繼個人資訊保護法施行後 工信部要求建立與第三方共用個人資訊清單
針對個人資訊野蠻掘金的時代結束了
在手機上瀏覽購房資訊,轉身就接到裝修銷售電話;閒聊中提到某個産品,打開購物APP就收到同類廣告推送……類似上述“被APP監控”的場景,對很多人而言,並不陌生。
11月8日,工信部就《關于開展資訊通信服務感知提升行動的通知》進行解讀,指出要建立與第三方共用個人資訊清單,讓用戶知道企業收集了哪些資訊,資訊將被共用到哪裏、用在何處。
互聯網與大數據時代,個人資訊是寶貴的數字資産,保護個人資訊權益是廣大人民群眾最關心最直接最現實的利益問題之一。面對過度收集、非法獲取、非法交易、泄露、濫用等亂象,如何築牢個人信息安全“金鐘罩”?《個人資訊保護法》實施後會帶來哪些改變?如何平衡好數字經濟創新發展和個人資訊保護間的關係?記者就此採訪了相關專家。
個人信息安全問題屢遭曝光,線上線下均有隱患
QQ音樂超范圍收集個人資訊,亞朵違規使用個人資訊……11月3日,工信部通報38款APP存在超范圍、過度收集用戶個人資訊等問題,要求11月9日前完成整改。而APP超范圍、高頻次索取許可權,非服務場景收集用戶個人資訊,正是線上個人資訊保護的突出隱患。
記者點開某音樂應用的相關政策説明,在“如何收集和使用個人資訊”一章中,除完成注冊及登錄、實現身份認證等使用目的外,還包括對收集的部分個人資訊進行商業利用,例如提取瀏覽、搜索偏好、位置資訊,推送個性化廣告等,這也是數字經濟時代個人資訊的潛在商業價值。
利用個人資訊精準畫像,有利于提升用戶體驗,在數字經濟發展中發揮積極作用,但也産生了大數據“殺熟”等侵犯消費者權益現象。北京市消費者協會開展的專項調查顯示,88.32%的被調查者認為大數據“殺熟”現象普遍或很普遍。
“大家對大數據‘殺熟’的問題感受比較明顯。”公安部第三研究所網絡安全法律研究中心主任、研究員黃道麗説,大數據“殺熟”是指互聯網平臺依靠數據優勢和資訊不對稱,對用戶實施價格歧視。它主要由演算法定價引起,典型表現為新老用戶在價格上被差別對待。
除不當收集利用之外,一些企業或個人還將個人資訊擺上交易桌,明碼標價販賣個人資訊,由此滋生出網絡詐騙、電信詐騙等各類違法犯罪活動,形成個人資訊泄露、買賣、詐騙的黑色産業鏈。
比如,在江蘇淮安警方破獲的一起侵犯公民個人資訊案中,某銀行員工以每條80元到100元的價格,將銀行卡使用人的身份資訊、電話號碼、余額甚至交易記錄售賣謀利,涉及個人資訊5萬余條;某快遞公司內部員工與外部不法分子勾結,外泄40萬條用戶個人資訊,其中約4.5萬條有效資訊被以每條1元的價格打包售賣到電信詐騙高發區。
個人資訊被侵犯不局限于線上,線下同樣存在隱患,特別是對人臉、指紋、虹膜等生物數據的收集利用。除在車站檢票、移動支付等場景中主動“刷臉”獲取便利外,還有在不知情時被動“刷臉”的風險。
有些門店使用“無感式”人臉識別技術,在未經同意情況下擅自採集消費者人臉資訊。10月29日,浙江省杭州市上城區人民法院受理了一起消費者訴商場人臉抓拍的案件。一名大學生在杭州某商場購物時,發現某門店外安裝了人臉識別抓拍攝像頭。消費者只要到店,就會自動被抓拍並注冊為會員,而商家通過將人臉資訊與消費行為結合分析,來進行精準行銷。
還有賣家在社交平臺公開售賣人臉識別視頻、買賣人臉資訊等,因人臉資訊等身份資訊泄露導致“被貸款”和隱私權、名譽權被侵害等問題多有發生。全國信息安全標準化技術委員會等成立的APP專項治理工作組發布的《人臉識別應用公眾調研報告(2020)》顯示,在2萬多名受訪者中,有三成受訪者表示已因人臉資訊泄露、濫用而遭受隱私或財産損失。
“告知-同意”是《個人資訊保護法》的核心規則,收集個人資訊應當限于實現處理目的的最小范圍
11月1日,我國第一部個人資訊保護的專門法律《個人資訊保護法》正式實施。
