原標(biāo)題:掃碼點餐、電商購物、使用APP……個人信息保護應(yīng)更規(guī)范 共建共治共享良好數(shù)字生態(tài)(關(guān)注個人信息保護)
我國網(wǎng)民規(guī)模龐大,互聯(lián)網(wǎng)應(yīng)用場景豐富,帶來諸多便利。隨著技術(shù)的發(fā)展和使用的深入,從手機APP到深度偽造技術(shù)、智能互聯(lián)設(shè)備,個人信息保護日益成為人們關(guān)注的焦點,也是數(shù)字經(jīng)濟發(fā)展必須直面的課題。
11月1日起,個人信息保護法將正式實施。本版今起推出系列策劃“關(guān)注個人信息保護”,聚焦個人信息保護現(xiàn)狀,探討如何共同筑牢安全邊界、共建共治共享良好數(shù)字生態(tài)。
——編 者
安裝手電筒程序,要提供地理位置信息;下載文字編輯APP,需獲取通訊錄權(quán)限;走進(jìn)售樓處,在毫不知情時,人臉信息可能被記錄……大數(shù)據(jù)時代,人們享受著數(shù)據(jù)帶來的便利,也被一些過度收集個人信息的行為所困擾。
不久前,十三屆全國人大常委會第三十次會議審議通過《中華人民共和國個人信息保護法》(以下簡稱“個人信息保護法”),并將于11月1日正式實施。
難以拒絕的“同意”
不授權(quán)就無法使用,權(quán)限與APP功能需求并不匹配
在調(diào)查了數(shù)十萬款A(yù)PP后,中國人民大學(xué)一個團隊研究發(fā)現(xiàn),APP的各類權(quán)限有30多個,但很多權(quán)限跟APP實現(xiàn)功能的需求并不匹配。
APP要求這么多權(quán)限有何用?如果仔細(xì)查看用戶隱私協(xié)議條款,幾乎無一例外提及,將對收集的部分信息進(jìn)行商業(yè)利用,例如推送個性化的信息、廣告等,這也是個人信息潛在的商業(yè)價值。
擔(dān)心信息被違規(guī)使用,在安裝一些APP時,北京市朝陽區(qū)的王先生曾想拒絕某些授權(quán),可他發(fā)現(xiàn),不同意授權(quán),就無法使用。“一旦授權(quán),我的個人信息去了哪兒?”王先生很困惑。同時,權(quán)限申請的文字大多冗長復(fù)雜。曾有人統(tǒng)計,APP通行的隱私條款內(nèi)容大多在1萬字以上。閱讀等待時間過后,許多人來不及細(xì)看,就會直接點“同意”。
一位開發(fā)者表示,獲取權(quán)限后,后臺甚至能夠判斷數(shù)據(jù)背后的人做什么工作、常去哪里。保護虛擬空間數(shù)據(jù)化的“我們”,通常依靠收集方自律。然而,倘若某些企業(yè)安全“防護墻”不結(jié)實,就可能造成信息泄露。更大的風(fēng)險是,一些數(shù)據(jù)收集方甚至?xí)銎饠?shù)據(jù)交換的“生意”,幾經(jīng)轉(zhuǎn)手,數(shù)據(jù)可能被非法利用。
近些年,有媒體曝出在網(wǎng)絡(luò)平臺明碼標(biāo)價販賣個人信息的事件。比如,一則17萬條“人臉數(shù)據(jù)”被公開售賣的新聞,就曾引起社會廣泛關(guān)注。
利用信息分析個人特征,為用戶精準(zhǔn)畫像,有利于提升消費體驗,但也會產(chǎn)生“大數(shù)據(jù)殺熟”等侵犯消費者權(quán)益的行為。復(fù)旦大學(xué)一項關(guān)于網(wǎng)約車的研究發(fā)現(xiàn),某一品牌手機用戶更容易被舒適型車輛司機接單,這一比例遠(yuǎn)高于其他品牌手機用戶。也有網(wǎng)友反映,同一時段與朋友在網(wǎng)上瀏覽同樣品牌的相同商品,價格存在不小的差異。
此外,隨著數(shù)據(jù)內(nèi)涵的擴大,人臉信息、健康信息、金融賬戶、行蹤軌跡等也越來越多被收集,這些信息因與隱私密切相關(guān),比較敏感。專家表示,收集、處理敏感個人信息的規(guī)范應(yīng)當(dāng)更加嚴(yán)格。
“告知—同意”是核心規(guī)則
收集個人信息,應(yīng)當(dāng)限于實現(xiàn)處理目的的最小范圍
