论文部分内容阅读
今年8月20日,《个人信息保护法》表决通过,定于11月1日起施行。这是中国首部针对个人隐私保护的法律,立法的严格程度堪比欧盟《通用数据保护条例》(GDPR)。其中规定:严禁“大数据杀熟”;App不得强制推送个性化广告;不得非法收集、使用、加工、传输他人个人信息;不得因用户不同意提供信息拒绝服务等。可以说,这部专门法律充分回应了社会关切,为破解个人信息保护中的热点难点问题提供了强有力的法律保障。
侵犯个人信息乱象丛生,《个人信息保护法》生逢其时
据统计,截至去年年底,我国互联网用户已达9.89亿,互联网网站和应用程序数量分别超过440万和340万。在互联网的飞速发展中,一些企业、机构甚至个人随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题变得非常突出。以我们最常用的手机App为例,为实现商业利益最大化,不少移动应用滥采滥用个人信息,严重侵害了用户个人信息的选择权、知情权、删除权等权益。
比如由国家互联网信息办公室提供的《百款常用App申请收集使用个人信息权限列表》显示,与个人信息相关的26项权限中,平均每个App申请了10个权限,该列表还显示,相机、定位、录音权限、读取和写入存储器成为App最常调用权限,而且高达99.0%的App都默认调用相机权限。今年5月,国家互联网信息办公室通报了105款App违法、违规收集使用个人信息情况。其中,《抖音》《快手》等短视频类App,《搜狗搜索》等浏览器类App以及《领英》《猎聘》等求职招聘类App存在“收集与其提供的服务无关的个人信息”等问题;《茄子短视频》《360浏览器》等App存在“未经用户同意收集使用个人信息”等问题。
除了违法违规收集使用个人信息,“大数据杀熟”问题也十分严重。随着互联网的高速发展,大数据时代的来临,消费者—方面在享受便捷服务的同时,也面临着许多陷阱。从旅行平台、电商平台、打车软件到外卖平台,不少互联网企业都曾被曝光利用大数据杀熟。例如2020年12月14日就有自媒体在微信公众号发表文章,质疑某外卖平台对外卖会员杀熟,这篇文章在当时引发舆论广泛关注。文章指出,作者常年点外卖的一家驴肉火烧的配送费从未超过3元,但是购买外卖平台的会员后配送费竟变为6元。作者在确认了当时并非配送高峰期后,又登录了自己另一个非会员的账号进行确认,发现两个账号在相同时间相同位置,配送费并不一样:会员6元,非会员2元。三天后作者再次操作确认,配送费变成了会员4元,非会员2元,会员的配送费还是比非会员高,自此他得出结论认为自己遭遇了大数据杀熟。
不难看到,“大数据杀熟”可带来恶劣的影响,其最直观表现就是价格歧视,即对新老用户制定不同价格,会员用户反而比普通用户价格更贵;对不同地区的消费者制定不同价格;多次浏览页面的用户可能面临价格上涨;利用繁复促销规则和算法,实行价格混淆设置,吸引计算真实价格困难的消费者。
最后,离我们日常同样很近的个人生物信息泄露(例如人脸识别)也是一个大问题。目前,不仅大量的线上应用及线下服务设置了基于生物识别信息的身份认证环节,在会场签到、景区参观等线下场景中,人脸识别已经成为必要“门票”,而且还存在公共空间滥用人脸识别摄像头远距离偷采人脸图像信息以牟取私利的情况。比如,去年曾曝光的房产售楼处采集用户面部信息“杀熟”,再如今年“3·15”晚会曝光的科勒卫浴等多个商家安装了具备人脸识别功能的摄像头,偷偷采集了海量顾客人脸信息等。
由上述可知,国内对于用户个人信息保护存有相当的挑战,而《个人信息保护法》的即将实施对于化解这些挑战可谓正当时。那么问题来了,《个人信息保护法》到底能给作为个人的我们带来什么?
如前述,长期以来,应用程序过度收集个人信息问题是社会关注的一大焦点。在实践中,互联网企业推出的App通常以勾选“隐私协议”来获取用户一揽子授权,用户经常面临着“不同意即不可用”的困境。《个人信息保护法》明确了个人信息处理和跨境提供的规则、个人信息处理者的义务等内容。其规定,任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
例如针对过度收集信息、大数据杀熟的问题,《个人信息保护法》明确,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式;个人信息处理者利用个人信息进行自动化决策,不得对個人在交易价格等交易条件上实行不合理的差别待遇。—方面,经营者应当按照法律规定,遵循公开、公平、公正的原则设定算法模型、制定自动化决策的规则,不得对消费者实行歧视性的不公平的差别待遇;另—方面,个人信息处理者应当保障消费者的知情权和选择权,向个人进行信息推送、商业营销时,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
又如针对滥用人脸识别技术问题,《个人信息保护法》要求,在公共场所安装图像采集、个人身份识别设备,应设置显著的提示标识;所收集的个人图像、身份识别信息只能用于维护公共安全的目的。对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,《个人信息保护法》特别规定了其需要履行的义务,如建立健全个人信息保护合规制度体系,定期发布个人信息保护社会责任报告,接受社会监督等。
值得关注的是,《个人信息保护法》还将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息列为敏感个人信息。《个人信息保护法》要求,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可处理敏感个人信息,同时应当事前进行影响评估,并向个人告知处理的必要性以及对个人权益的影响。
考虑到少年儿童在生理上和心理上尚不成熟,认知能力和控制自己行为的能力都较弱,容易受到信息推送和商业营销的诱导,在面对违法处理行为侵害其合法权益时缺乏必要的分辨能力和充分的自我保护能力,为保护未成年人的个人信息权益和身心健康,《个人信息保护法》特别将不满十四周岁未成年人的个人信息确定为敏感个人信息予以严格保护同时,与未成年人保护法有关规定相衔接,《个人信息保护法》要求处理不满十四周岁未成年人个人信息应当取得未成年人的父母或者其他监护人的同意,并应当对此制定专门的个人信息处理规则。通过上述与我们个人密切相关的领域看,《个人信息保护法》为个人信息保护明确划出一条红线,对保护个人信息安全将起到重要作用。 不可否认,《个人信息保护法》为破解个人信息保护中的热点难点问题提供了强有力的法律保障,但从发展角度来看,立法只是第一步,如何在有法可依的背景下做好个人信息保护是立法之后需要高度关注的课题。
众所周知,个人信息流通链条复杂,所涉环节众多,应构建由个人、企业、第三方监测机构与事故处理机构等组成的个人信息保护健康生态,建立“事前预防”“事中监控”和“事后处置”三管齐下的个人信息安全保障体系,筑牢个人信息安全保护屏障。
例如针对App安全问题,专家建议今后要持续完善行业监管执法建设,强化行业监管职责,细化违规处置流程和具体措施,提升监管的规范性和透明度。同时,要着眼于技术发展规律,以技术产业创新主体为重点压实监管责任,以技术检测平台为依托提升监管能力,以技术标准为核心强化监管要求。坚持体系化共治思维,坚持政府、企业、行业共同参与,构建多层次的App个人信息保护规范体系。
上述可以概括为各方协力综合治理的化,另—方面,手机App用户的隐私意识也应该提升。同很多发达国家相比,中国民众对个人信息保护的认知依旧存有明显差别。我们这里同样以App为例,据艾瑞数据显示,相比于2018年,2020年认真阅读App隐私条款的网民有所增加,从32.4%上升为36.4%,说明中国手机网民的个人隐私保护意识在一定程度上有所增强,但整体情况依旧不容乐观。艾瑞数据显示,有57.8%的受访网民在App申请调用权限时辨别后或选择部分通过;30.3%的受访网民会因拒绝应用强迫调用权限而放弃使用该App。
由此可见,手机网民对于辨别App权限渐趋于主动,但在面对应用过度调用的情况下仅有少数网民能够坚定拒绝继续使用应用,而绝大多數网民仍迫于需求或者方便妥协于让步于应用不法调用用户信息。所以在受到法律保护的同时,未来我们还需不断提升自身对于信息安全的保护意识,这也相当重要。
毫无疑问,作为中国首部个人信息保护方面的专门法律,《个人信息保护法》在正式颁布实施后将肩负起数字时代下个人信息“保护神”的使命,引导我国个人信息保护的法制建设步入一个新的篇章。这对于广大用户个人的信息安全保护无疑是一大利好。对于企业来说,《个人信息保护法》的正式颁布也意味着此前在数字经济发展中依靠谋“私”获得野蛮成长的时代终结了,今后应当以《个人信息保护法》为红线,不断提升自身的道德和企业责任,将心思用到真正可以给用户带来实惠的创新上,毕竟这才是才是企业发展唯一的正道。
侵犯个人信息乱象丛生,《个人信息保护法》生逢其时
据统计,截至去年年底,我国互联网用户已达9.89亿,互联网网站和应用程序数量分别超过440万和340万。在互联网的飞速发展中,一些企业、机构甚至个人随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题变得非常突出。以我们最常用的手机App为例,为实现商业利益最大化,不少移动应用滥采滥用个人信息,严重侵害了用户个人信息的选择权、知情权、删除权等权益。
比如由国家互联网信息办公室提供的《百款常用App申请收集使用个人信息权限列表》显示,与个人信息相关的26项权限中,平均每个App申请了10个权限,该列表还显示,相机、定位、录音权限、读取和写入存储器成为App最常调用权限,而且高达99.0%的App都默认调用相机权限。今年5月,国家互联网信息办公室通报了105款App违法、违规收集使用个人信息情况。其中,《抖音》《快手》等短视频类App,《搜狗搜索》等浏览器类App以及《领英》《猎聘》等求职招聘类App存在“收集与其提供的服务无关的个人信息”等问题;《茄子短视频》《360浏览器》等App存在“未经用户同意收集使用个人信息”等问题。
除了违法违规收集使用个人信息,“大数据杀熟”问题也十分严重。随着互联网的高速发展,大数据时代的来临,消费者—方面在享受便捷服务的同时,也面临着许多陷阱。从旅行平台、电商平台、打车软件到外卖平台,不少互联网企业都曾被曝光利用大数据杀熟。例如2020年12月14日就有自媒体在微信公众号发表文章,质疑某外卖平台对外卖会员杀熟,这篇文章在当时引发舆论广泛关注。文章指出,作者常年点外卖的一家驴肉火烧的配送费从未超过3元,但是购买外卖平台的会员后配送费竟变为6元。作者在确认了当时并非配送高峰期后,又登录了自己另一个非会员的账号进行确认,发现两个账号在相同时间相同位置,配送费并不一样:会员6元,非会员2元。三天后作者再次操作确认,配送费变成了会员4元,非会员2元,会员的配送费还是比非会员高,自此他得出结论认为自己遭遇了大数据杀熟。
不难看到,“大数据杀熟”可带来恶劣的影响,其最直观表现就是价格歧视,即对新老用户制定不同价格,会员用户反而比普通用户价格更贵;对不同地区的消费者制定不同价格;多次浏览页面的用户可能面临价格上涨;利用繁复促销规则和算法,实行价格混淆设置,吸引计算真实价格困难的消费者。
最后,离我们日常同样很近的个人生物信息泄露(例如人脸识别)也是一个大问题。目前,不仅大量的线上应用及线下服务设置了基于生物识别信息的身份认证环节,在会场签到、景区参观等线下场景中,人脸识别已经成为必要“门票”,而且还存在公共空间滥用人脸识别摄像头远距离偷采人脸图像信息以牟取私利的情况。比如,去年曾曝光的房产售楼处采集用户面部信息“杀熟”,再如今年“3·15”晚会曝光的科勒卫浴等多个商家安装了具备人脸识别功能的摄像头,偷偷采集了海量顾客人脸信息等。
由上述可知,国内对于用户个人信息保护存有相当的挑战,而《个人信息保护法》的即将实施对于化解这些挑战可谓正当时。那么问题来了,《个人信息保护法》到底能给作为个人的我们带来什么?
如前述,长期以来,应用程序过度收集个人信息问题是社会关注的一大焦点。在实践中,互联网企业推出的App通常以勾选“隐私协议”来获取用户一揽子授权,用户经常面临着“不同意即不可用”的困境。《个人信息保护法》明确了个人信息处理和跨境提供的规则、个人信息处理者的义务等内容。其规定,任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
例如针对过度收集信息、大数据杀熟的问题,《个人信息保护法》明确,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式;个人信息处理者利用个人信息进行自动化决策,不得对個人在交易价格等交易条件上实行不合理的差别待遇。—方面,经营者应当按照法律规定,遵循公开、公平、公正的原则设定算法模型、制定自动化决策的规则,不得对消费者实行歧视性的不公平的差别待遇;另—方面,个人信息处理者应当保障消费者的知情权和选择权,向个人进行信息推送、商业营销时,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
又如针对滥用人脸识别技术问题,《个人信息保护法》要求,在公共场所安装图像采集、个人身份识别设备,应设置显著的提示标识;所收集的个人图像、身份识别信息只能用于维护公共安全的目的。对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,《个人信息保护法》特别规定了其需要履行的义务,如建立健全个人信息保护合规制度体系,定期发布个人信息保护社会责任报告,接受社会监督等。
值得关注的是,《个人信息保护法》还将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息列为敏感个人信息。《个人信息保护法》要求,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可处理敏感个人信息,同时应当事前进行影响评估,并向个人告知处理的必要性以及对个人权益的影响。
考虑到少年儿童在生理上和心理上尚不成熟,认知能力和控制自己行为的能力都较弱,容易受到信息推送和商业营销的诱导,在面对违法处理行为侵害其合法权益时缺乏必要的分辨能力和充分的自我保护能力,为保护未成年人的个人信息权益和身心健康,《个人信息保护法》特别将不满十四周岁未成年人的个人信息确定为敏感个人信息予以严格保护同时,与未成年人保护法有关规定相衔接,《个人信息保护法》要求处理不满十四周岁未成年人个人信息应当取得未成年人的父母或者其他监护人的同意,并应当对此制定专门的个人信息处理规则。通过上述与我们个人密切相关的领域看,《个人信息保护法》为个人信息保护明确划出一条红线,对保护个人信息安全将起到重要作用。 不可否认,《个人信息保护法》为破解个人信息保护中的热点难点问题提供了强有力的法律保障,但从发展角度来看,立法只是第一步,如何在有法可依的背景下做好个人信息保护是立法之后需要高度关注的课题。
众所周知,个人信息流通链条复杂,所涉环节众多,应构建由个人、企业、第三方监测机构与事故处理机构等组成的个人信息保护健康生态,建立“事前预防”“事中监控”和“事后处置”三管齐下的个人信息安全保障体系,筑牢个人信息安全保护屏障。
例如针对App安全问题,专家建议今后要持续完善行业监管执法建设,强化行业监管职责,细化违规处置流程和具体措施,提升监管的规范性和透明度。同时,要着眼于技术发展规律,以技术产业创新主体为重点压实监管责任,以技术检测平台为依托提升监管能力,以技术标准为核心强化监管要求。坚持体系化共治思维,坚持政府、企业、行业共同参与,构建多层次的App个人信息保护规范体系。
上述可以概括为各方协力综合治理的化,另—方面,手机App用户的隐私意识也应该提升。同很多发达国家相比,中国民众对个人信息保护的认知依旧存有明显差别。我们这里同样以App为例,据艾瑞数据显示,相比于2018年,2020年认真阅读App隐私条款的网民有所增加,从32.4%上升为36.4%,说明中国手机网民的个人隐私保护意识在一定程度上有所增强,但整体情况依旧不容乐观。艾瑞数据显示,有57.8%的受访网民在App申请调用权限时辨别后或选择部分通过;30.3%的受访网民会因拒绝应用强迫调用权限而放弃使用该App。
由此可见,手机网民对于辨别App权限渐趋于主动,但在面对应用过度调用的情况下仅有少数网民能够坚定拒绝继续使用应用,而绝大多數网民仍迫于需求或者方便妥协于让步于应用不法调用用户信息。所以在受到法律保护的同时,未来我们还需不断提升自身对于信息安全的保护意识,这也相当重要。
毫无疑问,作为中国首部个人信息保护方面的专门法律,《个人信息保护法》在正式颁布实施后将肩负起数字时代下个人信息“保护神”的使命,引导我国个人信息保护的法制建设步入一个新的篇章。这对于广大用户个人的信息安全保护无疑是一大利好。对于企业来说,《个人信息保护法》的正式颁布也意味着此前在数字经济发展中依靠谋“私”获得野蛮成长的时代终结了,今后应当以《个人信息保护法》为红线,不断提升自身的道德和企业责任,将心思用到真正可以给用户带来实惠的创新上,毕竟这才是才是企业发展唯一的正道。