中国消费者报报道(记者桑雪骐)圆通职员售卖个人信息案在前,人脸识别第一案落槌在后。工业和信息化部在11月27日召开的全国APP个人信息保护监管会上又对相关企业存在的问题进行了通报。在日前召开的由北京市法学会电子商务法治研究会主办的第七届电子商务法制高峰论坛上,与会专家们认为,应对个人信息进行分类分级保护,在保证个人隐私不被侵犯、个人信息安全得到保障的同时,通过技术手段促进信息的流通和开发利用,为人们的生活带来更多的便利和美好。
个人信息问题成各界关注焦点
2020年,当人们进进出出都需要扫码刷脸时,个人信息流通和保护成为了各界关注的焦点。时至年终,涉及个人信息安全的事件更是密集出现在公众视野中。
由于内部员工与外部不法分子勾结,导致40多万条公民个人信息泄露,圆通速递11月17日发布了声明并道歉,称此事件系该公司在7月份发现问题后主动报案,并表示将坚决打击违法行为。相关犯罪嫌疑人已于9月落网。在当晚的央视《新闻1+1》节目中,主持人白岩松对此质问:为何圆通的回应给人一种“我发现的、我报案的、我配合参与全过程”的自我表扬感?
随后,被人们称为我国“人脸识别第一案”的浙大法学博士、浙江理工大学特聘副教授郭兵诉杭州野生动物世界案一审宣判。杭州富阳法院判决杭州野生动物世界赔偿郭兵合同利益损失及交通费共计1038元,删除郭兵办理指纹年卡时提交的包括照片在内的面部特征信息;驳回郭兵提出的确认野生动物世界店堂告示、短信通知中相关内容无效等其他诉讼请求。
与此同时,相关主管部门也频繁发声。11月27日,全国APP个人信息保护监管会在北京召开。工信部信息通信管理局副局长鲁春从在会上表示,工信部针对大企业的APP进行了全覆盖检测,发现存在思想漠视、侥幸心理、技术对抗三类问题。“目前有120家企业的APP问题反复出现过两次以上,如新浪公司旗下的新浪体育出现了违规收集个人信息问题,整改完后再次抽检,仍然发现同样的问题。还有一些企业在APP版本更新后,存在将已经整改过的问题又改回去等性质严重的问题。”鲁春从说。
此前,相关主管部门多次对违规APP进行通报。如11月23日,广东省通信管理局发布APP监管情况通报,涉及经核验出现问题的APP共88款,包括嘉联支付、中邮消金、顺丰金融、恒大财富、全民钱包等多家金融科技企业。其中,违反用户个人信息保护规定的问题包括“未公开明示收集规则”“默认勾选同意隐私协议”“未列明所集成SDK及其采集信息”“为注销账号、删除个人信息设置障碍”“未经用户同意共享给第三方”等侵犯用户对其个人信息处理享有的知情权、决定权,以及违反最小必要原则超前、超需、超频索取权限或采集信息,甚至不给索取权限不让用等强迫行为。而今年9月,由中央网信办、工信部、公安部、市场监管总局组成的APP专项治理工作组发布通告,对81款存在个人信息收集使用问题的APP进行了集中曝光。
个人信息保护难在哪里
“现在电子商务中的个人信息保护非常困难,我将其概括为‘一问三不知’。”市场监管总局研究中心副主任叶宝文解释称,所谓“一问三不知”,是指不知道有多少个人信息被哪些平台、哪些机构掌握;不知道被掌握的信息会以什么样的方式、什么时候对个人利益造成直接或间接的损害;对于个人信息泄露造成的损害不知道去找谁进行有效、快速的解决。
叶宝文表示,个人信息的经济属性在逐渐扩大,从早期的个人搜索、网页浏览,到现在的人脸识别、行踪、血型等一些生物信息,都逐渐在经济领域中价值化,《电子商务法》中关于个人信息保护的领域发展迅速,监管信息的范围也随之扩大,这都增加了监管难度。
中国商法学研究会副秘书长、中国政法大学民商经济法学院党委副书记朱晓娟指出,目前个人信息安全机制中的知情同意机制实施效果欠佳。“由于大多数人都不会真正的去阅读所谓的使用条件、交易规则就会直接勾选,因为不勾选就会影响使用,因此知情同意已经没有办法得到保障。”朱晓娟认为,由此人们也很难进行理性的判断,加上对技术了解的局限,也难以衡量知情同意原则的适用范围对主体意味着什么。所以知情同意实际上流于形式,将其作为信息处理的前提缺乏可操作性和必要性,也难以达到立法的目的。
中国消费者协会开展的APP个人信息泄露情况调查结果显示,个人信息泄露总体情况比较严重,遇到过个人信息泄露情况的人数占比为85.2%,没有遇到过个人信息泄露情况的人数占比为14.8%。个人信息泄露的主要途径一是经营者未经本人同意收集个人信息;二是经营者或不法分子故意泄露、出售或者非法向他人提供个人信息;网络服务系统存有漏洞造成个人信息泄露。还有不法分子通过木马病毒、钓鱼网站等手段盗取、骗取个人信息和经营者收集不必要的个人信息。此外,在占比73.8%曾阅读过应用权限和用户协议或隐私政策的受访者中,能够认真阅读完应用权限和用户协议或隐私政策文字说明的受访者仅占26.7%。“不授权就没法用”是受访者“从不阅读”的最主要原因。
分类分级协同共治
北京大学电子商务法研究中心主任、教授薛军认为,电商是收集并进行深度挖掘个人信息的主战场。个人信息保护制度的落实需要行政机关通过定期检查等手段来推动。“个人信息保护涉及到个人利益及其他方方面面的利益,如果仅仅依靠监管部门,很难有明显的成效。”叶宝文认为,应该通过社会共治来加强个人信息的保护。对于电子商务中个人信息保护更应侧重于横向社会共治,要发挥政府各部门间、政府与消费者组织间的作用,同时还要发挥个人维权的作用,应用广义上的、横向的社会共治模式对个人信息保护进行监管。同时,个人信息侵权常常是事前无法预料的,因此要更加注重事后监管。“目前立法中后续跟进的措施还不够完善。”叶宝文认为。
北京华讯律师事务所主任张韬认为,应该更加重视信息的分类分级的保护,用这种方式来平衡信息流动、利用和保护的关系。张韬建议将分类分级上升为《个人信息保护法》的基本原则,以利于在标准、规章的制定过程中为一些法律原则提供释义;对分类分级的标准进行进一步细化。根据不同行业的不同特点和重点的领域、重点的场景去分别进行类型化规定,建立起分层的保护制度。“通过完善《个人信息保护法》来实现保护和利用的平衡,同时能在保护个人信息安全的基础之上,更大地发挥个人信息的作用。”张韬说。
北京天威诚信电子商务服务有限公司首席安全官李延昭呼吁:在对个人信息保护的处理技术上要更多地利用电子签名、区块链技术,让技术和法律结合,从而让法律在真正落地的时候体现它真正的约束力。
“工信部将针对群众反映的突出问题,从明年初开始继续开展为期半年的专项整治。”工信部副部长刘烈宏表示,工信部将严查APP侵害用户权益行为,紧盯反复出现问题被点名通报的重点企业。同时推动APP及SDK开发运营者、应用分发平台、第三方服务提供者、设备厂商、安全厂商自觉履行社会责任。
在全国APP个人信息保护监管会上,11家互联网企业代表向社会做出公开承诺:将严格落实整治工作,保障用户合法权益。