DPOHUB個保合規審計專業群
#目標# 個保合規審計專業人士一起共享時代紅利!風口來了,豬也能飛起來!
#願景# 建立個保合規審計平臺和渠道,法律、技術和管理等專家相互賦能。
#申請# 設定專業門檻,入群需說明個人資訊保護相關實務經驗。
請說明姓名+單位+職位+專案經驗
3月15日,中國消費者協會聯合中國網路空間安全協會等單位釋出《個人資訊超範圍收集與洩漏問題分析研究報告》。報告公佈了學術網站未經同意便收集使用者搜尋偏好、詞典不“預設勾選”便自動閃退等一系列典型案例,並建議開發“一鍵關閉許可權”“個人資訊可攜帶權”等使用者自主控制工具。
梳理情況:
資訊收集失衡過度索要許可權
報告梳理了個人資訊超範圍收集與洩漏的一系列典型問題。
有的企業和機構憑藉其技術能力,能夠輕易收集使用者的個人資訊,而普通使用者由於缺乏技術知識,難以有效阻止。技術能力的差距使得個人資訊處理者在資訊收集過程中佔據主導地位,使用者往往處於被動接受的狀態。例如,某學術平臺在使用者進行文獻檢索、下載時,未經使用者同意便收集其瀏覽記錄、搜尋偏好等資訊,使用者難以及時察覺並阻止其收集。
此外,個別網際網路應用透過過度索要許可權的方式,迫使使用者在功能使用和個人隱私之間做出妥協,進一步加劇了資訊收集的失衡。例如,去年某詞典軟體在不通知使用者的前提下,其系統自動為客戶預設勾選“已閱讀並同意服務條款和隱私政策”的選項,若使用者拒絕,系統將會自動閃退,無法正常使用。
探究原因:
企業管理缺失個人選擇權受阻
個人資訊超範圍收集和洩漏,到底是什麼原因造成的?報告提出,從企業層面來說,個人資訊超範圍收集與洩漏存在合規制度缺位與安全管理缺失兩大成因;而從個人層面來說,則受到個人判斷能力欠缺與尋求救濟困難等因素影響。
例如,相較於行政監管機關和使用者個人,個別企業近乎處於技術、資訊的絕對壟斷地位。面對行政機關,這些企業利用資訊不對稱的優勢,制定具有合法外觀的個人資訊保護合規制度以應對行政監管。面對使用者個人,個別個人資訊處理者制定的合規制度表面上似乎優先考慮個人資訊保護問題,但實際上內部操作方式仍存在向用戶隱瞞其超範圍收集個人資訊等不合規行為。另有個別企業與第三方合作缺少個人資訊保護安全管理,實踐中存在大量由合作方故意或者過失洩漏個人資訊的情況。
從個人層面來說,在現有“同意”機制下,個人資訊主體難以有效認知該軟體或平臺收集與使用的個人資訊的型別、範圍、方式,如街頭自動售賣機誘導使用者進行刷臉支付並收集無關資訊。此外,在現實中,大量的平臺與應用軟體採用“全選同意”“一次性授權”的授權方式。“預設勾選”“捆綁授權”的設計不僅進一步削弱了使用者對所收集資料與核心功能之關聯性的判斷能力,甚至在一定程度上阻礙了個人資訊主體行使知情權與選擇權。使用者往往出於使用產品或服務之需要,在不知情的情況下被迫同意超必要範圍之資訊的收集與使用。由於個人資訊權益難以進行精確的估值作價,司法實務中對因個人資訊侵權所導致的精神損失也尚無精準的計算方法,被害者難以得到相應的賠償。此外,個人資訊違法行為造成的下游損害也因網路加害行為取證難度大、身份定位難,個人即使上報公安機關也難以追蹤到“真兇”。
對策:
建議開發“一鍵關閉許可權”等功能
為了破解個人資訊超範圍收集和洩漏的難題,報告提出若干對策辦法。其中,賦予使用者對自己個人資訊的更多控制權,是個人資訊保護的重要原則之一。為此,報告建議,開發使用者自主控制工具,如“一鍵關閉許可權”“個人資訊可攜帶權”等功能,使用者可以透過簡單的操作,一鍵關閉應用程式對某些不必要許可權的訪問,或是透過“個人資訊可攜帶權”功能,將自己的個人資訊相應的途徑從原平臺轉移到新的平臺中,實現個人資訊的無縫遷移,避免在不同平臺上重複填寫資訊可能帶來的隱私洩漏風險。
本文歡迎轉發,轉發請註明作者和出處,謝謝!
如需《個人資訊超範圍收集與洩露問題分析研究報告》全文,請點選文末“閱讀原文”下載!歡迎加入會員!課程+圈子+何談
