清廉醫(yī)院 | 針對(duì)個人信息野蠻掘金(jīn)的時(shí)代結束了(le)

       繼個人信息保護法施行後 工(gōng)信部要求建立與第三方共享個人信息清單

　　針對(duì)個人信息野蠻掘金(jīn)的時(shí)代結束了(le)

　　圖爲在中國國際信息通信展覽會(huì)上(shàng)，某公司保護國家秘密、保護工(gōng)作(zuò)秘密、保護個人隐私展台。（來(lái)源：視(shì)覺中國）

　　在手機上(shàng)浏覽購房信息，轉身就接到(dào)裝修銷售電話(huà)；閑聊中提到(dào)某個産品，打開(kāi)購物APP就收到(dào)同類廣告推送……類似上(shàng)述“被APP監控”的場景，對(duì)很(hěn)多人而言，并不陌生。

　　11月8日，工(gōng)信部就《關于開(kāi)展信息通信服務感知(zhī)提升行動的通知(zhī)》進行解讀，指出要建立與第三方共享個人信息清單，讓用(yòng)戶知(zhī)道(dào)企業收集了(le)哪些(xiē)信息，信息将被共享到(dào)哪裏、用(yòng)在何處。

　　互聯網與大(dà)數據時(shí)代，個人信息是寶貴的數字資産，保護個人信息權益是廣大(dà)人民群衆最關心最直接最現(xiàn)實的利益問題之一。面對(duì)過度收集、非法獲取、非法交易、洩露、濫用(yòng)等亂象，如何築牢個人信息安全“金(jīn)鐘(zhōng)罩”？《個人信息保護法》實施後會(huì)帶來(lái)哪些(xiē)改變？如何平衡好(hǎo)數字經濟創新發展和(hé)個人信息保護間的關系？記者就此采訪了(le)相關專家。

　　個人信息安全問題屢遭曝光，線上(shàng)線下(xià)均有隐患

　　QQ音(yīn)樂超範圍收集個人信息，亞朵違規使用(yòng)個人信息……11月3日，工(gōng)信部通報(bào)38款APP存在超範圍、過度收集用(yòng)戶個人信息等問題，要求11月9日前完成整改。而APP超範圍、高(gāo)頻次索取權限，非服務場景收集用(yòng)戶個人信息，正是線上(shàng)個人信息保護的突出隐患。

　　記者點開(kāi)某音(yīn)樂應用(yòng)的相關政策說明(míng)，在“如何收集和(hé)使用(yòng)個人信息”一章中，除完成注冊及登錄、實現(xiàn)身份認證等使用(yòng)目的外(wài)，還包括對(duì)收集的部分個人信息進行商業利用(yòng)，例如提取浏覽、搜索偏好(hǎo)、位置信息，推送個性化廣告等，這(zhè)也(yě)是數字經濟時(shí)代個人信息的潛在商業價值。

　　利用(yòng)個人信息精準畫(huà)像，有利于提升用(yòng)戶體驗，在數字經濟發展中發揮積極作(zuò)用(yòng)，但(dàn)也(yě)産生了(le)大(dà)數據“殺熟”等侵犯消費者權益現(xiàn)象。北京市消費者協會(huì)開(kāi)展的專項調查顯示，88.32%的被調查者認爲大(dà)數據“殺熟”現(xiàn)象普遍或很(hěn)普遍。

　　“大(dà)家對(duì)大(dà)數據‘殺熟’的問題感受比較明(míng)顯。”公安部第三研究所網絡安全法律研究中心主任、研究員黃道(dào)麗(lì)說，大(dà)數據“殺熟”是指互聯網平台依靠數據優勢和(hé)信息不對(duì)稱，對(duì)用(yòng)戶實施價格歧視(shì)。它主要由算(suàn)法定價引起，典型表現(xiàn)爲新老(lǎo)用(yòng)戶在價格上(shàng)被差别對(duì)待。

　　除不當收集利用(yòng)之外(wài)，一些(xiē)企業或個人還将個人信息擺上(shàng)交易桌，明(míng)碼标價販賣個人信息，由此滋生出網絡詐騙、電信詐騙等各類違法犯罪活動，形成個人信息洩露、買賣、詐騙的黑色産業鏈。

　　比如，在江蘇淮安警方破獲的一起侵犯公民個人信息案中，某銀行員工(gōng)以每條80元到(dào)100元的價格，将銀行卡使用(yòng)人的身份信息、電話(huà)号碼、餘額甚至交易記錄售賣謀利，涉及個人信息5萬餘條；某快(kuài)遞公司内部員工(gōng)與外(wài)部不法分子勾結，外(wài)洩40萬條用(yòng)戶個人信息，其中約4.5萬條有效信息被以每條1元的價格打包售賣到(dào)電信詐騙高(gāo)發區(qū)。

