筑牢安全“金鐘罩” 對(duì)個(gè)人信息野蠻掘金的時(shí)代結(jié)束了

繼個(gè)人信息保護(hù)法施行后 工信部要求建立與第三方共享個(gè)人信息清單

針對(duì)個(gè)人信息野蠻掘金的時(shí)代結(jié)束了

在手機(jī)上瀏覽購房信息，轉(zhuǎn)身就接到裝修銷售電話；閑聊中提到某個(gè)產(chǎn)品，打開購物APP就收到同類廣告推送……類似上述“被APP監(jiān)控”的場(chǎng)景，對(duì)很多人而言，并不陌生。

11月8日，工信部就《關(guān)于開展信息通信服務(wù)感知提升行動(dòng)的通知》進(jìn)行解讀，指出要建立與第三方共享個(gè)人信息清單，讓用戶知道企業(yè)收集了哪些信息，信息將被共享到哪里、用在何處。

互聯(lián)網(wǎng)與大數(shù)據(jù)時(shí)代，個(gè)人信息是寶貴的數(shù)字資產(chǎn)，保護(hù)個(gè)人信息權(quán)益是廣大人民群眾最關(guān)心最直接最現(xiàn)實(shí)的利益問題之一。面對(duì)過度收集、非法獲取、非法交易、泄露、濫用等亂象，如何筑牢個(gè)人信息安全“金鐘罩”？《個(gè)人信息保護(hù)法》實(shí)施后會(huì)帶來哪些改變？如何平衡好數(shù)字經(jīng)濟(jì)創(chuàng)新發(fā)展和個(gè)人信息保護(hù)間的關(guān)系？記者就此采訪了相關(guān)專家。

個(gè)人信息安全問題屢遭曝光，線上線下均有隱患

QQ音樂超范圍收集個(gè)人信息，亞朵違規(guī)使用個(gè)人信息……11月3日，工信部通報(bào)38款A(yù)PP存在超范圍、過度收集用戶個(gè)人信息等問題，要求11月9日前完成整改。而APP超范圍、高頻次索取權(quán)限，非服務(wù)場(chǎng)景收集用戶個(gè)人信息，正是線上個(gè)人信息保護(hù)的突出隱患。

記者點(diǎn)開某音樂應(yīng)用的相關(guān)政策說明，在“如何收集和使用個(gè)人信息”一章中，除完成注冊(cè)及登錄、實(shí)現(xiàn)身份認(rèn)證等使用目的外，還包括對(duì)收集的部分個(gè)人信息進(jìn)行商業(yè)利用，例如提取瀏覽、搜索偏好、位置信息，推送個(gè)性化廣告等，這也是數(shù)字經(jīng)濟(jì)時(shí)代個(gè)人信息的潛在商業(yè)價(jià)值。

利用個(gè)人信息精準(zhǔn)畫像，有利于提升用戶體驗(yàn)，在數(shù)字經(jīng)濟(jì)發(fā)展中發(fā)揮積極作用，但也產(chǎn)生了大數(shù)據(jù)“殺熟”等侵犯消費(fèi)者權(quán)益現(xiàn)象。北京市消費(fèi)者協(xié)會(huì)開展的專項(xiàng)調(diào)查顯示，88.32%的被調(diào)查者認(rèn)為大數(shù)據(jù)“殺熟”現(xiàn)象普遍或很普遍。

“大家對(duì)大數(shù)據(jù)‘殺熟’的問題感受比較明顯。”公安部第三研究所網(wǎng)絡(luò)安全法律研究中心主任、研究員黃道麗說，大數(shù)據(jù)“殺熟”是指互聯(lián)網(wǎng)平臺(tái)依靠數(shù)據(jù)優(yōu)勢(shì)和信息不對(duì)稱，對(duì)用戶實(shí)施價(jià)格歧視。它主要由算法定價(jià)引起，典型表現(xiàn)為新老用戶在價(jià)格上被差別對(duì)待。

