来源:券商中国
11月1日,《个人信息保护法》正式实施,这一话题在当日迅速登上微博热搜。
“(个人信息保护法)终于来了。”一位微博网友感叹道,“早前各个行业违规收集个人信息导致我们经常会收到垃圾短信、营销电话,被诈骗电话欺骗、看人下菜的事情比比皆是,这一次法律出来,我们普通人也会减少一些风险。”
与此同时,该法律也被视为中国未来互联网行业监管的重要依据。“这部法律的意义不仅是制度层面的完善,同时也释放出国家下决心整顿数据治理乱象的信号。”一位法律人士表示,尤其是伴随数字经济蓬勃起来的互联网行业将面临监管压力。
券商中国记者发现,已有不少互联网公司作出针对性措施。就在近日,微信发布更新ios版本,在《微信隐私保护指引》中新增了个人化推荐管理管道,并更详细地披露了微信处理个人信息的方式等;淘宝也于该法律通过当天发布公告,更新其个人信息加密技术。
天下苦个人信息泄露久矣
生活在信息化时代,互联网“居民”早已饱受信息泄露之苦。《个人信息保护法》在11月1日实施首日迅速登上热搜,引起了舆论关注的该话题下的一条新闻——浙江宁波警方近日侦破一个非法获取倒卖快递面单信息的犯罪团伙,查获快递面单照片2万余张。
据央视新闻报道,犯罪团伙报价实时面单超过千张,每张3.5元。所谓的快递面单就是指贴在快递盒上的快递单,这些面单中包含了收件人姓名、电话、收件地址等个人信息。近几年个人信息保护意识开始觉醒,不少消费者已经开始意识到快递信息的重要性,会在丢弃快递盒前先去除面单信息。但此次新闻显示,大量快递面单可能在物流分拣、运输环节被拍照贩卖,而遭泄露的个人信息,大多会被诈骗分子用作进行诸如“网购理赔类”的精准诈骗。
一位在幼儿园工作的王姓女士就曾遭遇过此类诈骗。她告诉记者,在收到从京东平台购入的一双运动鞋后,她接到自称京东客服的人员来电,告知其购买的鞋子用材含甲醛、会致病,公司正在回收这批运动鞋,让王女士在指定链接页面填写退款申请。
王女士表示,起初接到自称京东客服的人员来电时,她其实也心存防备,但在对方准确说出自己的订单号、收件地址等信息后,王女士就放下了戒心,“在对方发来的链接里填完手机验证码不久后,我的手机就开始不断收到消费成功的通知短信,我才意识到自己被骗了”。
“后来我发现,像我这种情况比比皆是,我加入维权群里每天都会进来几个新人。”王女士说。
事实上,随着信息技术的发展覆盖到我们生活的方方面面,个人信息可能被泄漏的渠道也越来越多。“我们的个人信息早就漏成了筛子。”一位消费者在谈起保护个人信息时自嘲。一些新技术的兴起进一步引发了人们对个人信息泄漏的担忧,例如人脸识别。
人脸信息作为生物特征识别中的一种,与传统的数字密码相比,此类生物信息一旦丢失,便再无机会“重新设定”。比于其他生物特征,人脸信息还具有易于获取、获取过程无感化、与个人身份关联紧密等特性。
券商中国记者了解到,由于行业准入方面的监管缺失,部分小公司的人脸识别技术能力没有达到可匹配其展业范围的水平,人脸核验程序的反黑客能力较弱,还存在滥用所收集的个人信息数据的可能。“比如小区门禁用的人脸识别设备很多是由一些小运营商提供,而一些不规范的小公司获取数据后,很有可能进行倒卖来换取收益。”一位律师表示。
着重回应消费者关切
《个人信息保护法》的落地明确了企业保护用户个人信息的义务,并且在法案中着重回应了消费者关切的问题。
例如,人脸识别技术的滥用将得到一定遏制。《个人信息保护法》规定,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供;取得个人单独同意或者法律、行政法规另有规定的除外。
“由于人脸信息具有唯一性,销售企业可以利用人脸识别系统来不断收集用户的消费行为信息,建立起一一对应的用户档案。同时,人脸信息通常暴露在公共环境中,很容易实现无感知采集,用户无法知道企业是否存在识别人脸的行径。”一位人脸识别行业人士向券商中国记者表示,这其实是对消费者的不公平,更进一步,企业可能作出一人一价、优惠标准不统一等侵害消费者利益的行为。
这种“看人下菜“的大数据杀熟行为也被消费者诟病已久,《个人信息保护法》也对此做了针对性的规定。根据该法律第24条,利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。其中,该条款还明确,通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式等。
