圓通職員售賣個人信息案在前,人臉識別第一案落槌在後。工業和信息化部在11月27日召開的全國APP個人信息保護監管會上又對相關企業存在的問題進行了通報。在日前召開的由北京市法學會電子商務法治研究會主辦的第七屆電子商務法制高峰論壇上,與會專家們認為,應對個人信息進行分類分級保護,在保證個人隱私不被侵犯、個人信息安全得到保障的同時,通過技術手段促進信息的流通和開發利用,為人們的生活帶來更多的便利和美好。
個人信息問題成各界關注焦點
2020年,當人們進進出出都需要掃碼刷臉時,個人信息流通和保護成為了各界關注的焦點。時至年終,涉及個人信息安全的事件更是密集出現在公眾視野中。
由於內部員工與外部不法分子勾結,導致40多萬條公民個人信息洩露,圓通速遞11月17日發布了聲明並道歉,稱此事件系該公司在7月份發現問題後主動報案,並表示將堅決打擊違法行為。相關犯罪嫌疑人已於9月落網。在當晚的央視《新聞1+1》節目中,主持人白巖松對此質問:為何圓通的回應給人一種「我發現的、我報案的、我配合參與全過程」的自我表揚感?
隨後,被人們稱為我國「人臉識別第一案」的浙大法學博士、浙江理工大學特聘副教授郭兵訴杭州野生動物世界案一審宣判。杭州富陽法院判決杭州野生動物世界賠償郭兵合同利益損失及交通費共計1038元,刪除郭兵辦理指紋年卡時提交的包括照片在內的面部特徵信息;駁回郭兵提出的確認野生動物世界店堂告示、簡訊通知中相關內容無效等其他訴訟請求。
與此同時,相關主管部門也頻繁發聲。11月27日,全國APP個人信息保護監管會在北京召開。工信部信息通信管理局副局長魯春從在會上表示,工信部針對大企業的APP進行了全覆蓋檢測,發現存在思想漠視、僥倖心理、技術對抗三類問題。「目前有120家企業的APP問題反覆出現過兩次以上,如新浪公司旗下的新浪體育出現了違規收集個人信息問題,整改完後再次抽檢,仍然發現同樣的問題。還有一些企業在APP版本更新後,存在將已經整改過的問題又改回去等性質嚴重的問題。」魯春從說。
此前,相關主管部門多次對違規APP進行通報。如11月23日,廣東省通信管理局發布APP監管情況通報,涉及經核驗出現問題的APP共88款,包括嘉聯支付、中郵消金、順豐金融、恆大財富、全民錢包等多家金融科技企業。其中,違反用戶個人信息保護規定的問題包括「未公開明示收集規則」「默認勾選同意隱私協議」「未列明所集成SDK及其採集信息」「為註銷帳號、刪除個人信息設置障礙」「未經用戶同意共享給第三方」等侵犯用戶對其個人信息處理享有的知情權、決定權,以及違反最小必要原則超前、超需、超頻索取權限或採集信息,甚至不給索取權限不讓用等強迫行為。而今年9月,由中央網信辦、工信部、公安部、市場監管總局組成的APP專項治理工作組發布通告,對81款存在個人信息收集使用問題的APP進行了集中曝光。
個人信息保護難在哪裡
「現在電子商務中的個人信息保護非常困難,我將其概括為『一問三不知』。」市場監管總局研究中心副主任葉寶文解釋稱,所謂「一問三不知」,是指不知道有多少個人信息被哪些平臺、哪些機構掌握;不知道被掌握的信息會以什麼樣的方式、什麼時候對個人利益造成直接或間接的損害;對於個人信息洩露造成的損害不知道去找誰進行有效、快速的解決。
葉寶文表示,個人信息的經濟屬性在逐漸擴大,從早期的個人搜索、網頁瀏覽,到現在的人臉識別、行蹤、血型等一些生物信息,都逐漸在經濟領域中價值化,《電子商務法》中關於個人信息保護的領域發展迅速,監管信息的範圍也隨之擴大,這都增加了監管難度。
