文│ 中国电子技术标准化研究院 刘贤刚 何延哲
当前,数字化浪潮已经席卷全球所有行业,区别只有深度不同、广度不同、速度不同,特别是随着大数据、物联网、人工智能等新兴技术的快速发展,数据创造的价值在前所未有的被挖掘和利用。个人信息作为一种特殊的数据资源价值凸显,被过度收集和滥用问题突出,甚至侵犯公民隐私、实施网络诈骗等网络违法犯罪活动也十分猖獗。公民对加强监管的诉求很高,并持续成为两会提案和媒体报道的焦点。
欧盟《通用数据保护条例》(GDPR)带动了全球隐私保护加快立法进程。GDPR正式实施已经一年,业界部分专家认为GDPR存在实施过于复杂、限制技术创新发展、增加公司运营成本、影响欧洲科技初创企业活力等问题。本文以发展与保护平衡的视角,试图回答如何实现加强个人信息保护与促进产业高质量发展的路径和方法。
一、个人信息保护的现状和问题
2019年2月28日,中国互联网络信息中心(CNNIC)发布的第四十三次《中国互联网络发展状况统计报告》显示我国网民规模达8.29亿,我国是全球第一网民大国,也是名副其实的个人信息大国,而且超过排名第二的印度和第三的美国两个国家网民数量总和。可是,2016年震惊全国的徐玉玉案件,高考信息泄露是导致她不幸遭遇诈骗致死的重要原因。2018年6月16日,招聘网站前程无忧的195万条用户求职简历泄露;6月19日,圆通快递10亿条快递数据被售卖;8月28日,5亿条华住旗下酒店客户开房数据被出售;9月10日,万豪集团5亿条客户信息被泄露等等。个人信息泄露为什么屡禁不止,个人信息保护工作的问题到底出在哪?
1. 法律法规处于重要发展阶段,分散立法问题突出
据统计,全球超过107个国家已经制定了隐私保护的立法,全球个人信息立法总体趋势趋向严格。2018年,欧盟《通用数据保护条例》(GDPR)正式实施,被业界认为是数据安全的元年。2019年6月17日,美国信息技术和创新基金会(ITIF)发布《GDPR实施一年出现的影响》显示,GDPR实施两个月,美国三分之一的最大新闻网站关闭欧洲访问,因为没有遵守GDPR,截至2019年3月,美国仍有1129家新闻网站关闭欧洲访问;GDPR导致初创企业投资减少,可能导致欧盟每年损失大约3万个工作岗位。
我国个人信息保护相关法律法规可以分为法律、行政法规、部门规章和规范性文件几个层次。经统计,我国有近40部法律、30余部法规、200多部规章和规范性文件涉及个人信息保护。法律层面《网络安全法》是我国网络安全领域的根本大法,是总规矩,还有《民法总则》《刑法》《消费者权益保护法》《全国人大常委会关于加强网络信息保护的决定》等;行政法规层面有《征信业管理条例》等;部门规章和规范性文件层面有《侵害消费者权益行为处罚办法》《电信和互联网用户个人信息保护规定》等,这些法律法规有效支撑了我国现有个人信息保护监管工作,如下图。
图:我国个人信息保护部分法律法规图谱
现有修补式的分散立法导致其作用有限,而且有相当一部分是原则性、宣誓性条款,难以对实践产生直接影响。2018年9月,我国《个人信息保护法》已被列入人大常委会立法规划,并列入条件比较成熟、任期内拟提请审议的第一类项目,标志着立法进入重要发展阶段,《个人信息保护法》的制定和出台,将实现我国从分散立法到集中立法转变。
2. 个人信息保护范围不断扩展,保护难度持续加大
从个人信息的概念角度看,两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中,关于个信息的定义是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,在《网络安全法》的基础上,扩展了反映特定自然人活动情况的各种信息,最典型的是行踪轨迹。从全球发展趋势看,个人信息概念的外延也愈发多元,伴随着技术的发展和演进会不断扩展。
