国家网信办打算给新规矩升级一下,为了管好用好个人信息,打算把权限和账号注销这两块的事儿说清楚。现在数字经济发展得这么快,大家对个人信息保护也越来越上心,国家互联网信息办公室就结合《中华人民共和国网络安全法》和《中华人民共和国个人信息保护法》,弄出了一个征求意见稿,名字叫《互联网应用程序个人信息收集使用规定》。搞这个规定草案,说明咱们国家在把个人信息的收集、存储、使用这些全生命周期都管住,这是给现有法律框架细化和落实的重要一步。 这个草案直接瞄准了现在APP生态里大家头疼的几个点。关于用户账号这事儿,草案规定必须提供好注销功能。用户要是想注销账号,除了那些防黑产、做风控之类必须的情况外,APP不能再要人脸、手持身份证照片这些额外信息,并且最好在15个工作日内把注销手续办好,把个人信息删掉或者匿名化处理。这招就是为了治治以前注册容易注销难的老大难问题,把数字身份的控制权还给用户,体现“个人信息自决”。 在权限调用这方面也划了红线。规定APP只有在用户主动用拍照、录音这些功能的时候,才能动相机、麦克风;要是功能不用了或者不在那个场景里了,后台就不能偷偷调用。上传图片、文件啥的,最好是用系统提供的安全存储框架去搞,别直接要整个相册或者存储权限。就算是为了编辑备份拿到了存储权限,也不能乱动用户没选的文件。这些规定就是为了防止APP过度要权、乱要权。 对于生物识别信息这类敏感的东西,草案定了个“目的特定、必要充分、影响最小、严格保护”的原则。不管是刷脸支付还是指纹解锁,收人脸、指纹这些信息都要有非常明确的特定目的和充分的必要理由,还要用最高级别的保护措施来守着。 除了这些还有操作系统层面的协同责任。智能终端在APP要日历、通讯录或者位置这些权限的时候,必须通过系统弹窗让用户明确同意,并且得让用户能按时间、频率、精度来选怎么授权。屏幕上还得用大图标实时告诉用户麦克风、摄像头、位置现在正在不正在被用。 这次征求意见稿出来有好几层意思:一是把《个人信息保护法》那些原则性的东西变成具体能执行、能检查的规矩;二是直接对着现在移动互联网治理中的痛点下狠手,精准打击违规收集和过度索权;三是给守法企业指路也给执法部门提供依据;四是明确了操作系统厂商也得担起责任。 这东西公布了以后就是我国推进网络空间法治化的又一个重要成果了。它是个问题导向的办法,以保护权益为核心,想在数据用好和保护安全之间找个平衡。现在的征求意见过程也是个凝聚共识、提升规则科学性的环节。等正式实施了肯定能把APP处理个人信息的规矩管好不少。 国家网信办后面还会跟有关部门一起弄好配套制度和监管执法的事儿。