针对个人信息野蛮掘金的时代结束了
中央纪委国家监委网站 管筱璞 柴雅欣报道在手机上浏览购房信息,转身就接到装修销售电话;闲聊中提到某个产品,打开购物APP就收到同类广告推送……类似上述“被APP监控”的场景,对很多人而言,并不陌生。
11月8日,工信部就《关于开展信息通信服务感知提升行动的通知》进行解读,指出要建立与第三方共享个人信息清单,让用户知道企业收集了哪些信息,信息将被共享到哪里、用在何处。
互联网与大数据时代,个人信息是宝贵的数字资产,保护个人信息权益是广大人民群众最关心最直接最现实的利益问题之一。面对过度收集、非法获取、非法交易、泄露、滥用等乱象,如何筑牢个人信息安全“金钟罩”?《个人信息保护法》实施后会带来哪些改变?如何平衡好数字经济创新发展和个人信息保护间的关系?记者就此采访了相关专家。
(视频制作|叶源昊)
个人信息安全问题屡遭曝光,线上线下均有隐患
QQ音乐超范围收集个人信息,亚朵违规使用个人信息……11月3日,工信部通报38款APP存在超范围、过度收集用户个人信息等问题,要求11月9日前完成整改。而APP超范围、高频次索取权限,非服务场景收集用户个人信息,正是线上个人信息保护的突出隐患。
利用个人信息精准画像,有利于提升用户体验,在数字经济发展中发挥积极作用,但也产生了大数据“杀熟”等侵犯消费者权益现象。北京市消费者协会开展的专项调查显示,88.32%的被调查者认为大数据“杀熟”现象普遍或很普遍。
除不当收集利用之外,一些企业或个人还将个人信息摆上交易桌,明码标价贩卖个人信息,由此滋生出网络诈骗、电信诈骗等各类违法犯罪活动,形成个人信息泄露、买卖、诈骗的黑色产业链。
个人信息被侵犯不局限于线上,线下同样存在隐患,特别是对人脸、指纹、虹膜等生物数据的收集利用。除在车站检票、移动支付等场景中主动“刷脸”获取便利外,还有在不知情时被动“刷脸”的风险。
在为社会生活带来便利的同时,人脸识别技术所带来的个人信息保护问题也日益凸显。一些经营者滥用人脸识别技术侵害自然人合法权益的事件频发,引发社会公众的关注和担忧。图为云南省昆明市一办事群众正在自助设备上进行人脸识别操作。(图片来源:视觉中国)
还有卖家在社交平台公开售卖人脸识别视频、买卖人脸信息等,因人脸信息等身份信息泄露导致“被贷款”和隐私权、名誉权被侵害等问题多有发生。全国信息安全标准化技术委员会等成立的APP专项治理工作组发布的《人脸识别应用公众调研报告(2020)》显示,在2万多名受访者中,有三成受访者表示已因人脸信息泄露、滥用而遭受隐私或财产损失。
“告知-同意”是《个人信息保护法》的核心规则,收集个人信息应当限于实现处理目的的最小范围
11月1日,我国第一部个人信息保护的专门法律《个人信息保护法》正式实施。
“这是我国置身数字化时代不可或缺的一项基础性立法,贴合了关系每个人最直接最现实利益的立法需要。”北京航空航天大学法学院院长龙卫球告诉记者,个人信息是网络信息化时代开始凸显的一种新型且颇具基础性的重要个人利益,它的价值通过数据挖掘和商业应用得以显现。个人信息保护和数字化发展之间的关系日益复杂,特别是未经同意的个人信息处理和愈演愈烈的滥用行为,成为亟待解决的痛点。
图为贵州省铜仁市玉屏侗族自治县街头,有关部门工作人员发放“个人信息保护要点”等宣传资料,接受群众咨询,宣讲网络安全常识,增强市民的网络安全意识和防范能力。新华社记者 杨楹 摄
“告知-同意”是《个人信息保护法》确立的个人信息保护核心规则。“《个人信息保护法》明确,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围。”全国人大常委会法工委经济法室副主任杨合庆表示,个人信息处理者在取得个人同意的情形下方可处理个人信息,个人信息处理的重要事项发生变更,应当重新向个人告知并取得同意。
“同意”并非泛泛而谈。《个人信息保护法》明确规定了两种同意机制,一是广泛的同意,二是个人单独同意。比如,该法规定,个人信息处理者处理敏感个人信息、向他人提供或公开个人信息、跨境转移个人信息等,都应取得个人的单独同意。
针对群众反映强烈的强制索权、不同意就无法使用APP,过度收集用户信息,大数据“杀熟”等现象,《个人信息保护法》也作出了明确回应。比如,该法第二十四条规定直指大数据“杀熟”,有利于规制人工智能等新兴信息技术在个人信息处理领域的应用:个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