“為了提高體驗,完善產(chǎn)品,一些APP必然要求獲得權(quán)限,用數(shù)據(jù)來服務(wù)消費者。”安全專家、綠盟科技集團副總裁曹嘉說,由于實際生活中的應(yīng)用場景往往比較復(fù)雜,數(shù)據(jù)收集、使用范圍的邊界并不清晰。
圍繞規(guī)范個人信息處理活動、保障個人信息權(quán)益,個人信息保護法構(gòu)建了“告知—同意”的個人信息處理規(guī)則。
專家表示,個人信息保護法明確,處理個人信息應(yīng)當(dāng)具有明確、合理的目的,并應(yīng)當(dāng)與處理目的直接相關(guān),采取對個人權(quán)益影響最小的方式。收集個人信息,應(yīng)當(dāng)限于實現(xiàn)處理目的的最小范圍。
同時,對于人們反映強烈的一攬子授權(quán)、強制同意等問題,個人信息保護法特別要求,個人信息處理者在處理敏感個人信息、向他人提供或公開個人信息、跨境轉(zhuǎn)移個人信息等環(huán)節(jié)應(yīng)取得個人的單獨同意,明確個人信息處理者不得過度收集個人信息,不得以個人不同意為由拒絕提供產(chǎn)品或者服務(wù),并賦予個人撤回同意的權(quán)利,在個人撤回同意后,個人信息處理者應(yīng)當(dāng)停止處理或及時刪除其個人信息。
近年來,我國在規(guī)范個人信息收集使用上做了一系列積極探索。針對公眾反映突出的APP違法違規(guī)收集使用個人信息問題,2019年開始,中央網(wǎng)信辦聯(lián)合工信部、公安部、市場監(jiān)管總局持續(xù)開展了專項治理行動。統(tǒng)籌制定APP個人信息保護系列規(guī)范,先后發(fā)布了《信息安全技術(shù)個人信息安全規(guī)范》《APP違法違規(guī)收集使用個人信息行為認(rèn)定方法》《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》,明確個人信息收集、存儲、使用、共享、轉(zhuǎn)讓、公開披露等行為規(guī)范,界定了6類31種個人信息收集使用違法違規(guī)情形,明確了39類常見類型APP的必要個人信息范圍。比如,地圖導(dǎo)航類應(yīng)用,必要個人信息包括位置信息、出發(fā)地、到達(dá)地。超出部分則屬于違法違規(guī)范圍。
針對“大數(shù)據(jù)殺熟”,個人信息保護法明確規(guī)定:個人信息處理者利用個人信息進(jìn)行自動化決策,應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。
個人信息保護法將生物識別、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息列為敏感個人信息。該法要求,只有在具有特定的目的和充分的必要性,并采取嚴(yán)格保護措施的情形下,方可處理敏感個人信息,同時應(yīng)事前進(jìn)行影響評估,并向個人告知處理的必要性以及對個人權(quán)益的影響。
為保護未成年人的個人信息權(quán)益和身心健康,個人信息保護法特別將不滿14周歲未成年人的個人信息確定為敏感個人信息予以嚴(yán)格保護。獲取這類信息應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護人的同意,并應(yīng)當(dāng)對此制定專門的個人信息處理規(guī)則。
現(xiàn)實中,保護個人信息可能比想象中復(fù)雜。“個人信息與非個人信息的界限并非如想象的那樣清晰。收集行為是否合法等,也就不那么容易判斷。”中國人民大學(xué)法學(xué)院副教授丁曉東說。
比如,個性化推薦、用戶畫像等收集的數(shù)據(jù)屬于個人信息嗎?通常,企業(yè)在收集了用戶瀏覽網(wǎng)頁、搜索記錄等信息后,會將此類信息做匿名化處理。丁曉東表示,這些匿名化處理后的信息,是否屬于個人信息,是否納入個人信息的范疇來管理,學(xué)界尚無定論。此外,個人信息的范圍因時代而改變,針對不同的個人信息的類型,應(yīng)該采取不同的管理方式。
