在我國數位化轉型加速、新技術新應用層出不窮的背景下,如今的我們正處在一個信息大爆炸的數字時代,網際網路上充斥著各類信息、數據,也無時無刻不在量化、分析著的各類數據,甚至每位網民的一舉一動、一顰一笑都能成為量化分析的關鍵。你以為網際網路磨平了世間的信息差,實際上它築起另一道信息差的大牆,各大企業借其將用戶的信息、隱私關在大牆之內,佔為己有,各自「欣賞」。這種「萬物皆可爬(網絡爬蟲)」的現象在引發社會各界廣泛探討的是同時,也激起重塑網際網路信息管理、用戶個人隱私保護的需求。
10月21日,《個人信息保護法(草案)》(以下簡稱《草案》)首次提請十三屆全國人大常委會第二十二次會議審議後,在中國人大網公布,公開徵求社會公眾意見。《草案》的出現無疑將揭開我國個人信息立法進程的新篇章,有助於形成更為完善的用戶信息保護機制,營造更和諧的網際網路服務環境。
用戶信息「哺餵」了誰
從2元的「人臉包」看人臉黑產市場。10月27日,央視報導了一起熱議的「打劫」人臉信息的新聞,即在某些網絡交易平臺上有不良商家公然兜售「人臉包」,內含上千張面孔素材,售價低至2元。若是買家嫌量不夠大,還可選擇含逾5千張面孔的「人臉包」,售價不到10元。這些「人臉包」裡的素材照片,來自包括但不限於網絡爬蟲爬取的陌生人朋友圈、微博、小紅書等社交媒體上發布的照片,均為真人生活照、自拍照等私密性照片,甚至還包含身份證等關鍵信息。這些照片一旦落入不法分子手中,後果不堪設想。
通常情況下,黑產分子是購買「人臉包」的下遊方,他們試圖購買、關聯大量的人臉、身份證、手機號等敏感隱私信息,來製作立體面具,以此達到註冊、登錄受害者金融帳戶,轉移其帳戶資金或實施金融詐騙等目的。
目前,在部分網絡購物平臺已出現了平面人臉模型定製商家,定製費從十幾元到近千元不等。中國信息通信研究院科研工程師王嘉義表示,「3D列印就可以製作出來一個精度尚可的人臉面具,頭套也是同樣的製作原理。最簡單的人臉識別只需要採集、提取人臉上的六個或八個特徵點就能實現」。在「人臉包+算法」的加持下,部分模擬面具足以達到以假亂真的效果,矇混過軟體的「識別關」。
不少新聞報導過不法分子利用人臉識別「偷梁換柱」的案件,加深了消費者對於隱私信息洩露的惶恐。在10月發布的《人臉識別應用公眾調研報告(2020)》中顯示,有六成受訪者認為人臉識別技術有濫用趨勢,更有三成受訪者表示說,已經因為人臉信息洩露、濫用而遭受到隱私或財產損失。
企業認知缺失加劇「萬物皆可爬」亂象。除了人臉信息被明碼標價外,包含姓名、身份證號、手機號、銀行帳號等在內的其他用戶隱私信息也在黑市上被廣泛兜售。個人信息販賣亂象已是泛濫成災,今年3月發生了5.38億微博用戶綁定手機號數據在暗網被兜售案件,2018年8月發生了漢庭、全季酒店旗下2.4億條開房信息在暗網打包出售案件……類似的案件比比皆是,和信息黑產的不斷壯大相比,企業對於用戶隱私信息的防護措施顯得有些力不從心,對於上述案件中的大型企業即使如此,又何況是中小企業,特別是中小網際網路企業呢?
