資料圖：乘客正在上網。殷立勤 攝

　　中新網2月12日電 日前，全國信息安全標準化技術委員會開展國家標準《信息安全技術 個人信息安全規范(草案)》(下稱《草案》)征求意見工作。《草案》要求，不得強迫收集個人信息，用戶應有權拒絕個性化推送。

　　《草案》指出，當產品或服務提供多項需收集個人信息的業務功能時，個人信息控制者不得違背個人信息主體的自主意愿，強迫個人信息主體接受產品或服務所提供的業務功能及相應的個人信息收集請求。

　　《草案》明確，個人信息保存期限應為實現個人信息主體授權使用的目的所必需的最短時間，法律法規另有規定或者個人信息主體另行同意的除外；超出上述個人信息保存期限后，應對個人信息進行刪除或匿名化處理。同時，當個人信息控制者停止運營其產品或服務時，應：及時停止繼續收集個人信息的活動；將停止運營的通知以逐一送達或公告的形式通知個人信息主體；對其所持有的個人信息進行刪除或匿名化處理。

　　《草案》指出，在向個人信息主體提供業務功能的過程中使用個性化展示的，宜：建立個人信息主體對個性化展示所依賴的個人信息(如標簽、畫像維度等)的自主控制機制，保障個人信息主體調控個性化展示相關程度的能力；當個人信息主體選擇退出個性化展示模式時，向個人信息主體提供刪除或匿名化定向推送活動所基于的個人信息的選項。

　　電子商務經營者根據消費者的興趣愛好、消費習慣等特征向其提供商品或者服務搜索結果的個性化展示的，應當同時向該消費者提供不針對其個人特征的選項；

　　在向個人信息主體提供業務功能的過程中使用個性化展示的，宜：建立個人信息主體對個性化展示所依賴的個人信息(如標簽、畫像維度等)的自主控制機制，保障個人信息主體調控個性化展示相關程度的能力；當個人信息主體選擇退出個性化展示模式時，向個人信息主體提供刪除或匿名化定向推送活動所基于的個人信息的選項。

　　《草案》要求，個人信息控制者應向個人信息主體提供方法撤回收集、使用其個人信息的同意授權。撤回同意后，個人信息控制者后續不得再處理相應的個人信息；應保障個人信息主體拒絕接收基于其個人信息推送的商業廣告的權利。對外共享、轉讓、公開披露個人信息，應向個人信息主體提供撤回同意的方法。

　　《草案》顯示，當個人信息控制者在其產品或服務中接入具備收集個人信息功能的第三方產品或服務時，對個人信息控制者的要求包括：應要求第三方產品或服務建立響應個人信息主體請求、申訴等的機制，并妥善留存、及時更新，確保個人信息主體查詢、使用；當涉及第三方嵌入或接入的自動化工具(如代碼、腳本、接口、算法模型、軟件開發工具包、小程序等)的，宜：開展技術檢測確保其個人信息收集、使用行為符合約定要求；宜對第三方嵌入或接入的自動化工具收集個人信息的行為進行審計，發現超出約定行為的及時切斷接入。