个人信息国标上线打破网络霸王条款

1月24日，《信息安全技术个人信息安全规范》在国家标准全文公开系统上线。该《规范》属于推荐性国家标准，去年12月29日由国家质量监督检验检疫总局和国家标准化管理委员会发布，即將于5月1日正式实施。

在网络化背景下，这一“国家标准”的全新上线，意义并不逊于去年6月1日网络安全法的出台。如果说，网络安全法搭建了网络个人信息保护的法律框架，而今的国家标准则是“垒土砌砖”，从指标量化、技术解释的角度，让个人信息安全保护制度大厦愈加坚实。

大数据时代，个人信息的收集、保存、使用、转让等环节，目前都存在个人信息保护不力的问题。不经意地一次浏览网页、购物支付，或是做个心理测试、回答问题，也许就将个人信息无意中泄露了出去。对此，《规范》均提出了严格要求，并对人们最为关注的“个人敏感”信息做出了明确界定。

新上线的《规范》，对一个机构如何收集、处理个人信息作出了严格说明。比如，在收集个人敏感信息时，个人信息控制者需在收集前向个人信息主体逐一说明个人敏感信息为完成何种附加功能所必需，并允许个人信息主体逐项选择是否提供或同意自动采集个人敏感信息。当个人信息主体拒绝时，可不提供相应的附加功能，但不应以此为理由停止提供核心业务功能。

这样的规范，首先是公开透明原则的基本体现，也大幅提升了用户知情权与选择权。更重要的是，对之前饱受诟病的第三方暗箱操作、秘密窃取个人信息用于商业交易、收集平台的“霸王条款”等方面，将起到极大的约束作用。

（新京报）