除不當(dāng)收集利用之外，一些企業(yè)或個(gè)人還將個(gè)人信息擺上交易桌，明碼標(biāo)價(jià)販賣個(gè)人信息，由此滋生出網(wǎng)絡(luò)詐騙、電信詐騙等各類違法犯罪活動(dòng)，形成個(gè)人信息泄露、買賣、詐騙的黑色產(chǎn)業(yè)鏈。

比如，在江蘇淮安警方破獲的一起侵犯公民個(gè)人信息案中，某銀行員工以每條80元到100元的價(jià)格，將銀行卡使用人的身份信息、電話號(hào)碼、余額甚至交易記錄售賣謀利，涉及個(gè)人信息5萬余條；某快遞公司內(nèi)部員工與外部不法分子勾結(jié)，外泄40萬條用戶個(gè)人信息，其中約4.5萬條有效信息被以每條1元的價(jià)格打包售賣到電信詐騙高發(fā)區(qū)。

個(gè)人信息被侵犯不局限于線上，線下同樣存在隱患，特別是對(duì)人臉、指紋、虹膜等生物數(shù)據(jù)的收集利用。除在車站檢票、移動(dòng)支付等場(chǎng)景中主動(dòng)“刷臉”獲取便利外，還有在不知情時(shí)被動(dòng)“刷臉”的風(fēng)險(xiǎn)。

有些門店使用“無感式”人臉識(shí)別技術(shù)，在未經(jīng)同意情況下擅自采集消費(fèi)者人臉信息。10月29日，浙江省杭州市上城區(qū)人民法院受理了一起消費(fèi)者訴商場(chǎng)人臉抓拍的案件。一名大學(xué)生在杭州某商場(chǎng)購物時(shí)，發(fā)現(xiàn)某門店外安裝了人臉識(shí)別抓拍攝像頭。消費(fèi)者只要到店，就會(huì)自動(dòng)被抓拍并注冊(cè)為會(huì)員，而商家通過將人臉信息與消費(fèi)行為結(jié)合分析，來進(jìn)行精準(zhǔn)營(yíng)銷。

還有賣家在社交平臺(tái)公開售賣人臉識(shí)別視頻、買賣人臉信息等，因人臉信息等身份信息泄露導(dǎo)致“被貸款”和隱私權(quán)、名譽(yù)權(quán)被侵害等問題多有發(fā)生。全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)等成立的APP專項(xiàng)治理工作組發(fā)布的《人臉識(shí)別應(yīng)用公眾調(diào)研報(bào)告(2020)》顯示，在2萬多名受訪者中，有三成受訪者表示已因人臉信息泄露、濫用而遭受隱私或財(cái)產(chǎn)損失。

“告知-同意”是《個(gè)人信息保護(hù)法》的核心規(guī)則，收集個(gè)人信息應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍

11月1日，我國(guó)第一部個(gè)人信息保護(hù)的專門法律《個(gè)人信息保護(hù)法》正式實(shí)施。

“這是我國(guó)置身數(shù)字化時(shí)代不可或缺的一項(xiàng)基礎(chǔ)性立法，貼合了關(guān)系每個(gè)人最直接最現(xiàn)實(shí)利益的立法需要。”北京航空航天大學(xué)法學(xué)院院長(zhǎng)龍衛(wèi)球告訴記者，個(gè)人信息是網(wǎng)絡(luò)信息化時(shí)代開始凸顯的一種新型且頗具基礎(chǔ)性的重要個(gè)人利益，它的價(jià)值通過數(shù)據(jù)挖掘和商業(yè)應(yīng)用得以顯現(xiàn)。個(gè)人信息保護(hù)和數(shù)字化發(fā)展之間的關(guān)系日益復(fù)雜，特別是未經(jīng)同意的個(gè)人信息處理和愈演愈烈的濫用行為，成為亟待解決的痛點(diǎn)。

