网信办：App需设立“数据安全责任人”？

5月28日零时，国家互联网信息办公室发布了《数据安全管理办法(征求意见稿)》征求意见的通知。新京报记者查阅征求意见稿发现，其分总则、数据收集、数据处理使用、数据安全监督管理、附则五章，共包含四十条规定。征求意见稿在个人信息收集、爬虫抓取、广告精准推送、App过度索取权限、账户注销难等经常涉及隐私的问题上均做出了明确规定。

App搜集个人信息不得默认授权

新京报记者注意到，在征求意见稿的数据采集章中，网络通信首先强调App必须明确产品的信息采集使用规则，改善服务质量，提高用户体验对此，中国社会科学院信息化研究中心秘书长姜奇平认为，将信息收集的主导权、选择权交给消费者是信息服务的原则问题。为了收集信息进行威胁和误解，绝对不允许。

应注意的是，为了明确App的责任，征求意见稿第二条特别标记使用规则必须包括数据安全负责人的姓名和联系方式。根据意见第十七条，网络运营人员以经营为目的收集关键数据或个人敏感信息时，应明确数据安全责任人。并规定数据安全责任人由有关管理工作经验和数据安全专业知识的工作人员担任，参加数据活动的关键决策，直接向网络运营人员主要责任人汇报工作。开发者_如何学JAVA

目前许多大型企业都有类似的作用。例如，360设立了最高隐私官，腾讯设立了专业的数据隐私部门。征求意见原稿的规则意味着数据安全负责人的职务必须以经营为目的收集重要数据和个人敏感信息的App，公开该负责人的名字和联系方式。

此外，征求意见稿第十六条规定，网络运营者采取自动化手段访问收集网站数据，不得妨碍网站正常运行；此类行为严重影响网站运行，如自动化访问收集流量超过网站日均流量三分之一，网站要求停止自动化访问收集时，应当停止。

这一规定是指目前流行的网络爬虫技术。新京报记者表示，目前许多网站已经对网络爬行动物采取了限对策，但在法规水平上限制了网络爬行动物技术。

新京报记者发现，征求意见的原稿也规定了未成年人的信息收集。例如，第12条规定收集14岁以下未成年人的个人信息时，必须得到监护人的同意。

用户注销后，信息应立即删除

现在App很难注销。2018年6月，新京报记者实测了35种人气应用程序，其中21种没有取消选项，可以取消的选项也很严格，微博取消需要满足7个条件。

对于这种取消困难的情况，征求意见的原稿在第20条和第21条特别规定，网络运营者保存个人信息不得超过收集使用规则的保存期限。用户取消账户后，必须立即删除个人信息的网络运营者收到个人信息查询、订正、删除、用户取消账户请求时，必须在合理的时间和成本范围内查询、订正、删除、取消账户。

另外，第31条还规定了App方破产时数据的处理方式的网络运营者合并、重组、破产时，数据承包者必须承担数据安全责任和义务。如果没有数据承接者，应删除数据。法律、行政法规另有规定的，从其规定开始。

强调lsquo的被遗忘权rsquo的保护是征求意见稿的亮点。中国信息安全研究院副院长左晓栋表示，以网络邮购为例，消费者在购物网站完成交易后，应该满足删除相关信息的合理诉求。

此外，征求意见稿首次对使用算法技术和人工智能技术驱动的方向推进和智能聚合功能提出了法规要求。

征求意见稿第二十三条规定，网络运营者应利用用用户数据和算法推送新闻信息、商业广告等，明确表示推送文字，为用户提供方向推送信息的停止功能，用户在选择停止方向推送信息时，停止推送

第二十四条内容显示，网络运营者不得以利用大数据、人工智能等技术自动合成新闻、博文、投稿、评论等信息，明确表示合成文字的利益或损害他人利益为目的自动合成信息。

业内人士对新京报记者说，如果确定实施该规定，或者将影响以算法推荐为主要机制的App。

applet数据泄露微信，或者需要负责

此外，征求意见的原稿还规定了访问平台的第三者应用程序和平台的数据责任归属。

目前，访问第三方应用程序最多的平台是微信小程序，新京报记者发现，与目前App隐私协议的规定相比，小程序属于微信平台，隐私保护的要求和规定也模糊不清。

腾讯团队于2019年1月3日对新京报记者表示，微信小程序主体通过用户认可获得的服务数据存储在其服务器上，微信通过相关服务协议和平台规则要求开发者保护用户的隐私安全。例如，在需要用户许可隐私数据信息的服务场景中，开发人员必须在小程序的前端接口上向用户提供lsquo的许可信息rsquo，用户也可以在该小程序主页的lsquo设置rsquo，取消相关信息的许可。

征求意见稿第30条内容显示，网络运营者对访问该平台的第三者应用程序应明确数据安全要求和责任，监督第三者应用程序运营者加强数据安全管理。如果第三方应用程序发生数据安全事件对用户造成损失，网络运营者应承担部分或全部责任，除非网络运营者能证明没有错误。

这意味着微信小程序的第三方应用程序发生信息泄露事件时，微信和也必须承担一定的责任。对此，左晓栋表示，平台和第三者的应用需要共同承担相关责任，可以强制网络经营者，加强用户个人信息安全的保护。