《中华人民共和国个人信息保护法》于2021年11月1日起施行。法律明确不得过度收集个人信息、大数据杀熟,对人脸信息等敏感个人信息的处理作出规制,完善个人信息保护投诉、举报工作机制等,充分回应了社会关切,为破解个人信息保护中的热点难点问题提供了强有力的法律保障。
个人信息收集、处理:我知情,我同意
在信息化时代,人人享受着信息化红利,那种快捷、便利是过去无法想象,也是未来无法预估的。每一款App,都是一个小天地,都为不同的人带来不同的便利。App应用无远弗届,深度嵌入各种应用场景,以致手机向内异化为人们的“新器官”,向外演变成人们与外部世界的“路由器”。
针没有两头尖,甘蔗没有两头甜。私自、超范围收集个人信息,频繁申请、过度索取用户权限,习焉不察,相沿成俗,成为众多App的通病与顽疾,虽屡下重药仍沉疴难起。“从小到大,撒过最多的谎,就是‘同意App隐私条款’”这句诙谐的网络段子,这折射出公众对App侵权行为泛滥成灾的无奈与困惑。一项媒体调查显示,92.8%的受访者遭遇过信息被滥用,89.2%的受访者收到过骚扰广告,75.9%的受访者接到过诈骗电话或短信。个人信息遭泄露之害,绝非遭受“信骚扰”那么简单,若防骗这根弦绷得不紧,分分钟有跌落诈骗陷阱之险。
个人信息保护法应运而生,直面广大人民群众最关心、最直接、最现实的利益问题,为个人信息筑牢防护堤,为新技术、新应用更好造福社会奠定基石。法律确立了原则、厘清了界线、消除了争议,为依法治理提供了依据。比如说,明确个人信息处理应遵循合法、正当、必要和诚信原则,就很有针对性,也很有可操作性。很多企业过度索权、超范围收集个人信息,是过不了这道“筛”的。比如,一款手电筒App要访问用户通讯录,无论从哪个方面来说,都是非必要的,不可接受的。
法律的生命在于实施。个人信息保护法颁布,迈出法治的重要一步,但要取信于民,行之久远,还要通过司法成效来全力维系。个人信息保护法正式实施之后,普法教育当快步跟上。对于个人信息采集者、处理者来说,学法知可为与不可为,减少单位或企业违法风险;对于个人信息生产者、拥有者来说,平时多学法,遇事有办法,保护自身合法权益才有底气。加大普法力度,让法律走进群众身边、走进群众心里,尤其要走进那些重点领域、重点企业中,送法律上门。从过往的表现来看,网购、医疗、房地产、教育等都属于个人信息泄露的重灾区,普法教育要“特别关照”。
据中国互联网络信息中心统计报告,截至2021年6月,我国网民总体规模超过10亿,网站数量和App数量分别超过422万个和302万款。在信息化时代,个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。对个性化推送、大数据杀熟等为人诟病的现实问题作出针对性规定,让人们对个人信息保护法的施行充满了期待。对于公民个人而言,如何真正实现“我的信息我做主”成为关注焦点。
据一项调查发现,77.8%的用户在安装App时“很少或从未”阅读过隐私协议,在被调查的150款App中,近三成App存在制造障碍、刻意隐藏和诱导用户略过隐私协议的行为,受访对象对于隐私协议的认可程度处于较低水平。被忽视的用户服务协议和隐私政策条款,常常会为违规或者过量收集个人信息大开方便之门。
随着个人信息保护法的实施,这种“产品方在假装很认真告知,用户在假装阅读并同意”的情况有望迎来重大改变。
“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出”“个人有权撤回其同意”“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务”……在规定“告知—同意”核心规则之时,个人信息保护法特别明确,个人信息处理者在处理个人信息前向个人告知相关事项时,“应当以显著方式、清晰易懂的语言”真实、准确、完整告知,处理包括人脸等在内的敏感个人信息时,必须取得单独同意。
“个人信息的保护长期以来是个薄弱环节,同时又是一个涉及14亿多人民群众的大工程,靠政府、靠机构保护是不够的,更多的是让每个公民举起法律武器,保护好个人的有关信息。”全国人大常委会委员乌日图表示,要大力推动法律的宣传,使大家充分认识到个人在信息保护方面的权利和义务。
“个人要提升个人信息保护素养,不要轻易把自己的个人信息交给那些来路不明的App。”对外经贸大学数字经济与法律创新研究中心执行主任许可提醒,个人可以积极行使个人信息保护法规定的查阅权、复制权、更正权、删除权等一系列权利,及时了解、把握自己的个人信息收集和处理情况。
谁来定义、如何定义“必需”
处理个人信息应当“遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息”“具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式”;收集个人信息应当“限于实现处理目的的最小范围,不得过度收集个人信息”“遵循公开、透明原则,公开个人信息处理规则”……在对应用程序收集、处理个人信息行为作出明确规范之外,个人信息保护法还规定了违法行为惩处规则,对违法处理个人信息的应用程序,最高可处5000万元罚款。
“随着个人信息保护法的施行,相关执法有了更加明确的法律依据。”北京大学法学院教授薛军表示。
安装图像处理程序,要提供地理位置信息;下载文字编辑App,需获取通讯录权限;在公共场所毫不知情时,人脸信息可能被记录……有人说,对于生活在信息化时代的人们,这是一个最好的时代,也是一个最坏的时代——面对疫情防控形势,可以“一码走天下”,犯罪嫌疑人在联网人脸识别系统下无所遁形;但人们在享受数据带来便利的同时,也对信息收集处理的尺度、界限有着高度的敏感。
