上述问题在5月1日起正式实施的《信息安全技术 个人信息安全规范》,均有详细的规定。这部国家标准适用于规范各类组织个人信息处理活动,且提出了明确的安全要求。
主要起草人何延哲告诉南都记者,规范在内容上仅用了不到100个条款,就将个人信息保护最有效的措施简洁明了地表达出来了,易于企业和用户理解吸收。
有专家向南都记者表示,对用户而言,规范最大的价值在于对个人信息收集、使用、共享和披露等具体告知细节作了规定。“如果用户连数据收集和使用的基本情况都不了解的话,那就很难维护好自己的权益。”
规范要求,个人信息控制者开展个人信息处理活动,应遵守包括选择同意、最少够用和公开透明等六大基本原则。
具体而言,企业不得过多收集与产品业务功能无关的用户个人信息类型和数量,且需明示和公开个人信息处理目的、方式、范围、规则等,同时征求用户授权同意,并接受外部监督。
当平台收集了个人信息后,在使用和处理环节中,又有哪些细节需要告知用户的?
然而,这些数据却在用户不知情的情况下,又被剑桥分析公司转为商用。在这起数据外泄事件中,Facebook备受指责之处在于,将收集来的用户数据共享给第三方,但又无法限制和保证数据不被第三方滥用。
除了强调用户在上述个人信息处理活动中的权利外,规范还指出,用户还享有访问、更正、删除、撤回同意、获取个人信息副本、注销账户的权利。
对于删除的界定,规范规定,“在实现日常业务功能所涉及的系统中去除个人信息的行为,使其保持不可被检索、访问的状态”。也就是说,根据规范要求,平台应充分保证用户注销的权利。