保護利用的平衡
保護個人信息與數(shù)字經(jīng)濟發(fā)展并不對立
保護個人信息,現(xiàn)實監(jiān)管的難點還在于,如何找到數(shù)據(jù)保護和合理利用之間的平衡點。
截至2020年底,中國網(wǎng)民規(guī)模為9.89億人。龐大的網(wǎng)民數(shù)量是發(fā)展數(shù)字經(jīng)濟的基石,數(shù)據(jù)成為數(shù)字經(jīng)濟的重要驅(qū)動力。不過,保護個人信息與數(shù)字經(jīng)濟發(fā)展并不對立。專家認(rèn)為,關(guān)鍵在于以保護個人權(quán)益和促進(jìn)信息合理流通為準(zhǔn)繩,找到信息利用和安全的平衡點。
在數(shù)字經(jīng)濟領(lǐng)域,我國的一些方面走在世界前列,也面臨一些新情況、新問題。“正視個人信息保護的多元化訴求,找到解好隱私難題的最大公約數(shù),我們嘗試探索一條與數(shù)字時代相適應(yīng)的數(shù)據(jù)隱私保護路徑。”曹嘉說。
個人信息保護是系統(tǒng)工程。過去,保護個人信息的規(guī)則制度散見于許多單行法律中。在現(xiàn)有法律基礎(chǔ)上,個人信息保護法進(jìn)一步細(xì)化、完善個人信息保護應(yīng)遵循的原則和個人信息處理規(guī)則,明確個人信息處理活動中的權(quán)利義務(wù)邊界,健全個人信息保護工作體制機制。專家表示,維護、保障好合法權(quán)益,有利于人民群眾在數(shù)字經(jīng)濟發(fā)展中享受更多的獲得感、幸福感、安全感。
安全專家提醒,當(dāng)前,APP的功能設(shè)計復(fù)雜,用戶也養(yǎng)成了使用習(xí)慣,即便界定了應(yīng)用的基本功能和收集的必要個人信息范圍,實際上仍可能出現(xiàn)采集、使用的數(shù)據(jù)超出規(guī)定范圍的情況。
針對現(xiàn)實中信息倒賣、違背承諾等違法行為,丁曉東認(rèn)為,有必要加強對違法行為的懲處力度,提高違法成本,形成法律震懾效應(yīng)。
我國網(wǎng)民規(guī)模龐大,互聯(lián)網(wǎng)應(yīng)用場景豐富,帶來諸多便利。隨著技術(shù)的發(fā)展和使用的深入,從手機APP到深度偽造技術(shù)、智能互聯(lián)設(shè)備,個人信息保護日益成為人們關(guān)注的焦點,也是數(shù)字經(jīng)濟發(fā)展必須直面的課題。
11月1日起,個人信息保護法將正式實施。本版今起推出系列策劃“關(guān)注個人信息保護”,聚焦個人信息保護現(xiàn)狀,探討如何共同筑牢安全邊界、共建共治共享良好數(shù)字生態(tài)。
——編者
安裝手電筒程序,要提供地理位置信息;下載文字編輯APP,需獲取通訊錄權(quán)限;走進(jìn)售樓處,在毫不知情時,人臉信息可能被記錄……大數(shù)據(jù)時代,人們享受著數(shù)據(jù)帶來的便利,也被一些過度收集個人信息的行為所困擾。
不久前,十三屆全國人大常委會第三十次會議審議通過《中華人民共和國個人信息保護法》(以下簡稱“個人信息保護法”),并將于11月1日正式實施。
難以拒絕的“同意”
不授權(quán)就無法使用,權(quán)限與APP功能需求并不匹配
在調(diào)查了數(shù)十萬款A(yù)PP后,中國人民大學(xué)一個團隊研究發(fā)現(xiàn),APP的各類權(quán)限有30多個,但很多權(quán)限跟APP實現(xiàn)功能的需求并不匹配。
APP要求這么多權(quán)限有何用?如果仔細(xì)查看用戶隱私協(xié)議條款,幾乎無一例外提及,將對收集的部分信息進(jìn)行商業(yè)利用,例如推送個性化的信息、廣告等,這也是個人信息潛在的商業(yè)價值。
