继个人信息保护法施行后工信部要求建立与第三方共享个人信息清单
针对个人信息野蛮掘金的时代结束了
在手机上浏览购房信息,转身就接到装修销售电话;闲聊中提到某个产品,打开购物APP就收到同类广告推送……类似上述“被APP监控”的场景,对很多人而言,并不陌生。
11月8日,工信部就《关于开展信息通信服务感知提升行动的通知》进行解读,指出要建立与第三方共享个人信息清单,让用户知道企业收集了哪些信息,信息将被共享到哪里、用在何处。
互联网与大数据时代,个人信息是宝贵的数字资产,保护个人信息权益是广大人民群众最关心最直接最现实的利益问题之一。面对过度收集、非法获取、非法交易、泄露、滥用等乱象,如何筑牢个人信息安全“金钟罩”?《个人信息保护法》实施后会带来哪些改变?如何平衡好数字经济创新发展和个人信息保护间的关系?记者就此采访了相关专家。
个人信息安全问题屡遭曝光,线上线下均有隐患
QQ音乐超范围收集个人信息,亚朵违规使用个人信息……11月3日,工信部通报38款APP存在超范围、过度收集用户个人信息等问题,要求11月9日前完成整改。而APP超范围、高频次索取权限,非服务场景收集用户个人信息,正是线上个人信息保护的突出隐患。
记者点开某音乐应用的相关政策说明,在“如何收集和使用个人信息”一章中,除完成注册及登录、实现身份认证等使用目的外,还包括对收集的部分个人信息进行商业利用,例如提取浏览、搜索偏好、位置信息,推送个性化广告等,这也是数字经济时代个人信息的潜在商业价值。
利用个人信息精准画像,有利于提升用户体验,在数字经济发展中发挥积极作用,但也产生了大数据“杀熟”等侵犯消费者权益现象。北京市消费者协会开展的专项调查显示,88.32%的被调查者认为大数据“杀熟”现象普遍或很普遍。
“大家对大数据‘杀熟’的问题感受比较明显。”公安部第三研究所网络安全法律研究中心主任、研究员黄道丽说,大数据“杀熟”是指互联网平台依靠数据优势和信息不对称,对用户实施价格歧视。它主要由算法定价引起,典型表现为新老用户在价格上被差别对待。
除不当收集利用之外,一些企业或个人还将个人信息摆上交易桌,明码标价贩卖个人信息,由此滋生出网络诈骗、电信诈骗等各类违法犯罪活动,形成个人信息泄露、买卖、诈骗的黑色产业链。
比如,在江苏淮安警方破获的一起侵犯公民个人信息案中,某银行员工以每条80元到100元的价格,将银行卡使用人的身份信息、电话号码、余额甚至交易记录售卖谋利,涉及个人信息5万余条;某快递公司内部员工与外部不法分子勾结,外泄40万条用户个人信息,其中约4.5万条有效信息被以每条1元的价格打包售卖到电信诈骗高发区。
个人信息被侵犯不局限于线上,线下同样存在隐患,特别是对人脸、指纹、虹膜等生物数据的收集利用。除在车站检票、移动支付等场景中主动“刷脸”获取便利外,还有在不知情时被动“刷脸”的风险。
有些门店使用“无感式”人脸识别技术,在未经同意情况下擅自采集消费者人脸信息。10月29日,浙江省杭州市上城区人民法院受理了一起消费者诉商场人脸抓拍的案件。一名大学生在杭州某商场购物时,发现某门店外安装了人脸识别抓拍摄像头。消费者只要到店,就会自动被抓拍并注册为会员,而商家通过将人脸信息与消费行为结合分析,来进行精准营销。
还有卖家在社交平台公开售卖人脸识别视频、买卖人脸信息等,因人脸信息等身份信息泄露导致“被贷款”和隐私权、名誉权被侵害等问题多有发生。全国信息安全标准化技术委员会等成立的APP专项治理工作组发布的《人脸识别应用公众调研报告(2020)》显示,在2万多名受访者中,有三成受访者表示已因人脸信息泄露、滥用而遭受隐私或财产损失。
“告知-同意”是《个人信息保护法》的核心规则,收集个人信息应当限于实现处理目的的最小范围