“告知-同意”是《個(gè)人信息保護(hù)法》確立的個(gè)人信息保護(hù)核心規(guī)則。“《個(gè)人信息保護(hù)法》明確，處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對(duì)個(gè)人權(quán)益影響最小的方式。收集個(gè)人信息，應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍。”全國(guó)人大常委會(huì)法工委經(jīng)濟(jì)法室副主任楊合慶表示，個(gè)人信息處理者在取得個(gè)人同意的情形下方可處理個(gè)人信息，個(gè)人信息處理的重要事項(xiàng)發(fā)生變更，應(yīng)當(dāng)重新向個(gè)人告知并取得同意。

在《個(gè)人信息保護(hù)法》全文中，“告知”一詞出現(xiàn)了16次，“同意”一詞出現(xiàn)了27次。“‘告知-同意’規(guī)則是個(gè)人對(duì)個(gè)人信息處理享有知情權(quán)、決定權(quán)的必然要求。要保證個(gè)人對(duì)信息處理‘充分知情’，就應(yīng)該以顯著的方式、清晰易懂的語言讓個(gè)人知道誰在處理他的信息、信息被怎樣處理、可能對(duì)他造成何種影響，以及怎么要求更正、查詢、刪除個(gè)人信息等。”中央黨校(國(guó)家行政學(xué)院)政法部教授劉銳說。

“同意”并非泛泛而談。《個(gè)人信息保護(hù)法》明確規(guī)定了兩種同意機(jī)制，一是廣泛的同意，二是個(gè)人單獨(dú)同意。比如，該法規(guī)定，個(gè)人信息處理者處理敏感個(gè)人信息、向他人提供或公開個(gè)人信息、跨境轉(zhuǎn)移個(gè)人信息等，都應(yīng)取得個(gè)人的單獨(dú)同意。

“個(gè)人信息對(duì)于主體的重要程度不同，有的是敏感信息，有的是隱私信息，有的屬于一般信息，因此告知的強(qiáng)度和同意的方式、明確程度也不盡相同。”中國(guó)人民大學(xué)法學(xué)院教授、中國(guó)法學(xué)會(huì)網(wǎng)絡(luò)信息法學(xué)研究會(huì)副會(huì)長(zhǎng)張新寶說，《個(gè)人信息保護(hù)法》對(duì)此作了詳細(xì)區(qū)分。

針對(duì)群眾反映強(qiáng)烈的強(qiáng)制索權(quán)、不同意就無法使用APP，過度收集用戶信息，大數(shù)據(jù)“殺熟”等現(xiàn)象，《個(gè)人信息保護(hù)法》也作出了明確回應(yīng)。比如，該法第二十四條規(guī)定直指大數(shù)據(jù)“殺熟”，有利于規(guī)制人工智能等新興信息技術(shù)在個(gè)人信息處理領(lǐng)域的應(yīng)用：個(gè)人信息處理者利用個(gè)人信息進(jìn)行自動(dòng)化決策，應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正，不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇。

“個(gè)人信息保護(hù)問題往往被技術(shù)中立的外衣包裹，甚至被算法等操作系統(tǒng)黑箱化。”龍衛(wèi)球說，個(gè)人信息處理活動(dòng)本質(zhì)是一種科技應(yīng)用活動(dòng)，不同于一般的行為治理，必須進(jìn)行科技治理。《個(gè)人信息保護(hù)法》建立了強(qiáng)大的監(jiān)管體系，并且深入到技術(shù)治理層面，最終目的是讓技術(shù)向善發(fā)展。

濫用用戶個(gè)人信息源于對(duì)個(gè)人信息的過度采集，“守門人”規(guī)定等倒逼互聯(lián)網(wǎng)企業(yè)規(guī)范行為

“我們?yōu)槟阍黾恿藗€(gè)人信息瀏覽和導(dǎo)出機(jī)制，設(shè)置了系統(tǒng)權(quán)限和應(yīng)用授權(quán)管理入口，增加了個(gè)性化推薦管理途徑更詳細(xì)地披露了微信是如何處理你的個(gè)人信息的。”近期，微信等多家APP向用戶發(fā)送了類似告知。

“Apple已為《個(gè)人信息保護(hù)法》做好準(zhǔn)備。”蘋果公司也在發(fā)送給用戶的郵件中承諾“確保用戶能了解、能獲取、能更正自己的個(gè)人數(shù)據(jù)，能限制對(duì)個(gè)人數(shù)據(jù)的使用，并且能刪除這些數(shù)據(jù)。”

