11月1日,历经了法案起草、社会调研、拟定修改等十余年时间出炉的中国第一部《个人信息保护法》正式实施。
在媒体表述中,中国互联网将正式进入数据监管的新时代。但在网络平台上,民众的反应却颇为“冷淡”。
这种“民怨”,伴随着移动互联网高速发展的十几年而愈演愈烈。
2007年到2008年,来自中国社科院的一支个人信息保护情况调研课题组跑遍了北京、成都、青岛、西安等几个城市,收集了不少令他们“心惊”的问题。
在那个智能手机还并不普及的年代,有些商家在办理积分卡时就要求客户提供身份证号码、工作机构、受教育程度、婚姻状况、子女状况等信息;一些银行也要求申办信用卡的客户提供个人党派信息、配偶资料乃至联系人资料等。
这也是个人信息保护意识严重缺失的年代,交通部门会把非机动车交通违法人员的姓名、家庭住址、工作单位以及违法行为进行公示;银行会在媒体上披露欠款者的姓名、证件号码、通信地址等信息;还有的学校在校园网上擅自公布贫困生的详细情况。
如今个人信息被大肆贩卖的情况,在当年已呈“决堤”之态:大量房主信息、股民信息、商务人士信息、车主信息、电信用户信息、患者信息被兜售,并形成了一个新兴的产业。个人在办理购房、购车、住院等手续之后,相关信息被有关机构或其工作人员卖给房屋中介、保险公司、母婴用品企业、广告公司等……
调研中,42.5%的受访者曾遇到过个人信息被不当处理的情况,但因无法可依,仅有4%左右的人进行过投诉或提起过诉讼,而其中也仅有8%达到了目的。
当时,99.3%的受调查公众都赞成加强个人信息保护的立法工作,严厉打击滥用个人信息的现象。
此后的每一年,都有人大代表在两会上疾呼对个人信息保护尽快立法。
直至2021年8月,十三届全国人大常委会第三十次会议表决通过了《中华人民共和国个人信息保护法》。2021年11月1日起,正式施行。
此部法规不仅对APP过度收集个人信息、“大数据杀熟”做出了针对性规范,还将不满十四周岁未成年人的个人信息作为敏感个人信息,并要求个人信息处理者对此制定专门的个人信息处理规则。
此外,对于个人信息跨境、已逝者个人信息保护、投诉与举报渠道等做出了更细致和明确的规定。
但时至今日,我国互联网用户已远超10亿,APP数量超过300万款,个人信息被违规收集、使用甚至贩卖已经成为数字经济时代的重疾。
这一记法槌,能否终结这场隐私与金钱的拉锯战?
01
屡禁不绝
欧洲的很多标准或者立法都对中国产生过不小的影响。
2018年5月,被公认为“世界最严”的欧盟《一般数据保护条例》生效,其对个人信息保护及其监管达到了前所未有的高度。企业违规的话轻则被罚一千万欧元或前一年全球营业收入的2%,重则被罚两千万欧元或前一年全球营业收入的4%(罚款额均为“两值中取大者”),意图让互联网企业能够向“保护自己眼镜一样”保护用户个人信息。
2019年初,谷歌在法国被处以5000万欧元的罚款,其被罚理由在中国“司空见惯”,即将用户“同意”选项设定为了“全局默认设置”。
这比数额不小的罚款,也直接指向了中国互联网发展中人们普遍遭遇过的问题:每当安装和使用APP时,为了能正常使用,用户往往不得不选择“允许”或“接受”获取定位、访问设备照片和通讯录等权限,甚至一些与使用APP无关的个人信息也被非法收集。
2019年8月,我国就发布过APP收集个人信息基本规范征求意见稿,2019年11月国家出台了APP违法违规使用个人信息的认定方法。
但2019这一年,不仅是谷歌被罚5000万欧元,包括中国在内,个人信息被滥用和违法收集也在全球达到了一个高峰。在我国互联网应急中心发布的《2019年上半年我国互联网网络安全态势》报告中显示,在对下载量较大的千余款移动APP监测中发现,每款应用平均申请25项权限,其中申请与业务无关的拨打电话权限的APP数量占比就超过了30%。
从2019年到2021年10月,工信部先后通报了共19批侵害用户权益行为的APP名单,仅今年前三季度就累计通报了1494款违规APP,下架了408款拒不整改的APP。
尽管截至今年5月底,经过违规整治的全国APP数量302万款已经比工信部开展专项整治前的350万款下降了13%,但现存APP中,APP强制、频繁、过度索取权限等问题仍然是用户权益的“头号公敌”。
例如在2021年1月和6月的两次违规APP摸查中,“趣看点”等APP还因违规收集个人信息,强制、频繁、过度索取权限这类问题不止一次“上榜”。 今年7月,滴滴因涉及个人信息保护问题被下架,国家网信办、公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局等部门联合进驻滴滴,开展网络安全审查。
近日,微信、QQ、淘宝、美团等头部APP又接连被曝出存在“后台频繁读取相册”、“24小时连续获取定位”等涉嫌窃取用户隐私信息的情况,引发舆论热议。
微信出面解释,是因为微信使用了iOS系统提供的一个功能,在用户相册有更新时系统会通知APP提前做好准备,所以会被记录为读取相册,且行为只在手机本地完成。但有网友进一步用软件监测出,在深夜微信仍然在读取手机相册,甚至在用户睡觉的时候还使用了摄像头。
