数据时代,个人信息更加安全。