一家互聯(lián)網(wǎng)公司法務(wù)表示，“為了遵守《個(gè)人信息保護(hù)法》，各家互聯(lián)網(wǎng)企業(yè)的法務(wù)都在加班，面對(duì)細(xì)致的規(guī)定，需要改的地方太多了”。

濫用用戶個(gè)人信息的背后，實(shí)際上是從對(duì)個(gè)人信息的過度采集開始的。復(fù)旦大學(xué)中國(guó)研究院副研究員劉典告訴記者，“對(duì)于平臺(tái)型企業(yè)來說，用戶信息數(shù)據(jù)是一項(xiàng)具有商業(yè)價(jià)值的重要資產(chǎn)，這也是基于平臺(tái)經(jīng)濟(jì)的自身特點(diǎn)——有賴于龐大用戶群體形成網(wǎng)絡(luò)效應(yīng)。”

以阿里巴巴為例，用戶在淘寶上的消費(fèi)記錄，通過算法加以分析，形成對(duì)個(gè)人的授信核定，繼而催生了花唄等金融產(chǎn)品。

“從信息采集、加工再到價(jià)值轉(zhuǎn)化，是一條完整的數(shù)據(jù)價(jià)值鏈。基于這樣的商業(yè)邏輯，很多互聯(lián)網(wǎng)公司傾向于盡可能大幅度、廣覆蓋地去采集更多個(gè)人信息并形成數(shù)據(jù)。這就是過度采集的原因。”劉典說。

反觀消費(fèi)互聯(lián)網(wǎng)產(chǎn)業(yè)的商業(yè)模式，幾乎都建立在基于個(gè)人信息的消費(fèi)數(shù)據(jù)上，靠廣告盈利也是眾多APP免費(fèi)的基礎(chǔ)。通過采集信息對(duì)用戶“畫像”，其中的核心數(shù)據(jù)往往和個(gè)人信息中偏隱私性的信息高度相關(guān)。風(fēng)險(xiǎn)隨之而來，畢竟數(shù)據(jù)被采集后，其具體應(yīng)用場(chǎng)景難以預(yù)測(cè)。

民有所呼，法有所應(yīng)?！秱€(gè)人信息保護(hù)法》第五十八條進(jìn)一步完善了“守門人條款”：一是將提供基礎(chǔ)性互聯(lián)網(wǎng)平臺(tái)服務(wù)修改為提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)；二是在第一項(xiàng)中補(bǔ)充了按照國(guó)家規(guī)定建立健全個(gè)人信息保護(hù)合規(guī)制度體系的義務(wù)；三是單獨(dú)增加了一項(xiàng)守門人義務(wù)，即遵循公開、公平、公正的原則，制定平臺(tái)規(guī)則，明確平臺(tái)內(nèi)產(chǎn)品或者服務(wù)提供者處理個(gè)人信息的規(guī)范和保護(hù)個(gè)人信息的義務(wù)。

為提升用戶對(duì)于個(gè)人信息保護(hù)的感知，11月1日，工信部印發(fā)通知，要求企業(yè)建立個(gè)人信息保護(hù)“雙清單”(即建立已收集個(gè)人信息清單、與第三方共享個(gè)人信息清單)，并在APP二級(jí)菜單中展示，方便用戶查詢。同時(shí)要求提升APP關(guān)鍵責(zé)任鏈個(gè)人信息保護(hù)能力，鼓勵(lì)應(yīng)用商店為本平臺(tái)APP提供檢測(cè)服務(wù)，及時(shí)向APP開發(fā)者反饋相關(guān)問題并督促改正，防止違規(guī)APP上架。

統(tǒng)籌兼顧效率與公平、活力與秩序、發(fā)展與安全，需要在實(shí)踐中找到平衡，護(hù)航數(shù)字經(jīng)濟(jì)持續(xù)健康發(fā)展