更有众多APP运营者以打擦边球的形式,试图躲过个人信息保护的监查。很多APP上在使用前的提示中有类似的用户权益描述:“你可随时在‘设置-隐私’中关闭个性化推荐权限,仅使用APP的基本功能”。即其个性化推荐功能是默认开启的,而该功能需要调取的用户信息可能包括网络设备硬件地址、日志信息、位置权限等。
但往往,需要用户手动取消这些默认项的改动,是隐藏在更深页面、难以被看到的。
就算有企业或个人因这类问题触犯法律而被诉讼,其违法成本之低也令用户颇感无奈。
2020年10月,在个人信息保护法草案议案阶段,侵害个人信息权益的违法行为被给予了更严重的制裁措施:情节严重的,没收违法所得,并处5000万元以下或者上一年度营业额5%以下罚款,5%的额度甚至超过了在个人信息保护方面规定“最严”的欧盟。
11月1日正式实施的个人信息保护法中,对个人信息处理也有了进一步明确规定:基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。
02
隐私背后的产业链
海量的个人隐私数据信息背后,是广告营销这条产业链条的蓬勃与发达。
跨平台的广告推送或内容推荐,相当一部分发生在大型互联网平台的关联公司或授权合作伙伴之间。因每部手机设备都有唯一的标识符,用户在同一台手机设备上使用不同的应用程序时,应用程序追踪获取到这个唯一的标识符便有可能精准地进行跨平台广告推送和效果追踪;此外,用户在浏览网页时,浏览器的cookie技术也会记录使用足迹。
当由各类网站、APP、社交媒体平台、数据代理商和广告技术公司等各方组成的复杂生态系统通过线上线下的方式,跟踪收集用户信息并加以拼凑、分享、汇总后用于广告实时竞拍等业务之际,这个产业已经有了年产值高达数千亿美元的规模。
如果数据存储不当或者访问、使用权限管理不严格,借助数据挖掘、关联匹配技术,仍然有暴露个人敏感身份信息的风险。
例如此次个人信息保护法正式实施前,工信部就已在APP监测中就已发现字节跳动“穿山甲”SDK、腾讯“优量汇”SDK、快手广告SDK的此类问题较多。媒体进一步挖掘,发现“穿山甲”这个字节跳动的多平台广告投放系统,和“优量汇”这个腾讯的广告投放系统,本质上都是广告中介的角色,即由商家向系统提出广告需求,系统为商家匹配合适的广告平台,帮商家获客、引流。截至2021年5月,与穿山甲合作的垂直应用超过了10万余款,每日广告请求630亿次;优量汇至今服务的APP数量也已超过10万。
基于大数据和AI,商家不仅可以根据把不同的广告推送给更适合的用户群,还可以设计更加复杂的算法根据个人信息对用户进行杀熟,而且差别化对待可以做得更为有理由、更为隐蔽。例如此前很多用户反馈过的某些网购平台会根据用户的使用年限、消费记录等数据,为其“量身定制”过高的价格。
此次,《个人信息保护法》规定:个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
在此之前已有业内专家呼吁,应考虑建立“吹哨人”制度,效仿金融监管领域的重奖制度,鼓励企业内部人举报“大数据杀熟”等违规行为。
也有专家提议,能否成立拥有点评、比价、测评等权利的第三方独立监督机构,强化其对“大数据杀熟”等违规行为的外部监督,使之成为政府监管的有力补充。
这些条件下,个人信息保护的立法会对违规企业形成有效约束,甚至足够威慑力吗?
近日,在亿欧EqualOcean联合北拓资本发起的一个“MarTech月高能分享”系列活动上,这个答案并不乐观。一位科技企业CEO说,以前精准营销在灰色地带下能够完全定位到个人,映射着隐私保护上的大问题。但实际上,精准营销和数据应用并不完全依赖这样的技术。
所以,数据安全的法规对于精准营销的技术没有太大影响。“但如果法条规定推荐、搜索特征不能再用,会影响到数据的使用效率,也就会对精准营销带来不小的影响。”
在这方面如何让大型网络平台担起责任?此次《个人信息保护法》也有涉及:对大型互联网平台设定了特别的个人信息保护义务,按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;遵循公开、公平、公正原则,制定平台规则;对严重违法处理个人信息的平台内产品或者服务提供者,停止提供服务;定期发布个人信息保护社会责任报告,接受社会监督。
跨境互联网券商对个人信息的滥用,也被着重进行了法规条款限制。
此前人民网记者通过富途牛牛APP实测开通交易账户的流程,就因跨境券商的个人信息过度收集引起过热议。当时在该记者假扮用户的开户过程中,他提供了中国内地身份证及中国内地银行卡,在同意签署开户文件之后,还提供了邮箱、最高学历、职业状态、公司名称、职业职位、业务性质、全年收入、总资产净值、资金来源、投资知识、投资目标、每月交易频率等等相关信息。
此次立法,更严格规范了个人信息跨境流动,以避免地理距离以及不同国家法律制度、保护水平之间的差异下个人信息跨境流动风险的难以控制。
那么,这一次个人信息保护上的正式“亮剑”,将在多长时间内让民众重拾对隐私保护的信心?
希望时间和事实会给出答案。