回溯《个人信息保护法》的修订之路,该法律经历了三次审议。2020年10月,《个人信息保护法(草案)》首次亮相,初次审议后,草案一审稿向社会征求意见并进行了修改,随后形成的草案二审稿于2021年4月提请审议。再次向社会公开征求意见并进行修改形成的草案三审稿于8月20日通过审议。
三版草案围绕“告知—同意”原则,明确信息收集应当遵循最小必要等基本原则,保障个人在信息收集、存储、使用、加工、传输、提供、公开、删除等环节的知情权、决定权。最终版本的草案还特别针对应用程序(App)过度收集个人信息、大数据杀熟以及非法买卖、泄露个人信息等行为加强规范,并首次增加了个人信息可携带转移的规定,进一步加强了信息主体对个人信息控制权。
互联网大厂忙整改
从用户层面来看,《个人信息保护法》实施效果如何还有待观察,但该法律对互联网行业的影响已经开始显露。就在近日,微信更新ios版本,该版本主要对《微信隐私保护指引》进行了调整,包括:
1. 隐私指引条款更新
为了更充分保障用户权利,微信新增了个人信息浏览和汇出机制,设定了系统权限和应用程序授权管理入口,新增了个人化推荐管理管道,并更详细地披露了微信处理用户个人信息的方式。
2. 信息共用披露更新
微信进一步披露了为最佳化广告效果需求而与第三方共用经去标识化或匿名后处理的信息,并已增加披露为确保部分独立功能的实现所连接第三方SDK的情况。
今年8月20日,在《个人信息保护法》通过三次审议当天,淘宝已宣布更新用户信息加密技术,商家和开发者也被要求跟进系统改造,此次调整包括在发货环节,消费者订单中涉及收件人的敏感信息将被加密处理,即软件服务商和商家从淘宝开放平台和订单推送服务中将不再能够获取收件人姓名、电话等隐私信息。
不难看出,《个人信息保护法》的多个条款均是针对大型互联网平台作出的专门规定。例如。该法律第58条规定,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行“按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督”等四项义务。
此外,第三次版本的草案中该新增个人信息可携带权,即“个人请求将其个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径”。这是欧盟GDPR创设的一项权利规定,被认为能够防止企业利用数据优势形成垄断,体现信息主体对个人信息的决定权。
在互联网竞争中,先行者常常能利用先发优势,形成用户依赖,从而导致“赢家通吃”的局面,这其中重要原因之一就在于用户往往难以将个人数据转移到新的平台或产品上面。有法律研究人士指出,数据可携带代表了“重新平衡”数据主体和数据控制者之间关系的机会,可以打通从大型互联网企业到中小型企业的数据流通通道。
“互联网行业的商业模式对数据的依赖程度很高,随着科技的发展,获取数据的成本又很低,这使得企业有强大的动力去获取用户信息。”一位金融科技行业人士告诉记者。而《个人信息保护法》的出台将极大增加互联网科技企业违规获取或使用个人信息的成本。
根据该法,对于违规行为的最高可处以五千万元以下或者上一年度营业额百分之五以下罚款。以阿里巴巴为例,该公司2020年度营业额为5097.11亿元,最高罚款上限可达250亿元。
保护个人信息仍任重道远
但目前,监管层面还缺乏更细化的规章和明确的分工。“从之前的网络安全法来看,目前主要是由网信办统筹,不具体执法,而是负责监督各部门执法,此外各部门有各自的监督机构,各部门之间又和公安部门有交集,这是目前国内的一个体系。”一位律师告诉记者,“但目前的问题是,执行层面各部门互有重合,导致‘九龙治水治不好’,立法层面各部门又不积极,导致专门针对各个行业特点的专门政策并不完善。”
全联并购公会信用管理专业委员会常务副主任刘新海则表示,因为中国幅员辽阔,在一个基本的法律框架下,不同地区、不同行业对数据的积累程度和需求情况各有不同。
“经济发达地区,有些监管需要更加严格,经济不发达地区可以宽松一点,支持其发展,每个行业也有各自特性,对数据敏感程度不一。因此各部门、各地方政府后续结合各自特征再推出细化的规章制度或许是更符合现实的考量。”他说。
此外,刘新海还提到,除了法律规章外,要完善个人信息保护制度还需“软硬兼施”。“很多信息泄露事件是发端于快递员、电商平台小商家等环节,对于这类情况很难仅通过上层法律设计进行约束,而需要建立起职业道德教育、监督惩罚机制等配套设施。“他指出,“简而言之,个人要教育、平台要约束、司法要跟进,这个过程需要慢慢完成,不是靠一部上位法就可以达成的。”