近十年來我國(guó)數(shù)字經(jīng)濟(jì)發(fā)展勢(shì)頭迅猛，據(jù)中國(guó)信息通信研究院測(cè)算，數(shù)字經(jīng)濟(jì)增加值已由2011年的9.5萬億元增加到2019年的35.8萬億元，占GDP比重提升了超過15個(gè)百分點(diǎn)。2020年新冠肺炎疫情來襲，在線辦公、視頻會(huì)議、網(wǎng)上授課等無接觸經(jīng)濟(jì)蓬勃發(fā)展，有效對(duì)沖了經(jīng)濟(jì)下行風(fēng)險(xiǎn)，加速了企業(yè)的數(shù)字化戰(zhàn)略布局。一項(xiàng)針對(duì)全球兩千多家企業(yè)的調(diào)研發(fā)現(xiàn)，疫情將全球數(shù)字化進(jìn)程至少提前了5至7年。

圍繞數(shù)字經(jīng)濟(jì)，不少新業(yè)態(tài)仍處于發(fā)展階段。它們以信息和數(shù)據(jù)的高度流動(dòng)共享為發(fā)展前提。對(duì)大部分用戶而言，一方面厭惡信息分享和數(shù)據(jù)泄露帶來的風(fēng)險(xiǎn)，另一方面并不排斥基于信息分享基礎(chǔ)下獲取一定的生活便利。這樣的“隱私悖論”并不鮮見。

劉典認(rèn)為，關(guān)于個(gè)人信息權(quán)益的保護(hù)，核心問題在于用戶個(gè)人空間的信息被拿出來放入公共領(lǐng)域、商業(yè)領(lǐng)域流通，在這個(gè)過程中，個(gè)體應(yīng)該獲得讓渡出這部分權(quán)利的合理補(bǔ)償。此外，對(duì)于用戶其他方面權(quán)利可能受到的潛在影響，也應(yīng)該有一個(gè)好的救濟(jì)手段。

在劉典看來，《個(gè)人信息保護(hù)法》對(duì)此做出了積極回應(yīng)：一是明確了個(gè)人信息權(quán)益保護(hù)的具體內(nèi)容，二是明確了個(gè)人信息權(quán)益受到損害后有哪些救濟(jì)手段，三是完善了對(duì)于平臺(tái)責(zé)任的認(rèn)定和整個(gè)監(jiān)管框架的建構(gòu)。未來，如何統(tǒng)籌兼顧效率與公平、活力與秩序、發(fā)展與安全這三組關(guān)系，還需要在具體的司法、商業(yè)實(shí)踐中找到平衡。

過去，國(guó)內(nèi)對(duì)于違法違規(guī)搜集個(gè)人信息的處罰手段有限，主要依靠企業(yè)自律，或是監(jiān)管部門采取限期整改、約談和下架等方式，配套法律仍不完善。

此次《個(gè)人信息保護(hù)法》的生效，對(duì)個(gè)人信息的濫用可謂“當(dāng)頭棒喝”?！秱€(gè)人信息保護(hù)法》明確，一般的違法行為，可由監(jiān)管部門責(zé)令改正，給予警告，沒收違法所得，對(duì)相關(guān)應(yīng)用程序，責(zé)令暫?；蛘呓K止提供服務(wù)；拒不改正的，并處100萬元以下罰款；對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處1萬元以上10萬元以下罰款。情節(jié)嚴(yán)重的違法行為，由省級(jí)以上監(jiān)管部門責(zé)令改正，沒收違法所得，并處5000萬元以下或者上一年度營(yíng)業(yè)額5%以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓、通報(bào)有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營(yíng)業(yè)執(zhí)照。

從強(qiáng)化反壟斷到防止資本無序擴(kuò)張，再到強(qiáng)化個(gè)人信息保護(hù)，互聯(lián)網(wǎng)企業(yè)野蠻生長(zhǎng)的時(shí)代已經(jīng)過去，持續(xù)健康發(fā)展成為數(shù)字經(jīng)濟(jì)的主題。

本報(bào)記者 管筱璞 柴雅欣