11月1日,《中华人民共和国个人信息保护法》(下称“个保法”)迎来一周年。经历了用户个人信息被无条件攫取的“野蛮期”、多部委联合开展专项治理行动的“强监管期”,个保法将企业的个人信息保护带入了一个全新阶段。

“先合规,后业务”——这是一位企业法务对过去一年个人信息保护合规工作的总结。忽视合规的后果则在“滴滴被罚80亿”事件中展现得淋漓尽致——个保法首个顶格罚款的诞生无疑震慑了整个行业。尽管个保法施行仅一年,很多企业的个人信息保护合规还在探索阶段,但它绝对是企业的一道必答题。

南都记者对话多个企业后了解到,在积极遵循个保法要求的同时,企业也在苦苦寻求合规与发展之间的平衡点。个保法施行一年以来,企业为落实法律要求采取了哪些措施?当法律要求触及商业利益,企业如何选择,又有哪些困惑?

文|樊文扬 孙朝 程雨祺

“先合规,后业务”

个保法施行后的这一年,多位从事个人信息保护合规工作的头部企业法务向南都记者表达了一个共同的感受:企业的很多变化都发生在内部,主要表现在制度完善、人力投入和内部培训上。

比如携程建立了覆盖各个业务线的个人信息保护组织架构,还任命集团的个人信息保护负责人全面统筹实施组织内部的个人信息安全工作。此外,负责App合规工作的专业人员数量相比个保法生效前增加了一倍以上——过去一年他们帮助携程新建、更新了十余项与个人信息保护相关的制度,明确了个人信息的分类分级、访问授权、数据加密、个人信息保护影响评估、App隐私合规等要求,还面向公司全员组织了安全意识培训。

每日互动则成立了由二十余人组成的个人信息保护专项小组,在组织架构上进一步梳理岗位的职责权限。这二十余人不仅要负责全面排查隐私政策、在代码层面梳理收集信息的范围,公开透明地向用户披露相关信息等,还要求所有的员工进行个人信息保护培训。

“我们也请来头部律所进行了一次全流程的个人信息保护评估,看看哪些地方还需要整改”,每日互动法务总监李颖莹提到,“整体评估下来,我们都是最好的那一级。”

除了内部变化,为响应个保法要求大型互联网平台成立主要由外部成员组成的独立机构的规定,企业的个人信息保护合规工作也开始借助外来力量。

截至目前,公开招募“个人信息保护外部监督委员会/专家团”成员的只有腾讯、携程,招募人数分别为15人和9人。腾讯计划招募的委员会成员包括法学与技术专家、行业协会代表等个人信息保护领域的专业人士,也涵盖律师、媒体以及其他公众。

携程方面进一步向南都记者透露,目前其专家团成员由资深旅游行业专家、法学教授、律师、媒体代表等担任。运行机制为携程不时向专家团汇报个人信息保护方面的工作进展,专家团通过邮件或在微信工作群直接提出意见;携程收到后展开调查,第一时间反馈调查结果或解决方案。

“先合规,后业务”,这是个保法施行一年后,第三方数据智能服务商TalkingData数据合规官葛梦莹对行业变化趋势的总结。而不把合规放在企业运行首要位置的后果,从滴滴事件中就能窥得一二。

今年7月,“滴滴被罚80亿”的消息犹如一枚重磅炸弹,引发行业地震。虽然滴滴App被下架后的一年间,行业内对处罚力度不吝猜测,但年度营业额百分之五的顶格罚款仍然极具震慑力。

据国家网信办通报,滴滴违反了网络安全法、数据安全法、个人信息保护法,情节严重、性质恶劣。主要违法违规行为包括违法收集使用个人信息,涉及的数据规模从千万条到数百亿条不等;存在严重影响国家安全的数据处理活动;违法违规运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患等。

对此,滴滴出行官方微博作出回应,称诚恳接受,坚决服从国家网信办对其作出的相关行政处罚,将严格按照处罚决定和相关法律法规要求,全面深入自查,积极配合监管,认真完成整改。