11月1日,我国第一部个人信息保护的专门法律《个人信息保护法》正式实施。
“这是我国置身数字化时代不可或缺的一项基础性立法,贴合了关系每个人最直接最现实利益的立法需要。”北京航空航天大学法学院院长龙卫球告诉记者,个人信息是网络信息化时代开始凸显的一种新型且颇具基础性的重要个人利益,它的价值通过数据挖掘和商业应用得以显现。个人信息保护和数字化发展之间的关系日益复杂,特别是未经同意的个人信息处理和愈演愈烈的滥用行为,成为亟待解决的痛点。
“告知-同意”是《个人信息保护法》确立的个人信息保护核心规则。“《个人信息保护法》明确,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围。”全国人大常委会法工委经济法室副主任杨合庆表示,个人信息处理者在取得个人同意的情形下方可处理个人信息,个人信息处理的重要事项发生变更,应当重新向个人告知并取得同意。
在《个人信息保护法》全文中,“告知”一词出现了16次,“同意”一词出现了27次。“‘告知-同意’规则是个人对个人信息处理享有知情权、决定权的必然要求。要保证个人对信息处理‘充分知情’,就应该以显著的方式、清晰易懂的语言让个人知道谁在处理他的信息、信息被怎样处理、可能对他造成何种影响,以及怎么要求更正、查询、删除个人信息等。”中央党校(国家行政学院)政法部教授刘锐说。
“同意”并非泛泛而谈。《个人信息保护法》明确规定了两种同意机制,一是广泛的同意,二是个人单独同意。比如,该法规定,个人信息处理者处理敏感个人信息、向他人提供或公开个人信息、跨境转移个人信息等,都应取得个人的单独同意。
“个人信息对于主体的重要程度不同,有的是敏感信息,有的是隐私信息,有的属于一般信息,因此告知的强度和同意的方式、明确程度也不尽相同。”中国人民大学法学院教授、中国法学会网络信息法学研究会副会长张新宝说,《个人信息保护法》对此作了详细区分。
针对群众反映强烈的强制索权、不同意就无法使用APP,过度收集用户信息,大数据“杀熟”等现象,《个人信息保护法》也作出了明确回应。比如,该法第二十四条规定直指大数据“杀熟”,有利于规制人工智能等新兴信息技术在个人信息处理领域的应用:个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
“个人信息保护问题往往被技术中立的外衣包裹,甚至被算法等操作系统黑箱化。”龙卫球说,个人信息处理活动本质是一种科技应用活动,不同于一般的行为治理,必须进行科技治理。《个人信息保护法》建立了强大的监管体系,并且深入到技术治理层面,最终目的是让技术向善发展。
滥用用户个人信息源于对个人信息的过度采集,“守门人”规定等倒逼互联网企业规范行为
“我们为你增加了个人信息浏览和导出机制,设置了系统权限和应用授权管理入口,增加了个性化推荐管理途径更详细地披露了微信是如何处理你的个人信息的。”近期,微信等多家APP向用户发送了类似告知。
“Apple已为《个人信息保护法》做好准备。”苹果公司也在发送给用户的邮件中承诺“确保用户能了解、能获取、能更正自己的个人数据,能限制对个人数据的使用,并且能删除这些数据。”
一家互联网公司法务表示,“为了遵守《个人信息保护法》,各家互联网企业的法务都在加班,面对细致的规定,需要改的地方太多了”。
滥用用户个人信息的背后,实际上是从对个人信息的过度采集开始的。复旦大学中国研究院副研究员刘典告诉记者,“对于平台型企业来说,用户信息数据是一项具有商业价值的重要资产,这也是基于平台经济的自身特点——有赖于庞大用户群体形成网络效应。”
以阿里巴巴为例,用户在淘宝上的消费记录,通过算法加以分析,形成对个人的授信核定,继而催生了花呗等金融产品。
