共建共治共享良好數(shù)字生態(tài)（關(guān)注個(gè)人信息保護(hù)）_調(diào)查研究

原標(biāo)題：掃碼點(diǎn)餐、電商購(gòu)物、使用APP……個(gè)人信息保護(hù)應(yīng)更規(guī)范共建共治共享良好數(shù)字生態(tài)（關(guān)注個(gè)人信息保護(hù)）

我國(guó)網(wǎng)民規(guī)模龐大，互聯(lián)網(wǎng)應(yīng)用場(chǎng)景豐富，帶來(lái)諸多便利。隨著技術(shù)的發(fā)展和使用的深入，從手機(jī)APP到深度偽造技術(shù)、智能互聯(lián)設(shè)備，個(gè)人信息保護(hù)日益成為人們關(guān)注的焦點(diǎn)，也是數(shù)字經(jīng)濟(jì)發(fā)展必須直面的課題。

11月1日起，個(gè)人信息保護(hù)法將正式實(shí)施。本版今起推出系列策劃“關(guān)注個(gè)人信息保護(hù)”，聚焦個(gè)人信息保護(hù)現(xiàn)狀，探討如何共同筑牢安全邊界、共建共治共享良好數(shù)字生態(tài)。

——編者

安裝手電筒程序，要提供地理位置信息；下載文字編輯APP，需獲取通訊錄權(quán)限；走進(jìn)售樓處，在毫不知情時(shí)，人臉信息可能被記錄……大數(shù)據(jù)時(shí)代，人們享受著數(shù)據(jù)帶來(lái)的便利，也被一些過(guò)度收集個(gè)人信息的行為所困擾。

不久前，十三屆全國(guó)人大常委會(huì)第三十次會(huì)議審議通過(guò)《中華人民共和國(guó)個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱“個(gè)人信息保護(hù)法”），并將于11月1日正式實(shí)施。

難以拒絕的“同意”

不授權(quán)就無(wú)法使用，權(quán)限與APP功能需求并不匹配

在調(diào)查了數(shù)十萬(wàn)款A(yù)PP后，中國(guó)人民大學(xué)一個(gè)團(tuán)隊(duì)研究發(fā)現(xiàn)，APP的各類權(quán)限有30多個(gè)，但很多權(quán)限跟APP實(shí)現(xiàn)功能的需求并不匹配。

APP要求這么多權(quán)限有何用？如果仔細(xì)查看用戶隱私協(xié)議條款，幾乎無(wú)一例外提及，將對(duì)收集的部分信息進(jìn)行商業(yè)利用，例如推送個(gè)性化的信息、廣告等，這也是個(gè)人信息潛在的商業(yè)價(jià)值。

擔(dān)心信息被違規(guī)使用，在安裝一些APP時(shí)，北京市朝陽(yáng)區(qū)的王先生曾想拒絕某些授權(quán)，可他發(fā)現(xiàn)，不同意授權(quán)，就無(wú)法使用。“一旦授權(quán)，我的個(gè)人信息去了哪兒？”王先生很困惑。同時(shí)，權(quán)限申請(qǐng)的文字大多冗長(zhǎng)復(fù)雜。曾有人統(tǒng)計(jì)，APP通行的隱私條款內(nèi)容大多在1萬(wàn)字以上。閱讀等待時(shí)間過(guò)后，許多人來(lái)不及細(xì)看，就會(huì)直接點(diǎn)“同意”。

一位開(kāi)發(fā)者表示，獲取權(quán)限后，后臺(tái)甚至能夠判斷數(shù)據(jù)背后的人做什么工作、常去哪里。保護(hù)虛擬空間數(shù)據(jù)化的“我們”，通常依靠收集方自律。然而，倘若某些企業(yè)安全“防護(hù)墻”不結(jié)實(shí)，就可能造成信息泄露。更大的風(fēng)險(xiǎn)是，一些數(shù)據(jù)收集方甚至?xí)銎饠?shù)據(jù)交換的“生意”，幾經(jīng)轉(zhuǎn)手，數(shù)據(jù)可能被非法利用。

近些年，有媒體曝出在網(wǎng)絡(luò)平臺(tái)明碼標(biāo)價(jià)販賣個(gè)人信息的事件。比如，一則17萬(wàn)條“人臉數(shù)據(jù)”被公開(kāi)售賣的新聞，就曾引起社會(huì)廣泛關(guān)注。