　　個人信息被侵犯不局限于線上(shàng)，線下(xià)同樣存在隐患，特别是對(duì)人臉、指紋、虹膜等生物數據的收集利用(yòng)。除在車站(zhàn)檢票、移動支付等場景中主動“刷臉”獲取便利外(wài)，還有在不知(zhī)情時(shí)被動“刷臉”的風(fēng)險。

　　有些(xiē)門(mén)店(diàn)使用(yòng)“無感式”人臉識别技術，在未經同意情況下(xià)擅自(zì)采集消費者人臉信息。10月29日，浙江省杭州市上(shàng)城(chéng)區(qū)人民法院受理(lǐ)了(le)一起消費者訴商場人臉抓拍(pāi)的案件。一名大(dà)學生在杭州某商場購物時(shí)，發現(xiàn)某門(mén)店(diàn)外(wài)安裝了(le)人臉識别抓拍(pāi)攝像頭。消費者隻要到(dào)店(diàn)，就會(huì)自(zì)動被抓拍(pāi)并注冊爲會(huì)員，而商家通過将人臉信息與消費行爲結合分析，來(lái)進行精準營銷。

　　還有賣家在社交平台公開(kāi)售賣人臉識别視(shì)頻、買賣人臉信息等，因人臉信息等身份信息洩露導緻“被貸款”和(hé)隐私權、名譽權被侵害等問題多有發生。全國信息安全标準化技術委員會(huì)等成立的APP專項治理(lǐ)工(gōng)作(zuò)組發布的《人臉識别應用(yòng)公衆調研報(bào)告（2020）》顯示，在2萬多名受訪者中，有三成受訪者表示已因人臉信息洩露、濫用(yòng)而遭受隐私或财産損失。

　　“告知(zhī)-同意”是《個人信息保護法》的核心規則，收集個人信息應當限于實現(xiàn)處理(lǐ)目的的最小(xiǎo)範圍

　　11月1日，我國第一部個人信息保護的專門(mén)法律《個人信息保護法》正式實施。

　　“這(zhè)是我國置身數字化時(shí)代不可或缺的一項基礎性立法，貼合了(le)關系每個人最直接最現(xiàn)實利益的立法需要。”北京航空(kōng)航天大(dà)學法學院院長龍衛球告訴記者，個人信息是網絡信息化時(shí)代開(kāi)始凸顯的一種新型且頗具基礎性的重要個人利益，它的價值通過數據挖掘和(hé)商業應用(yòng)得以顯現(xiàn)。個人信息保護和(hé)數字化發展之間的關系日益複雜(zá)，特别是未經同意的個人信息處理(lǐ)和(hé)愈演愈烈的濫用(yòng)行爲，成爲亟待解決的痛點。

　　“告知(zhī)-同意”是《個人信息保護法》确立的個人信息保護核心規則。“《個人信息保護法》明(míng)确，處理(lǐ)個人信息應當具有明(míng)确、合理(lǐ)的目的，并應當與處理(lǐ)目的直接相關，采取對(duì)個人權益影響最小(xiǎo)的方式。收集個人信息，應當限于實現(xiàn)處理(lǐ)目的的最小(xiǎo)範圍。”全國人大(dà)常委會(huì)法工(gōng)委經濟法室副主任楊合慶表示，個人信息處理(lǐ)者在取得個人同意的情形下(xià)方可處理(lǐ)個人信息，個人信息處理(lǐ)的重要事(shì)項發生變更，應當重新向個人告知(zhī)并取得同意。

　　在《個人信息保護法》全文(wén)中，“告知(zhī)”一詞出現(xiàn)了(le)16次，“同意”一詞出現(xiàn)了(le)27次。“‘告知(zhī)-同意’規則是個人對(duì)個人信息處理(lǐ)享有知(zhī)情權、決定權的必然要求。要保證個人對(duì)信息處理(lǐ)‘充分知(zhī)情’，就應該以顯著的方式、清晰易懂的語言讓個人知(zhī)道(dào)誰在處理(lǐ)他(tā)的信息、信息被怎樣處理(lǐ)、可能(néng)對(duì)他(tā)造成何種影響，以及怎麽要求更正、查詢、删除個人信息等。”中央黨校（國家行政學院）政法部教授劉銳說。

　　“同意”并非泛泛而談。《個人信息保護法》明(míng)确規定了(le)兩種同意機制，一是廣泛的同意，二是個人單獨同意。比如，該法規定，個人信息處理(lǐ)者處理(lǐ)敏感個人信息、向他(tā)人提供或公開(kāi)個人信息、跨境轉移個人信息等，都應取得個人的單獨同意。