造成這一現象的原因不僅是此前監管力度的失衡,也是企業認知的缺失,前者源於表面,後者發自深層。今年9月創新工場董事長兼執行長曾公開表示,「創新工場曾幫助曠視科技從美圖、螞蟻金服拿到大量人臉數據。」此句一出,引發市場轟動,而後其及時就此事予以了澄清、道歉,並強調合作不涉及任何數據的共享與傳輸。更早之前,百度公司董事長李彥宏也曾鬧出過類似非議,他曾言到,中國用戶對隱私問題沒有那麼敏感,願意用隱私換效率。
他們的發言在一定程度上代表了企業對於用戶隱私保護的態度,而誘發這一態度的形成,源於用戶與企業之間築起的網際網路信息大牆。大牆之下,牆內的用戶與牆外的企業產生了認知差、信息差,也產生了利益鏈,企業肆意爬取、分析用戶信息、數據,鍛造更智能、更高效的算法、模型,看似反哺了用戶服務,卻也造就了「萬物皆可爬,萬物皆可利」行業氣象。眼下,廣大用戶已不再安於據守牆內,他們對於重塑網際網路信息管理、用戶個人隱私保護的需求愈發強烈,形勢也日益緊迫。
呼聲之下《草案》蓄力
呼聲之下,必有反響。《草案》應運而生。全國人大常委會法工委有關負責人表示,制定個人信息保護法是為了回應廣大人民群眾的呼聲和期待,有利於維護網絡空間良好生態,也是促進我國數字經濟健康發展的重要舉措。
黨的十九大報告提出了建設網絡強國、數字中國、智慧社會的戰略部署,其中亦離不開以《草案》為支點撬動個人信息權益的法律保護與利用帶來的重要作用。《草案》過建立權責明確、保護有效、利用規範的制度規則,有助於加強合理化使用個人信息,促進數字中國的戰略發展行穩致遠。
拆解《草案》,一窺究竟。《草案》共八章七十條,明確法律的適用範圍,聚焦個人信息保護的突出問題,確立以「告知-同意」為核心的個人信息處理規則,落實國家機關保護責任,嚴格要求敏感個人信息的處理,加大對違法行為的懲處力度(圖1)。
圖1草案五大要點
製圖|吳申城
《草案》明確定義個人信息時,不僅強調了對個人信息的權益保護,也要求對個人信息的合理、規範化運用。截至2020年3月,我國網際網路用戶已達9億,在超300萬個應用程式之下是一個龐大的「大數據帝國」,《草案》的出現不但能保護這9億網民,亦向「大數據帝國」的野蠻生長提出合規要求。和大部分行業洗牌的規則一致,這一次也唯有合規企業方能乘風破浪。
在《草案》中有一條覆蓋個人信息處理全生命周期的核心規則——「告知-同意」制度。這項核心規則猶如織起了一張牢固而可靠的保護網,讓用戶充分了解、牢牢把握住自己手中的隱私信息。尤其是對於個人敏感信息的處理,企業需要履行詳實的告知義務,告知用戶處理者的身份、聯繫方式、處理目的、處理方式、以及對用戶帶來的影響等方面,並取得用戶的「單獨同意」。和過去大部分線上應用的「一攬子隱私同意」對話框形成明顯差異的是,未來應用方還需要在特定場景被觸發時,彈出特定對話框、展示頁面,提醒、告知用戶,並取得其同意。
正反聚焦信息監管利刃
罰管並進,警醒各方。在《草案》之前,歐盟的《通用數據保護條例》(General Data Protection Regulation,簡稱GDPR)被譽為史上最嚴數據保護條例。GDPR以罰得狠、管的寬、分得細聞名於世,影響力威震四方。以罰款為例,GDPR規定,「對未採取技術或管理措施來避免、降低隱私侵權損害風險的網際網路公司,最高可罰款1000萬歐元或全球營業額的2%(以較高者為準);對違反個人信息收集和使用基本原則以及沒有保障數據主體權利的網際網路公司,最高可罰款2000萬歐元或全球營業額的4%(以較高者為準)」。
谷歌、英國航空、萬豪集團等企業都曾接到過巨額罰單。今年6月,法國國務委員會宣布,谷歌未向安卓用戶提供足夠清晰、透明的告知,應支付法國國家信息與自由委員會開出的五千萬歐元罰單,這成為GDPR發布以來開出的最貴罰單。今年10月16日,英國數據保護監管機構信息專員辦公室發布公告稱,對英國航空洩露42萬用戶信息一事最終開出2000萬英鎊的罰單……天價罰單足以讓不少網際網路公司近一年內的盈利打水漂,此外他們還需疲於應對法律訴訟、輿論口水戰等壓力。正因此,GDPR在業內建立起了強大的威信。
