相关新闻:App违规授权成重灾区 网络安全立法酝酿大突破
来源:证券时报 记者 朱凯
证券时报记者近日专访了同济大学法学院院长助理刘春彦、南都大数据研究院个人信息保护中心副主任蒋琳、国浩律师事务所律师朱奕奕、北京金诚同达(上海)律师事务所合伙人王良。他们认为,随着全球范围内加强个人信息与隐私权利保护的趋势日益加强,我国也加快了修订有关条例规范与相关立法的步伐,最终这将有助于中国互联网行业的良性规范与有序发展。
受访专家多数认同,用户享受了大数据带来的便利,但这并不应是简单的“用隐私换便利”。尤其是对于某些所谓的“大数据杀熟”、“贩卖用户隐私数据”等现象,有关部门更应加以规范引导,并适时修订、制定“严刑峻法”予以制裁。
治理范围最广
措施最严厉
证券时报记者:中央网信办、工信部、公安部、市场监管总局四部门发布公告,决定2019年全年在全国范围内组织开展App违法违规收集使用个人信息专项治理。这具体意味着什么?
蒋琳:本次专项治理可以称作是针对这一问题涉及范围最广、措施最严厉的专项行动。“范围最广”表现在,不仅是存在严重问题的中小企业将面临一次严格的检查与治理,此前在这一问题上较为重视、表现相对较好的头部互联网企业也会受到很大影响。例如,此次专项公告中提及的“大众化应用基本业务功能及必要信息规范”这一文件,就是在处理违法违规企业基础上,再上升一个阶层,对于此前一些处于灰色地带的问题作出明确规范,无论多大体量的企业,在业务上都需要做较大调整。所谓“措施最严厉”表现在,对企业来说,一旦被发现违法违规行为,情节严重就可能被吊销执照,给企业以极大震慑,而国家多个职能部门的介入,意味着监管力度加大。
此次专项治理,主要是针对个人信息收集与使用环节存在的问题。更确切地说,相关治理行动会对行业中极不规范的合规尾部商家产生更大的影响,很多对此还不重视的企业可能会被处罚甚至退出市场,但是否将出现“行业洗牌”仍需观察。
刘春彦:本次专项治理,更需要从法律层面进行基础制度的调整。例如,由于个人维权成本高,应当由政府采取行政执法的方式,对侵害自然人信息的情况进行处罚,而且应该是高额的处罚,以增加其违法成本。当然对于违法者进行处罚,先需要修改两个法律,一是《行政处罚法》,应把侵害自然人信息的行为纳入《行政处罚法》调整范围;二是在其他法律中把侵害自然人信息的行为纳入相应法规的调整范围,比如《网络安全法》。具体而言,可以按照营业额的一定比例进行赔偿,建议是营业额的5%~10%。
再者,不妨单独制定《自然人信息保护法》,对侵害自然人信息等行为加以行政处罚,将侵害自然人信息的行为纳入侵权赔偿范围,实行惩罚性赔偿,比如说在《食品安全法》上就规定了国内最高十倍的赔偿。
王良:本次针对App的专项治理,是在全球范围内加强个人信息与隐私权利保护、加强企业安全责任的大趋势下发起的,回应了社会对隐私和信息监管的担忧,有助于中国互联网行业的规范与有序发展。为此,App运营者需要从技术架构、产品与服务等方面进行调整,更重要的是调整企业的隐私政策。这些改变无疑会使App运营者收集个人信息的难度增大,处理数据的成本增加,会给基于数据分析的业务带来“洗牌”。同时,手机生产厂商也应主动履行好网络信息安全的法律义务,加强对手机硬件供应商的安全管理,淘汰不合规的供应商,从供应链环节控制数据泄露风险。
朱奕奕:此次监管力度加大,不仅会进一步规范国内大数据企业获取个人数据信息的来源和渠道,而且会逐步规范其运作方式,督促企业更注重并完善信息保护工作。该专项治理加大了对App运营企业的约束,企业应当在合法、正当、必要的原则下收集与所提供服务相关的个人信息。此外,个人信息的保护离不开手机硬件的加固升级,比如手机硬件厂商在研发过程中要注意对App安全性进行验证,实现设备的安全管理等。
大数据“杀熟”
不可不防
证券时报记者:手机App滥用数据背后,或涉及互联网企业的核心商业逻辑,如精准营销、业务拓展转型、大数据产业链等。相关链条中包含哪些既得利益者?
