《個人信息安全規範》解析

在各種APP滿天飛的時代，各位小夥伴對這種對話框應該很熟悉吧

基本上這個「協議」裡面會要求用戶提供大量的隱私許可權，並且收集來的數據完全屬於服務商，解釋權也屬於服務商，不然APP不給你用。

連權威媒體都看不下去了

雖然確實不少服務商是守規矩有信用的，但架不住市場魚龍混雜，不講規矩、不守信用的公司仍然是存在的，他們利用各種手段獲取了用戶的隱私許可權，並且使用過程中對用戶的信息安全保護極其欠缺，因此信息外泄的事故時有發生（有時候僅僅只是愚蠢的錯誤，而不是遭受了惡意攻擊所致）。

作為普通用戶，真的只能任人宰割，聽天由命了嗎？

當然不是！

就在5月1日，《信息安全技術個人信息安全規範》正式實施，裡面對這些情形有明確和詳細的規定，據起草者介紹，這部國家標準適用於規範各類組織個人信息處理活動，且提出了明確的安全要求。

這部規定主要的意義在哪幾方面呢？

什麼叫「個人信息」有說法了

在狗哥看來，這部《規定》最大的意義，是明確提出了「個人信息」的內涵，並從中提煉出「個人敏感信息」的範疇，尤其是後者，一旦泄露可能會導致受害者各種權益的損失，因此平台使用個人信息時應消除明確身份指向性，避免精確定位到特定個人。

個人信息

如果從信息本身可識別和關聯到特定個人的，即為個人信息，如姓名、電話號碼、身份證、通話記錄等。

個人敏感信息

一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等個人信息。

用戶不給，你不能搶

根據《規範》的要求，個人信息控制者開展個人信息處理活動，應遵守包括權責一致、目的明確、選擇同意、最少夠用、公開透明、確保安全等基本原則。

這裡面值得一提的是這個「最少夠用」原則，《規定》是這麼解釋的：

企業不得過多收集與產品業務功能無關的用戶個人信息類型和數量，且需明示和公開個人信息處理目的、方式、範圍、規則等，同時徵求用戶的同意。

在具體操作中，《規範》建議首先區分核心功能和附加功能，如果收集的是核心業務功能所必需的個人敏感信息，平台應明確告知你拒絕提供或同意將帶來的影響，並允許你作出自主選擇；而涉及到附加功能所需收集的個人敏感信息，除需上述規定外，在你提出拒絕後，平台不應以此為理由暫停核心業務功能，並應保障相應的服務質量。

對於一款社交類APP而言，聊天溝通交流是它的核心功能，購物則是非核心的附加功能，兩者對用戶來說所需要提供的個人敏感信息的程度是不一樣的。假如平台因為你拒絕提供購物所需的信息（比如銀行卡等信息）而不讓你繼續使用聊天功能，那麼

平台是不能這麼做的，你仍然可以要求正常使用這個應用的核心功能。

跟說好的不一樣，要重新授權

隨著平台業務的發展，可能會開發出新的應用，這個過程會涉及到新的用戶信息授權，雖然用戶之前同意提供了一部分信息，不代表用戶會同意將以往的信息用於新的功能，更不代表用戶會同意為了新功能提供更多的信息許可權。

所以按照《規定的要求》

除目的所必需外，使用個人信息時應消除明確身份指向性，避免精確定位到特定個人。此外，使用個人信息時，不得超出與收集個人信息時所聲稱的目的具有直接或合理關聯的範圍。因業務需要，確需超出上述範圍使用個人信息的，應再次徵得個人信息主體明示同意。

而針對數據共享問題，《規範》指出

個人信息原則上不得共享、轉讓。個人信息控制者確需共享、轉讓時，應充分重視風險，並遵守相應的要求。

今年Facebook曝出的數據泄漏事件正是如此，不評價裡面涉及到的各種政治因素，單就在用戶不知情的情況下，Facebook將數千萬用戶包括住址、年齡、工作經歷、喜好等等極其詳盡的信息，提供給一家第三方數據分析公司使用這一點來說，Facebook作為數據的收集方和管理方，用戶信息保護的方面做得不好，讓第三方「濫用」了數據。對於很多企業來說，這個醜聞隨時有可能發生在自己身上，所以還是應當引以為戒的。

當然，《規定》里的條款還很多，這是狗哥覺得比較重要的幾點，對於用戶來說，最重要的是形成保護自己個人信息的意識，如果不了解自己數據被收集和使用的基本情況，怎麼能保護好自己的權益呢？