个人信息收集依从“必要性”
2017-06-22赵成
瞭望东方周刊 2017年22期
赵成
2016年4月,一些购物者在京东商城下单后收到骗子冒充的“客服”发来通知:因货物短缺,请办理退款。不少人因此上当。
经京东技术部门查验,订单信息是由京东商城设在十堰某县的配送中心扩散的。4月6日,警方将该地京东商城配送中心员工李某抓获。此前,李某已将5000余条已下订单但还没有发货的客户资料截屏并通过QQ打包贩售。
网络安全法第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
新出台的网络安全法强调网络运营者要对收集的用户信息严格保密。此前有法学家指出新法在一定程度上确定了“被遗忘权”,这是一个很大的进步。换言之,网络运营者收集了我的信息,我就有权要求其删除或更正。
強调收集个人信息的边界是网络安全法的一个亮点。不得收集与其提供的服务无关的个人信息,可以理解为要求网路营运商按需收集:如地图导航软件需要用户的物理位置,这是功能性要求,可以满足;但如果要用户提供姓名和身份证号,就属于不必要了。而外卖软件按需可以获得用户的电话及地址,但无必要收集用户的身份证号和全名。
现在的大型购物网站如淘宝、京东等都有自己的衍生金融服务产品,要求身份验证,形成个人信用体系,属于必要行为,但这对电商的信息安全监控能力的要求更高,一旦电商内部出现问题,用户信息泄露的速度和规模将非常骇人。因此,新法实施后,对于电商企业来说,做好内控已经成为当务之急和关键之举,一个员工的一次违法行为,就将给企业和用户带来巨大伤害。