个人信息安全规范草案：用户有权拒绝个性化推送

2月1日，全国信息安全标准化技术委员会(以下简称信安标委)发布消息，面向全社会公开征求《信息安全技术 个人信息安全规范(草案)》(下称修订草案)意见。

2018年5月1日，推荐性国家标准《信息安全技术 个人信息安全规范》正式实施，从收集、保存、使用、共享、转让、公开披露等个人信息处理活动方面，填补了国内个人信息保护在具体实践标准上的空白。

隐私护卫队查阅发现，此次修订新增了“不得强迫收集个人信息的要求”、“个性化展示及退出”、“第三方接入点管理”等内容。《规范》起草组专家向隐私护卫队透露，启动修订工作是为了把这份标准制定得更完善和全面，从而更好地指导企业实践。

信安标委表示，关于标准文本的意见或建议，请各相关单位于2019年3月3日前将反馈至秘书处。(修订草案全文见《关于开展国家标准<信息安全技术>征求意见工作的通知》)

修订草案新增用户可拒绝个性化广告

你刚和朋友聊旅游，手机转眼就推送机票广告，明明只是在电商平台上搜索过某样商品，打开另一款资讯App却出现相同的广告……越来越精准的个性化推送，让不少人感到困惑。

“个性化展示是个人信息使用的常见方式，也是民众反映的热点问题。” 有专家指出，有时候精准推送变成了精准营销，让用户觉得自己的生活被别人窥探，反而起到反效果。

隐私护卫队注意到，此次修订草案不仅新增了“个性化展示”的定义，还在“个人信息使用”章节中明确了相关要求。其中第一条规定，个人信息控制者推送新闻或信息服务时，应以显著方式标明“个性化展示”等字样，并且要为个人信息主体提供简单直观的退出个性化展示模式的选项。

为什么要作出这样的规定?北京大学法治与发展研究院高级研究员洪延青告诉隐私护卫队，个人信息控制者须避免信息推送方式带来偏见等错误认知。“举个例子，不能因为用户搜索了一次飞机失事，App就一直给用户推送与飞机失事有关的新闻。这样的个性化推送会让用户觉得天天发生飞机失事，但现实并非如此。”洪延青说。

修订草案还建议，对于个性化展示所依赖的个人信息(如标签、画像维度等) ，平台应为用户提供自主控制机制，保障用户调控个性化展示相关程度的能力。特别是当用户选择退出个性化展示模式时，用户应享有删除或匿名化定向推送活动所基于的个人信息的权利。

《规范》起草组专家告诉隐私护卫队，精准推送通常以企业给用户贴上的各种标签为基础，用户应该有权更改和选择企业基于哪些标签推送。一方面用户要真心实意地同意App给自己推送，另一方面推送的内容也应该是用户想要的，而不像以前是简单粗暴、强制地推送。

“应该达到互相协商、明确同意、可选择的状态，”上述《规范》起草组专家说，“当然这个状态对企业提出了更高的要求。”

企业如何适应这一要求?以新闻资讯类App为例，该专家建议，可在个性化展示的新闻页面右上角加上“个性化推送”或“定推”字样，用户不想看可以退出。

隐私护卫队观察发现，早在去年欧盟《一般数据保护条例》生效之际，一些知名的网络产品已经上线相关的隐私功能，用户可拒绝个性化广告。

比如Twitter的“兴趣与广告数据”设置中，用户能查看并自主添加Twitter平时根据用户的行为标记出来的用户兴趣爱好等特征值。南都个人信息保护研究中心发布的《2018年个人信息安全报告》指出，目前国内也有今日头条和爱奇艺等部分App向用户推出是否关闭程序化广告的功能。

接入小程序宜开展技术检测，确保信息收集合规

除了个性化推送外，规范草案新增的第三方接入管理规定，也值得关注。

隐私护卫队关注到，去年12月4日，同程艺龙因小程序默认开通会员、未公示用户个人信息收集使用规则等问题，被工信部约谈并要求立即整改。同时，工信部要求腾讯对所分发的应用小程序加强管理。不久前发生的“头腾之争”，抖音发布声明称，新用户无法正常以微信授权的方式登录并使用抖音，也与第三方接入管理有关。

