繼個人信息保護法施行后 工信部要求建立與第三方共享個人信息清單

針對個人信息野蠻掘金的時代結(jié)束了

在手機上瀏覽購房信息，轉(zhuǎn)身就接到裝修銷售電話；閑聊中提到某個產(chǎn)品，打開購物APP就收到同類廣告推送……類似上述“被APP監(jiān)控”的場景，對很多人而言，并不陌生。

11月8日，工信部就《關(guān)于開展信息通信服務(wù)感知提升行動的通知》進行解讀，指出要建立與第三方共享個人信息清單，讓用戶知道企業(yè)收集了哪些信息，信息將被共享到哪里、用在何處。

互聯(lián)網(wǎng)與大數(shù)據(jù)時代，個人信息是寶貴的數(shù)字資產(chǎn)，保護個人信息權(quán)益是廣大人民群眾最關(guān)心最直接最現(xiàn)實的利益問題之一。面對過度收集、非法獲取、非法交易、泄露、濫用等亂象，如何筑牢個人信息安全“金鐘罩”？《個人信息保護法》實施后會帶來哪些改變？如何平衡好數(shù)字經(jīng)濟創(chuàng)新發(fā)展和個人信息保護間的關(guān)系？記者就此采訪了相關(guān)專家。

個人信息安全問題屢遭曝光，線上線下均有隱患

QQ音樂超范圍收集個人信息，亞朵違規(guī)使用個人信息……11月3日，工信部通報38款A(yù)PP存在超范圍、過度收集用戶個人信息等問題，要求11月9日前完成整改。而APP超范圍、高頻次索取權(quán)限，非服務(wù)場景收集用戶個人信息，正是線上個人信息保護的突出隱患。

記者點開某音樂應(yīng)用的相關(guān)政策說明，在“如何收集和使用個人信息”一章中，除完成注冊及登錄、實現(xiàn)身份認證等使用目的外，還包括對收集的部分個人信息進行商業(yè)利用，例如提取瀏覽、搜索偏好、位置信息，推送個性化廣告等，這也是數(shù)字經(jīng)濟時代個人信息的潛在商業(yè)價值。

利用個人信息精準畫像，有利于提升用戶體驗，在數(shù)字經(jīng)濟發(fā)展中發(fā)揮積極作用，但也產(chǎn)生了大數(shù)據(jù)“殺熟”等侵犯消費者權(quán)益現(xiàn)象。北京市消費者協(xié)會開展的專項調(diào)查顯示，88.32%的被調(diào)查者認為大數(shù)據(jù)“殺熟”現(xiàn)象普遍或很普遍。

“大家對大數(shù)據(jù)‘殺熟’的問題感受比較明顯。”公安部第三研究所網(wǎng)絡(luò)安全法律研究中心主任、研究員黃道麗說，大數(shù)據(jù)“殺熟”是指互聯(lián)網(wǎng)平臺依靠數(shù)據(jù)優(yōu)勢和信息不對稱，對用戶實施價格歧視。它主要由算法定價引起，典型表現(xiàn)為新老用戶在價格上被差別對待。

除不當收集利用之外，一些企業(yè)或個人還將個人信息擺上交易桌，明碼標價販賣個人信息，由此滋生出網(wǎng)絡(luò)詐騙、電信詐騙等各類違法犯罪活動，形成個人信息泄露、買賣、詐騙的黑色產(chǎn)業(yè)鏈。

比如，在江蘇淮安警方破獲的一起侵犯公民個人信息案中，某銀行員工以每條80元到100元的價格，將銀行卡使用人的身份信息、電話號碼、余額甚至交易記錄售賣謀利，涉及個人信息5萬余條；某快遞公司內(nèi)部員工與外部不法分子勾結(jié)，外泄40萬條用戶個人信息，其中約4.5萬條有效信息被以每條1元的價格打包售賣到電信詐騙高發(fā)區(qū)。

個人信息被侵犯不局限于線上，線下同樣存在隱患，特別是對人臉、指紋、虹膜等生物數(shù)據(jù)的收集利用。除在車站檢票、移動支付等場景中主動“刷臉”獲取便利外，還有在不知情時被動“刷臉”的風(fēng)險。

有些門店使用“無感式”人臉識別技術(shù)，在未經(jīng)同意情況下擅自采集消費者人臉信息。10月29日，浙江省杭州市上城區(qū)人民法院受理了一起消費者訴商場人臉抓拍的案件。一名大學(xué)生在杭州某商場購物時，發(fā)現(xiàn)某門店外安裝了人臉識別抓拍攝像頭。消費者只要到店，就會自動被抓拍并注冊為會員，而商家通過將人臉信息與消費行為結(jié)合分析，來進行精準營銷。

還有賣家在社交平臺公開售賣人臉識別視頻、買賣人臉信息等，因人臉信息等身份信息泄露導(dǎo)致“被貸款”和隱私權(quán)、名譽權(quán)被侵害等問題多有發(fā)生。全國信息安全標準化技術(shù)委員會等成立的APP專項治理工作組發(fā)布的《人臉識別應(yīng)用公眾調(diào)研報告（2020）》顯示，在2萬多名受訪者中，有三成受訪者表示已因人臉信息泄露、濫用而遭受隱私或財產(chǎn)損失。

“告知-同意”是《個人信息保護法》的核心規(guī)則，收集個人信息應(yīng)當限于實現(xiàn)處理目的的最小范圍

11月1日，我國第一部個人信息保護的專門法律《個人信息保護法》正式實施。

“這是我國置身數(shù)字化時代不可或缺的一項基礎(chǔ)性立法，貼合了關(guān)系每個人最直接最現(xiàn)實利益的立法需要。”北京航空航天大學(xué)法學(xué)院院長龍衛(wèi)球告訴記者，個人信息是網(wǎng)絡(luò)信息化時代開始凸顯的一種新型且頗具基礎(chǔ)性的重要個人利益，它的價值通過數(shù)據(jù)挖掘和商業(yè)應(yīng)用得以顯現(xiàn)。個人信息保護和數(shù)字化發(fā)展之間的關(guān)系日益復(fù)雜，特別是未經(jīng)同意的個人信息處理和愈演愈烈的濫用行為，成為亟待解決的痛點。

“告知-同意”是《個人信息保護法》確立的個人信息保護核心規(guī)則?！啊秱€人信息保護法》明確，處理個人信息應(yīng)當具有明確、合理的目的，并應(yīng)當與處理目的直接相關(guān)，采取對個人權(quán)益影響最小的方式。收集個人信息，應(yīng)當限于實現(xiàn)處理目的的最小范圍?！比珖舜蟪Ｎ瘯üの?jīng)濟法室副主任楊合慶表示，個人信息處理者在取得個人同意的情形下方可處理個人信息，個人信息處理的重要事項發(fā)生變更，應(yīng)當重新向個人告知并取得同意。

在《個人信息保護法》全文中，“告知”一詞出現(xiàn)了16次，“同意”一詞出現(xiàn)了27次?！啊嬷?同意’規(guī)則是個人對個人信息處理享有知情權(quán)、決定權(quán)的必然要求。要保證個人對信息處理‘充分知情’，就應(yīng)該以顯著的方式、清晰易懂的語言讓個人知道誰在處理他的信息、信息被怎樣處理、可能對他造成何種影響，以及怎么要求更正、查詢、刪除個人信息等。”中央黨校（國家行政學(xué)院）政法部教授劉銳說。

“同意”并非泛泛而談?！秱€人信息保護法》明確規(guī)定了兩種同意機制，一是廣泛的同意，二是個人單獨同意。比如，該法規(guī)定，個人信息處理者處理敏感個人信息、向他人提供或公開個人信息、跨境轉(zhuǎn)移個人信息等，都應(yīng)取得個人的單獨同意。

“個人信息對于主體的重要程度不同，有的是敏感信息，有的是隱私信息，有的屬于一般信息，因此告知的強度和同意的方式、明確程度也不盡相同。”中國人民大學(xué)法學(xué)院教授、中國法學(xué)會網(wǎng)絡(luò)信息法學(xué)研究會副會長張新寶說，《個人信息保護法》對此作了詳細區(qū)分。

針對群眾反映強烈的強制索權(quán)、不同意就無法使用APP，過度收集用戶信息，大數(shù)據(jù)“殺熟”等現(xiàn)象，《個人信息保護法》也作出了明確回應(yīng)。比如，該法第二十四條規(guī)定直指大數(shù)據(jù)“殺熟”，有利于規(guī)制人工智能等新興信息技術(shù)在個人信息處理領(lǐng)域的應(yīng)用：個人信息處理者利用個人信息進行自動化決策，應(yīng)當保證決策的透明度和結(jié)果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。

“個人信息保護問題往往被技術(shù)中立的外衣包裹，甚至被算法等操作系統(tǒng)黑箱化?！饼埿l(wèi)球說，個人信息處理活動本質(zhì)是一種科技應(yīng)用活動，不同于一般的行為治理，必須進行科技治理?！秱€人信息保護法》建立了強大的監(jiān)管體系，并且深入到技術(shù)治理層面，最終目的是讓技術(shù)向善發(fā)展。

濫用用戶個人信息源于對個人信息的過度采集，“守門人”規(guī)定等倒逼互聯(lián)網(wǎng)企業(yè)規(guī)范行為

“我們?yōu)槟阍黾恿藗€人信息瀏覽和導(dǎo)出機制，設(shè)置了系統(tǒng)權(quán)限和應(yīng)用授權(quán)管理入口，增加了個性化推薦管理途徑更詳細地披露了微信是如何處理你的個人信息的?！苯?，微信等多家APP向用戶發(fā)送了類似告知。

“Apple已為《個人信息保護法》做好準備?！碧O果公司也在發(fā)送給用戶的郵件中承諾“確保用戶能了解、能獲取、能更正自己的個人數(shù)據(jù)，能限制對個人數(shù)據(jù)的使用，并且能刪除這些數(shù)據(jù)?！?/p>

一家互聯(lián)網(wǎng)公司法務(wù)表示，“為了遵守《個人信息保護法》，各家互聯(lián)網(wǎng)企業(yè)的法務(wù)都在加班，面對細致的規(guī)定，需要改的地方太多了”。

濫用用戶個人信息的背后，實際上是從對個人信息的過度采集開始的。復(fù)旦大學(xué)中國研究院副研究員劉典告訴記者，“對于平臺型企業(yè)來說，用戶信息數(shù)據(jù)是一項具有商業(yè)價值的重要資產(chǎn)，這也是基于平臺經(jīng)濟的自身特點——有賴于龐大用戶群體形成網(wǎng)絡(luò)效應(yīng)?！?/p>

以阿里巴巴為例，用戶在淘寶上的消費記錄，通過算法加以分析，形成對個人的授信核定，繼而催生了花唄等金融產(chǎn)品。

“從信息采集、加工再到價值轉(zhuǎn)化，是一條完整的數(shù)據(jù)價值鏈?；谶@樣的商業(yè)邏輯，很多互聯(lián)網(wǎng)公司傾向于盡可能大幅度、廣覆蓋地去采集更多個人信息并形成數(shù)據(jù)。這就是過度采集的原因?！眲⒌湔f。

反觀消費互聯(lián)網(wǎng)產(chǎn)業(yè)的商業(yè)模式，幾乎都建立在基于個人信息的消費數(shù)據(jù)上，靠廣告盈利也是眾多APP免費的基礎(chǔ)。通過采集信息對用戶“畫像”，其中的核心數(shù)據(jù)往往和個人信息中偏隱私性的信息高度相關(guān)。風(fēng)險隨之而來，畢竟數(shù)據(jù)被采集后，其具體應(yīng)用場景難以預(yù)測。

民有所呼，法有所應(yīng)?！秱€人信息保護法》第五十八條進一步完善了“守門人條款”：一是將提供基礎(chǔ)性互聯(lián)網(wǎng)平臺服務(wù)修改為提供重要互聯(lián)網(wǎng)平臺服務(wù)；二是在第一項中補充了按照國家規(guī)定建立健全個人信息保護合規(guī)制度體系的義務(wù)；三是單獨增加了一項守門人義務(wù)，即遵循公開、公平、公正的原則，制定平臺規(guī)則，明確平臺內(nèi)產(chǎn)品或者服務(wù)提供者處理個人信息的規(guī)范和保護個人信息的義務(wù)。

為提升用戶對于個人信息保護的感知，11月1日，工信部印發(fā)通知，要求企業(yè)建立個人信息保護“雙清單”（即建立已收集個人信息清單、與第三方共享個人信息清單），并在APP二級菜單中展示，方便用戶查詢。同時要求提升APP關(guān)鍵責(zé)任鏈個人信息保護能力，鼓勵應(yīng)用商店為本平臺APP提供檢測服務(wù)，及時向APP開發(fā)者反饋相關(guān)問題并督促改正，防止違規(guī)APP上架。

統(tǒng)籌兼顧效率與公平、活力與秩序、發(fā)展與安全，需要在實踐中找到平衡，護航數(shù)字經(jīng)濟持續(xù)健康發(fā)展

近十年來我國數(shù)字經(jīng)濟發(fā)展勢頭迅猛，據(jù)中國信息通信研究院測算，數(shù)字經(jīng)濟增加值已由2011年的9.5萬億元增加到2019年的35.8萬億元，占GDP比重提升了超過15個百分點。2020年新冠肺炎疫情來襲，在線辦公、視頻會議、網(wǎng)上授課等無接觸經(jīng)濟蓬勃發(fā)展，有效對沖了經(jīng)濟下行風(fēng)險，加速了企業(yè)的數(shù)字化戰(zhàn)略布局。一項針對全球兩千多家企業(yè)的調(diào)研發(fā)現(xiàn)，疫情將全球數(shù)字化進程至少提前了5至7年。

圍繞數(shù)字經(jīng)濟，不少新業(yè)態(tài)仍處于發(fā)展階段。它們以信息和數(shù)據(jù)的高度流動共享為發(fā)展前提。對大部分用戶而言，一方面厭惡信息分享和數(shù)據(jù)泄露帶來的風(fēng)險，另一方面并不排斥基于信息分享基礎(chǔ)下獲取一定的生活便利。這樣的“隱私悖論”并不鮮見。

劉典認為，關(guān)于個人信息權(quán)益的保護，核心問題在于用戶個人空間的信息被拿出來放入公共領(lǐng)域、商業(yè)領(lǐng)域流通，在這個過程中，個體應(yīng)該獲得讓渡出這部分權(quán)利的合理補償。此外，對于用戶其他方面權(quán)利可能受到的潛在影響，也應(yīng)該有一個好的救濟手段。

在劉典看來，《個人信息保護法》對此做出了積極回應(yīng)：一是明確了個人信息權(quán)益保護的具體內(nèi)容，二是明確了個人信息權(quán)益受到損害后有哪些救濟手段，三是完善了對于平臺責(zé)任的認定和整個監(jiān)管框架的建構(gòu)。未來，如何統(tǒng)籌兼顧效率與公平、活力與秩序、發(fā)展與安全這三組關(guān)系，還需要在具體的司法、商業(yè)實踐中找到平衡。

過去，國內(nèi)對于違法違規(guī)搜集個人信息的處罰手段有限，主要依靠企業(yè)自律，或是監(jiān)管部門采取限期整改、約談和下架等方式，配套法律仍不完善。

此次《個人信息保護法》的生效，對個人信息的濫用可謂“當頭棒喝”。《個人信息保護法》明確，一般的違法行為，可由監(jiān)管部門責(zé)令改正，給予警告，沒收違法所得，對相關(guān)應(yīng)用程序，責(zé)令暫?；蛘呓K止提供服務(wù)；拒不改正的，并處100萬元以下罰款；對直接負責(zé)的主管人員和其他直接責(zé)任人員處1萬元以上10萬元以下罰款。情節(jié)嚴重的違法行為，由省級以上監(jiān)管部門責(zé)令改正，沒收違法所得，并處5000萬元以下或者上一年度營業(yè)額5%以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓、通報有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營業(yè)執(zhí)照。

從強化反壟斷到防止資本無序擴張，再到強化個人信息保護，互聯(lián)網(wǎng)企業(yè)野蠻生長的時代已經(jīng)過去，持續(xù)健康發(fā)展成為數(shù)字經(jīng)濟的主題。（記者 管筱璞 柴雅欣）