首頁>城市生活 >
一場信息保護(hù)的博弈 保護(hù)好用戶個人信息本身也是核心競爭力 2021-10-20 10:56:34  來源:工人日報

經(jīng)過數(shù)年醞釀與打磨,《中華人民共和國個人信息保護(hù)法》將于11月1日起施行。

數(shù)字化時代,得信息者得天下。然而一直以來,這句話的前提都未能真正實現(xiàn):“得”的手段要正當(dāng)、數(shù)量要適度,到手的信息要妥善儲存與保管。這也使得個人在享受數(shù)字化紅利的同時,隨時面臨著信息和隱私被非法收集、泄露和濫用的威脅。

個人信息保護(hù)法的出臺,為個人信息權(quán)益保護(hù)、信息處理者的義務(wù)提供了全面、體系化的法律依據(jù),構(gòu)建起了個人信息安全的防護(hù)網(wǎng)。

海量個人信息,自此有了一把“專門鎖”。

今年國慶假期剛結(jié)束,從事數(shù)據(jù)安全相關(guān)工作的何延哲就關(guān)注到了兩條行業(yè)新聞。

有數(shù)碼博主發(fā)現(xiàn),微信APP在用戶未主動激活的情況下數(shù)次讀取相冊,每次讀取時間為40秒至1分鐘。此外,QQ、淘寶等APP也存在在后臺頻繁讀取用戶相冊的行為。

兩天后,在另一位數(shù)碼博主上傳的錄屏視頻中,美團(tuán)APP每隔5分鐘、連續(xù)24小時對其進(jìn)行定位。該博主忍不住驚呼:“太恐怖了,這是要干什么?”

雖然類似事件早不是第一次發(fā)生,但這樣的“業(yè)內(nèi)”新聞依然毫不意外地引來了“熱搜級”關(guān)注和討論。

在距離個人信息保護(hù)法施行還有不到1個月的時候,人們關(guān)于個人信息與個人隱私的那根敏感又脆弱的神經(jīng)再一次被挑動了。

因為信息泄露,一條人命沒了

重慶大學(xué)國家網(wǎng)絡(luò)空間與大數(shù)據(jù)法治戰(zhàn)略研究院院長齊愛民關(guān)注個人信息保護(hù)立法,最早開始于1996年。

當(dāng)時,我國正式接入國際因特網(wǎng)不到兩年,擁有手機(jī)還是“富人”的標(biāo)志,“個人信息”概念即使在學(xué)界也鮮有被提及。據(jù)齊愛民回憶,當(dāng)時研究個人信息保護(hù)立法,完全算是冷門方向。

2003年,我國個人信息保護(hù)立法相關(guān)課題研究立項。兩年后,由中國社會科學(xué)院法學(xué)研究所研究員周漢華領(lǐng)銜的課題組完成了《中華人民共和國個人信息保護(hù)法(專家建議稿)及立法研究報告》;同年,齊愛民起草的《中華人民共和國個人信息保護(hù)法示范法草案學(xué)者建議稿》發(fā)表,呈報當(dāng)時主要負(fù)責(zé)推動國家信息化相關(guān)立法的國務(wù)院信息化工作辦公室。

不過,此后數(shù)年間,個人信息保護(hù)法的立法進(jìn)程卻陷入了停滯狀態(tài)。

“立法是系統(tǒng)性工程。具體到個人信息保護(hù)法,既關(guān)乎學(xué)界的理論研究狀況,又要考慮到當(dāng)時的社會信息化程度。”齊愛民解釋。

這即是說,社會是否迫切需要,是影響相關(guān)立法進(jìn)程的重要因素之一。

智能手機(jī)出現(xiàn)并普及前,人們上網(wǎng)的主要目的是瀏覽資訊。想進(jìn)入當(dāng)時盛行的論壇、聊天室,也只需要一個由虛擬昵稱注冊的賬戶。2005年,原名“校內(nèi)網(wǎng)”的人人網(wǎng)創(chuàng)立,成為許多80后記憶中第一個實名制的社交網(wǎng)絡(luò)平臺。

2010年,網(wǎng)友“一閣”發(fā)文質(zhì)疑人人網(wǎng)轉(zhuǎn)賣其個人信息。雖然網(wǎng)站隨后回應(yīng)是不法分子利用系統(tǒng)漏洞竊取了用戶信息,事情不了了之,但從那時起,“個人信息可能通過網(wǎng)絡(luò)泄露”開始成為一條顯性知識在公眾間傳播開來。