滴滴被罚无疑给大型互联网企业敲响了一记警钟。企业在个人信息处理活动中更加谨慎——首当其冲的就是极其敏感的数据跨境业务。

多位企业法务表示,由于政策趋严,企业更倾向于避免数据跨境,减少合规风险;避免不了的,就“抓大放小”,优先选择影响重要业务的数据出境,减少其他出境需求。“很担心(自己)成为典型。”他们直言。

不过,随着《数据出境安全评估办法》《数据出境安全评估申报指南(第一版)》等法律法规、标准规范的出台,政策方向逐渐清晰,企业已经有了更加详细的操作指引。

合规成为建立合作的“敲门砖”

兵马未动,粮草先行。在人力、技术配备到位后,个人信息保护合规具体怎么做,需要逐一破题。最基本的,是从行业监管部门的关注方向入手。

个保法施行前夕,工信部下架了96款侵害用户权益的App,并在通报中首次提及SDK(软件开发工具包)。通报称,检测发现字节跳动“穿山甲”SDK、腾讯“优量汇”SDK、快手广告SDK问题较多,分别占问题总量的37.4%、29.9%、8.0%。

此后,SDK被工信部纳入侵犯用户权益通报名单。今年工信部共发布两次通报,其中2月通报了13款SDK,所涉问题为违规收集设备ID、MAC地址等个人信息;8月通报了3款,涉及收集个人信息明示、告知不到位,违规使用第三方服务,超范围收集个人信息等问题。

App接入第三方SDK通常是为了更高效地实现某些特定功能,比如一键登录、第三方支付、推送通知消息等。为实现这些功能,SDK可能也需要收集使用用户个人信息,因此应该遵守个保法规定。

根据个保法,个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。

南都记者观察到,目前很多头部App已经按照工信部要求,建立了“已收集个人信息清单”和“与第三方共享个人信息清单”,在隐私政策中披露App(包括SDK)收集的用户个人信息基本情况,并列出App与第三方共享的用户个人信息基本情况。

抖音集团数据与隐私法务相关负责人告诉南都记者,从目前行业现状来看,SDK自身处理个人信息的透明度水平正在稳步提升,包括处理的场景、目的和所涉及的具体字段,“这一点从App端内披露的共享清单即可见一斑。”

作为SDK方,葛梦莹发现,个保法施行之后,合规变成了与App方合作的“敲门砖”。“以前很多企业不在乎数据合规,不断地降低底线。一些同行竞争对手甚至为了拿到合作,会把不合规的数据也传送给甲方。但个保法施行后,App也不敢要这样的数据了。”

不过,工信部要求的“双清单”只解决了告知层面的合规问题,个保法要求的“单独同意”如何实现,仍是持续困扰SDK方企业的合规难点。

中国信通院的统计数据显示,2020年9月,平均每款App使用16.8个SDK,2021年9月上升为21.5个。“如果与App合作的每个SDK都需要单独同意,那么用户在启动这个App后,可能会在较长时间内都在持续点击屏幕进行授权。”李颖莹直言,这会在很大程度上降低用户体验。

“‘双清单’模式应该是行业内比较普遍使用的一种做法,当然行业各方也在探索推进更好的方式。”据她了解,目前暂无App在个人数据管理页面提供打开或关闭SDK的权限——尽管这可能是一种更合规的方式。在李颖莹看来,落实单独同意要求的责任需要App共同负起,“如果有一些头部App率先做了,会对行业起到带头作用。”

站在App的角度,恐怕也不愿意为不合规的SDK“背锅”。中国信通院技术与标准研究所副所长汤立波曾透露,工信部25批次抽检中,20%App存在的问题来自第三方SDK。

上述抖音相关负责人告诉南都记者,App与SDK在个保法下的法律关系仍存在不小的争议,比如究竟是成立委托处理、共同处理还是向第三方提供的法律关系,各方尚未完成形成共识。

为了更好地管理SDK,今年9月,中国信通院牵头搭建的全国SDK管理服务平台正式上线。用户可查阅SDK名称、版本、隐私政策、接入文档、开发者、官网信息等公示信息。目前已有50余家企业的400余款SDK向平台报送产品信息。

“以后通过这种优胜劣汰,不合规的SDK可能会慢慢变少。”李颖莹说。

企业依个保法合规已有相关司法判例

个保法中,不少条款涉及的场景等与人们的日常生活息息相关,比如人脸识别、自动化决策、个人信息的复制和转移等。南都记者观察到,个保法施行一年以来,已经涌现了不少用户依据个保法向互联网企业维权的案例。