擔(dān)心信息被違規(guī)使用,在安裝一些APP時,北京市朝陽區(qū)的王先生曾想拒絕某些授權(quán),可他發(fā)現(xiàn),不同意授權(quán),就無法使用。“一旦授權(quán),我的個人信息去了哪兒?”王先生很困惑。同時,權(quán)限申請的文字大多冗長復(fù)雜。曾有人統(tǒng)計,APP通行的隱私條款內(nèi)容大多在1萬字以上。閱讀等待時間過后,許多人來不及細(xì)看,就會直接點“同意”。
一位開發(fā)者表示,獲取權(quán)限后,后臺甚至能夠判斷數(shù)據(jù)背后的人做什么工作、常去哪里。保護虛擬空間數(shù)據(jù)化的“我們”,通常依靠收集方自律。然而,倘若某些企業(yè)安全“防護墻”不結(jié)實,就可能造成信息泄露。更大的風(fēng)險是,一些數(shù)據(jù)收集方甚至?xí)銎饠?shù)據(jù)交換的“生意”,幾經(jīng)轉(zhuǎn)手,數(shù)據(jù)可能被非法利用。
近些年,有媒體曝出在網(wǎng)絡(luò)平臺明碼標(biāo)價販賣個人信息的事件。比如,一則17萬條“人臉數(shù)據(jù)”被公開售賣的新聞,就曾引起社會廣泛關(guān)注。
利用信息分析個人特征,為用戶精準(zhǔn)畫像,有利于提升消費體驗,但也會產(chǎn)生“大數(shù)據(jù)殺熟”等侵犯消費者權(quán)益的行為。復(fù)旦大學(xué)一項關(guān)于網(wǎng)約車的研究發(fā)現(xiàn),某一品牌手機用戶更容易被舒適型車輛司機接單,這一比例遠(yuǎn)高于其他品牌手機用戶。也有網(wǎng)友反映,同一時段與朋友在網(wǎng)上瀏覽同樣品牌的相同商品,價格存在不小的差異。
此外,隨著數(shù)據(jù)內(nèi)涵的擴大,人臉信息、健康信息、金融賬戶、行蹤軌跡等也越來越多被收集,這些信息因與隱私密切相關(guān),比較敏感。專家表示,收集、處理敏感個人信息的規(guī)范應(yīng)當(dāng)更加嚴(yán)格。
“告知—同意”是核心規(guī)則
收集個人信息,應(yīng)當(dāng)限于實現(xiàn)處理目的的最小范圍
“為了提高體驗,完善產(chǎn)品,一些APP必然要求獲得權(quán)限,用數(shù)據(jù)來服務(wù)消費者。”安全專家、綠盟科技集團副總裁曹嘉說,由于實際生活中的應(yīng)用場景往往比較復(fù)雜,數(shù)據(jù)收集、使用范圍的邊界并不清晰。
圍繞規(guī)范個人信息處理活動、保障個人信息權(quán)益,個人信息保護法構(gòu)建了“告知—同意”的個人信息處理規(guī)則。
專家表示,個人信息保護法明確,處理個人信息應(yīng)當(dāng)具有明確、合理的目的,并應(yīng)當(dāng)與處理目的直接相關(guān),采取對個人權(quán)益影響最小的方式。收集個人信息,應(yīng)當(dāng)限于實現(xiàn)處理目的的最小范圍。
同時,對于人們反映強烈的一攬子授權(quán)、強制同意等問題,個人信息保護法特別要求,個人信息處理者在處理敏感個人信息、向他人提供或公開個人信息、跨境轉(zhuǎn)移個人信息等環(huán)節(jié)應(yīng)取得個人的單獨同意,明確個人信息處理者不得過度收集個人信息,不得以個人不同意為由拒絕提供產(chǎn)品或者服務(wù),并賦予個人撤回同意的權(quán)利,在個人撤回同意后,個人信息處理者應(yīng)當(dāng)停止處理或及時刪除其個人信息。
近年來,我國在規(guī)范個人信息收集使用上做了一系列積極探索。針對公眾反映突出的APP違法違規(guī)收集使用個人信息問題,2019年開始,中央網(wǎng)信辦聯(lián)合工信部、公安部、市場監(jiān)管總局持續(xù)開展了專項治理行動。統(tǒng)籌制定APP個人信息保護系列規(guī)范,先后發(fā)布了《信息安全技術(shù)個人信息安全規(guī)范》《APP違法違規(guī)收集使用個人信息行為認(rèn)定方法》《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》,明確個人信息收集、存儲、使用、共享、轉(zhuǎn)讓、公開披露等行為規(guī)范,界定了6類31種個人信息收集使用違法違規(guī)情形,明確了39類常見類型APP的必要個人信息范圍。比如,地圖導(dǎo)航類應(yīng)用,必要個人信息包括位置信息、出發(fā)地、到達(dá)地。超出部分則屬于違法違規(guī)范圍。
