打好个人信息保护的“中国牌”
2020-09-10葛辛晶
葛辛晶
在我国数字化转型加速、新技术新应用层出不穷的背景下,如今的我们正处在一个信息大爆炸的数字时代,互联网上充斥着各类信息、数据,也无时无刻不在量化、分析着各类数据,甚至每位网民的一举一动、一颦一笑都能成为量化分析的关键。你以为互联网磨平了世间的信息差,实际上它筑起另一道信息差的大墙,各大企业借机将用户的信息、隐私关在大墙之内,占为己有,独自“欣赏”。这种“万物皆可爬(网络爬虫)”的现象在引发社会各界广泛探讨的同时,也激起重塑互联网信息管理、用户个人隐私保护的需求。
10月21日,《个人信息保护法(草案)》(以下简称《草案》)首次提请第十三届全国人民代表大会常务委员会第二十二次会议审议后,在中国人大常委会官方网站公布,并公开征求社会公众意见。《草案》的出现无疑将掀开我国个人信息立法进程的新篇章,有助于形成更为完善的用户信息保护机制,营造更和谐的互联网服务环境。
用户信息“哺喂”了谁
从2元的“人脸包”看人脸黑产市场。10月27日,央视报道了一起引人热议的“打劫”人脸信息的新闻,即在某些网络交易平台上有不良商家公然兜售“人脸包”,内含上千张面孔素材,售价低至2元。若是买家嫌量不够大,还可选择含逾5千张面孔的“人脸包”,售价不到10元。这些“人脸包”里的素材照片,来自包括但不限于网络爬虫爬取的陌生人朋友圈、微博、小红书等社交媒体上发布的照片,均为真人生活照、自拍照等私密性照片,甚至还包含身份证等关键信息。这些照片一旦落入不法分子手中,后果不堪设想。
通常情况下,黑产分子是购买“人脸包”的下游方,他们试图购买、关联大量的人脸、身份证、手机号等敏感隐私信息,来制作立体面具,以此达到注册、登录受害者金融账户,转移其账户资金或实施金融诈骗等目的。
目前,在部分网络购物平台已出现了平面人脸模型定制商家,定制费从十几元到近千元不等。中国信息通信研究院科研工程师王嘉义表示,“3D打印就可以制作出来一个精度尚可的人脸面具,头套也是同样的制作原理。最简单的人脸识别只需要采集、提取人脸上的六个或八个特征点就能实现”。在“人脸包+算法”的加持下,部分模拟面具足以达到以假乱真的效果,蒙混过软件的“识别关”。
有新闻曾报道过不法分子利用人脸识别“偷梁换柱”的案件,加深了消费者对于隐私信息泄露的惶恐。在10月发布的《人脸识别应用公众调研报告(2020)》中显示,有六成受访者认为人脸识别技术有滥用趋势,更有三成受访者表示,已经因为人脸信息泄露、滥用而遭受到隐私或财产损失。
企业认知缺失加剧“万物皆可爬”乱象。除了人脸信息被明码标价出售外,包含姓名、身份证号、手机号、银行账号等在内的其他用户隐私信息也在黑市上被广泛兜售。个人信息贩卖乱象日趋泛滥成灾,今年3月发生了5.38亿微博用户绑定手机号数据在暗网被兜售案件,2018年8月发生了汉庭、全季酒店旗下2.4亿条开房信息在暗网被打包出售案件……类似的案件比比皆是,和信息黑产的不断壮大相比,企业对于用戶隐私信息的防护措施显得有些力不从心,对于上述案件中的大型企业已是如此,又何况是数量庞大的中小企业,特别是中小互联网企业呢?