今年7月,上海市金山区人民法院审理了一起个人信息保护纠纷案。一大学生因某社交平台的个性化广告只能选择关闭六个月,期满后将自动强制性恢复而将该平台告上法庭。

所谓个性化广告,是指平台通过分析用户的操作行为、浏览偏好等使用习惯,根据用户喜好推出的针对性广告,属于个保法定义的自动化决策的一种。个保法规定,通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。

南都曾于2020年对20款头部App的个性化推荐功能进行测评。结果显示,绝大部分App都要经过五次以上甚至上十次跳转才能显示退出按钮,还有六款设置了三到六个月不等的关闭有效期。

该案中,法院依据前述个保法条款向平台发出司法建议。经法院调解,双方达成庭外和解协议,被告社交平台取消了个性化广告的关闭有效期,并赔偿原告大学生合理损失。

据了解,这不是第一次有平台因设置个性化广告关闭有效期被诉。个保法施行后,这一情况得到了明显改善——南都记者实测发现,大多数头部App都将个性化推荐的关闭选项设置在用户容易触达的页面,一般只需进行两至三次点击即可实现关闭,并且不再设置关闭有效期。

不过,广告业务被称为大型互联网公司的“现金奶牛”,收入所占比重向来不容小觑。为了遵循个保法,平台推送个性化广告的步骤变得更加复杂,岂不影响赚钱?

李颖莹坦言,个保法的要求在一段时间内对个性化广告的商业利益“肯定有影响”,也增加了企业的合规成本和要求。“但长期来讲,更合规的做法对行业和个人信息主体都有益处。当用户的个人信息权利得到保障,增强了安全感,广告营销的需求可能也会变得更加旺盛。”

另一条颇受用户关注的个保法条款是第四十五条:个人向个人信息处理者请求查阅、复制其个人信息的,个人信息处理者应当及时提供。个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。该条常被类比为欧盟《通用数据保护条例》(GDPR)的“可携权”条款。

南都个人信息保护研究中心发布的《个人信息安全报告(2021)》显示,150款被测App中,只有57款明确用户可要求获取个人信息副本,其中仅15款称可提供转移服务。

个保法施行一年来,越来越多App把相关条款写入隐私政策。南都记者还从多个头部互联网企业了解到,它们会在旗下App内提供展示已收集的个人信息清单供用户查询,如基本信息、身份证明信息、常用个人及他人信息等。不过,个人信息转移依然是企业实践中普遍面临的难题。

携程方面从技术层面解释,个人信息副本的转移涉及与接收方的数据对接,还需进一步摸索。也有数据行业内法务人士认为,落实“可携权”的阻碍并不仅仅是在技术,企业本身也缺乏转移数据的意愿。“主要是考虑到商业利益。平台收集数据需要花费一定的成本,而存储数据也会消耗资源。把投入成本的数据共享给其他平台,甚至是竞争对手,对平台来说只有损失没有收益。”

南都记者搜索裁判文书网发现,关于“可携权”,已经有了依据个保法做出裁决的司法判例。

该判决书显示,某电商平台用户周某某因担心个人信息泄露或被滥用,要求平台披露其获取的相关信息,被平台拒绝。今年5月,法院二审判决被告电商平台向原告周某某提供个人信息副本,包含账户信息、设备信息、日志信息、收货信息、购物习惯、与第三方共享的个人信息。

虽然还远称不上成熟全面,但“可携权”已经有了初步的司法判例引导企业合规。而有的个保法条款至今暂无配套政策和实际运用案例,企业的落实工作显得有些“一筹莫展”。

个保法中有关死者个人信息的条款便是如此。南都记者发现,目前仅有极少数App在隐私政策中表示,会保障死者近亲属为了自身的合法、正当利益,对死者的相关个人信息行使查阅、复制、更正、删除等权利。

在数据成为经济社会发展重要资源的当下,对个人信息的保护已成为行业刚需和社会共识。我们也期待,随着新技术和相关实践的不断涌现,如今的种种困境都将迎来更完满的解答。

声明:本文来自隐私护卫队,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。