按照相关规定,App收集处理用户信息应该遵循“收所必需、用所必需”的基本准则,所收集、处理的信息应该处于“必需”,且在合理的时间段、规定的业务范围内被正当使用。
个人信息保护法第16条规定:个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
“这里的‘必需’怎么认定?由谁来确定?这就很关键了。”全国人大常委会委员彭勃表示:“现在人民群众对于个人信息保护反映最大的,就是个人信息处理者过度采集和占有公民个人信息。某种意义上来讲,我们制定这个法恰恰就是为了约束这个。要对供应和服务运营商、信息处理者进行严格、科学的约束和规范。”
许可表示,这里的“必需”条款,源自个人信息处理的最小必要原则。“提供产品或服务所必需”,必须从用户和企业两方来看,不能只看单方面的企业观点,也不能只看单方面的用户观点,而是要通过双方的合意来判断。
根据个人信息保护法第26条规定,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需。全国人大常委会委员李巍观察到,实践中一些社区、银行、商店并不是完全按照这个规定,“或者说是以假借维护公共安全为目的,设置很多人脸识别等生物识别手段”,他建议采取措施防止滥用和扩大图像采集、人脸识别等手段。
许可表示,“为维护公共安全所必需”应当遵循行政法上的比例原则。“为了维护公共安全而处理个人的敏感信息,特别是人脸信息,应当遵循其必要性。即是为了实现特定的公共目的之必要,不能超出维护公共安全目的”。
各大公司采取合规举措,做好生效实施准备
《中华人民共和国个人信息保护法》与《中华人民共和国网络安全法》、《中华人民共和国数据安全法》共同构成我国网络空间治理框架性规则的基础法律。金杜律师事务所高级合伙人宁宣凤认为,在三法下,企业往往具备网络运营者、数据处理者以及个人信息处理者的多重身份,在数据处理活动过程中,企业应当根据其数据处理身份识别、厘清并履行所适用的法律义务,建立完善业务开展以及内部数据管理过程中所涉及的网络安全、数据安全以及个人信息保护三大方面的合规举措。
一些具有较大影响力的公司纷纷采取合规举措。10月29日,苹果公司向其用户发送了一封邮件,告知用户Apple已为个人信息保护法生效实施做好准备。苹果强调,仅在有合法的法律依据的情况下才使用用户的个人数据。此外,腾讯公司10月中旬宣布将于近期成立“个人信息保护外部监督委员会”,并公开招募委员会成员。更早之前,抖音电商运营团队宣布启动消费者隐私数据加密项目,京东发布《JD用户订单隐私安全方案》,阿里巴巴开放平台发布《依法加强消费者订单中敏感信息保护的公告》。
国泰君安研究所计算机首席分析师李沐华认为,个人信息保护法落地后,大大小小的互联网公司都会加大数据安全投入。假设单个网站或者APP投入金额超过五万元,潜在市场空间即达到千亿元,因此个人信息保护法的落地标志着网安行业一个新时代的开始。
值得注意的是,10月29日,国家互联网信息办公室发布《数据出境安全评估办法(征求意见稿)》公开征求意见的通知。评估办法指出,数据处理者向境外提供数据,符合规定情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。这些情形包括:关键信息基础设施的运营者收集和产生的个人信息和重要数据;出境数据中包含重要数据;处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息;国家网信部门规定的其他需要申报数据出境安全评估的情形。
良好的信息保护,是数据共享的前提。近几年出现的一系列信息泄露等乱象,在不断地考验消费者对于数字经济本身以及平台的信心,个人信息保护法从法律层面彰显了国家对于个人信息保护的重视。对个人信息的严格保护,也能够让个人重拾对数字平台的信心,不会因为过度担心自己的数据被不合理利用而牺牲在数字平台的便利性,比如刻意拒绝所有数据获取申请等。这也能在客观上保证数据的正常流通,促进数字经济的健康发展。
个人信息保护法的实施还能够对数据使用者的行为进行约束。从静态来说,个人信息保护法是在保护个人信息,但是从动态和实际看,它已经不再是单单的一个保护性法律,而将演变成平台监管的一个工具,实际上将促使平台更加合规,对平台的无序发展进行规制,从而保护数字经济整体的健康发展。
合理利用和发掘数据的价值,是进一步发挥数字经济优势的关键。数字经济的优势在于从大数据中挖掘市场需求,从而引导产品和服务的生产规划,促进市场上供需平衡的形成,满足差异化的需求,动态解决供需失衡的时滞问题,显著提升市场效率,而这些目标实现的一个前提就是数据价值的发现。可以说,数据才是数字经济上层建筑的地基,数据挖掘和利用的深度以及与其他产业的关联程度,决定了数字经济优势发挥的程度。
信息保护与合理利用并不冲突,两者之间存在着互相促进的关系。信息保护是合理利用的前提条件,合理利用是信息保护的最终目的。只有做好信息保护,才能让数据所有者愿意授予其他主体对数据的使用权利,从而实现数据的合理利用,进一步促进数字经济的发展。强监管时代已经到来,同时涉及个人信息安全、数据安全与金融安全的跨境互联网券商正面临着合规的重大挑战。顺应国家要求,积极作为维护个人信息安全和国家安全,才是行业生存和继续发展的明智之选。
来源:光明日报、经济参考报、证券时报、广州日报、每日经济新闻
中经传媒智库公众号
中经传媒智库微博