造成这一现象的原因不仅是此前监管力度的失衡,也是企业认知的缺失,前者源于表面,后者发自深层。今年9月创新工场董事长兼首席执行官曾公开表示,“创新工场曾帮助旷视科技从美图、蚂蚁金服拿到大量人脸数据。”此句一出,引发市场轰动,而后其及时就此事予以了澄清、道歉,并强调合作不涉及任何数据的共享与传输。更早之前,一家互联网公司负责人也曾闹出过类似非议,他曾言,用户对隐私问题没有那么敏感,愿意用隐私换效率。
此类言论在一定程度上代表了企业对于用户隐私保护的态度,而诱发这一态度的形成,源于用户与企业之间筑起的互联网信息大墙。大墙之下,墙内的用户与墙外的企业产生了认知差、信息差,也产生了利益链,企业肆意爬取、分析用户信息、数据,锻造更智能、更高效的算法、模型,看似反哺了用户服务,却也造就了“万物皆可爬,万物皆可利”的行业风气。眼下,广大用户已不再安于据守墙内,他们对于重塑互联网信息管理、用户个人隐私保护的需求愈发强烈,形势也日益紧迫。
呼声之下《草案》蓄力
呼声之下,必有反响。《草案》应运而生。全国人大常委会法工委有关负责人表示,制定《个人信息保护法》是为了回应广大人民群众的呼声和期待,有利于维护网络空间良好生态,也是促进我国数字经济健康发展的重要举措。
党的十九大报告提出了建设网络强国、数字中国、智慧社会的战略部署,其中亦离不开以《草案》为支点撬动个人信息权益的法律保护所带来的重要作用。《草案》将建立权责明确、保护有效、利用规范的制度规则,有助于加强合理化使用个人信息,促进数字中国的战略发展行稳致远。
拆解《草案》,一窥究竟。《草案》共八章七十条,明确法律的适用范围,聚焦个人信息保护的突出问题,确立以“告知—同意”为核心的个人信息处理规则,落实国家机关保护责任,严格要求敏感个人信息的处理,加大对违法行为的惩处力度(图1)。
《草案》明确定义个人信息时,不仅强调了对个人信息的权益保护,也要求对个人信息的合理、规范化运用。截至2020年3月,我国互联网用户已达9亿,在超300万个应用程序之下是一个庞大的“大数据帝国”,《草案》的出现不但能保护这9亿网民的信息安全,亦向“大数据帝国”的野蛮发展提出合规要求。和大部分行业洗牌的规则一致,这一次也唯有合规企业方能乘风破浪。
在《草案》中有一条覆盖个人信息处理全生命周期的核心规则—“告知—同意”制度。这项核心规则犹如织起了一张牢固而可靠的保护网,让用户充分了解、牢牢把握住自己手中的隐私信息。尤其是对于个人敏感信息的处理,企业需要履行详实的告知义务,告知用户处理者的身份、联系方式、处理目的、处理方式以及对用户带来的影响等方面,并取得用户的“单独同意”。和过去大部分线上应用的“一揽子隐私同意”对话框形成明显差异的是,未来应用方还需要在特定场景被触发时,弹出特定对话框、展示页面,提醒、告知用户,并取得其同意。
正反视角聚焦信息监管利刃
罚管并进,警醒各方。在《草案》之前,欧盟的《通用数据保护条例》(General Data Protection Regulation,简称GDPR)被誉为史上最严数据保护条例。GDPR以罚得狠、管得宽、分得细闻名于世,影响力威震四方。以罚款为例,GDPR规定,“对未采取技术或管理措施来避免、降低隐私侵权损害风险的互联网公司,最高可罚款1000万欧元或全球营业额的2%(以较高者为准);对违反个人信息收集和使用基本原则以及没有保障数据主体权利的互联网公司,最高可罚款2000万欧元或全球营业额的4%(以较高者为准)”。
谷歌、英國航空、万豪集团等企业都曾接到过巨额罚单。今年6月,法国国务委员会宣布,谷歌未向安卓用户提供足够清晰、透明的告知,应支付法国国家信息与自由委员会开出的5000万欧元罚单,这成为GDPR发布以来开出的最贵罚单。今年10月16日,英国数据保护监管机构信息专员办公室发布公告称,对英国航空泄露42万用户信息一事最终开出2000万英镑的罚单……天价罚单足以让不少互联网公司近一年内的盈利打水漂,此外他们还需应对法律诉讼、舆论口水战等压力。正因此,GDPR在业内建立起了强大的威信。
