一、网信办拟规定：小程序出现数据泄露,微信或需担责

国家互联网信息办公室发布关于《数据安全管理办法（征求意见稿）》公开征求意见的通知。新京报记者查阅“征求意见稿”发现，其分总则、数据收集、数据处理使用、数据安全监督管理、附则五章，共包含四十条规定。“征求意见稿”在个人信息收集、爬虫抓取、广告精准推送、APP过度索取权限、账户注销难等经常涉及隐私的问题上均做出了明确规定。

二、APP收集个人信息不得默认授权

新京报记者注意到，在“征求意见稿”的数据收集一章中，网信办首先强调APP必须明确产品的信息收集使用规则，不得以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由，以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息。

对此，中国社会科学院信息化研究中心秘书长姜奇平认为，把信息采集主导权、选择权交给消费者，是信息服务的原则性问题。为了收集信息采取胁迫或者误导行为，都是坚决不能被允许的。

值得注意的是，为明确APP的责任，“征求意见稿”第二条特别标注使用规则中必须包含“数据安全责任人的姓名及联系方式”。根据意见第十七条，网络运营者以经营为目的收集重要数据或个人敏感信息的，应当明确数据安全责任人。并规定“数据安全责任人由具有相关管理工作经历和数据安全专业知识的人员担任，参与有关数据活动的重要决策，直接向网络运营者的主要负责人报告工作。”

据了解，目前不少大型企业已设有类似角色。如360设立有首席隐私官，腾讯设立有专门的数据隐私部门。而“征求意见稿”的规定则意味着“数据安全责任人”一职将推广到每一家以经营为目的收集重要数据或个人敏感信息的APP，且该责任人的姓名与联系方式必须公开。

此外，“征求意见稿”第十六条规定，网络运营者采取自动化手段访问收集网站数据，不得妨碍网站正常运行；此类行为严重影响网站运行，如自动化访问收集流量超过网站日均流量三分之一，网站要求停止自动化访问收集时，应当停止。

该规定直指目前流行的“网络爬虫”技术。新京报记者了解到，目前有不少网站已经针对网络爬虫采取了限流的应对加密软件措施，但在法规层面对“网络爬虫”技术做出限制，这尚属首次。

新京报记者发现，“征求意见稿”对未成年人信息收集也做出了规定，如第十二条规定“收集14周岁以下未成年人个人信息的，应当征得其监护人同意。”

三、如何有效保障企业信息安全？

近年来，频频曝光的企业信息泄密事件把“信息安全”推到了风口浪尖，越来越多的企业开始关注企业信息安全建设，并且国家也在不断推动信息安全产业的发展，将信息安全放到了与政治安全、经济安全、文化安全同等重要的位置，并出台了一系列推动信息安全保障体系建设的政策措施来保护企业信息。但是企业机密泄露事件依旧不绝，那么，一般企业的机密是如何泄露以及要如何来保护自身信息安全呢？

一般企业信息会通过物理方式和网络技术来进行泄漏。物理方式为移动硬盘、u盘、智能手机等进行存储，通过这些存储设备就可以将企业存储资料大量复制到这些移动存储设备上，从而使得企业信息外漏。网络技术信以通过邮箱、云盘、微信和QQ等程序，将企业资料上传出去从而导致了信息泄漏。

所以一般企业信息保护基本是从这两个方面入手的，只有隔绝了这些信息传输的通道才可以真正保护企业信息安全。企业会通过制度、法律条款进行商业机密的保护。

企业与员工会签订严格的企业商业机密保护合同，在企业内部建立企业信息文件使用的各种管理举措，这样可以对员工试图窃取企业信息的行为起到有效的威慑，而且可以在一定程度上有效防止信息泄漏；同时一旦商业机密泄露，这也使得企业可以通过法律条款挽回损失，从而使得企业信息安全得到进一步保障。

除此之外，企业还应该建立企业安全文化使全体员工在这个氛围中，行为被潜移默化地规范在所崇尚的安全价值取向和安全行为准则之中，使员工建立完善的心理防线从而降低人为造成的安全事故发生率。

一般而言，企业安全文化要从思想方面、制度方面等角度来建设。思想方面为企业内部营造一种安全气氛，通过宣传、教育培训、建立制度、认真落实、开展活动、采取激励加密软件措施等方法来转变员工的安全价值观。制度方面就是主要是指对企业组织和员工的安全行为产生规范性、约束性影响的部分，它主要规定了企业成员在共同的生产经营活动中所应遵循的安全行为准则。

然而我们应该认识到，企业信息安全建设还处于起步阶段，信息安全产业还在不断的整合与重塑过程中，企业信息安全建设任重而道远。企业需要加深对信息安全的认识，做好相关制度建设，适当增加信息安全建设预算，做好相关培训，使信息安全成为企业发展的重要保障。