針對“大數(shù)據(jù)殺熟”,個人信息保護法明確規(guī)定:個人信息處理者利用個人信息進(jìn)行自動化決策,應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。
個人信息保護法將生物識別、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息列為敏感個人信息。該法要求,只有在具有特定的目的和充分的必要性,并采取嚴(yán)格保護措施的情形下,方可處理敏感個人信息,同時應(yīng)事前進(jìn)行影響評估,并向個人告知處理的必要性以及對個人權(quán)益的影響。
為保護未成年人的個人信息權(quán)益和身心健康,個人信息保護法特別將不滿14周歲未成年人的個人信息確定為敏感個人信息予以嚴(yán)格保護。獲取這類信息應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護人的同意,并應(yīng)當(dāng)對此制定專門的個人信息處理規(guī)則。
現(xiàn)實中,保護個人信息可能比想象中復(fù)雜。“個人信息與非個人信息的界限并非如想象的那樣清晰。收集行為是否合法等,也就不那么容易判斷。”中國人民大學(xué)法學(xué)院副教授丁曉東說。
比如,個性化推薦、用戶畫像等收集的數(shù)據(jù)屬于個人信息嗎?通常,企業(yè)在收集了用戶瀏覽網(wǎng)頁、搜索記錄等信息后,會將此類信息做匿名化處理。丁曉東表示,這些匿名化處理后的信息,是否屬于個人信息,是否納入個人信息的范疇來管理,學(xué)界尚無定論。此外,個人信息的范圍因時代而改變,針對不同的個人信息的類型,應(yīng)該采取不同的管理方式。
保護利用的平衡
保護個人信息與數(shù)字經(jīng)濟發(fā)展并不對立
保護個人信息,現(xiàn)實監(jiān)管的難點還在于,如何找到數(shù)據(jù)保護和合理利用之間的平衡點。
截至2020年底,中國網(wǎng)民規(guī)模為9.89億人。龐大的網(wǎng)民數(shù)量是發(fā)展數(shù)字經(jīng)濟的基石,數(shù)據(jù)成為數(shù)字經(jīng)濟的重要驅(qū)動力。不過,保護個人信息與數(shù)字經(jīng)濟發(fā)展并不對立。專家認(rèn)為,關(guān)鍵在于以保護個人權(quán)益和促進(jìn)信息合理流通為準(zhǔn)繩,找到信息利用和安全的平衡點。
在數(shù)字經(jīng)濟領(lǐng)域,我國的一些方面走在世界前列,也面臨一些新情況、新問題。“正視個人信息保護的多元化訴求,找到解好隱私難題的最大公約數(shù),我們嘗試探索一條與數(shù)字時代相適應(yīng)的數(shù)據(jù)隱私保護路徑。”曹嘉說。
個人信息保護是系統(tǒng)工程。過去,保護個人信息的規(guī)則制度散見于許多單行法律中。在現(xiàn)有法律基礎(chǔ)上,個人信息保護法進(jìn)一步細(xì)化、完善個人信息保護應(yīng)遵循的原則和個人信息處理規(guī)則,明確個人信息處理活動中的權(quán)利義務(wù)邊界,健全個人信息保護工作體制機制。專家表示,維護、保障好合法權(quán)益,有利于人民群眾在數(shù)字經(jīng)濟發(fā)展中享受更多的獲得感、幸福感、安全感。
安全專家提醒,當(dāng)前,APP的功能設(shè)計復(fù)雜,用戶也養(yǎng)成了使用習(xí)慣,即便界定了應(yīng)用的基本功能和收集的必要個人信息范圍,實際上仍可能出現(xiàn)采集、使用的數(shù)據(jù)超出規(guī)定范圍的情況。
針對現(xiàn)實中信息倒賣、違背承諾等違法行為,丁曉東認(rèn)為,有必要加強對違法行為的懲處力度,提高違法成本,形成法律震懾效應(yīng)。