《草案》也借鉴了这一点,规定“侵害个人信息权益的违法行为,情节严重的,没收违法所得,并处5000万元以下或者上一年度营业额5%以下罚款”。但考虑到《草案》并未明确一年度营业额是参照境内还是全球标准,因而尚未能定论该处罚力度是否较GDPR有过之而无不及。此外,《草案》还需要明确处罚数额的考量因素、针对适用的违法情形等因素。
正负影响,伦理思辨。从GDPR落地至今,业内关于其带来的正负影响始终讨论激烈、争议不断,这些观点抑或同样影响着《草案》的修订、实施。
反方大多认为高合规成本会阻碍企业创新脚步。根据《福布斯》报告,GDPR让美国财富500强企业多花费了78亿美元合规成本。普华永道估计,68%的公司预计将多花费100万到1000万美元。
京东数字科技副总裁、首席经济学家沈建光认为,高昂的合规成本已使得欧洲错失全球创新大潮,发展明显落后于美国与中国。过高的合规成本对于大企业而言尚且是巨大负担,对于初创型企业而言更是难以承受。
正方则持有双赢观点。华为CEO任正非是GDPR的支持者,曾公开表示中国要加强隐私保护,对侵犯隐私的行为进行严惩,他感慨,“这两年中国逐步改变隐私保护,让大家生活在安全的环境中,这是人民渴望的幸福”。
重庆大学国家网络空间安全与大数据法治战略研究院院长齐爱民表示,企业在GDPR正式实施初期,不可避免地要投入资金修改自身的隐私政策,但是只要企业的个人数据保护合规工作进入正轨,那么之后的维护成本也将大大降低,并不会过多地影响企业的技术创新问题。
打造智慧“中国风”管理手段
从充满争议的GDPR到蓄势待发的《草案》,立法的完善无法避免一个循序渐进的过程。眼下,《草案》需要考虑的是如何采取适宜的监管手段实现正外部性。《草案》具有后发优势,更应当吸取他国经验,结合我国作为发展中国家的实际情况推陈出新,时刻保持客观中立理性,在明确监管底线的同时,为创新发展预留好充足的空间,设计出契合我国长远利益的监管体系,积极落实智慧管理手段。
平衡保护个人信息和维护公共安全的关系。疫情防控期间,从人手一个的健康码,到小区物业的实名登记,公共管理措施提高了用户信息采集的维度和频率,实现高效的社会管理。然而,这并不意味着在未来很长的时间内信息收集方可以借公共安全为由无限度地从个人信息保护的监管要求中豁免。全国人大常委会委员刘修文认为,通过细化个人信息共享操作规范,才能减少各层级、多部门的重复采集,提高应对效率,防范个人信息保护豁免情况下的信息泄露。
政府部门应起到带头作用。数据时代,“互联网+政务服务”是把握用户隐私信息的重要关口。政府部门横跨多地、多层、多系统的“一网通办”或加剧用户个人信息跨域使用的潜在风险隐患,各地间的“木桶效应”也可能随之出现。在此背景下,政府部门应积极重视用户个人信息保护要求,带头示范性地构筑用户信息的防护大墙。同时,《草案》也需要进一步对政府部门应如何处理个人信息和共享行为作出管理规定。
强化社会范围的宣传教育。近年来,民众逐渐意识到个人信息保护的重要性,前有浙江理工大学副教授郭兵将“强求刷脸”的杭州野生动物世界告上法庭,后有上海外国语大学法学院学生陈婷就百度贴吧App“绑架”定位与百度对簿公堂。不过,这群“先醒者”在9亿网民中仍是沧海一粟,民众对个人信息的保护意识仍有待加强,在监管先行的基础上,探索行之有效的宣传教育方式,才能相辅相成,进而有为。
数字时代,万物互联和处处留痕的特性,让用户个人信息保护成为一个全球性的话题,除了《草案》外,其他力量亦在行动,工信部对应用商店App进行技术检测、督促整改、勒令下架;国家市场监管总局开展打击侵害消费者个人信息违法行为专项执法行动……各方合力、小步快走,才能从根本上筑牢个人信息保护的制度“藩篱”,打造安全、创新的互联网环境。