刘春彦:如果说手机用户也是“得益者”,那应先建立一个前提,就是手机用户同意商家获取相关个人信息,这必须建立在“自愿”前提下。现在的实际情况是,绝大部分用户为了消费方便,被迫而不是自愿地被收集信息。商家这种做法违反了《民法总则》第111条的规定。同时,商家采取“点击进入下一步”的做法与用户签订电子合同,同样违反了《合同法》关于格式条款的规定,在民事纠纷中应当作出不利于提供格式条款商家的解释。但需要注意,这只能在民事诉讼中才能使用。由于维权成本高,手机用户多数是不会采取这种方式的。
蒋琳:网络运营者在获取经济利益的驱动下,希望最大限度收集个人信息,这既是为了尽可能地丰富数据库,用于精准营销等目的,也是未雨绸缪,为了满足未来的功能开发需要。然而,收集与使用用户个人信息,必须是得到用户的明示同意,商家应首先赋予用户知情权和选择权。如果只是简单粗暴地一揽子授权,或“不同意就无法使用”之类,就显然侵犯了用户的合法权益。
同理,用户享受了大数据带来的便利,可以更加便捷地使用服务,但这并不应是简单的“用隐私换便利”,而应该是在知情、同意的基础上交出一定范围内的个人信息,并指定其仅用于网络运营者的相关业务功能。在这种情况下,双方才都是获益者。
王良:在中国互联网弯道超车的数据红利下,大数据的应用范围越来越广阔,市场上出现了越来越多的大数据企业,并形成中国的数据产业,催生出不同的商业模式。但问题是大数据的商业化运用给个人带来的隐私风险没有受到重视,甚至被忽视和漠视了。同时,个人对隐私保护的意识比较淡薄,为图方便就会牺牲隐私,从而造成侵犯个人隐私权的现象大量发生。
我最近关注到一家知名的App运营者,他们需要从近30个维度来收集个人信息,包括:用户性别、年龄、婚否、收入、教育程度、星座、腰围、身高、体型、家中是否有孕妇、是否有小孩、孩子年龄、孩子性别、是否有车、是否有房、活跃程度、购物类型、评价关注程度、颜色偏好、品牌偏好、促销敏感度、购物忠诚度、消费信用水平等等。然后再从购买能力、行为特征、社交网络、心理特征到兴趣爱好等方面进行数据分析,形成“用户画像”从而进行个性化营销。当然很难避免的是,这也会出现互联网商家给每个用户定向提供搜索结果,即所谓的“大数据杀熟”。
修订草案
带来最强信号
证券时报记者:2018年末,中国消费者协会发布报告指出,个人敏感信息一旦泄露,将造成个人信息扩散范围与用途的不可控,隐含着重大风险。那么,在实际操作及立法、执法层面,我国目前还存在哪些短板?2019年在哪些领域有望出现实质性突破?
蒋琳:在我们测试过的App隐私政策中,单独把个人敏感信息的收集与使用列出来的,只是极少数;明确写出数据接收方相关资料的则几乎没有。
具体来说,《个人信息安全规范》的最新修订草案要求:共享、转让个人敏感信息前,应向个人信息主体告知涉及的个人敏感信息的类型、共享与转让个人信息的目的、数据接收方的身份、数据安全能力以及数据接收方的类型等要素,并事先征得个人信息主体的明示同意。公开披露个人敏感信息前,应向个人信息主体告知涉及的个人敏感信息的内容、公开披露个人信息的目的及类型,并事先征得个人信息主体明示同意。
刘春彦:尤其是自然人生物识别信息(其具有强烈的人身属性,应不属于商家收集范围)和自然人的财产信息(根据法律规定,该类信息中的部分信息,有关国家机关和经过法律授权的自然人,可以查询),一旦泄露就将变成公开和不可逆转的。因此,在2020年即将被编纂完成的《民法典》中,把自然人信息法益保护的做法,类型化为自然人信息权。如据此制定《自然人信息保护法》,对于侵害自然人信息的行为给予行政处罚、刑事制裁,并赋予自然人保护自己信息的损害赔偿请求权,要求惩罚性赔偿。
任何法律本质上都是利益平衡的机制,对于企业的“数据需求”平衡,必须建立在自然人自愿的基础上。企业的任何商业活动(包括收集客户的信息),都必须遵守《民法总则》第一章规定的四项基本原则。我国需要明确一个国家机关专门负责、统领自然人信息保护,从现在看,国家网信办最为合适。任何一个国家的法治进程都是艰难的、漫长的,不可能一蹴而就。
朱奕奕:在执法层面,由于获取个人信息的环节众多,发现和查处难度较大,处罚、赔偿的力度不够,使得我国对非法获取个人信息的行为缺乏有效的执法打击措施。在司法层面,我国依然存在着侵犯个人信息的行为与刑事、民事责任承担不成比例的状况。2018年10月,中国人大网公布的十三届全国人大常委会立法规划将《个人信息保护法》列为第一类立法项目,即属于条件比较成熟、任期内拟提请审议的法律草案,这意味专门针对个人信息保护的法律有望出台。
王良:我国目前还没有一部个人信息保护的专门立法,对个人信息的保护都规定于或体现在其他法律法规中。比如《全国人民代表大会常务委员会关于加强网络信息保护的决定》(2012年)、《刑法修正案》(九)、《消费者权益保护法》(2013年)、《征信业管理规定》(2013年)以及《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(2014年)、《网络安全法》(2017年)等。但问题是,相关规范不是一般意义上的法律,即使违反这些“标准”也不会构成犯罪。
谈及2019年的立法期待,我认为首先需要关注2019年2月1日全国信息安全标准化技术委员会发布的《个人信息安全规范》修订草案并公开征求意见。该规范2018年5月1日才正式生效,短时间内又启动修订工作实属少见,这或预示着加强个人信息保护时代的到来。该草案带来的最强信号是,仅依靠隐私政策获得一揽子授权的情形将成为历史,用户作为数据主体有望拥有更大的自决权。