　　“個人信息對(duì)于主體的重要程度不同，有的是敏感信息，有的是隐私信息，有的屬于一般信息，因此告知(zhī)的強度和(hé)同意的方式、明(míng)确程度也(yě)不盡相同。”中國人民大(dà)學法學院教授、中國法學會(huì)網絡信息法學研究會(huì)副會(huì)長張新寶說，《個人信息保護法》對(duì)此作(zuò)了(le)詳細區(qū)分。

　　針對(duì)群衆反映強烈的強制索權、不同意就無法使用(yòng)APP，過度收集用(yòng)戶信息，大(dà)數據“殺熟”等現(xiàn)象，《個人信息保護法》也(yě)作(zuò)出了(le)明(míng)确回應。比如，該法第二十四條規定直指大(dà)數據“殺熟”，有利于規制人工(gōng)智能(néng)等新興信息技術在個人信息處理(lǐ)領域的應用(yòng)：個人信息處理(lǐ)者利用(yòng)個人信息進行自(zì)動化決策，應當保證決策的透明(míng)度和(hé)結果公平、公正，不得對(duì)個人在交易價格等交易條件上(shàng)實行不合理(lǐ)的差别待遇。

　　“個人信息保護問題往往被技術中立的外(wài)衣包裹，甚至被算(suàn)法等操作(zuò)系統黑箱化。”龍衛球說，個人信息處理(lǐ)活動本質是一種科技應用(yòng)活動，不同于一般的行爲治理(lǐ)，必須進行科技治理(lǐ)。《個人信息保護法》建立了(le)強大(dà)的監管體系，并且深入到(dào)技術治理(lǐ)層面，最終目的是讓技術向善發展。

　　濫用(yòng)用(yòng)戶個人信息源于對(duì)個人信息的過度采集，“守門(mén)人”規定等倒逼互聯網企業規範行爲

　　“我們爲你(nǐ)增加了(le)個人信息浏覽和(hé)導出機制，設置了(le)系統權限和(hé)應用(yòng)授權管理(lǐ)入口，增加了(le)個性化推薦管理(lǐ)途徑更詳細地披露了(le)微信是如何處理(lǐ)你(nǐ)的個人信息的。”近期，微信等多家APP向用(yòng)戶發送了(le)類似告知(zhī)。

　　“Apple已爲《個人信息保護法》做好(hǎo)準備。”蘋果公司也(yě)在發送給用(yòng)戶的郵件中承諾“确保用(yòng)戶能(néng)了(le)解、能(néng)獲取、能(néng)更正自(zì)己的個人數據，能(néng)限制對(duì)個人數據的使用(yòng)，并且能(néng)删除這(zhè)些(xiē)數據。”

　　一家互聯網公司法務表示，“爲了(le)遵守《個人信息保護法》，各家互聯網企業的法務都在加班，面對(duì)細緻的規定，需要改的地方太多了(le)”。

　　濫用(yòng)用(yòng)戶個人信息的背後，實際上(shàng)是從(cóng)對(duì)個人信息的過度采集開(kāi)始的。複旦大(dà)學中國研究院副研究員劉典告訴記者，“對(duì)于平台型企業來(lái)說，用(yòng)戶信息數據是一項具有商業價值的重要資産，這(zhè)也(yě)是基于平台經濟的自(zì)身特點——有賴于龐大(dà)用(yòng)戶群體形成網絡效應。”

　　以阿裏巴巴爲例，用(yòng)戶在淘寶上(shàng)的消費記錄，通過算(suàn)法加以分析，形成對(duì)個人的授信核定，繼而催生了(le)花(huā)呗等金(jīn)融産品。

　　“從(cóng)信息采集、加工(gōng)再到(dào)價值轉化，是一條完整的數據價值鏈。基于這(zhè)樣的商業邏輯，很(hěn)多互聯網公司傾向于盡可能(néng)大(dà)幅度、廣覆蓋地去采集更多個人信息并形成數據。這(zhè)就是過度采集的原因。”劉典說。

　　反觀消費互聯網産業的商業模式，幾乎都建立在基于個人信息的消費數據上(shàng)，靠廣告盈利也(yě)是衆多APP免費的基礎。通過采集信息對(duì)用(yòng)戶“畫(huà)像”，其中的核心數據往往和(hé)個人信息中偏隐私性的信息高(gāo)度相關。風(fēng)險随之而來(lái)，畢竟數據被采集後，其具體應用(yòng)場景難以預測。