针对这个问题，修订草案指出，涉及第三方嵌入或接入的自动化工具(如代码、脚本、接口、算法模型、软件开发工具包、小程序等)的，宜开展技术检测确保其个人信息收集、使用行为符合约定要求，并对第三方嵌入或接入的自动化工具收集个人信息的行为进行审计，发现超出约定行为的及时切断接入。

上述《规范》起草组专家表示，现在很多平台都有第三方接口，但出了问题就互相推诿，最后利益受损的还是用户。既然平台把第三方接进来，就要承担一定责任。

隐私护卫队注意到，在接入具备收集个人信息功能的第三方产品或服务时，修订草案强调企业应当建议相关的管理机制和工作流程，必要时应建立安全评估等机制设置接入条件，同时与第三方产品或服务提供者通过合同等形式，明确双方的安全责任及应实施的个人信息安全措施。

北师大刑科院暨法学院副教授、中国互联网协会研究中心秘书长吴沈括指出，草案要求企业提升对于第三方接入业务的制度化管理，这一制度设计强调企业介入第三方接入业务管理，为用户的权利保护进一步提供了二重保障。

此外，企业还应向个人信息主体明确标识产品或服务由第三方提供，并督促和监督第三方产品或服务提供者加强个人信息安全管理，发现第三方产品或服务没有落实安全管理要求和责任的，应及时督促整改，必要时停止接入。

上述专家建议，责任划分的部分需要个人信息控制者和第三方共同决定。“最终的目的是当用户的利益受到侵犯时，必须要有人担起相应的责任”，他说。

区分基本与扩展业务功能，旨在解决“一揽子授权”问题

值得注意的是，修订后的草案在附录中提到，保障个人信息主体选择同意权，首先需划分产品或服务的基本业务功能和扩展业务功能。

许多人都遇到过这样的情况：安装一款 App，却发现所有功能都捆绑在一起，App运营者给出“一揽子协议”，声称不收集用户信息就没法提供服务。面对“一揽子协议”，用户要么只能全盘接受，要么只能退出走人。

这样的行为表面上征得了用户的明示同意，实际上却是用“不同意就退出”强迫用户同意。

划分基本业务功能和扩展业务功能，就是为了解决类似的捆绑授权问题。修订草案规定，区分两类功能时，个人信息控制者应以一般用户的根本期待、主要需求及认识理解为依据，而不能仅以企业自身的想法为依据。

举例来说，一个新闻 App，用户使用它的根本期待与主要需求是获取新闻资讯，所以联网功能、推送功能可以算是该App的基本业务功能。但是目前，一些新闻App还要求获取用户的地理位置、通讯录等个人信息，并且声称获取这些信息是出于服务需要，这其实就超出了一般用户的认识，属于App运营者按照“自身想法”去划定基本业务功能。

具体如何获得用户同意?修订草案建议，基本的业务功能，应通过弹窗、文字说明、填写框、提示条、提示音等形式进行提示，并且要让用户主动做出肯定性的动作，比如勾选、点击“同意”或“下一步”。扩展的业务功能，应允许个人信息主体逐项选择同意。

据了解，现在很多App为了简化流程，会让用户直接点击“同意隐私政策”，从而获得用户对所有信息的授权。其实，更好的做法是在App收集用户信息之前，用附录C提供的模板告知用户，企业收集了哪些信息，用途是什么——这才是需要用户明示同意的最核心的内容。

为了更好地解决公众反映强烈的个人信息过度收集的问题，草案还专门新增了一项条款，规定个人信息控制者“不得强迫收集个人信息”。也就是说，当产品或服务提供多项需收集个人信息的业务功能时，个人信息控制者不得违背用户的自主意愿，强迫用户接受信息收集请求。

该条款内容再次强调，企业不得通过捆绑各项业务功能的方式，要求个人信息主体一次性接受并授权同意各项业务功能收集个人信息的请求。企业应把用户主动填写、点击、勾选等自主行为作为业务功能开启或开始收集个人信息的条件，并提供与使用功能同样简便的关闭或退出功能的途径。