《草案》也借鑑了這一點,相比於國內部分商業類法律條款蜻蜓點水般的處罰力度,《草案》的要「兇猛」得多,規定「侵害個人信息權益的違法行為,情節嚴重的,沒收違法所得,並處5000萬元以下或者上一年度營業額5%以下罰款」。但考慮到《草案》並未明確一年度營業額是參照境內還是全球標準,因而尚未能定論該處罰力度是否較GDPR有過之而無不及。此外,《草案》還需要明確處罰數額的考量因素、針對適用的違法情形等因素。
正負影響,倫理思辨。從GDPR落地至今,業內關於其帶來的正負影響始終討論激烈、爭議不斷,這些觀點抑或同樣影響著《草案》的修訂、實施。
反方大多認為高合規成本會阻礙企業創新腳步。根據《福布斯》報告,GDPR讓美國財富500強企業多花費了78億美元合規成本。普華永道估計,68%的公司預計將花費100萬到1000萬美元。
京東數字科技副總裁、首席經濟學家沈建光認為,高昂的合規成本已使得歐洲錯失全球創新大潮,發展明顯落後於美國與中國。過高的合規成本對於大企業而言尚且是巨大負擔,對於初創型企業而言更是難以承受。
正方則持有雙贏觀點。華為CEO任正非是GDPR的支持者,曾公開表示中國要加強隱私保護,對侵犯隱私的行為進行嚴懲,他感慨,「這兩年中國逐步改變隱私保護,讓大家生活在安全的環境中,這是人民渴望的幸福」。
重慶大學國家網絡空間安全與大數據法治戰略研究院院長齊愛民表示,企業在GDPR正式實施初期,不可避免地要投入資金修改自身的隱私政策,但是只要企業的個人數據保護合規工作進入正軌,那麼之後的維護成本也將大大降低,並不會過多地影響企業的技術創新問題。
打造智慧「中國風」管理手段
從充滿爭議的GDPR到蓄勢待發的《草案》,立法的完善無法避免一個循序漸進的過程。眼下,《草案》需要考慮的是如何採取適宜的監管手段實現正外部性。《草案》具有後發優勢,更應當吸取他國經驗,結合我國作為發展中國家的實際情況推陳出新,時刻保持客觀中立理性,在明確監管底線的同時,為創新發展預留好充足的空間,設計出契合我國長遠利益的監管體系,積極落實智慧管理手段。
平衡保護個人信息和維護公共安全的關係。疫情防控期間,從人手一個的健康碼,到小區物業的實名登記,公共管理措施提高了用戶信息採集的維度和頻率,實現高效的社會管理。然而,這並不意味著在未來很長的時間內信息收集方可以借公共安全為由無限度地從個人信息保護的監管要求中豁免。全國人大常委會委員劉修文認為,通過細化個人信息共享操作規範,才能減少各層級、多部門的重複採集,提高應對效率,防範個人信息保護豁免情況下的信息洩露。
政府部門應起到帶頭作用。數據時代,「網際網路+政務服務」是把握用戶隱私信息的重要關口。政府部門橫跨多地、多層、多系統的「一網通辦」或加劇用戶個人信息跨域使用的潛在風險隱患,各地間的「木桶效應」也可能隨之出現。在此背景下,政府部門應積極重視用戶個人信息保護要求,帶頭示範性地構築用戶信息的防護大牆。同時,《草案》也需要進一步對政府部門應如何處理個人信息和共享行為作出管理規定。
強化社會範圍的宣傳教育。近年來,民眾逐漸意識到個人信息保護的重要性,前有浙江理工大學副教授郭兵將「強求刷臉」的杭州野生動物世界告上法庭,後有上海外國語大學法學院學生陳婷就百度貼吧App「綁架」定位對簿公堂。不過,這群「先醒者」在9億網民中仍是滄海一粟,民眾對個人信息的保護意識仍有待加強,在監管先行的基礎上,探索行之有效的宣傳教育方式,才能相輔相成,進而有為。
數字時代,萬物互聯和處處留痕的特性,讓用戶個人信息保護成為一個社會性,乃至國際性的話題,除了《草案》外,其他力量亦在行動,工信部對應用商店App進行技術檢測、督促整改、勒令下家;國家市場監管總局開展打擊侵害消費者個人信息違法行為專項執法行動……各方合力、小步快走,才能從根本上築牢個人信息保護的制度藩籬,打造安全、創新的網際網路環境。