　　民有所呼，法有所應。《個人信息保護法》第五十八條進一步完善了(le)“守門(mén)人條款”：一是将提供基礎性互聯網平台服務修改爲提供重要互聯網平台服務；二是在第一項中補充了(le)按照國家規定建立健全個人信息保護合規制度體系的義務；三是單獨增加了(le)一項守門(mén)人義務，即遵循公開(kāi)、公平、公正的原則，制定平台規則，明(míng)确平台内産品或者服務提供者處理(lǐ)個人信息的規範和(hé)保護個人信息的義務。

　　爲提升用(yòng)戶對(duì)于個人信息保護的感知(zhī)，11月1日，工(gōng)信部印發通知(zhī)，要求企業建立個人信息保護“雙清單”（即建立已收集個人信息清單、與第三方共享個人信息清單），并在APP二級菜單中展示，方便用(yòng)戶查詢。同時(shí)要求提升APP關鍵責任鏈個人信息保護能(néng)力，鼓勵應用(yòng)商店(diàn)爲本平台APP提供檢測服務，及時(shí)向APP開(kāi)發者反饋相關問題并督促改正，防止違規APP上(shàng)架。

　　統籌兼顧效率與公平、活力與秩序、發展與安全，需要在實踐中找到(dào)平衡，護航數字經濟持續健康發展

　　近十年來(lái)我國數字經濟發展勢頭迅猛，據中國信息通信研究院測算(suàn)，數字經濟增加值已由2011年的9.5萬億元增加到(dào)2019年的35.8萬億元，占GDP比重提升了(le)超過15個百分點。2020年新冠肺炎疫情來(lái)襲，在線辦公、視(shì)頻會(huì)議(yì)、網上(shàng)授課等無接觸經濟蓬勃發展，有效對(duì)沖了(le)經濟下(xià)行風(fēng)險，加速了(le)企業的數字化戰略布局。一項針對(duì)全球兩千多家企業的調研發現(xiàn)，疫情将全球數字化進程至少提前了(le)5至7年。

　　圍繞數字經濟，不少新業态仍處于發展階段。它們以信息和(hé)數據的高(gāo)度流動共享爲發展前提。對(duì)大(dà)部分用(yòng)戶而言，一方面厭(yàn)惡信息分享和(hé)數據洩露帶來(lái)的風(fēng)險，另一方面并不排斥基于信息分享基礎下(xià)獲取一定的生活便利。這(zhè)樣的“隐私悖論”并不鮮見。

　　劉典認爲，關于個人信息權益的保護，核心問題在于用(yòng)戶個人空(kōng)間的信息被拿出來(lái)放(fàng)入公共領域、商業領域流通，在這(zhè)個過程中，個體應該獲得讓渡出這(zhè)部分權利的合理(lǐ)補償。此外(wài)，對(duì)于用(yòng)戶其他(tā)方面權利可能(néng)受到(dào)的潛在影響，也(yě)應該有一個好(hǎo)的救濟手段。

　　在劉典看(kàn)來(lái)，《個人信息保護法》對(duì)此做出了(le)積極回應：一是明(míng)确了(le)個人信息權益保護的具體内容，二是明(míng)确了(le)個人信息權益受到(dào)損害後有哪些(xiē)救濟手段，三是完善了(le)對(duì)于平台責任的認定和(hé)整個監管框架的建構。未來(lái)，如何統籌兼顧效率與公平、活力與秩序、發展與安全這(zhè)三組關系，還需要在具體的司法、商業實踐中找到(dào)平衡。

　　過去，國内對(duì)于違法違規搜集個人信息的處罰手段有限，主要依靠企業自(zì)律，或是監管部門(mén)采取限期整改、約談和(hé)下(xià)架等方式，配套法律仍不完善。

　　此次《個人信息保護法》的生效，對(duì)個人信息的濫用(yòng)可謂“當頭棒喝”。《個人信息保護法》明(míng)确，一般的違法行爲，可由監管部門(mén)責令改正，給予警告，沒收違法所得，對(duì)相關應用(yòng)程序，責令暫停或者終止提供服務；拒不改正的，并處100萬元以下(xià)罰款；對(duì)直接負責的主管人員和(hé)其他(tā)直接責任人員處1萬元以上(shàng)10萬元以下(xià)罰款。情節嚴重的違法行爲，由省級以上(shàng)監管部門(mén)責令改正，沒收違法所得，并處5000萬元以下(xià)或者上(shàng)一年度營業額5%以下(xià)罰款，并可以責令暫停相關業務或者停業整頓、通報(bào)有關主管部門(mén)吊銷相關業務許可或者吊銷營業執照。

　　從(cóng)強化反壟斷到(dào)防止資本無序擴張，再到(dào)強化個人信息保護，互聯網企業野蠻生長的時(shí)代已經過去，持續健康發展成爲數字經濟的主題。