真正加速個人信息保護(hù)法立法進(jìn)程的標(biāo)志性案例,是2016年發(fā)生的“徐玉玉案”。

當(dāng)年8月,山東臨沂女生徐玉玉因接到一通電話,被騙走上大學(xué)的費(fèi)用9900元。事后,徐玉玉傷心欲絕,心臟驟停離世。

后經(jīng)查明,犯罪嫌疑人通過非法渠道購買了5萬余條山東省2016年高考考生信息,隨后冒充教育局工作人員,以發(fā)放助學(xué)金名義對學(xué)生實施電話詐騙。徐玉玉因此上當(dāng)。

如今已是中國電子技術(shù)標(biāo)準(zhǔn)化研究院網(wǎng)絡(luò)安全研究中心測評實驗室副主任的何延哲依然記得當(dāng)年“徐玉玉案”帶給自己的觸動,“誰能想到因為信息泄露,一條人命就沒了?”

這起事件甚至直接影響了何延哲的研究方向。此后,他將工作重心從原本的網(wǎng)絡(luò)安全轉(zhuǎn)到了數(shù)據(jù)安全,并開始重點關(guān)注個人信息保護(hù)。后來,由何延哲擔(dān)任主要編制人的《個人信息安全規(guī)范》對個人信息處理具體實踐進(jìn)行了限制和規(guī)范,填補(bǔ)了國內(nèi)相關(guān)方面的空白。

同樣在2016年,全國30個省份275位艾滋病感染者稱接到詐騙電話,艾滋病感染者的個人信息疑似被大面積泄露。自那之后,APP過度索取手機(jī)權(quán)限、求職平臺泄露用戶簡歷等新聞相繼出現(xiàn)。而從多家媒體的報道來看,大多數(shù)包含個人真實數(shù)據(jù)的信息在互聯(lián)網(wǎng)上平均售價不足一元。

2018年9月,個人信息保護(hù)法正式列入十三屆全國人大常委會立法規(guī)劃。

中國人民大學(xué)法學(xué)院教授、中國法學(xué)會網(wǎng)絡(luò)信息法學(xué)研究會副會長張新寶全程參與了個人信息保護(hù)法的立法工作,“從決策層到立法部門,再到整個社會都形成了廣泛共識,加強(qiáng)個人信息保護(hù)已經(jīng)迫在眉睫”。2020年新冠肺炎疫情出現(xiàn),公共場合掃碼、登記個人信息成為常態(tài),由此引發(fā)的大眾普遍對個人信息安全的擔(dān)憂又進(jìn)一步加快了相關(guān)立法速度。

2020年10月至2021年8月,個人信息保護(hù)法草案從一審到三審,僅用了10個月。

16個“告知”,27個“同意”

“自然人享有隱私權(quán)。”“自然人的個人信息受法律保護(hù)。”“處理個人信息的,應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則,不得過度處理。”

2021年1月1日,有“社會生活百科全書”之稱的民法典開始實施。法典人格權(quán)編中,用單獨一章對自然人隱私權(quán)和個人信息保護(hù)做出了規(guī)定,這一舉措被視為一大立法亮點。

從法律層面保護(hù)個人信息,民法典并非第一個。2012年,《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》出臺。此后,從網(wǎng)絡(luò)安全法制定,消費(fèi)者權(quán)益保護(hù)法修訂,刑法修正案(九)制定,再到電子商務(wù)法問世,都涉及了個人信息保護(hù)某一個方面、某一個領(lǐng)域的專門規(guī)則,也在一定程度上回應(yīng)了公眾關(guān)切。

不過,直到個人信息保護(hù)法出臺,我國才真正建立起相對完整的個人信息保護(hù)法律體系。

作為“開場白”,個人信息保護(hù)法第一條這樣寫道:為了保護(hù)個人信息權(quán)益,規(guī)范個人信息處理活動,促進(jìn)個人信息合理利用,根據(jù)憲法,制定本法。

張新寶透露,在該法律起草過程中,一審稿和二審稿都沒有對立法依據(jù)進(jìn)行規(guī)定。“根據(jù)憲法”四個字,是在三審稿中加入的。

我國憲法規(guī)定,國家尊重和保障人權(quán);公民的人格尊嚴(yán)不受侵犯;公民的通信自由和通信秘密受法律保護(hù)。

“在個人信息處理活動中,自然人與個人信息處理者之間存在‘非對稱權(quán)力結(jié)構(gòu)’或‘持續(xù)性不平等信息關(guān)系’。”張新寶表示,企業(yè)或國家機(jī)關(guān)在處理個人信息時,為了追求商業(yè)價值或公共管理價值的實現(xiàn),容易忽視對其承載的人格尊嚴(yán)、人身和財產(chǎn)安全以及通信自由和通信秘密等個人利益的保護(hù),進(jìn)而導(dǎo)致自然人的個人信息權(quán)益遭受侵害。而通常情況下,自然人在保護(hù)或維護(hù)個人權(quán)益時,都處于弱勢地位。

