首页 » 美文

一场信息保护的博弈 构建起个人信息安全的防护网

2021-10-20 11:03:43 工人日报
A+ A-
经过数年酝酿与打磨,《中华人民共和国个人信息保护法》将于11月1日起施行。

数字化时代,得信息者得天下。然而一直以来,这句话的前提都未能真正实现:“得”的手段要正当、数量要适度,到手的信息要妥善储存与保管。这也使得个人在享受数字化红利的同时,随时面临着信息和隐私被非法收集、泄露和滥用的威胁。

个人信息保护法的出台,为个人信息权益保护、信息处理者的义务提供了全面、体系化的法律依据,构建起了个人信息安全的防护网。

海量个人信息,自此有了一把“专门锁”。

今年国庆假期刚结束,从事数据安全相关工作的何延哲就关注到了两条行业新闻。

有数码博主发现,微信APP在用户未主动激活的情况下数次读取相册,每次读取时间为40秒至1分钟。此外,QQ、淘宝等APP也存在在后台频繁读取用户相册的行为。

两天后,在另一位数码博主上传的录屏视频中,美团APP每隔5分钟、连续24小时对其进行定位。该博主忍不住惊呼:“太恐怖了,这是要干什么?”

虽然类似事件早不是第一次发生,但这样的“业内”新闻依然毫不意外地引来了“热搜级”关注和讨论。

在距离个人信息保护法施行还有不到1个月的时候,人们关于个人信息与个人隐私的那根敏感又脆弱的神经再一次被挑动了。

因为信息泄露,一条人命没了

重庆大学国家网络空间与大数据法治战略研究院院长齐爱民关注个人信息保护立法,最早开始于1996年。

当时,我国正式接入国际因特网不到两年,拥有手机还是“富人”的标志,“个人信息”概念即使在学界也鲜有被提及。据齐爱民回忆,当时研究个人信息保护立法,完全算是冷门方向。

2003年,我国个人信息保护立法相关课题研究立项。两年后,由中国社会科学院法学研究所研究员周汉华领衔的课题组完成了《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》;同年,齐爱民起草的《中华人民共和国个人信息保护法示范法草案学者建议稿》发表,呈报当时主要负责推动国家信息化相关立法的国务院信息化工作办公室。

不过,此后数年间,个人信息保护法的立法进程却陷入了停滞状态。

“立法是系统工程。具体到个人信息保护法,既关乎学界的理论研究状况,又要考虑到当时的社会信息化程度。”齐爱民解释。

这即是说,社会是否迫切需要,是影响相关立法进程的重要因素之一。

智能手机出现并普及前,人们上网的主要目的是浏览资讯。想进入当时盛行的论坛、聊天室,也只需要一个由虚拟昵称注册的账户。2005年,原名“校内网”的人人网创立,成为许多80后记忆中第一个实名制的社交网络台。

2010年,网友“一阁”发文质疑人人网转卖其个人信息。虽然网站随后回应是不法分子利用系统漏洞窃取了用户信息,事情不了了之,但从那时起,“个人信息可能通过网络泄露”开始成为一条显知识在公众间传播开来。

真正加速个人信息保护法立法进程的标志案例,是2016年发生的“徐玉玉案”。

当年8月,山东临沂女生徐玉玉因接到一通电话,被骗走上大学的费用9900元。事后,徐玉玉伤心欲绝,心脏骤停离世。

后经查明,犯罪嫌疑人通过非法渠道购买了5万余条山东省2016年高考考生信息,随后冒充教育局工作人员,以发放助学金名义对学生实施电话诈骗。徐玉玉因此上当。

如今已是中国电子技术标准化研究院网络安全研究中心测评实验室副主任的何延哲依然记得当年“徐玉玉案”带给自己的触动,“谁能想到因为信息泄露,一条人命就没了?”