“這是我國置身數字化時代不可或缺的一項基礎性立法,貼合了關係每個人最直接最現實利益的立法需要。”北京航空航太大學法學院院長龍衛球告訴記者,個人資訊是網絡信息化時代開始凸顯的一種新型且頗具基礎性的重要個人利益,它的價值通過數據挖掘和商業應用得以顯現。個人資訊保護和數字化發展之間的關係日益復雜,特別是未經同意的個人資訊處理和愈演愈烈的濫用行為,成為亟待解決的痛點。
“告知-同意”是《個人資訊保護法》確立的個人資訊保護核心規則。“《個人資訊保護法》明確,處理個人資訊應當具有明確、合理的目的,並應當與處理目的直接相關,採取對個人權益影響最小的方式。收集個人資訊,應當限于實現處理目的的最小范圍。”全國人大常委會法工委經濟法室副主任楊合慶表示,個人資訊處理者在取得個人同意的情形下方可處理個人資訊,個人資訊處理的重要事項發生變更,應當重新向個人告知並取得同意。
在《個人資訊保護法》全文中,“告知”一詞出現了16次,“同意”一詞出現了27次。“‘告知-同意’規則是個人對個人資訊處理享有知情權、決定權的必然要求。要保證個人對資訊處理‘充分知情’,就應該以顯著的方式、清晰易懂的語言讓個人知道誰在處理他的資訊、資訊被怎樣處理、可能對他造成何種影響,以及怎麼要求更正、查詢、刪除個人資訊等。”中央黨校(國家行政學院)政法部教授劉銳説。
“同意”並非泛泛而談。《個人資訊保護法》明確規定了兩種同意機制,一是廣泛的同意,二是個人單獨同意。比如,該法規定,個人資訊處理者處理敏感個人資訊、向他人提供或公開個人資訊、跨境轉移個人資訊等,都應取得個人的單獨同意。
“個人資訊對于主體的重要程度不同,有的是敏感資訊,有的是隱私資訊,有的屬于一般資訊,因此告知的強度和同意的方式、明確程度也不盡相同。”中國人民大學法學院教授、中國法學會網絡資訊法學研究會副會長張新寶説,《個人資訊保護法》對此作了詳細區分。
針對群眾反映強烈的強制索權、不同意就無法使用APP,過度收集用戶資訊,大數據“殺熟”等現象,《個人資訊保護法》也作出了明確回應。比如,該法第二十四條規定直指大數據“殺熟”,有利于規制人工智慧等新興信息技術在個人資訊處理領域的應用:個人資訊處理者利用個人資訊進行自動化決策,應當保證決策的透明度和結果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。
“個人資訊保護問題往往被技術中立的外衣包裹,甚至被演算法等作業系統黑箱化。”龍衛球説,個人資訊處理活動本質是一種科技應用活動,不同于一般的行為治理,必須進行科技治理。《個人資訊保護法》建立了強大的監管體係,並且深入到技術治理層面,最終目的是讓技術向善發展。
濫用用戶個人資訊源于對個人資訊的過度採集,“守門人”規定等倒逼互聯網企業規范行為
“我們為你增加了個人資訊瀏覽和導出機制,設置了係統許可權和應用授權管理入口,增加了個性化推薦管理途徑更詳細地披露了微信是如何處理你的個人資訊的。”近期,微信等多家APP向用戶發送了類似告知。
“Apple已為《個人資訊保護法》做好準備。”蘋果公司也在發送給用戶的郵件中承諾“確保用戶能了解、能獲取、能更正自己的個人數據,能限制對個人數據的使用,並且能刪除這些數據。”
一家互聯網公司法務表示,“為了遵守《個人資訊保護法》,各家互聯網企業的法務都在加班,面對細致的規定,需要改的地方太多了”。
濫用用戶個人資訊的背後,實際上是從對個人資訊的過度採集開始的。復旦大學中國研究院副研究員劉典告訴記者,“對于平臺型企業來説,用戶資訊數據是一項具有商業價值的重要資産,這也是基于平臺經濟的自身特點——有賴于龐大用戶群體形成網絡效應。”
以阿里巴巴為例,用戶在淘寶上的消費記錄,通過演算法加以分析,形成對個人的授信核定,繼而催生了花唄等金融産品。
