在著手收集用戶個人信息之前,需建立明確的個人信息敏感程度分級保護機制,應至少將個人信息區分為一般個人信息和個人敏感信息。對于個人信息的收集應遵循最少夠用原則。2017年末,支付寶年度賬單被質疑侵犯隱私,引發大眾對個人征信信息安全的關注。支付寶因客戶權益、產品宣傳及個人信息保護方面存在不當行為,被處以合計18萬元罰款。其中,由于個人
金融信息收集不符合最少、夠用原則,及個人金融信息使用不當兩項,支付寶被給予警告并處罰款5萬元。
首先應當明確,大數據時代背景下,對公民個人信息的收集有其積極價值。對個人網絡使用習慣、購物偏好等的收集幫助經營者更加準確地定位目標人群,提供“定制”服務。但同時,由于個人信息泄露所帶來的侵權甚至犯罪問題也層出不窮。因此,經營者對消費者信息的收集應遵循個人同意及最少夠用原則。
企業在收集消費者個人信息之前應當得到消費者的明示授權或同意。比如在用戶協議中寫入消費者授權或同意企業收集、使用其個人信息的條款,或是采用單獨的信息收集協議、隱私采集協議等其它方式取得消費者授權或同意。根據《信息安全技術個人信息安全規范》3.6條,鼓勵經營者對個人用戶的信息收集采取明示收集的方式,明示的定義為,“個人信息主體通過書面聲明或主動做出肯定性動作,對其個人信息進行特定處理做出明確授權的行為”。因此,應盡量避免采用默認授權的方式,對于個人敏感信息更應公開告知或提示信息收集行為。
經營者對用戶個人信息的收集應嚴格遵循“最少夠用”原則。根據《信息安全技術 公共及商用服務信息系統個人信息保護指南》4.2條,最少夠用原則的內涵是,經營者只處理與處理目的有關的最少信息,達到處理目的后,在最短時間內刪除個人信息。因此,經營者應當在已告知目的范圍內收集達到目的需要的最少信息。
除此之外,應當保證個人主體對于信息開放權限的調配自由。經營者應當提供相關入口允許個人信息主體配置、調整、關閉個人信息收集功能。另外,《個人信息保護指南》第2.2條明確指出,經營者應采用用戶易知悉的方式,向個人信息主體明確告知和警示個人信息主體的投訴渠道,這也意味著經營者將面對來自用戶對個人信息收集使用的直接監管。
版權申明:本內容來自于互聯網,屬第三方匯集推薦平臺。本文的版權歸原作者所有,文章言論不代表鏈門戶的觀點,鏈門戶不承擔任何法律責任。如有侵權請聯系QQ:3341927519進行反饋。