中國商法學研究會副秘書長、中國政法大學民商經濟法學院黨委副書記朱曉娟指出,目前個人信息安全機制中的知情同意機制實施效果欠佳。「由於大多數人都不會真正的去閱讀所謂的使用條件、交易規則就會直接勾選,因為不勾選就會影響使用,因此知情同意已經沒有辦法得到保障。」朱曉娟認為,由此人們也很難進行理性的判斷,加上對技術了解的局限,也難以衡量知情同意原則的適用範圍對主體意味著什麼。所以知情同意實際上流於形式,將其作為信息處理的前提缺乏可操作性和必要性,也難以達到立法的目的。
中國消費者協會開展的APP個人信息洩露情況調查結果顯示,個人信息洩露總體情況比較嚴重,遇到過個人信息洩露情況的人數佔比為85.2%,沒有遇到過個人信息洩露情況的人數佔比為14.8%。個人信息洩露的主要途徑一是經營者未經本人同意收集個人信息;二是經營者或不法分子故意洩露、出售或者非法向他人提供個人信息;網絡服務系統存有漏洞造成個人信息洩露。還有不法分子通過木馬病毒、釣魚網站等手段盜取、騙取個人信息和經營者收集不必要的個人信息。此外,在佔比73.8%曾閱讀過應用權限和用戶協議或隱私政策的受訪者中,能夠認真閱讀完應用權限和用戶協議或隱私政策文字說明的受訪者僅佔26.7%。「不授權就沒法用」是受訪者「從不閱讀」的最主要原因。
分類分級協同共治
北京大學電子商務法研究中心主任、教授薛軍認為,電商是收集並進行深度挖掘個人信息的主戰場。個人信息保護制度的落實需要行政機關通過定期檢查等手段來推動。「個人信息保護涉及到個人利益及其他方方面面的利益,如果僅僅依靠監管部門,很難有明顯的成效。」葉寶文認為,應該通過社會共治來加強個人信息的保護。對於電子商務中個人信息保護更應側重於橫向社會共治,要發揮政府各部門間、政府與消費者組織間的作用,同時還要發揮個人維權的作用,應用廣義上的、橫向的社會共治模式對個人信息保護進行監管。同時,個人信息侵權常常是事前無法預料的,因此要更加注重事後監管。「目前立法中後續跟進的措施還不夠完善。」葉寶文認為。
北京華訊律師事務所主任張韜認為,應該更加重視信息的分類分級的保護,用這種方式來平衡信息流動、利用和保護的關係。張韜建議將分類分級上升為《個人信息保護法》的基本原則,以利於在標準、規章的制定過程中為一些法律原則提供釋義;對分類分級的標準進行進一步細化。根據不同行業的不同特點和重點的領域、重點的場景去分別進行類型化規定,建立起分層的保護制度。「通過完善《個人信息保護法》來實現保護和利用的平衡,同時能在保護個人信息安全的基礎之上,更大地發揮個人信息的作用。」張韜說。
北京天威誠信電子商務服務有限公司首席安全官李延昭呼籲:在對個人信息保護的處理技術上要更多地利用電子籤名、區塊鏈技術,讓技術和法律結合,從而讓法律在真正落地的時候體現它真正的約束力。
「工信部將針對群眾反映的突出問題,從明年初開始繼續開展為期半年的專項整治。」工信部副部長劉烈宏表示,工信部將嚴查APP侵害用戶權益行為,緊盯反覆出現問題被點名通報的重點企業。同時推動APP及SDK開發運營者、應用分發平臺、第三方服務提供者、設備廠商、安全廠商自覺履行社會責任。
在全國APP個人信息保護監管會上,11家網際網路企業代表向社會做出公開承諾:將嚴格落實整治工作,保障用戶合法權益。(記者桑雪騏)