“從資訊採集、加工再到價值轉化,是一條完整的數據價值鏈。基于這樣的商業邏輯,很多互聯網公司傾向于盡可能大幅度、廣覆蓋地去採集更多個人資訊並形成數據。這就是過度採集的原因。”劉典説。
反觀消費互聯網産業的商業模式,幾乎都建立在基于個人資訊的消費數據上,靠廣告盈利也是眾多APP免費的基礎。通過採集資訊對用戶“畫像”,其中的核心數據往往和個人資訊中偏隱私性的資訊高度相關。風險隨之而來,畢竟數據被採集後,其具體應用場景難以預測。
民有所呼,法有所應。《個人資訊保護法》第五十八條進一步完善了“守門人條款”:一是將提供基礎性互聯網平臺服務修改為提供重要互聯網平臺服務;二是在第一項中補充了按照國家規定建立健全個人資訊保護合規制度體係的義務;三是單獨增加了一項守門人義務,即遵循公開、公平、公正的原則,制定平臺規則,明確平臺內産品或者服務提供者處理個人資訊的規范和保護個人資訊的義務。
為提升用戶對于個人資訊保護的感知,11月1日,工信部印發通知,要求企業建立個人資訊保護“雙清單”(即建立已收集個人資訊清單、與第三方共用個人資訊清單),並在APP二級功能表中展示,方便用戶查詢。同時要求提升APP關鍵責任鏈個人資訊保護能力,鼓勵應用商店為本平臺APP提供檢測服務,及時向APP開發者反饋相關問題並督促改正,防止違規APP上架。
統籌兼顧效率與公平、活力與秩序、發展與安全,需要在實踐中找到平衡,護航數字經濟持續健康發展
近十年來我國數字經濟發展勢頭迅猛,據中國資訊通信研究院測算,數字經濟增加值已由2011年的9.5萬億元增加到2019年的35.8萬億元,佔GDP比重提升了超過15個百分點。2020年新冠肺炎疫情來襲,線上辦公、視頻會議、網上授課等無接觸經濟蓬勃發展,有效對衝了經濟下行風險,加速了企業的數字化戰略布局。一項針對全球兩千多家企業的調研發現,疫情將全球數字化進程至少提前了5至7年。
圍繞數字經濟,不少新業態仍處于發展階段。它們以資訊和數據的高度流動共用為發展前提。對大部分用戶而言,一方面厭惡資訊分享和數據泄露帶來的風險,另一方面並不排斥基于資訊分享基礎下獲取一定的生活便利。這樣的“隱私悖論”並不鮮見。
劉典認為,關于個人資訊權益的保護,核心問題在于用戶個人空間的資訊被拿出來放入公共領域、商業領域流通,在這個過程中,個體應該獲得讓渡出這部分權利的合理補償。此外,對于用戶其他方面權利可能受到的潛在影響,也應該有一個好的救濟手段。
在劉典看來,《個人資訊保護法》對此做出了積極回應:一是明確了個人資訊權益保護的具體內容,二是明確了個人資訊權益受到損害後有哪些救濟手段,三是完善了對于平臺責任的認定和整個監管框架的建構。未來,如何統籌兼顧效率與公平、活力與秩序、發展與安全這三組關係,還需要在具體的司法、商業實踐中找到平衡。
過去,國內對于違法違規搜集個人資訊的處罰手段有限,主要依靠企業自律,或是監管部門採取限期整改、約談和下架等方式,配套法律仍不完善。
此次《個人資訊保護法》的生效,對個人資訊的濫用可謂“當頭棒喝”。《個人資訊保護法》明確,一般的違法行為,可由監管部門責令改正,給予警告,沒收違法所得,對相關應用程式,責令暫停或者終止提供服務;拒不改正的,並處100萬元以下罰款;對直接負責的主管人員和其他直接責任人員處1萬元以上10萬元以下罰款。情節嚴重的違法行為,由省級以上監管部門責令改正,沒收違法所得,並處5000萬元以下或者上一年度營業額5%以下罰款,並可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照。
從強化反壟斷到防止資本無序擴張,再到強化個人資訊保護,互聯網企業野蠻生長的時代已經過去,持續健康發展成為數字經濟的主題。(記者 管筱璞 柴雅欣)