“雖然只是四字之差,但這意味著個人信息保護(hù)法強(qiáng)調(diào)保護(hù)的權(quán)益不止停留在民事層面,而是提高到了憲法層面。”張新寶說。

從立法之初,個人信息保護(hù)法就將“告知-同意”原則作為個人信息保護(hù)的基本規(guī)則,是個人信息處理者處理用戶信息的前提。在共8章74條的法律全文中,“告知”一詞出現(xiàn)了16次,“同意”一詞出現(xiàn)了27次。

過去,個人信息處理者向用戶提供的大多是一攬子的同意協(xié)議條款。以至于一個經(jīng)典笑話在網(wǎng)絡(luò)上長盛不衰:從小到大,撒過最多的謊,就是同意各種隱私條款。

針對這一現(xiàn)象,個人信息保護(hù)法明確規(guī)定了兩種同意機(jī)制,一是廣泛的同意,二是個人單獨同意。比如,該法律規(guī)定,處理敏感個人信息,或是將收集的個人圖像和身份識別信息用于維護(hù)公共安全外的目的的,都要取得個人單獨同意。

“個人信息對于主體的重要程度不同,有的是敏感信息,有的是隱私信息,有的屬于一般信息,因此告知的強(qiáng)度和同意的明確程度,以及同意的方式也是不盡相同的。”張新寶說,“對此,個人信息保護(hù)法都作了詳細(xì)的區(qū)分。”

對外經(jīng)濟(jì)貿(mào)易大學(xué)數(shù)字經(jīng)濟(jì)與法律創(chuàng)新研究中心主任許可注意到,個人信息保護(hù)法增加了相關(guān)罰則。根據(jù)該法第66條規(guī)定,在違法情形嚴(yán)重時,企業(yè)將面臨的頂格罰款額度為5000萬元或上一年度營業(yè)額的5%。

“這遠(yuǎn)高于之前的分散性立法中的處罰規(guī)定。”許可說。

許可同時提到,根據(jù)此前相關(guān)法律規(guī)定,個人信息處理者主要限于私人主體。但在個人信息保護(hù)法中,這一范圍拓展到國家機(jī)關(guān)以及履行相應(yīng)公共管理職能的事業(yè)單位,它們和私人主體遵循統(tǒng)一的個人信息保護(hù)原則和規(guī)則。

聯(lián)系到新冠肺炎疫情防控期間,個別地方政府?dāng)M通過收集市民電子病歷、體檢報告、生活方式等信息推出漸變色健康碼的做法所引起的官方侵犯個人隱私的討論,許可認(rèn)為,“個人信息處理者范圍的調(diào)整是非常大的進(jìn)步”。

用得越多,“殺熟”的刀越快?

“為了方便用戶快速發(fā)圖”“系統(tǒng)更新后頻繁喚醒APP ”“最新版本將進(jìn)行優(yōu)化”……被數(shù)碼博主掛網(wǎng)“示眾”后,微信和美團(tuán)方面很快對讀取用戶相冊和頻繁定位行為作出了回應(yīng)。不過,“似曾相識”的解釋和改進(jìn)措施能在多大程度上讓網(wǎng)友感到滿意和放心,著實值得劃一個問號。

“說到底,類似事件通常都是APP開發(fā)者為了優(yōu)化應(yīng)用程序,未經(jīng)用戶同意擅作主張使用了可能觸及用戶隱私或影響用戶安全感的權(quán)限,最后被用戶發(fā)現(xiàn)后反過來提出質(zhì)問。”何延哲總結(jié)說。

最新數(shù)據(jù)顯示,我國互聯(lián)網(wǎng)用戶數(shù)量已達(dá)到10.11億,國內(nèi)市場上監(jiān)測到的APP數(shù)量為291萬款。APP普遍存在的強(qiáng)制索權(quán)、過度收集用戶信息等現(xiàn)象使得這一領(lǐng)域成為個人信息安全遭威脅的重災(zāi)區(qū)。

在此前各方對個人信息保護(hù)法的解讀中,第24條法條被反復(fù)提及:個人信息處理者利用個人信息進(jìn)行自動化決策,應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。

