喻思南
安装手电筒程序,要提供地理位置信息;下载文字编辑APP,需获取通讯录权限;走进售楼处,在毫不知情时,人脸信息可能被记录……大数据时代,人们享受着数据带来的便利,也被一些过度收集个人信息的行为所困扰。
不久前,十三届全国人大常委会第三十次会议审议通过《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),于11月1日正式实施。
难以拒绝的“同意”
不授权就无法使用,权限与APP功能需求并不匹配
在调查了数十万款APP后,中国人民大学一个团队研究发现,APP的各类权限有30多个,但很多权限跟APP实现功能的需求并不匹配。
APP要求这么多权限有何用?如果仔细查看用户隐私协议条款,几乎无一例外提及,将对收集的部分信息进行商业利用,例如推送个性化的信息、广告等,这也是个人信息潜在的商业价值。
担心信息被违规使用,在安装一些APP时,北京市朝阳区的王先生曾想拒绝某些授权,可他发现,不同意授权,就无法使用。“一旦授权,我的个人信息去了哪儿?”王先生很困惑。同时,权限申请的文字大多冗长复杂。曾有人统计,APP通行的隐私条款内容大多在1万字以上。阅读等待时间过后,许多人来不及细看,就会直接点“同意”。
一位开发者表示,获取权限后,后台甚至能够判断数据背后的人做什么工作、常去哪里。保护虚拟空间数据化的“我们”,通常依靠收集方自律。然而,倘若某些企业安全“防护墙”不结实,就可能造成信息泄露。更大的风险是,一些数据收集方甚至会做起数据交换的“生意”,几经转手,数据可能被非法利用。
近些年,有媒体曝出在网络平台明码标价贩卖个人信息的事件。比如,一则17万条“人脸数据”被公开售卖的新闻,就曾引起社会广泛关注。
利用信息分析个人特征,为用户精准画像,有利于提升消费体验,但也会产生“大数据杀熟”等侵犯消费者权益的行为。复旦大学一项关于网约车的研究发现,某一品牌手机用户更容易被舒适型车辆司机接单,这一比例远高于其他品牌手机用户。也有网友反映,同一时段与朋友在网上浏览同样品牌的相同商品,价格存在不小的差异。
此外,随着数据内涵的扩大,人脸信息、健康信息、金融账户、行踪轨迹等也越来越多被收集,这些信息因与隐私密切相关,比较敏感。专家表示,收集、处理敏感个人信息的规范应当更加严格。
“告知—同意”是核心规则
收集个人信息,应当限于实现处理目的的最小范围
“为了提高体验,完善产品,一些APP必然要求获得权限,用数据来服务消费者。”安全专家、绿盟科技集团副总裁曹嘉说,由于实际生活中的应用场景往往比较复杂,数据收集、使用范围的边界并不清晰。
围绕规范个人信息处理活动、保障个人信息权益,《个人信息保护法》构建了“告知—同意”的个人信息处理规则。
专家表示,《个人信息保护法》明确,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围。
同时,对于人们反映强烈的一揽子授权、强制同意等问题,《个人信息保护法》特别要求,个人信息处理者在处理敏感个人信息、向他人提供或公开个人信息、跨境转移个人信息等环节应取得个人的单独同意,明确个人信息处理者不得过度收集个人信息,不得以个人不同意为由拒绝提供产品或者服务,并赋予个人撤回同意的权利,在个人撤回同意后,个人信息处理者应当停止处理或及时删除其个人信息。
近年来,我国在规范个人信息收集使用上做了一系列积极探索。针对公众反映突出的APP违法违规收集使用个人信息问题,2019年开始,中央网信办联合工信部、公安部、市场监管总局持续开展了专项治理行动。统筹制定APP个人信息保护系列規范,先后发布了《信息安全技术个人信息安全规范》《APP违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》,明确个人信息收集、存储、使用、共享、转让、公开披露等行为规范,界定了6类31种个人信息收集使用违法违规情形,明确了39类常见类型APP的必要个人信息范围。
《个人信息保护法》将生物识别、特定身份、医疗健康、金融账户、行踪轨迹等信息列为敏感个人信息。该法要求,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可处理敏感个人信息,同时应事前进行影响评估,并向个人告知处理的必要性以及对个人权益的影响。
为保护未成年人的个人信息权益和身心健康,《个人信息保护法》特别将不满14周岁未成年人的个人信息确定为敏感个人信息予以严格保护。获取这类信息应当取得未成年人的父母或者其他监护人的同意,并应当对此制定专门的个人信息处理规则。
现实中,保护个人信息可能比想象中复杂。“个人信息与非个人信息的界限并非如想象的那样清晰。收集行为是否合法等,也就不那么容易判断。”中国人民大学法学院副教授丁晓东说。
比如,个性化推荐、用户画像等收集的数据属于个人信息吗?通常,企业在收集了用户浏览网页、搜索记录等信息后,会将此类信息做匿名化处理。丁晓东表示,这些匿名化处理后的信息,是否属于个人信息,是否纳入个人信息的范畴来管理,学界尚无定论。此外,个人信息的范围因时代而改变,针对不同的个人信息的类型,应该采取不同的管理方式。
保护利用的平衡
保护个人信息与数字经济发展并不对立
保护个人信息,现实监管的难点还在于,如何找到数据保护和合理利用之间的平衡点。
截至2020年年底,中国网民规模为9.89亿人。庞大的网民数量是发展数字经济的基石,数据成为数字经济的重要驱动力。不过,保护个人信息与数字经济发展并不对立。专家认为,关键在于以保护个人权益和促进信息合理流通为准绳,找到信息利用和安全的平衡点。
在数字经济领域,我国的一些方面走在世界前列,也面临一些新情况、新问题。“正视个人信息保护的多元化诉求,找到解好隐私难题的最大公约数,我们尝试探索一条与数字时代相适应的数据隐私保护路径。”曹嘉说。
个人信息保护是系统工程。过去,保护个人信息的规则制度散见于许多单行法律中。在现有法律基础上,《个人信息保护法》进一步细化、完善个人信息保护应遵循的原则和个人信息处理规则,明确个人信息处理活动中的权利义务边界,健全个人信息保护工作体制机制。专家表示,维护、保障好合法权益,有利于人民群众在数字经济发展中享受更多的获得感、幸福感、安全感。
安全专家提醒,当前,APP的功能设计复杂,用户也养成了使用习惯,即便界定了应用的基本功能和收集的必要个人信息范围,实际上仍可能出现采集、使用的数据超出规定范围的情况。
针对现实中信息倒卖、违背承诺等违法行为,丁晓东认为,有必要加强对违法行为的惩处力度,提高违法成本,形成法律震慑效应。