23日,南都个人信息保护研究中心联合北京市环球律师事务所、中国信息通信研究院安全研究所在北京正式发布《个性化展示安全与合规报告》(下称“报告”)。
据介绍,个性化展示是当今互联网领域最重要的信息技术之一,它通过对用户的跟踪识别进行精准画像,实现向用户定向推送符合其喜好的产品或服务的目的。
本报告通过对实践中常用的20款App进行测评,观察我国企业在利用个性化展示技术时,对用户个人信息保护的现状;同时通过分析个性化展示服务中可能存在的法律合规问题,结合国外管理经验和实践做法,从法律法规、企业责任、行业自律等方面提出了有针对性建议。
其中就企业责任方面,报告提出四点建议内容。
第一,信息收集应当符合透明性原则,保障用户的知情同意权。
报告指出,个性化展示服务收集用户个人信息非常广泛,这些信息的收集、聚合与利用很可能会给用户带来相应风险。因此,建议网络服务提供者把握风险点,真正做到以简单、易懂、直接的方式向用户进行披露并征求其同意,才能真正做到透明性原则的合规要求。
第二,保障用户的自主控制权。
具体而言,报告称,网络服务提供者应当为用户提供关闭个性化展示的渠道,且关闭方式应当简单、容易操作;网络服务提供者最好应向用户提供前台集中控制用户画像标签的系统,让用户自主进行删除、增加等。
第三,保障用户被处理个人信息的安全。
报告指出,提供个性化展示服务的网络服务提供者需采取相应的技术措施以保障个人信息的安全;应采取必要措施保障基础设施、业务系统等方面的网络安全,完善安全应急响应机制和应急预案,防范因黑客攻击造成数据泄露等安全风险,同时强化自身安全事件应急处置能力。
第四,个人信息共享需征得用户同意。
报告表示,进行数据共享的网络服务提供者应当承担数据的安全保障义务。首先,应当征得个人信息主体的同意,取得个人信息主体对网络服务提供者向第三方共享或接受第三方共享其个人信息的授权,保障各授权链条的合法性;其次,网络服务提供者还应在第三方进行数据共享前与数据接收方订立协议,明确双方的权利与义务,并要求数据接收方以相同或更高的标准保护个人主体的个人信息安全等。如有需要,可以在共享前进行相应的风险评估,以最大化地降低风险。(记者 马秀秀)