新技术新应用不断增加保护难度,利用大数据对用户进行画像后,用于精准的广告推送已经是非常普遍的商业模式。虽然互联网公司承诺采用了去标识化技术,可以保证按照“千人千面”的原则,也就是算法只会向一个网络设备和虚拟的人推送信息,但用户仍感觉自身行为被全方位监控,担忧个人信息泄露。为实现用户行为的全方位画像以及使用算法对用户个人信息进行深入分析,企业通常在收集个人信息方面与法律法规所强调的“最少够用”原则存在偏差。
3. 监管处罚力度整体威慑不足,民众认知水平不高
2019年7月,Facebook宣布与美国联邦贸易委员会(FTC)达成50亿美元的罚款协议,以终结FTC对Facebook 8700万用户信息泄露和滥用事件的调查,成为历史上因个人信息安全事件开出的最大罚单。尽管我国监管部门已经不断加大个人信息侵害的司法打击力度,但总体上惩处力度较轻,难以形成足够威慑效应。“一万元以上十万元以下”直接负责人罚款,对于一般规模企业处罚太轻。此外,相关法律规定,对于情节严重的可以责令暂停相关业务、停业整顿、关闭网站等处罚,而监管部门通常采用约谈、通报、责令整改,或者媒体曝光等方式处罚,目前看效果并不理想,有些企业频繁被监管部门约谈和媒体曝光,但仍然整改不到位。如果打击力度难以形成威慑效应,是否意味着对违法者的纵容就是对守法者不公,以致步入劣币驱除良币的怪圈。
此外,民众对个人信息整体认知不高,主要体现两个方面,一是防范意识比较弱,《中国个人信息安全和隐私保护报告》调研数据显示,55%的参与调研者从不将证件复印件标明用途;34%的调研者只希望确保手机在线,而不会对免费Wi-Fi鉴别使用。另一方面,公民由于缺乏认知,也会带来不必要的恐慌。比如谈话中谈到了某个商品,收到了这个产品的推荐信息,而怀疑自己被窃听;指纹、虹膜、刷脸等生物特征识别技术,所采集的个人信息是经过算法转换的,并不是原始生物特征信息,但用户并不知情;不同公司之间的合法数据交换,往往经过了匿名化技术处理,而用户普遍担忧信息泄露。
二、个人信息保护的路径研究
第一,准确把握开发利用与隐私保护的关系。应当充分发挥数据开发利用在丰富应用、方便生活、提升效率、降低成本的重要作用,但如果不以公民个人信息安全为前提,容易导致企业进入“乱作为”的境地。个人信息保护不是越严越好,如果过于严苛,也会限制数据的交换共享、开发利用、应用创新,容易导致企业在创新过程中面临“不敢为”的境地。
第二,准确把握行业监管与产业促进的关系。对于泄露个人信息、侵犯公民隐私、网络诈骗等各种形式违法犯罪活动,应该依法进行严厉打击。对于注重公民个人信息保护,切实履行企业主体责任,积极响应落实监管部门要求的企业,应该给予宣传和表扬。同时,加大对先进技术、优秀解决方案、标准化应用案例的宣传推广力度,树立标杆,带动整体行业个人信息保护水平提升。
第三,准确把握公民期望与保护能力的关系。目前我国个人信息保护能力水平与公民期望还存在较大差异,加强个人信息保护需要平衡好两者之间的关系。我国个人信息保护总体情况较为复杂,涵盖范围大、涉及环节多,一方面要提升能力,解决公民关切的问题,另一方面也要考虑当前技术和监管的能力限制,以及技术和产业发展水平,让公民了解产业现有保护能力水平。
第四,准确把握身份追溯与隐私保护的关系。我国交通、住宿、金融、快递等行业都有身份收集、核验、追溯的要求,公民也有隐私保护的诉求,如何实现两者平衡。随着互联网+战略和网络实名制的推进,我国具有收集个人信息需求的组织非常多,导致可以泄露个人信息的环节增加,带来整体行业隐私保护难度加大。从保护公民隐私角度出发,采用第三方身份认证模式、网络身份标识技术等可以有效保护公民的隐私,也可实现身份追溯。