這一法規(guī)用公眾更熟悉的說法來表述就是:“大數(shù)據(jù)殺熟”將受到規(guī)制。

2021年初,復(fù)旦大學(xué)教授孫金云團(tuán)隊發(fā)布了一份關(guān)于 “手機(jī)打車軟件打車”的調(diào)研報告。通過在國內(nèi)5個城市收集的常規(guī)場景下的800多份打車樣本,該團(tuán)隊得出結(jié)論:用戶手機(jī)越貴,越容易被更貴車型接單;同樣的行駛路線,常使用某一款網(wǎng)約車平臺的用戶打車費(fèi)用比新用戶貴。

這樣的結(jié)論得到了不少網(wǎng)友的認(rèn)可,還有網(wǎng)友“分享”了自己在購物、出行等平臺被“殺熟”的經(jīng)歷。

2021年7月,國內(nèi)“大數(shù)據(jù)殺熟第一案”在浙江省紹興市柯橋區(qū)法院開庭審理。該案中,原告胡女士是攜程APP的鉆石會員,可享受8.5折優(yōu)惠價,但她通過該APP預(yù)訂酒店房間時,價格卻比普通用戶貴了一倍。胡女士遂以上海攜程商務(wù)有限公司采集其個人非必要信息,進(jìn)行“大數(shù)據(jù)殺熟”等為由訴至法院,提出“退一賠三”等多項請求。

在市場經(jīng)濟(jì)中,差異化定價一般來說并不違法。“但在數(shù)字經(jīng)濟(jì)時代,互聯(lián)網(wǎng)企業(yè)利用收集到的用戶個人信息對其進(jìn)行畫像,根據(jù)支付能力的不同設(shè)定不同的價格,就可能有損公平交易原則和個體的自由選擇權(quán)。”許可說。

個人信息保護(hù)法規(guī)定,個人信息處理者根據(jù)“算法”分析、評估個人的行為習(xí)慣、興趣愛好或者經(jīng)濟(jì)、健康、信用狀況等進(jìn)行自動化決策時,應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。

“當(dāng)信息處理者僅通過自動化決策方式做出決定,就是完全排除了人的參與。”在許可看來,即使將個人置于“算法”中,也必須尊重人格權(quán)。

讓大廠成為“守門人”

在智能手機(jī)已向內(nèi)異化為人體“新器官”的當(dāng)下,但凡是與社會有一定程度聯(lián)結(jié)的個體,基本都躲不開要使用大型互聯(lián)網(wǎng)公司的產(chǎn)品。這意味著,無論是國內(nèi)還是國外,互聯(lián)網(wǎng)企業(yè)的數(shù)據(jù)安全對個人信息保護(hù)至關(guān)重要。

“為大型互聯(lián)網(wǎng)企業(yè)設(shè)置個人信息保護(hù)義務(wù),迫在眉睫。”張新寶表示。

據(jù)此,在個人信息保護(hù)法起草過程中,張新寶提出建議,在草案中增加大型互聯(lián)網(wǎng)平臺企業(yè)的個人信息保護(hù)特別義務(wù)的相關(guān)條文。在他看來,作為互聯(lián)網(wǎng)生態(tài)的“守門人”,頭部互聯(lián)網(wǎng)企業(yè)必須達(dá)到更高標(biāo)準(zhǔn)的信息合規(guī)處理要求。

張新寶的建議得到了立法部門的采納,形成了個人信息保護(hù)法草案二審稿第57條,經(jīng)過修改完善后,成為三審稿和最終通過的法律第58條。

該條款規(guī)定,提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者,應(yīng)當(dāng)建立個人信息保護(hù)合規(guī)制度,成立主要由外部成員組成的獨立機(jī)構(gòu)來監(jiān)督;制定平臺規(guī)則;嚴(yán)重違反法律、法規(guī)的個人信息處理者要停止服務(wù);定期發(fā)布個人信息保護(hù)社會責(zé)任報告。

事實上,這一條款中關(guān)于制定平臺規(guī)則的內(nèi)容,是在最后審議階段才加上去的。

據(jù)張新寶推測,二審稿之所以沒有寫入這一條,是考慮到“大型企業(yè)有可能將此義務(wù)濫用為壟斷或者不正當(dāng)競爭操作的工具”。

“但是立法部門在最后審議階段給這一規(guī)定加上了‘遵循公開、公平、公正的原則’的‘帽子’,相當(dāng)于作出了管束。”他補(bǔ)充道。

類似的碰撞還有。有觀點認(rèn)為:該條款對企業(yè),尤其是對大型互聯(lián)網(wǎng)企業(yè)提出了較高要求,這會不會增加它們的負(fù)擔(dān)?

