资料图:乘客正在上网。殷立勤 摄
日前,全国信息安全标准化技术委员会开展国家标准《信息安全技术 个人信息安全规范(草案)》(下称《草案》)征求意见工作。《草案》要求,不得强迫收集个人信息,用户应有权拒绝个性化推送。
《草案》指出,当产品或服务提供多项需收集个人信息的业务功能时,个人信息控制者不得违背个人信息主体的自主意愿,强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求。
《草案》明确,个人信息保存期限应为实现个人信息主体授权使用的目的所必需的最短时间,法律法规另有规定或者个人信息主体另行同意的除外;超出上述个人信息保存期限后,应对个人信息进行删除或匿名化处理。同时,当个人信息控制者停止运营其产品或服务时,应:及时停止继续收集个人信息的活动;将停止运营的通知以逐一送达或公告的形式通知个人信息主体;对其所持有的个人信息进行删除或匿名化处理。
《草案》指出,在向个人信息主体提供业务功能的过程中使用个性化展示的,宜:建立个人信息主体对个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制,保障个人信息主体调控个性化展示相关程度的能力;当个人信息主体选择退出个性化展示模式时,向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。
电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的,应当同时向该消费者提供不针对其个人特征的选项;
在向个人信息主体提供业务功能的过程中使用个性化展示的,宜:建立个人信息主体对个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制,保障个人信息主体调控个性化展示相关程度的能力;当个人信息主体选择退出个性化展示模式时,向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。
《草案》要求,个人信息控制者应向个人信息主体提供方法撤回收集、使用其个人信息的同意授权。撤回同意后,个人信息控制者后续不得再处理相应的个人信息;应保障个人信息主体拒绝接收基于其个人信息推送的商业广告的权利。对外共享、转让、公开披露个人信息,应向个人信息主体提供撤回同意的方法。
《草案》显示,当个人信息控制者在其产品或服务中接入具备收集个人信息功能的第三方产品或服务时,对个人信息控制者的要求包括:应要求第三方产品或服务建立响应个人信息主体请求、申诉等的机制,并妥善留存、及时更新,确保个人信息主体查询、使用;当涉及第三方嵌入或接入的自动化工具(如代码、脚本、接口、算法模型、软件开发工具包、小程序等)的,宜:开展技术检测确保其个人信息收集、使用行为符合约定要求;宜对第三方嵌入或接入的自动化工具收集个人信息的行为进行审计,发现超出约定行为的及时切断接入。