第五,准确把握参考国际与自主发展的关系。我国个人信息保护应该坚持一切从实际出发,实事求是的原则,既要积极吸收借鉴国际先进的、适用我国国情的做法,又要切忌生搬硬套、过于教条,只有在权衡利弊中趋利避害,才能做出最有利、最科学的战略选择。我国可以参考欧盟模式采用统一立法、统一执法的方式,改善分散立法、多头管理的现状;可以参考美国行业自律的做法,倡导以自愿性认证的方式,提升企业个人信息保护水平;也可以参考欧盟和美国共同的严格执法做法,提高罚款额度,增加违法犯罪成本,严惩个人信息违法犯罪活动,从而使得监管执法更加具有威慑力。
此外,要坚持系统性、整体性、协同性的发展之道,充分调动政府监管部门、第三方行业组织、企业、学术机构等主体多方协作,综合运用法律、标准、监管、技术、市场、宣传等多种手段,逐步建立以法律法规为基础、监督执法为保障、标准规范为牵引、技术和市场为驱动、宣传教育为支撑的一套兼顾监管治理和发展促进平衡的科学路径。这样的个人信息保护之道,才符合我国全球第一网民大国,隐私保护形势极其复杂的监管需求,才符合我国是仅次于美国的互联网产业强国,技术创新和产业发展强劲的发展需求。
三、加强个人信息保护的建议
1. 采取统一立法模式,突出发展保护平衡
个人信息保护法只有通过统一立法模式,才能改变当前法律体系缺乏顶层设计的现状。一是通过统一立法明确基础法律条款要求,统一明确个人信息概念范围、主要角色、个人信息主体的权利等,摆脱行业立法条块分割的情况;二是通过统一立法明确执法部门定位,减少交叉执法,促进监管形成合力;三是立法必须做到发展与保护的平衡,法律既要有威慑作用,也要考虑促进技术创新,我国有自身经济社会特点,欧美立法未必完全适合,必须坚持走独立自主的立法路线。
2. 加强技术驱动发展,提高整体保护水平
坚持以技术驱动发展的角度,解决个人隐私保护痛点问题。一是减少个人信息直接收集范围,对于保护能力不足的企业可以不直接收集个人信息,采用第三方身份认证服务方式做实名认证,比如用微信或支付宝账号登录其他应用;二是利用差分隐私等技术代替直接收集原始信息,收集个人信息是经过加噪声的,并不是原始个人信息;三是可以采用“安全多方计算”技术,实现数据的安全共享;四是可以开发专门用于广告业务的ID,支持用户选择开启和关闭广告追踪功能,如果用户关掉广告ID,广告商就无法找到用户等。
3. 发挥标准平衡作用,促进企业合规合标
充分发挥标准支撑监管、提升能力两个维度的核心作用,以标准化促进发展与保护的平衡,以标准促进企业合规合标,以标准促进企业开展自愿性认证。一是加快完善支撑法律法规落地的标准制定,细化法律法规相关要求,为违法违规行为判定提供标准支撑;二是推动经过实践检验科学合理的标准指标,输出到法律法规条款中,丰富细化法律法规要求;三是以标准固化通用技术、方法和最佳实践,让企业提升能力有标可循、有标可依,提高整体行业个人信息保护基线。
4. 加大监管惩处力度,严厉打击黑色产业链
只有加大处罚力度,严厉打击违法违规行为,才能营造良好的行业氛围。一是对于侵害个人信息违法情节严重的,应该责令暂停相关业务、停业整顿、关闭网站等处罚,以达到警示和威慑作用;二是重点打击黑色产业链,需要抓住关键少数,积极发挥电信运营商、银行、大型互联公司等超级平台作用,构建立体多维的打击体系;三是多部门联合,公安、工信、网信、高检、高法、人行等部门联合治理,保持高压态势,才能有效打击不断专业化、产业化的黑色产业链。
5. 深化宣传教育工作,发挥广大公民力量
通过多种手段加大宣传教育力度,深入开展经常性的教育培训工作,营造维护个人信息安全人人有责、人人参与的良好氛围。一是提高公民防范意识,使公民了解和掌握保护个人信息的基本知识和方法,不轻易给不法分子可乘之机;二是以通俗易懂的方式宣传隐私保护基本知识,让公民有基本的概念框架,减少对新技术新模式的恐慌;三是发挥公民广泛监督作用,积极宣传举报电话和举报平台,当公民遇到侵害个人信息的情况发生时,及时向主管和监管部门报告。
(本文刊登于《中国信息安全》杂志2019年第8期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