然而,張新寶在調(diào)研中發(fā)現(xiàn):幾乎沒有企業(yè)對此提出反對意見。

“企業(yè)之間相互競爭,如果履行相同的義務(wù),那么起點就都是一樣的。”張新寶解釋。

何延哲也觀察到,越來越多的企業(yè)已經(jīng)意識到,保護(hù)好用戶個人信息本身也是核心競爭力。

不過他同時也提出疑問:企業(yè)想做好個人信息保護(hù),但又不能“虧本”,該怎么做?此外,哪些企業(yè)算得上“大型互聯(lián)網(wǎng)平臺”?怎樣的合規(guī)體系建設(shè)是被法律認(rèn)可的?企業(yè)要履行哪些社會責(zé)任才能達(dá)到要求?“這些都還是困惑點。”

“消除困惑需要時間和實踐。只要企業(yè)轉(zhuǎn)變態(tài)度、開始行動,問題的解決就邁出了關(guān)鍵一步。”何延哲說。

法律的生命,在于實施

在“大數(shù)據(jù)殺熟第一案”中,法院最終依據(jù)消費(fèi)者權(quán)益保護(hù)法判令攜程“退一賠三”,但并沒有對胡女士的“大數(shù)據(jù)殺熟”訴請予以判定。

與之類似,2021年4月,備受關(guān)注的“人臉識別第一案”終審落槌宣判。杭州市中級人民法院判決,被告杭州野生動物世界刪除原告郭兵辦理指紋年卡時提交的面部特征信息和指紋識別信息。

作為法學(xué)教師,郭兵認(rèn)為,雖然法院認(rèn)定動物園單方面變更入園方式構(gòu)成違約,但回避了對“未注冊人臉識別的用戶將無法正常入園”這一格式條款的審查。而這正是他起訴動物園的關(guān)鍵訴求。

在許可看來,“人臉識別第一案”宣判于個人信息保護(hù)法出臺之前,當(dāng)時最高人民法院關(guān)于人臉識別的司法解釋也尚未頒布,“法院未支持郭兵的關(guān)鍵訴求,也有缺乏明確法律依據(jù)的考量”。

根據(jù)個人信息保護(hù)法,人臉信息屬于敏感信息應(yīng)強(qiáng)化保護(hù),只有在具有特定的目的和充分的必要性、獲得用戶單獨同意并采取嚴(yán)格保護(hù)措施的情形下,方可處理。許可認(rèn)為,如果該案發(fā)生在11月1日之后,判決結(jié)果可能就會有所不同。

更關(guān)鍵的是,耗費(fèi)大量時間和精力后,郭兵的“臉”得以被刪除,那么個人信息保護(hù)法生效后,更多過往被采集的“臉”和其他信息刪不刪、怎么刪?

“個人信息保護(hù)法賦予了公民個人很多積極性的權(quán)利。”許可舉例說,當(dāng)發(fā)現(xiàn)個人信息權(quán)益受到侵害,可以向信息處理者主張查閱和刪除信息,也可以通過監(jiān)管部門進(jìn)行投訴舉報。

“不過,行使權(quán)利要求個人主動作為,法律不保護(hù)‘沉睡’的人。”許可強(qiáng)調(diào)。

何延哲同樣關(guān)注了法律施行后的落地問題。以“信息收集”為例,填寫手機(jī)號、身份證號只是一種方式,用戶的大量信息是在交互過程中生成并被采集的。“這么多的信息,想刪就刪可行嗎?”何延哲拋出問題。

“一方面,精準(zhǔn)刪除需要技術(shù)支持且要避免對使用同一系統(tǒng)或產(chǎn)品的其他人造成影響;另一方面,信息刪除的邊界在哪里,是否要為互聯(lián)網(wǎng)監(jiān)管留痕作出考慮?”何延哲說。

“這部個人信息保護(hù)法,代表了價值取向、法律制度基本框架,具體到如何實施,需要大量的配套細(xì)則。”張新寶透露,網(wǎng)信部門正在加緊完成這項工作,目前已經(jīng)公布了部分內(nèi)容。

法律的生命在于實施,個人信息保護(hù)法也需要在實施中不斷調(diào)整,需要政府、企業(yè)、相關(guān)社會組織、公眾共同參與。

“從這個意義上來說,法律的出臺只是第一步。”張新寶說。

(記者 盧越)

關(guān)鍵詞: 博弈 保護(hù) 信息 核心競爭力

相關(guān)閱讀:
熱點
圖片 圖片