“从信息采集、加工再到价值转化,是一条完整的数据价值链。基于这样的商业逻辑,很多互联网公司倾向于尽可能大幅度、广覆盖地去采集更多个人信息并形成数据。这就是过度采集的原因。”刘典说。
反观消费互联网产业的商业模式,几乎都建立在基于个人信息的消费数据上,靠广告盈利也是众多APP免费的基础。通过采集信息对用户“画像”,其中的核心数据往往和个人信息中偏隐私性的信息高度相关。风险随之而来,毕竟数据被采集后,其具体应用场景难以预测。
民有所呼,法有所应。《个人信息保护法》第五十八条进一步完善了“守门人条款”:一是将提供基础性互联网平台服务修改为提供重要互联网平台服务;二是在第一项中补充了按照国家规定建立健全个人信息保护合规制度体系的义务;三是单独增加了一项守门人义务,即遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务。
为提升用户对于个人信息保护的感知,11月1日,工信部印发通知,要求企业建立个人信息保护“双清单”(即建立已收集个人信息清单、与第三方共享个人信息清单),并在APP二级菜单中展示,方便用户查询。同时要求提升APP关键责任链个人信息保护能力,鼓励应用商店为本平台APP提供检测服务,及时向APP开发者反馈相关问题并督促改正,防止违规APP上架。
统筹兼顾效率与公平、活力与秩序、发展与安全,需要在实践中找到平衡,护航数字经济持续健康发展
近十年来我国数字经济发展势头迅猛,据中国信息通信研究院测算,数字经济增加值已由2011年的9.5万亿元增加到2019年的35.8万亿元,占GDP比重提升了超过15个百分点。2020年新冠肺炎疫情来袭,在线办公、视频会议、网上授课等无接触经济蓬勃发展,有效对冲了经济下行风险,加速了企业的数字化战略布局。一项针对全球两千多家企业的调研发现,疫情将全球数字化进程至少提前了5至7年。
围绕数字经济,不少新业态仍处于发展阶段。它们以信息和数据的高度流动共享为发展前提。对大部分用户而言,一方面厌恶信息分享和数据泄露带来的风险,另一方面并不排斥基于信息分享基础下获取一定的生活便利。这样的“隐私悖论”并不鲜见。
刘典认为,关于个人信息权益的保护,核心问题在于用户个人空间的信息被拿出来放入公共领域、商业领域流通,在这个过程中,个体应该获得让渡出这部分权利的合理补偿。此外,对于用户其他方面权利可能受到的潜在影响,也应该有一个好的救济手段。
在刘典看来,《个人信息保护法》对此做出了积极回应:一是明确了个人信息权益保护的具体内容,二是明确了个人信息权益受到损害后有哪些救济手段,三是完善了对于平台责任的认定和整个监管框架的建构。未来,如何统筹兼顾效率与公平、活力与秩序、发展与安全这三组关系,还需要在具体的司法、商业实践中找到平衡。
过去,国内对于违法违规搜集个人信息的处罚手段有限,主要依靠企业自律,或是监管部门采取限期整改、约谈和下架等方式,配套法律仍不完善。
此次《个人信息保护法》的生效,对个人信息的滥用可谓“当头棒喝”。《个人信息保护法》明确,一般的违法行为,可由监管部门责令改正,给予警告,没收违法所得,对相关应用程序,责令暂停或者终止提供服务;拒不改正的,并处100万元以下罚款;对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。情节严重的违法行为,由省级以上监管部门责令改正,没收违法所得,并处5000万元以下或者上一年度营业额5%以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。
从强化反垄断到防止资本无序扩张,再到强化个人信息保护,互联网企业野蛮生长的时代已经过去,持续健康发展成为数字经济的主题。(记者 管筱璞 柴雅欣)