腾讯华为签署《深圳市APP个人信息保护自律承诺书》举措新解读
10月22日,根据深圳商报报道,由中共深圳市委网信办联合深圳市公安局、市市场监管局、市通管局主办的深圳市APP个人信息共护大会在深圳中心书城举行。在会议上,腾讯、华为等20多家企业签署了《深圳市APP个人信息保护自律承诺书》,向全社会公开作出“不超范围采集信息,不强制索要用户授权,不利用大数据杀熟、不滥用人脸识别数据,不监听个人隐私”等承诺。本次腾讯、华为等20多家企业签署的《深圳市APP个人信息保护自律承诺书》,对APP的用户信息收集权限做出了细致的规定,其中两条规定引发了记者的关注,包括:一,坚持最小必要原则,根据APP提供服务所必需,合规设置收集个人信息范围。二,未经用户单独同意,不利用敏感个人信息进行线上精准营销和线下推销。第一条,最小必要原则在《深圳经济特区数据条例》中有解释,也就是APP对用户个人数据的采集和处理,应该基于APP采集需求所必要的最小范围、采取对用户个人权益影响最小的方式,举例如:出行类的APP需要获取用户的地理位置信息来提供服务,所以要求用户进行地理位置授权是正常的,但是如果出行类的APP要求使用相机、麦克风权限获取用户的声音、图像信息,则不是APP提供服务的最小范围的数据需求,是不符合相关条例规定的。这条规定的签署可以看出,随着《个人信息保护法》的出台,国内的个人隐私保护已经从从手机运营商、APP开发者自觉的行为,转变成了法律驱动下的国家政策,这也为互联网企业敲醒了警钟,保护个人信息安全已经成为了企业发展的必要前提。第二条则是对第一条的补充,在限制APP对用户信息收集的同时,强调了APP的用户数据使用不能涉及到隐私的个人信息,包括手机号、身份证号等等,APP不能将这些敏感信息用于精准广告推送,这条规定进一步对APP用户个人信息采集、处理、使用不同场景的权限进行了规范,同时从源头上遏制部分APP过度采集数据,形成自身数据库对用户进行非授权的追踪,甚至售卖用户数据的行为,杜绝用户隐私安全隐患。
随着用户隐私保护成为国家网络安全建设的重要议题,《数据安全法》、《个人信息保护法》的出台倒推着互联网产业隐私安全制度的完善,互联网企业面临着用户信息安全保护的新挑战,如何在保护用户隐私的同时合规的获取用户数据并服务于企业的日常运营工作,成为了互联网头部企业亟待解决的技术难题。为了寻求这一难题的技术解决方案,记者找到了以用户隐私保护为核心价值的数据安全公司——北京数字联盟,对其业务负责人刘先生进行了采访。
记者:“腾讯、华为等头部企业签署的《深圳市APP个人信息保护自律承诺书》,对APP的用户数据采集、使用做出了明确限制,会对APP运营造成什么样的影响呢?”
刘先生:“国家对于用户隐私的保护政策一定会越来越系统和严格,短期来看,对APP数据采集和使用的限制,特别是禁止APP收集敏感信息向用户进行精准广告推送的规定,会打乱过去部分APP原来依赖用户手机号、注册邮箱等个人敏感信息进行广告变现的盈利机制;但长期而言,对APP数据采集和使用的限制,能够最小化用户隐私泄露隐患,防止APP对用户过度的信息收集,减少用户敏感数据的泄露,特别是能够有效的减少用户手机号、家庭地址等信息泄露产生的网络诈骗。通过保护用户的隐私,能够有效地提升用户对APP的信任程度,作为一名数据安全行业从业者,我认为长期来看,推动APP用户隐私保护,是有益于互联网全行业长期发展的。”
记者:“有没有技术方案能够帮助APP在保护用户隐私的同时获取和使用用户数据呢?”
刘先生:“数字联盟针对APP数据采集的隐私合规研发了可信ID技术。可信ID是第三方统一下发给用户手机设备的ID体系,采用了弱特征归因的技术,简单来说,就是可信ID只收集设备层面,包括手机型号、电量等120多个维度的信息,在精密算法的支持下给每一台手机设备生成唯一的设备ID。这些信息其实是一种弱特征的数据。弱特征数据的特点,就是不能依靠单个数据锁定到用户,因此我们不会收集注册手机号、用户住址等这类能够直接锁定用户信息的数据,能够保证隐私合规的情况下实现设备的跨平台追踪,帮助APP进行广告变现。同时可信ID已经通过了等保三级、ISO27701、ISO27001的认证,能够极大的保障用户的隐私安全。
举个例子,过去的APP想要投广告,需要采集用户的手机号甚至是地址信息进行线上或线下的投放,但这样的信息采集和使用具备隐私风险,同时不能保证找到的用户就是目标客户,但是通过可信ID收集的设备层面信息,假设某婚恋APP想要扩展市场份额进行营销,就需要找到有婚恋需求的用户,那么只需要对下载了其他婚恋APP例如一伴、世纪佳缘、陌陌等的设备进行广告投放,就最大化广告效果的同时保证用户数据的采集和使用都是合规的。”
(数字联盟:可信ID 数据方案全操作流程)
在互联网产业持续发展的同时,用户隐私安全是优化用户体验,促进企业和用户互信的重要内容,也是国家网络安全防护的重中之重。在本次会议中深圳市委网信办主要负责人也提出,在个人信息保护的过程中,头部企业要带头落实主体责任,建立严格的个人信息保护合规制度体系。腾讯等参与签署承诺书的企业表示,将严格遵守国家各项法律法规,自觉主动践行自律承诺,积极推动行业自律。相信在未来,互联网企业必将通过安全技术的革新,成为守护用户个人隐私信息的“安全门”。