这起事件甚至直接影响了何延哲的研究方向。此后,他将工作重心从原本的网络安全转到了数据安全,并开始重点关注个人信息保护。后来,由何延哲担任主要编制人的《个人信息安全规范》对个人信息处理具体实践进行了限制和规范,填补了国内相关方面的空白。

同样在2016年,全国30个省份275位艾滋病感染者称接到诈骗电话,艾滋病感染者的个人信息疑似被大面积泄露。自那之后,APP过度索取手机权限、求职台泄露用户简历等新闻相继出现。而从多家媒体的报道来看,大多数包含个人真实数据的信息在互联网上均售价不足一元。

2018年9月,个人信息保护法正式列入十三届全国人大常委会立法规划。

中国人民大学法学院教授、中国法学会网络信息法学研究会副会长张新宝全程参与了个人信息保护法的立法工作,“从决策层到立法部门,再到整个社会都形成了广泛共识,加强个人信息保护已经迫在眉睫”。2020年新冠肺炎疫情出现,公共场合扫码、登记个人信息成为常态,由此引发的大众普遍对个人信息安全的担忧又进一步加快了相关立法速度。

2020年10月至2021年8月,个人信息保护法草案从一审到三审,仅用了10个月。

16个“告知”,27个“同意”

“自然人享有隐私权。”“自然人的个人信息受法律保护。”“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理。”

2021年1月1日,有“社会生活百科全书”之称的民法典开始实施。法典人格权编中,用单独一章对自然人隐私权和个人信息保护做出了规定,这一举措被视为一大立法亮点。

从法律层面保护个人信息,民法典并非第一个。2012年,《全国人民代表大会常务委员会关于加强网络信息保护的决定》出台。此后,从网络安全法制定,消费者权益保护法修订,刑法修正案(九)制定,再到电子商务法问世,都涉及了个人信息保护某一个方面、某一个领域的专门规则,也在一定程度上回应了公众关切。

不过,直到个人信息保护法出台,我国才真正建立起相对完整的个人信息保护法律体系。

作为“开场白”,个人信息保护法第一条这样写道:为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。

张新宝透露,在该法律起草过程中,一审稿和二审稿都没有对立法依据进行规定。“根据宪法”四个字,是在三审稿中加入的。

我国宪法规定,国家尊重和保障人权;公民的人格尊严不受侵犯;公民的通信自由和通信秘密受法律保护。

“在个人信息处理活动中,自然人与个人信息处理者之间存在‘非对称权力结构’或‘持续等信息关系’。”张新宝表示,企业或国家机关在处理个人信息时,为了追求商业价值或公共管理价值的实现,容易忽视对其承载的人格尊严、人身和财产安全以及通信自由和通信秘密等个人利益的保护,进而导致自然人的个人信息权益遭受侵害。而通常情况下,自然人在保护或维护个人权益时,都处于弱势地位。

“虽然只是四字之差,但这意味着个人信息保护法强调保护的权益不止停留在民事层面,而是提高到了宪法层面。”张新宝说。

从立法之初,个人信息保护法就将“告知-同意”原则作为个人信息保护的基本规则,是个人信息处理者处理用户信息的前提。在共8章74条的法律全文中,“告知”一词出现了16次,“同意”一词出现了27次。

过去,个人信息处理者向用户提供的大多是一揽子的同意协议条款。以至于一个经典笑话在网络上长盛不衰:从小到大,撒过最多的谎,就是同意各种隐私条款。

针对这一现象,个人信息保护法明确规定了两种同意机制,一是广泛的同意,二是个人单独同意。比如,该法律规定,处理敏感个人信息,或是将收集的个人图像和身份识别信息用于维护公共安全外的目的的,都要取得个人单独同意。

“个人信息对于主体的重要程度不同,有的是敏感信息,有的是隐私信息,有的属于一般信息,因此告知的强度和同意的明确程度,以及同意的方式也是不尽相同的。”张新宝说,“对此,个人信息保护法都作了详细的区分。”

对外经济贸易大学数字经济与法律创新研究中心主任许可注意到,个人信息保护法增加了相关罚则。根据该法第66条规定,在违法情形严重时,企业将面临的顶格罚款额度为5000万元或上一年度营业额的5%。

“这远高于之前的分散立法中的处罚规定。”许可说。

许可同时提到,根据此前相关法律规定,个人信息处理者主要限于私人主体。但在个人信息保护法中,这一范围拓展到国家机关以及履行相应公共管理职能的事业单位,它们和私人主体遵循统一的个人信息保护原则和规则。

联系到新冠肺炎疫情防控期间,个别地方政府拟通过收集市民电子病历、体检报告、生活方式等信息推出渐变色健康码的做法所引起的官方侵犯个人隐私的讨论,许可认为,“个人信息处理者范围的调整是非常大的进步”。

用得越多,“杀熟”的刀越快?

“为了方便用户快速发图”“系统更新后频繁唤醒APP ”“最新版本将进行优化”……被数码博主挂网“示众”后,微信和美团方面很快对读取用户相册和频繁定位行为作出了回应。不过,“似曾相识”的解释和改进措施能在多大程度上让网友感到满意和放心,着实值得划一个问号。

“说到底,类似事件通常都是APP开发者为了优化应用程序,未经用户同意擅作主张使用了可能触及用户隐私或影响用户安全感的权限,最后被用户发现后反过来提出质问。”何延哲总结说。

最新数据显示,我国互联网用户数量已达到10.11亿,国内市场上监测到的APP数量为291万款。APP普遍存在的强制索权、过度收集用户信息等现象使得这一领域成为个人信息安全遭威胁的重灾区。

在此前各方对个人信息保护法的解读中,第24条法条被反复提及:个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。

这一法规用公众更熟悉的说法来表述就是:“大数据杀熟”将受到规制。

2021年初,复旦大学教授孙金云团队发布了一份关于 “手机打车软件打车”的调研报告。通过在国内5个城市收集的常规场景下的800多份打车样本,该团队得出结论:用户手机越贵,越容易被更贵车型接单;同样的行驶路线,常使用某一款网约车台的用户打车费用比新用户贵。

这样的结论得到了不少网友的认可,还有网友“分享”了自己在购物、出行等台被“杀熟”的经历。

2021年7月,国内“大数据杀熟第一案”在浙江省绍兴市柯桥区法院开庭审理。该案中,原告胡女士是携程APP的钻石会员,可享受8.5折优惠价,但她通过该APP预订酒店房间时,价格却比普通用户贵了一倍。胡女士遂以上海携程商务有限公司采集其个人非必要信息,进行“大数据杀熟”等为由诉至法院,提出“退一赔三”等多项请求。

在市场经济中,差异化定价一般来说并不违法。“但在数字经济时代,互联网企业利用收集到的用户个人信息对其进行画像,根据支付能力的不同设定不同的价格,就可能有损公交易原则和个体的自由选择权。”许可说。

个人信息保护法规定,个人信息处理者根据“算法”分析、评估个人的行为惯、兴趣爱好或者经济、健康、信用状况等进行自动化决策时,应当保证决策的透明度和结果公、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。

“当信息处理者仅通过自动化决策方式做出决定,就是完全排除了人的参与。”在许可看来,即使将个人置于“算法”中,也必须尊重人格权。

让大厂成为“守门人”

在智能手机已向内异化为人体“新器官”的当下,但凡是与社会有一定程度联结的个体,基本都躲不开要使用大型互联网公司的产品。这意味着,无论是国内还是国外,互联网企业的数据安全对个人信息保护至关重要。

“为大型互联网企业设置个人信息保护义务,迫在眉睫。”张新宝表示。

据此,在个人信息保护法起草过程中,张新宝提出建议,在草案中增加大型互联网台企业的个人信息保护特别义务的相关条文。在他看来,作为互联网生态的“守门人”,头部互联网企业必须达到更高标准的信息合规处理要求。

张新宝的建议得到了立法部门的采纳,形成了个人信息保护法草案二审稿第57条,经过修改完善后,成为三审稿和最终通过的法律第58条。

该条款规定,提供重要互联网台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当建立个人信息保护合规制度,成立主要由外部成员组成的独立机构来监督;制定台规则;严重违反法律、法规的个人信息处理者要停止服务;定期发布个人信息保护社会责任报告。

事实上,这一条款中关于制定台规则的内容,是在最后审议阶段才加上去的。

据张新宝推测,二审稿之所以没有写入这一条,是考虑到“大型企业有可能将此义务滥用为垄断或者不正当竞争操作的工具”。

“但是立法部门在最后审议阶段给这一规定加上了‘遵循公开、公、公正的原则’的‘帽子’,相当于作出了管束。”他补充道。

类似的碰撞还有。有观点认为:该条款对企业,尤其是对大型互联网企业提出了较高要求,这会不会增加它们的负担?

然而,张新宝在调研中发现:几乎没有企业对此提出反对意见。

“企业之间相互竞争,如果履行相同的义务,那么起点就都是一样的。”张新宝解释。

何延哲也观察到,越来越多的企业已经意识到,保护好用户个人信息本身也是核心竞争力。

不过他同时也提出疑问:企业想做好个人信息保护,但又不能“亏本”,该怎么做?此外,哪些企业算得上“大型互联网台”?怎样的合规体系建设是被法律认可的?企业要履行哪些社会责任才能达到要求?“这些都还是困惑点。”

“消除困惑需要时间和实践。只要企业转变态度、开始行动,问题的解决就迈出了关键一步。”何延哲说。

法律的生命,在于实施

在“大数据杀熟第一案”中,法院最终依据消费者权益保护法判令携程“退一赔三”,但并没有对胡女士的“大数据杀熟”诉请予以判定。

与之类似,2021年4月,备受关注的“人脸识别第一案”终审落槌宣判。杭州市中级人民法院判决,被告杭州野生动物世界删除原告郭兵办理指纹年卡时提交的面部特征信息和指纹识别信息。

作为法学教师,郭兵认为,虽然法院认定动物园单方面变更入园方式构成违约,但回避了对“未注册人脸识别的用户将无法正常入园”这一格式条款的审查。而这正是他起诉动物园的关键诉求。

在许可看来,“人脸识别第一案”宣判于个人信息保护法出台之前,当时最高人民法院关于人脸识别的司法解释也尚未颁布,“法院未支持郭兵的关键诉求,也有缺乏明确法律依据的考量”。

根据个人信息保护法,人脸信息属于敏感信息应强化保护,只有在具有特定的目的和充分的必要、获得用户单独同意并采取严格保护措施的情形下,方可处理。许可认为,如果该案发生在11月1日之后,判决结果可能就会有所不同。

更关键的是,耗费大量时间和精力后,郭兵的“脸”得以被删除,那么个人信息保护法生效后,更多过往被采集的“脸”和其他信息删不删、怎么删?

“个人信息保护法赋予了公民个人很多积极的权利。”许可举例说,当发现个人信息权益受到侵害,可以向信息处理者主张查阅和删除信息,也可以通过监管部门进行投诉举报。

“不过,行使权利要求个人主动作为,法律不保护‘沉睡’的人。”许可强调。

何延哲同样关注了法律施行后的落地问题。以“信息收集”为例,填写手机号、身份证号只是一种方式,用户的大量信息是在交互过程中生成并被采集的。“这么多的信息,想删就删可行吗?”何延哲抛出问题。

“一方面,精准删除需要技术支持且要避免对使用同一系统或产品的其他人造成影响;另一方面,信息删除的边界在哪里,是否要为互联网监管留痕作出考虑?”何延哲说。

“这部个人信息保护法,代表了价值取向、法律制度基本框架,具体到如何实施,需要大量的配套细则。”张新宝透露,网信部门正在加紧完成这项工作,目前已经公布了部分内容。

法律的生命在于实施,个人信息保护法也需要在实施中不断调整,需要政府、企业、相关社会组织、公众共同参与。

“从这个意义上来说,法律的出台只是第一步。”张新宝说。

(记者 卢越)

责任编辑:bH_03116

关键词: 博弈 保护 信息 核心竞争力

点击查看全文(剩余0%)

相关新闻