全面个人信息保护时代终于来临。自11月1日起,备受关注的《中华人民共和国个人信息保护法》(以下简称个人信息保护法)正式实施。作为我国首部针对个人信息保护的专门性立法,个人信息保护法等的实施将为公民、互联网平台以及数字经济带来新变化。
对用户:个人信息安全有了“守护神”
应用程序过度收集个人信息、大数据“杀熟”……在个人信息保护法的监管下,这些侵害用户权益的行为将无所遁形。
中国商报记者注意到,个人信息保护法共八章74条,对App过度收集个人信息、公共场所安装摄像头和人脸识别设备、大数据“杀熟”等消费者或用户经常遇到的个人信息泄露、过度收集问题进行了进一步规范,还将“生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息”等列为敏感个人信息,严格限制处理敏感个人信息的活动。同时明确个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理。
信息泄露事件屡屡发生,App过度索要授权是个人信息泄露的导火索之一。通讯录、相册、摄像头、麦克风……用户下载某些App后往往提示用户需要不断点击“同意”,允许App访问获取地理位置、读取通信录短信,即使这些个人信息与App的内容并不相关。若用户不授权,App则拒绝用户使用。
而个人信息保护法则明确表示,处理个人信息应当遵循合法、正当、必要和诚信原则。经营者手机使用个人信息应当有明确、合理的目的,并限制在对消费者个人权益影响最小的方式和实现目的的最小范围。同时还确立了以“告知—同意”为核心的个人信息处理的一系列规则,要求处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。
针对滥用人脸识别技术问题,个人信息保护法要求,在公共场所安装图像采集、个人身份识别设备,应设置显著的提示标识;所收集的个人图像、身份识别信息只能用于维护公共安全的目的。
大数据“杀熟”是社会公众对互联网平台利用大数据和算法对用户进行画像分析,从而收取不同价格等行为的概括性说法,个人信息保护法规定,个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇;通过自动化决策方式向个人进行信息推送、商业营销的,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
对平台:须为用户隐私上把“锁”
值得注意的是,对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,个人信息保护法特别规定了其需要履行的义务,如建立健全个人信息保护合规制度体系,定期发布个人信息保护社会责任报告,接受社会监督等。
除此之外,国家网信部门将针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准。此外,违法者由履行个人信息保护职责的部门责令改正,给予警告;拒不改正的,并处100万元以下罚款;对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处5000万元以下或者上一年度营业额5%以下罚款。
据梳理,一些具有较大影响力的互联网科技公司纷纷采取合规举措。苹果公司告知用户称,已为个人信息保护法做好准备,将仅在有合法的法律依据的情况下才使用用户的个人数据;深圳市App个人信息共护大会上,珍爱网、腾讯和华为等深圳20余家重点App运营企业承诺,将严守用户个人隐私边界,合规设置收集个人信息范围,保护用户公平交易权;京东、抖音、快手、豆瓣、支付宝等App也均对隐私政策进行了更新。
国泰君安研究所计算机首席分析师李沐华认为,个人信息保护法落地后,不少互联网公司都会加大数据安全投入。假设单个网站或者App投入金额超过5万元,潜在市场空间即达到千亿元,因此个人信息保护法的落地标志着网安行业一个新时代的开始。
中央财经大学新闻系副主任、中经数字经济研究中心执行主任陈端认为,可以通过技术手段破解权益保护与数据价值开发之间的难题,依托隐私计算、区块链技术将数据要素解构为可见的“具体信息”和可用的“计算价值”,对其中“计算价值”进行确权、存证、交易,实现数据流通的“可用不可见、可控可计量”;此外,要加强对数据采集主体、运营主体的主体性监管,对于一些敏感性领域数据和公共数据,委托专门机构负责数据处理、价值开发和使用权交易。
“类似百度这种头部互联网信息平台对个人信息进行披露,而且是以体系化模式化的内容共创机制进行大规模的披露,而不在机制设定上首先征得当事人同意,这种做法在个人信息保护法出台前处于灰色地带,但今后平台是否还能这样做,以及作为头部平台对其他腰部和长尾部企业的带动示范效应,值得关注和探讨。”陈端表示。
对数字经济:促进数据要素合法流通
中南财经政法大学数字经济研究院执行院长、教授盘和林表示,伴随着我国数据科技创新,数据要素作为新动能进入我国农业、工业、交通、市政等经济生活的各个领域,带动产业创新发展的同时,也深刻改变人们的生活、消费、社交方式,渗透衣食住行各个方面。
在数字经济时代,数据要素流通是关乎产业发展、国际竞争优势地位、民众生活便捷及经济福利的重大、关键性问题。个人信息保护法的初衷是促进数字经济健康发展,倡导数据的合规价值,这样才能为技术创新发展留出更大的空间,为经济发展赋能。个人作为社会信息的基本单元,提供相当的个人信息是享受数据红利的基本前提。公众在享受数据红利的同时,也常常面临个人信息泄露风险的困扰。大数据“杀熟”、精准营销、电信诈骗等都是个人信息遭受泄露的表现,不仅投诉无门,而且很难预防和补救,给个人带来精神和经济损失。
盘和林表示,一方面,个人信息泄露安全事件频发,个人信息安全风险增加,给个人甚至是国家安全带来了严重的信息安全隐患,个人信息保护规则仍需完善;另一方面,我国数据市场发展迅猛,数据交易需求旺盛,但处于发展初期,数据组织管理机构定位不清,法律法制边界模糊,有待完备。应该说,法律筑牢个人信息保护的“篱笆”之后,数据要素流通将进入有法可依的新阶段。
北京大成(杭州)律师事务所合伙人孙鹏程律师表示,从全球层面上来说,个人信息保护逐渐成为各国立法机构的重要议题,且目前已有超过140多个国家和地区均制定了个人信息保护相关的法律,本次我国出台的个人信息保护法几乎与国际个人信息保护通用原则全面接轨,体现了我国包容开放的心态,有助于数字经济的全球化发展。
陈端也表示,在数据成为关键生产要素的今天,数据共享的层级与数据红利的深度开发能力事关我国数字经济国家竞争力,尤其是在当前核心技术还存在很多“卡脖子”问题的大背景下,充分发掘我国基于人口规模的数据红利比较优势对于应对国际竞争博弈尤为重要。
近年来,我国平台经济快速发展,在国际上居于领先地位而欧盟国家相对滞后,一定程度跟用户信息保护的边界、力度差异有关,但数字经济发展到了今天,企业对用户数据的商业化开发与用户隐私侵犯之间的矛盾不断彰显,成为涉及广大公众基本权益的重要问题,需要在捍卫用户个人隐私底限的前提下寻找数据主体、数据聚合平台和数据使用者三者间最优化的利益平衡机制,处理好隐私保护、数据安全和数据价值挖掘、实现的关系,唯此才能更好地激发数据要素新动能和构建产业协同新引擎。