11月1日起,《个人信息保护法》正式施行,对于消费者而言,这无疑是一大保护自身权益的法律利器,自此,过度收集个人信息、“大数据杀熟”等机构行为将涉嫌违法;而对于数据违规重灾区的金融科技行业,无疑将面临新的监管挑战,后续如何做好数据“攻守道”,将是每一家公司都要面临的重要考题。
明确个人信息处理规则
从11月1日实施的《个人信息保护法》来看,其总计共8章74条,既明确了个人信息和敏感个人信息的处理规则,也完善了个人信息保护投诉、举报工作机制,另从制度上加强了对侵害个人信息权益行为的预防和惩治,可谓是全方位保障消费者的信息安全。
具体来看,法律明确收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息;另对人脸信息等敏感个人信息,强调只有在具有特定的目的和充分的必要性并采取严格保护措施的情形下,方可处理生物识别、金融账户、行踪轨迹等敏感个人信息。
此外在法律责任上,《个人信息保护法》强调,违反该法规定处理个人信息者,将由相关部门责令改正给予警告,并没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务。
《个人信息保护法》的落地,可谓是恰逢其时。数字经济时代下,一些企业、机构甚至个人为了谋求商业利益,随意收集、违法获取、过度使用甚至非法买卖个人信息,不少消费者直称深受其害。在业内看来,此次《个人信息保护法》的实施,不仅有助于用户告别信息“霸王获取”时代,也将保障隐私权、人格权等一系列法律权利,有效防止数据资源被不法分子利用造成损害。
“《个人信息保护法》将对互联网平台和数字经济带来重大影响。其界定了个人信息隐私内容涵盖的范围,同时也明确了个人信息的权属权益。”中南财经政法大学数字经济研究院执行院长、教授盘和林在接受北京商报记者采访时指出,“未来,互联网平台利用个人信息需要从用户获取授权,也将在使用、存储过程中承担更多信息保护的责任。”
盘和林进一步称,但总体上,《个人信息保护法》主要是为了促进数字经济的发展,明确数字信息使用的权利边界,让权属权益更加清晰,通过清晰的界定,扫清数字经济前行的障碍。同时,《个人信息保护法》也推进了数字产权的确定,而数字产权政策是推动数字经济发展的重要推动力。
已有违规平台被判违法
《个人信息保护法》生效,加强用户数据权保障的另一面,是一系列互联网公司、金融科技平台、支付公司、大数据公司以及银行等金融机构,将面临更加严格和全面的监管。
北京商报记者注意到,就在10月29日,杭州互联网法院就对一大型电商平台和支付机构违法处理公民个人信息案作出判决。
根据披露,被告A公司是某电商平台经营者,被告B公司是该电商平台内置支付软件的运营者,原告吴某是该电商平台的注册用户。原告诉称,该电商平台在未经其同意的情况下,将用户真实身份信息传输给支付公司,上述行为已严重侵害原告个人信息权益等合法权益。
法院认为,两机构在开发、设计产品之初,应知其产品存在违法处理用户个人信息的问题,为追求商业利益等,仍上线经营,主观过错明显。原告的敏感个人信息被违法处理,足以使原告在信任危机之下,产生相关信息可能被进一步泄露或不法使用的风险焦虑。
最后,法院认定两机构的信息处理行为侵害原告个人信息权益,责令立即删除原告个人信息,并以书面道歉信方式向原告赔礼道歉,并赔偿原告合理维权损失2000元。
需要注意的是,类似这样的信息处理侵权案例并不少见。北京商报记者就在多次测评中发现,不少助贷平台甚至持牌金融机构捆绑第三方一键获取个人授权信息,霸王式永久保存使用用户数据;此外,在贷款过程中,用户必须开启通讯录及位置权限,一键同意用户注册协议、个人信息查询采集及使用授权书,否则便无法正常使用App;甚至还有一些互金公司,以提供贷款为由,诱导用户一键同意授权数十份甚至几十份个人信息授权书。
对此,一互金公司高管告诉北京商报记者,在金融业务开展过程中,机构确实需要对申贷人的信用资质进行审查,其中难免会用到个人隐私信息,但需要按照最小化且必要的原则,即使是金融机构本身,在获取、留存以及向第三方问询客户数据时,也是需要非常谨慎的。
该人士告诉北京商报记者,需要警惕的是,目前市场上仍有部分大数据公司,既不是客户信用数据的原始容器,也不是金融业务的实施者与责任人,但其在向金融机构提供数据加工、决策引擎等服务时,在信息脱敏、跨企业互用等领域,涉及不少存在法律风险的行为。在他看来,随着新法规的执行和监管的加码,后续这些公司的数据处理、功能服务,将在未来受到更大的限制。
聚焦多个执法重点
随着用户个人信息安全及隐私保护走上新台阶,法律对从业机构也提出了更高的要求。
“这是我国在信息化时代的重大战略布局,包括银行、征信机构等,只有明确法律红线,在规范之内开展业务才是顺应时代所需、顺应人民所求的正确行为。”大成律师事务所合伙人肖飒指出,以银行为例,根据《个人信息保护法》规定,“处理个人信息应当取得个人同意,只有同意是在个人充分知情的前提下自愿、明确作出,这个同意才能被认定为个人的真实意思,从而认定个人信息处理者基于该同意处理个人信息的行为是合法有效”。
肖飒认为,这就要求银行重视并设置同意前告知这一环节,在告知客户的时候要安排专业人员一对一提供服务,做到使客户充分知情,且自愿作出同意的意思表示和行为。
另对互联网公司,盘和林认为,随着《个人信息保护法》生效,后续多个执法重点值得关注。一是数据权属方面,互联网企业获取个人信息权益需要经过用户授权,互联网企业内部信息保护需要推进用户知情权。二是数据使用方面,需要数据脱敏。三是数据安全防护措施,包括数据信息存储软硬件安全、数据传输安全。互联网企业要设置信息保护部门和机制。此外,公司还要严打信息贩卖,堵截非法信息跨境交易。
“数字经济的发展离不开信息数据的使用,在保护用户信息权益的同时,也要保障企业对数据信息的合理合法使用权利。”盘和林补充道,后续对于互联网企业,既要有具体细化的信息保护违规违法的处罚规则,也要公平保护互联网企业合法的数据信息使用权利。对于信息保护执法,关键核心是明确信息权益归属,后续或可推进和公开通用、简化的隐私政策,包括格式较为一致的信息授权使用协议,明确个人删除信息的权利等。