“个人信息保护问题往往被技术中立的外衣包裹,甚至被算法等操作系统黑箱化。”龙卫球说,个人信息处理活动本质是一种科技应用活动,不同于一般的行为治理,必须进行科技治理。《个人信息保护法》建立了强大的监管体系,并且深入到技术治理层面,最终目的是让技术向善发展。
滥用用户个人信息源于对个人信息的过度采集,“守门人”规定等倒逼互联网企业规范行为
滥用用户个人信息的背后,实际上是从对个人信息的过度采集开始的。复旦大学中国研究院副研究员刘典告诉记者,“对于平台型企业来说,用户信息数据是一项具有商业价值的重要资产,这也是基于平台经济的自身特点——有赖于庞大用户群体形成网络效应。”
以阿里巴巴为例,用户在淘宝上的消费记录,通过算法加以分析,形成对个人的授信核定,继而催生了花呗等金融产品。
“从信息采集、加工再到价值转化,是一条完整的数据价值链。基于这样的商业逻辑,很多互联网公司倾向于尽可能大幅度、广覆盖地去采集更多个人信息并形成数据。这就是过度采集的原因。”刘典说。
反观消费互联网产业的商业模式,几乎都建立在基于个人信息的消费数据上,靠广告盈利也是众多APP免费的基础。通过采集信息对用户“画像”,其中的核心数据往往和个人信息中偏隐私性的信息高度相关。风险随之而来,毕竟数据被采集后,其具体应用场景难以预测。
图为在中国国际信息通信展览会上,某公司保护国家秘密、保护工作秘密、保护个人隐私展台。(图片来源:视觉中国)
民有所呼,法有所应。《个人信息保护法》第五十八条进一步完善了“守门人条款”:一是将提供基础性互联网平台服务修改为提供重要互联网平台服务;二是在第一项中补充了按照国家规定建立健全个人信息保护合规制度体系的义务;三是单独增加了一项守门人义务,即遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务。
为提升用户对于个人信息保护的感知,11月1日,工信部印发通知,要求企业建立个人信息保护“双清单”(即建立已收集个人信息清单、与第三方共享个人信息清单),并在APP二级菜单中展示,方便用户查询。同时要求提升APP关键责任链个人信息保护能力,鼓励应用商店为本平台APP提供检测服务,及时向APP开发者反馈相关问题并督促改正,防止违规APP上架。
统筹兼顾效率与公平、活力与秩序、发展与安全,需要在实践中找到平衡,护航数字经济持续健康发展
围绕数字经济,不少新业态仍处于发展阶段。它们以信息和数据的高度流动共享为发展前提。对大部分用户而言,一方面厌恶信息分享和数据泄露带来的风险,另一方面并不排斥基于信息分享基础下获取一定的生活便利。这样的“隐私悖论”并不鲜见。
刘典认为,关于个人信息权益的保护,核心问题在于用户个人空间的信息被拿出来放入公共领域、商业领域流通,在这个过程中,个体应该获得让渡出这部分权利的合理补偿。此外,对于用户其他方面权利可能受到的潜在影响,也应该有一个好的救济手段。
在刘典看来,《个人信息保护法》对此做出了积极回应:一是明确了个人信息权益保护的具体内容,二是明确了个人信息权益受到损害后有哪些救济手段,三是完善了对于平台责任的认定和整个监管框架的建构。未来,如何统筹兼顾效率与公平、活力与秩序、发展与安全这三组关系,还需要在具体的司法、商业实践中找到平衡。
此次《个人信息保护法》的生效,对个人信息的滥用可谓“当头棒喝”。《个人信息保护法》明确,一般的违法行为,可由监管部门责令改正,给予警告,没收违法所得,对相关应用程序,责令暂停或者终止提供服务;拒不改正的,并处100万元以下罚款;对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。情节严重的违法行为,由省级以上监管部门责令改正,没收违法所得,并处5000万元以下或者上一年度营业额5%以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。
从强化反垄断到防止资本无序扩张,再到强化个人信息保护,互联网企业野蛮生长的时代已经过去,持续健康发展成为数字经济的主题。
点击下方“阅读原文”,查看完整版内容
编辑:吴宇轩
校对:张颖楠
更多内容,为您推荐