合规使用开放数据_保险超市_互联网保险

2020-05-1211:59:30 发表评论 0 次浏览
摘要

以下内容由保险超市整理发布:
不给读取通讯录不让用,以“风险”“安全”等理由收集用户脸部图像、位置信息,以及通话记录;通过开启授权或隐私政策,规避App收集信息带来的风险,在涉及金融及其他应用类App

保险网,保险超市,保险中介,互联网保险,网上买保险,网上保险超市,保险新闻,保险资讯

以下内容由保险超市整理发布:

不给读取通讯录不让用,以“风险”“安全”等理由收集用户脸部图像、位置信息,以及通话记录;通过开启授权或隐私政策,规避App收集信息带来的风险,在涉及金融及其他应用类App的隐私问题上,最近不断受到关注。从去年底到今年,工信部就包括小米金融,飞贷等在内的多款App侵犯用户权益的情况发出通报,工信部按计划、分阶段、稳步推进App侵害用户权益专项整治行动。近日,中信银行又因泄露客户账户数据信息的侵害消费者合法权益事件受到银保监会立案调查。

随着大数据时代的到来,数据开放不可避免,如何在开放的同时合法合规合理使用,是所有数据从业者必须面对的问题,为此,《中国银行保险报》采访了精励联讯(北京)信息技术有限公司董事总经理吕晓辉博士。

“最小必要”原则

《中国银行保险报》:将于10月实施的2020版《信息安全技术 个人信息安全规范》和此前的两版相比有哪些修改?

吕晓辉:2020新版《个人信息安全规范》整体上延续了此前发布的两版征求意见稿的修改思路,针对个人信息收集不透明、强制和捆绑收集个人信息、对个人生物识别信息的滥用和泄露、个性化推送违背用户自主选择权、第三方后台收集信息缺乏管控、用户账号注销难等实践中个人信息保护的突出问题做出了回应。同时,2020新版《个人信息安全规范》相较2017版规范及2019年发布的征求意见稿,在一些细节处对于个人信息保护与个人信息控制者对信息的合理利用进行了平衡,更加贴近各行业的实践操作,增强了企业合规工作的可操作性。

而对于个人信息使用的限制,2020新版《个人信息安全规范》根据业务功能划分个人信息收集范围,为规范收集个人信息的“最小必要”原则提供了参照标准。当产品和服务提供多项需收集个人信息的业务功能时,需要在启动时逐项明示以获取用户的同意,并提供同样方便的关闭或退出各项业务功能的途径或方式。针对特殊的个人信息如个人生物识别信息,新版规范对于其应用的生命周期做出了特别规定,要求采用加密等安全措施,将个人生物识别信息与个人身份信息分开存储,限制个人生物识别信息的共享和转让,并禁止公开披露。

《中国银行保险报》:除了政策规范,还有什么方法能在保护数据所有者隐私的同时将数据分发给第三方?

吕晓辉:数据所有者隐私信息分发给第三方本身确实存在泄露风险,很难做到对第三方的数据安全能力成熟度进行评估,对第三方数据生命周期(产生、存储、传输、使用、销毁)进行管理和审计。

保护隐私数据且能促进数据共享的有效方法:包括不分享隐私数据、对隐私数据去标识化以及个人信息主体自主授权。

无论哪一级别的个人数据分享,都应做到对数据属性及数据量根据最小必要原则,采用数据加密技术及点对点地将信息分发给第三方,保证数据传输、存储、使用中的安全。应遵循国内数据安全相关的法律法规及规范性文件,如《网络安全法》、《个人信息安全规范》、《个人信息去标识化指南》、《信息安全技术 数据安全能力成熟度模型》等,做好数据的安全治理,实现对数据全生命周期的有效管理。

杜绝“一揽子同意”

《中国银行保险报》:使用个人数据均需取得用户授权,而实际生活当中,用户往往并不知道如何对自己的数据进行授权,授权的途径又是什么?在未来用户的授权方式与途径上,有什么更好的建议?

吕晓辉:根据2020版《个人信息安全规范》的规定,将此前《App违法违规收集使用个人信息行为认定方法》等规范性文件提出的,对用户明示授权的增强要求纳入规范,包括产品或服务首次运行或注册账号时通过弹窗展示隐私政策主要条款或核心内容、开启收集个人信息的业务功能前通过弹窗等明显方式逐项告知功能所需个人信息、个人敏感信息明确标识或突出显示等。这也就使个人信息主体有更加便捷的途径了解其个人信息的应用场景,充分考虑对其的具体影响,进而决定是否对自己的个人数据进行授权。

2020新版规范对于用户知情权的保护,还体现在杜绝企业通过单一隐私政策就多个业务功能获取消费者一揽子同意的不合理现象。具体而言:

首先,不应通过捆绑产品或服务各项业务功能的方式,要求个人信息主体一次性接受并授权同意其未申请或使用的业务功能收集个人信息的请求。

其次,产品或服务提供多项收集、使用个人信息的业务功能的,应当逐一告知用户各项业务功能,逐项获得用户明示同意后开启。

第三,用户有权关闭或退出各项业务功能,相应的途径或方式应与选择使用该项业务功能的途径或方式同样方便。

要使用户更加明晰其个人信息授权途径,数据采集方可以选择的方式是在隐私政策中展示个人信息控制界面,提供用户访问、管理、修改、导出、转移或删除自身个人信息的功能链接,另外根据用户选择、使用产品或服务的根本期待和最主要的需求,划分基本业务功能和扩展业务功能,将各项功能的授权同意界面分开展示,交互设置,保障用户行使选择同意的权利。

数据采集方还有义务严格地按照所获取的授权来应用数据,确保数据的保密性、完整性和可用性,以及数据使用和披露过程的合法性和合规性。这就要求数据采集方采用严格的流程来获取、存储、适用消费者授权,保留对每一个需要授权的数据的应用记录,保证数据生命周期内的各种活动的安全、数据完整性、过程留痕和可追溯性,对文档、程序、数据归档签名,保证完整和未被篡改,以备监管方的可能审计以及个人消费者对自身的用户个人信息被数据采集方应用情况的查询。

平衡所有权与使用权

《中国银行保险报》:数据产生者和数据使用者之间存在怎样的经济关系?如何平衡两者的利益,让提供了数据的消费者或客户有经济上的获得感?

吕晓辉:保护个人数据的权利不是一项绝对权利,应考虑其在社会的作用,并应当根据比例性原则与其他基本权利保持平衡,在权利的取向中兼顾不同权利的空间,避免其他基本权利被挤压或取代。从民法的角度来看,数据产生者和数据使用者之间是平等主体之间的民事法律关系。保护数据主体权利的同时,仍应为技术创新和产业发展留下空间。既然数据已经成为数字经济的关键生产要素,那么我们就需要明确数据的所有权和使用权如何分离,通过实现有效的制度安排,最大限度地降低数据交易成本,提高数据资源流通效率。

数据可以通过彼此的汇聚融合,用来服务于个人的需要。如果企业通过对数据的收集、存储以及分析挖掘,研发更加丰富和先进的产品和服务,使消费者生活更便捷,客户自身业务更高效,那么消费者或客户会感到通过有限提供和自身相关的数据,实实在在地享受了这些数据所带来的价值,从而进一步增强个人数据合理应用的获得感。

郑重声明:保险超市网发布此信息的目的在于传播更多信息,与本站立场无关。

保险网,保险超市,保险中介,互联网保险,网上买保险,网上保险超市,保险新闻,保险资讯
保险超市网
保险网,保险超市,保险中介,互联网保险,网上买保险,网上保险超市,保险新闻,保险资讯

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: