孙春艳 中国信息通信研究院产业与规划研究所工程师
近年来,企业违法收集大量用户信息或通过收集到的个人信息实施金融诈骗等不法现象时有发生,已成为互联网领域重大安全隐患之一。从“徐玉玉案”到“支付宝年度账单事件”,关于个人信息保护的话题从未中断。
例如,2018年4月,中国人民银行杭州中心支行根据《非金融机构支付服务管理办法》和《中华人民共和国消费者权益保护法》,对支付宝(中国)网络技术有限公司作出行政处罚,并给予警告。据中国人民银行(以下简称“央行”)行政处罚信息公示表披露,支付宝此次违规具体包括3方面原因,其中在个人信息保护方面,存在个人金融信息收集不符合最少、必需原则以及个人金融信息使用不当的问题。据悉,自2017年至今,支付宝已先后受到3次相关行政处罚,2018年1月,还曾因存在“用户个人信息收集使用规则、使用目的告知不充分的情况”被工业和信息化部(以下简称“工信部”)约谈,并要求限期整改,相关事件的发生,距2017年9月联合签署“个人信息保护倡议书”仅半年。
再如,中国互联网协会曾发布《2016中国网民权益保护调查报告》,报告显示,我国54%的网民认为个人信息泄露情况严重,84%的网民曾亲身遭遇因个人信息泄露带来的不良影响,网络非法获取公民信息已形成“源头-中间商-非法使用人员”的黑色产业链,而该源头,即大多源自互联网中具有数据收集功能的企业。
以上案例,在一定程度上反映了我国在金融领域个人信息保护力度的提升,同时也凸显当前社会存在的普遍性问题:
一是我国公民隐私权利保护意识不足。以“支付宝年度账单事件为例”,支付宝年度账单服务推出后,大多数用户忽视获取账单前所默认勾选同意的“《芝麻服务协议》”,一旦用户签署这份协议,芝麻信用则包揽了用户个人数据的使用、分析、开发等授权,而相关数据具备较强的金融属性,对于用户本身来说则至关重要敏感。
二是企业普遍缺乏社会责任意识。2017年6月1日《中华人民共和国网络安全法》(以下简称《网络安全法》)生效后,几乎所有的互联网企业均被纳入监管范围,在收集使用用户信息方面,被赋予用户“事先知情同意”的告知义务。为规避违规风险,适应相关规定要求,一年以来,各知名互联网企业均不同程度调整了相关隐私条款或用户服务协议,但显然,相关情况并未根本改善,已普遍衍生为“一经用户同意,即可随意收集、使用用户个人信息”的行业乱象。
三是金融类企业风险水平较高。金融类企业因其特有的金融服务属性,以及我国对征信行业设置的特殊管理规则,较其他具有“收集个人信息”功能的企业来说,拥有更广阔的渠道来收集、使用用户相关敏感度高、最有商业价值的身份信息,例如身份证号码、银行账号、手机号码、家庭地址等,因此,也承载了更多金融信息泄漏和滥用风险。
目前,我国对用户个人信息(尤其是个人金融信息)的保护,主要基于《网络安全法》及相关具体管理规定,具体分别由央行、工信部、网信等主管部门在各自负责领域内开展相关监督管理工作。
(1)金融领域
2011年,央行发布《关于银行业金融机构做好个人金融信息保护工作的通知》(银发[2011]17号),对银行业金融机构所涉及的个人金融信息做了明确分类,明确提出一系列信息保护要求。2013年,国务院颁布《征信业管理条例》,对征信机构可收集用户信息范围、维护用户知情权、救济权等方面作出明确规定,并先后出台《征信机构管理办法》、《征信机构监管指引》、《企业征信机构备案管理办法》等一系列配套制度和行业标准,对于引导征信业规范发展具有里程碑意义。随着移动互联网的持续发展,近期,央行下发了《关于进一步加强征信信息安全管理的通知》(银发[2018]102号),进一步加强对企业和个人征信系统运行机构和接入机构征信信息安全管理,强化对APP查询征信信息的管理。
(2)互联网领域
2012年,《全国人民代表大会常务委员会关于加强网络信息保护的决定》对提出“相关组织和个人不得窃取或者以其他非法方式获取公民个人电子信息”初步个人信息管理要求;2015年,工信部出台《电信和互联网用户个人信息保护规定》,从规章层面对电信业务经营者及互联网信息服务提供者的个人信息保护责任作出明确规定;2016年《网络安全法》的出台,则正式将互联网用户个人信息保护工作提升至前所未有的法律保护高度。
(3)司法领域
2014年至今,最高人民法院结合司法管理需求,联合相关司法管理部门先后通过制定或修订《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》、《中华人民共和国刑法修正案(九)》、《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》等管理规定,强化对公民个人信息的保护力度,提高侵犯公民个人信息罪的相关刑事责任,并结合当前形势,明确提出“同时实施电信网络诈骗犯罪行为的,采取数罪并罚”。
(4)其他领域
除了上述专门领域外,我国新修订的《民法总则》、《消费者权益保护法》等,也分别从民事领域、消费者权益保护等角度,对个人信息收集一方的法律责任和义务作出明确规定,我国有关个人信息保护的法律体系逐步完善。
目前,全世界约有150多个国家已就个人信息保护制定专门立法,我国对个人信息的保护则主要是在《网安法》基本原则框架下,分散在上述各领域具体规定中。2017年,全国人大代表、中国人民银行杭州中心支行行长殷兴山曾呼吁全国人大加快《个人金融信息保护法》立法进程,将个人金融信息保护上升到国家法律的高度。当前,产业界和学界则对出台我国专门的《个人信息保护法》的呼声较高,国务院相关部门对此曾表示,正在抓紧开展相关研究工作,随着“互联网+”的不断深入以及网络强国战略的持续延伸,还需要深入考虑促进商业发展和提升个人信息保护力度之间的平衡,以及推动技术发展和维护个人利益之间的平衡等。
2017年下旬,网信部门、工信部门、公安部门以及国家标准委曾联合开展个人信息保护提升行动之隐私条款专项工作,并在《网络安全法》正式实施3个月之际便开展贯彻落实《网络安全法》的执法检查活动,随后半年里开展了多次相关约谈、处置工作,总的来看,个人信息保护工作已被提升至空前重要的位置。未来,相关执法检查保护工作或将成为常态。
基于商业发展和风险防控的需要,企业会主动或被动收集大量用户个人信息,对于企业自身来说,既是机遇也是挑战。当今时代,掌握数据即掌握企业发展主导权,企业可以通过数据分享创造价值、拓展广告营销合作伙伴,甚至可以通过算法构建人脸模型实现精准信息推送等,以不断占据市场有利地位。但同时,企业也随时面临信息泄漏、触碰法律底线、危害用户权益等可能发生的问题。在此背景下,企业也在不断摸索降低各类风险的路径。
一是在风险管理机制建设方面,不少企业已建立专门的信息安全委员会,由企业内部信息安全管理部门、法务部门等构建跨部门联动管理机制,实现对数据安全的专门保护。
二是在安全等级标准方面,不少企业已建立较一般法律更为严格的隐私保护政策,并通过外部可信云认证、信息安全等级认证等,强化自身安全等级标准。
三是强化自身技术防御能力,技术实力较强的企业在技术保护防御方面做了大量探索,通过个人信息脱敏处理、开发隐私保护软件、搭建智能风控管理系统等,不断提升自身安全保护能力。例如,阿里已通过构建“御城河”数据安全防控体系等来提升自身金融信息安全保护能力。
四是更新用户服务协议,自2016年《网络安全法》公布至今,包括腾讯微信、新浪微博、淘宝网、京东在内的各大互联网公司均通过更新用户服务协议、隐私政策等方式,重新梳理和确定个人信息收集使用规则,以提升与《网络安全法》的匹配程度。
鉴于用户历史数据庞杂、企业存储能力有限、随时可能发生泄漏风险等客观原因,当前,不少企业也在尝试对已收集的用户个人信息进行分级,通过制作个人信息清单,将信息来源、种类、敏感程度、接触人员、与第三方分享情况等信息作一一对应梳理,及时清理利用价值较低的个人信息,进一步强化风险管控,便于发现企业内部风险点。
(1)立法层面
从现有法律体系看,我国个人信息保护的法律框架体系已初步构建,但仍存在诸多不足,需要将个人信息保护(尤其是涉及财产的个人金融信息)上升至国家法律保护层面,通过制定专门的个人信息保护法律,将分散在各层面的法律、法规、规章制度等进行有效整合,构建更加明确的个人信息法律保护体系。
(2)监管层面
我国个人信息管理工作情况与互联网治理工作情况相似,仍处于多头管理局面,即央行主要从业务层面提出相关要求,央行、工信部、公安部、司法部门等部门则主要基于职责,在相关领域内提出具体监督管理要求,网信部门基于互联网统筹协调职能,负责对互联网相关问题作统一部署、指导。下一步,需进一步优化各部门之间的协同管理机制,明确相应监管职责,赋予必要的监管手段,形成统一监管合力。
(3)合规层面
目前,企业有迫切的合规发展需求,但是在个人信息的使用收集方面,《网络安全法》等相关法律法规仅提出原则性管理要求,在如何满足“用户知情同意”要求、是否需要公开使用规则等方面,并无明确的参考标准,处于相对模糊的状态。鉴于此,未来还需要通过不断制定相关实施细则、合规指引文件等,进一步明确企业合规管理标准,构建行业统一规范发展准则。
(4)监督执法层面
立法与监督执法处于同样重要的地位。在加强立法建设的同时,应更注重强化日常监督执法,在明确各部门职责的情况下,通过联合执法、开展市场专项行动、强化投诉举报机制等方式,不断提升对个人信息收集一方的监管力度,及时作出相应处置措施,对违法违规行为形成有力震慑。
(5)企业主体责任层面
在深入推进“互联网+”发展的大环境下,企业应进一步提升主体责任意识和社会责任心,一方面要积极利用技术手段和平台服务优势,采取更多用户权益保护措施,探索构建内部安全风险防控管理机制;另一方面也要在遵守国家相关法律法规、推动企业自身发展和维护用户根本权益三者之间找寻平衡点,探索持续稳定的企业发展之道。
(6)技术保障层面
在技术驱动行业发展的今天,个人信息保护工作面临的不仅仅是个人信息不当收集使用问题,还包括来自各方数据窃取所带来的国家安全风险,以及可能发生的人身安全风险等,监管部门、数据收集企业等相关主体应当在深入了解全球风险形势的情况下,不断强化风险防控能力建设,通过开发各类反欺诈、反病毒等防御软件、技术手段,为我国信息安全提供良好屏障。
(7)提升安全意识层面
用户作为互联网领域弱势群体,应持续强化自身隐私保护意识,避免个人信息被不当获取、非法使用。在安全风险发生之际,应积极利用法律武器,依法维护个人权益和利益不受侵害。