利用信息分析個(gè)人特征，為用戶精準(zhǔn)畫(huà)像，有利于提升消費(fèi)體驗(yàn)，但也會(huì)產(chǎn)生“大數(shù)據(jù)殺熟”等侵犯消費(fèi)者權(quán)益的行為。復(fù)旦大學(xué)一項(xiàng)關(guān)于網(wǎng)約車的研究發(fā)現(xiàn)，某一品牌手機(jī)用戶更容易被舒適型車輛司機(jī)接單，這一比例遠(yuǎn)高于其他品牌手機(jī)用戶。也有網(wǎng)友反映，同一時(shí)段與朋友在網(wǎng)上瀏覽同樣品牌的相同商品，價(jià)格存在不小的差異。

此外，隨著數(shù)據(jù)內(nèi)涵的擴(kuò)大，人臉信息、健康信息、金融賬戶、行蹤軌跡等也越來(lái)越多被收集，這些信息因與隱私密切相關(guān)，比較敏感。專家表示，收集、處理敏感個(gè)人信息的規(guī)范應(yīng)當(dāng)更加嚴(yán)格。

“告知—同意”是核心規(guī)則

收集個(gè)人信息，應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍

“為了提高體驗(yàn)，完善產(chǎn)品，一些APP必然要求獲得權(quán)限，用數(shù)據(jù)來(lái)服務(wù)消費(fèi)者。”安全專家、綠盟科技集團(tuán)副總裁曹嘉說(shuō)，由于實(shí)際生活中的應(yīng)用場(chǎng)景往往比較復(fù)雜，數(shù)據(jù)收集、使用范圍的邊界并不清晰。

圍繞規(guī)范個(gè)人信息處理活動(dòng)、保障個(gè)人信息權(quán)益，個(gè)人信息保護(hù)法構(gòu)建了“告知—同意”的個(gè)人信息處理規(guī)則。

專家表示，個(gè)人信息保護(hù)法明確，處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對(duì)個(gè)人權(quán)益影響最小的方式。收集個(gè)人信息，應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍。

同時(shí)，對(duì)于人們反映強(qiáng)烈的一攬子授權(quán)、強(qiáng)制同意等問(wèn)題，個(gè)人信息保護(hù)法特別要求，個(gè)人信息處理者在處理敏感個(gè)人信息、向他人提供或公開(kāi)個(gè)人信息、跨境轉(zhuǎn)移個(gè)人信息等環(huán)節(jié)應(yīng)取得個(gè)人的單獨(dú)同意，明確個(gè)人信息處理者不得過(guò)度收集個(gè)人信息，不得以個(gè)人不同意為由拒絕提供產(chǎn)品或者服務(wù)，并賦予個(gè)人撤回同意的權(quán)利，在個(gè)人撤回同意后，個(gè)人信息處理者應(yīng)當(dāng)停止處理或及時(shí)刪除其個(gè)人信息。

近年來(lái)，我國(guó)在規(guī)范個(gè)人信息收集使用上做了一系列積極探索。針對(duì)公眾反映突出的APP違法違規(guī)收集使用個(gè)人信息問(wèn)題，2019年開(kāi)始，中央網(wǎng)信辦聯(lián)合工信部、公安部、市場(chǎng)監(jiān)管總局持續(xù)開(kāi)展了專項(xiàng)治理行動(dòng)。統(tǒng)籌制定APP個(gè)人信息保護(hù)系列規(guī)范，先后發(fā)布了《信息安全技術(shù)個(gè)人信息安全規(guī)范》《APP違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》《常見(jiàn)類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》，明確個(gè)人信息收集、存儲(chǔ)、使用、共享、轉(zhuǎn)讓、公開(kāi)披露等行為規(guī)范，界定了6類31種個(gè)人信息收集使用違法違規(guī)情形，明確了39類常見(jiàn)類型APP的必要個(gè)人信息范圍。比如，地圖導(dǎo)航類應(yīng)用，必要個(gè)人信息包括位置信息、出發(fā)地、到達(dá)地。超出部分則屬于違法違規(guī)范圍。

針對(duì)“大數(shù)據(jù)殺熟”，個(gè)人信息保護(hù)法明確規(guī)定：個(gè)人信息處理者利用個(gè)人信息進(jìn)行自動(dòng)化決策，應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正，不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇。

個(gè)人信息保護(hù)法將生物識(shí)別、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息列為敏感個(gè)人信息。該法要求，只有在具有特定的目的和充分的必要性，并采取嚴(yán)格保護(hù)措施的情形下，方可處理敏感個(gè)人信息，同時(shí)應(yīng)事前進(jìn)行影響評(píng)估，并向個(gè)人告知處理的必要性以及對(duì)個(gè)人權(quán)益的影響。

為保護(hù)未成年人的個(gè)人信息權(quán)益和身心健康，個(gè)人信息保護(hù)法特別將不滿14周歲未成年人的個(gè)人信息確定為敏感個(gè)人信息予以嚴(yán)格保護(hù)。獲取這類信息應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的同意，并應(yīng)當(dāng)對(duì)此制定專門(mén)的個(gè)人信息處理規(guī)則。

現(xiàn)實(shí)中，保護(hù)個(gè)人信息可能比想象中復(fù)雜。“個(gè)人信息與非個(gè)人信息的界限并非如想象的那樣清晰。收集行為是否合法等，也就不那么容易判斷。”中國(guó)人民大學(xué)法學(xué)院副教授丁曉東說(shuō)。

比如，個(gè)性化推薦、用戶畫(huà)像等收集的數(shù)據(jù)屬于個(gè)人信息嗎？通常，企業(yè)在收集了用戶瀏覽網(wǎng)頁(yè)、搜索記錄等信息后，會(huì)將此類信息做匿名化處理。丁曉東表示，這些匿名化處理后的信息，是否屬于個(gè)人信息，是否納入個(gè)人信息的范疇來(lái)管理，學(xué)界尚無(wú)定論。此外，個(gè)人信息的范圍因時(shí)代而改變，針對(duì)不同的個(gè)人信息的類型，應(yīng)該采取不同的管理方式。

保護(hù)利用的平衡

保護(hù)個(gè)人信息與數(shù)字經(jīng)濟(jì)發(fā)展并不對(duì)立

保護(hù)個(gè)人信息，現(xiàn)實(shí)監(jiān)管的難點(diǎn)還在于，如何找到數(shù)據(jù)保護(hù)和合理利用之間的平衡點(diǎn)。

截至2020年底，中國(guó)網(wǎng)民規(guī)模為9.89億人。龐大的網(wǎng)民數(shù)量是發(fā)展數(shù)字經(jīng)濟(jì)的基石，數(shù)據(jù)成為數(shù)字經(jīng)濟(jì)的重要驅(qū)動(dòng)力。不過(guò)，保護(hù)個(gè)人信息與數(shù)字經(jīng)濟(jì)發(fā)展并不對(duì)立。專家認(rèn)為，關(guān)鍵在于以保護(hù)個(gè)人權(quán)益和促進(jìn)信息合理流通為準(zhǔn)繩，找到信息利用和安全的平衡點(diǎn)。

在數(shù)字經(jīng)濟(jì)領(lǐng)域，我國(guó)的一些方面走在世界前列，也面臨一些新情況、新問(wèn)題。“正視個(gè)人信息保護(hù)的多元化訴求，找到解好隱私難題的最大公約數(shù)，我們嘗試探索一條與數(shù)字時(shí)代相適應(yīng)的數(shù)據(jù)隱私保護(hù)路徑。”曹嘉說(shuō)。

個(gè)人信息保護(hù)是系統(tǒng)工程。過(guò)去，保護(hù)個(gè)人信息的規(guī)則制度散見(jiàn)于許多單行法律中。在現(xiàn)有法律基礎(chǔ)上，個(gè)人信息保護(hù)法進(jìn)一步細(xì)化、完善個(gè)人信息保護(hù)應(yīng)遵循的原則和個(gè)人信息處理規(guī)則，明確個(gè)人信息處理活動(dòng)中的權(quán)利義務(wù)邊界，健全個(gè)人信息保護(hù)工作體制機(jī)制。專家表示，維護(hù)、保障好合法權(quán)益，有利于人民群眾在數(shù)字經(jīng)濟(jì)發(fā)展中享受更多的獲得感、幸福感、安全感。

安全專家提醒，當(dāng)前，APP的功能設(shè)計(jì)復(fù)雜，用戶也養(yǎng)成了使用習(xí)慣，即便界定了應(yīng)用的基本功能和收集的必要個(gè)人信息范圍，實(shí)際上仍可能出現(xiàn)采集、使用的數(shù)據(jù)超出規(guī)定范圍的情況。

針對(duì)現(xiàn)實(shí)中信息倒賣、違背承諾等違法行為，丁曉東認(rèn)為，有必要加強(qiáng)對(duì)違法行為的懲處力度，提高違法成本，形成法律震懾效應(yīng)。