作者 | 李宗仁
編輯 | 王亞峰
“有前款規定的違法行為,情節嚴重的,由省級以上履行個人資訊保護職責的部門責令改正,沒收違法所得,並處5000萬元以下或者上一年度營業額5%以下罰款。”
相比數安法,個信法保護的個人資訊一旦洩漏和被非法使用,極易導致自然人的人格尊嚴受到侵害,或者人身,財產安全受到危害,其中一些大型平臺的個人資訊,因為使用者量巨大,業務型別複雜,被管制時缺乏競爭對手,一旦發生資訊洩露或濫用,可能導致嚴重後果,甚至關係到國家經濟和國家安全,因此相比數安法,個信法對相關企業的處罰要重得多、波及的受眾要廣得多、治理起來的難度要複雜地多,可謂是全民關注的第一部資訊安全法律。
然樹欲靜而風不止,在個信法正式實施前的一個月裡,大家忙於大考的關鍵月,不少網際網路平臺企業卻感受到了個人資訊保護的“棘手”。
1
今天之前 風雨暗藏
個信法正式實施前的一個月裡,網際網路平臺圈並不太平。10月8日,有網友開啟iOS 15 的隱私新特性“記錄App活動”時,發現微信、淘寶、QQ等多款國產App均存在後臺頻繁讀取使用者相簿的行為,次日騰訊發出了《微信「快捷發圖」功能到底發生了什麼事》來技術解釋;10月10日,一網友在社交網路上釋出了一段影片,影片中顯示美團 App 從 10 月 6 日起便開始獲取位置資訊,頻率高達每 5 分鐘一次,24小時內完全沒有間斷。次日美團工程師雖就“頻繁定位”回應稱:建議謹慎下載某境外隱私軟體,常用App許可權開啟時檢測結果基本一致。
但我們看到,美團雖然有所回應,但是不瞭解影片中定位行為背後原理的使用者依然沒有100%解開自己心中的疑惑;美團定位影片的同一天,王思聰在微博發文,稱自己的大眾點評被別人改綁手機號並質問:“這就是上萬億市值公司的安全系統嗎?” ,次日,就有熱心網友發出技術文推理還原——《猜猜王思聰是怎麼被盜號的》?
誠然,大家可以看到,一些網際網路平臺已經針對個人資訊保護法的合規做了不少“能先做”的動作,比如近期幾乎所有App都有更新的隱私條款,部分App剛剛上線的青少年模式,部分快遞平臺開始隱匿一些明文個人郵寄的資訊。但,個人資訊保護法作為一部直接針對個人的法律,因在其頒佈前已經有諸起大型網際網路平臺數據洩漏、資料濫用的大規模事件,其治理迫切程度已經到了“不得不治”的地步。典型的事件,包括某快遞公司40W個人資訊被內鬼洩漏引發央視點名批評,某微博5億使用者資料在暗網售賣被媒體曝光,某酒店數億條酒店使用者資訊洩漏涉及1.3億人身份及開房資訊資料。
每每想到隨手一個大型網際網路平臺,積累了盈萬累億的個人資訊,其一舉一動都可能對個人人身財產安全產生直接危害,對產業市場造成巨大沖擊,對國民經濟和社會活動產生深遠影響,不管是個人還是國家,都沒辦法對這些事關國民經濟安全,國家資料安全的平臺置若罔聞。
2
首次直面 “守門人”義務
針對上述實際情況,我們可以看到,針對個人資訊安全問題的複雜性和多樣性,相關立法部門在個信法中首次賦予個人充分權利,並在國內立法中首次出現“個人敏感資訊”這個概念。另外,相關立法部門,還在個信法第五十八條首創“守門人”義務——明言對於提供重要網際網路平臺服務、使用者數量巨大、業務型別複雜的個人資訊處理者,應當履行下列義務:
(一)按照國家規定建立健全個人資訊保護合規制度體系,成立主要由外部成員組成的獨立機構對個人資訊保護情況進行監督;(二)遵循公開、公平、公正的原則,制定平臺規則,明確平臺內產品或者服務提供者處理個人資訊的規範和保護個人資訊的義務;(三)對嚴重違反法律、行政法規處理個人資訊的平臺內的產品或者服務提供者,停止提供服務;(四)定期釋出個人資訊保護社會責任報告,接受社會監督。
上述4項“守門人”義務中,據雷鋒網觀察到的,相關律所在解讀個信法時,都有著重提到“成立主要由外部成員組成的獨立機構對個人資訊保護情況進行監督” 、“定期釋出個人資訊保護社會責任報告,接受社會監督。” 這兩項,它們都是明言強調“借”用外部獨立機構或者外部社會監督力量來彰顯個人資訊安全治理的決心,以及尋求最大力度地把個人資訊保護拉回正軌的舉措。
3
它們遇到的難與痛
一「網際網路平臺 “守門人” 遇到的問題一樣嗎?」
據360大資料安全協同技術國家工程實驗室專家童磊介紹,“從共性問題來說,所有的網際網路平臺都會收集個人資訊包括姓名、電話、地址等,所以都需要按照‘個保法’ 的要求做好個人資訊和敏感個人資訊的治理和管理工作,並針對不同重要程度的資訊進行相應的安全控制設計”。從差異性問題來說:
以社交網路App舉例,“近期出現了很多社交網路App違規收集個人資訊的安全事件。針對社交軟體的使用場景, ‘個保法’明確要求了的對個人資訊和敏感個人資訊管理要求,如最小收集原則,使用者同意授權等。一個社交網路App在收集了大量個人資訊後若不妥善保管使用者資料,可能會造成資料洩漏,造成的影響甚至可能會關係使用者主體的人身安全電商這邊,“會涉及到一些金融財務包括資料流轉相關的場景,偏向於金融安全和金融資料保護。
比如,一個手機App的網際網路金融產品,涉及到股票或者貸款保險,只要涉及到金融屬性,就要在‘個保法’ 的基礎上遵從人行和銀保監會相關的要求。” 所以,主要的考慮場景涉及到金額交易。
遊戲的問題側重點,“則在未成年人。因為在‘個保法’ 中一個重要的資訊提到針對未成年人在收集和處理個人資訊時,需要有單獨的考慮,重點要放在未成年人是否要達到14歲。” 如未達到14歲則需要獲得監護人個人資訊的授權和使用。
外賣這邊,“重點會涉及到這個人購買食品的偏好,比如是否有精準營銷、客戶畫像、大資料殺熟,當然殺熟這個場景在其他的情況下可能也會有,比如出行中也會有殺熟的問題。” 這類問題主要考慮的是,如何保證資料的演算法的公開透明。
短影片涉及到“個保法”的內容和相關性比較有特點的,是在生物識別的個人資訊。“首先它是敏感個人資訊,在影片播放的時候,其實不但要考慮到‘個保法’ ,還要考慮到廣電總局影片播放的相關要求,包括影片的主題。” 所以,在以往的專案或者影片實施過程中,會體現需要結合實際應用場景所涉及到的行業去遵從和設計相應的個人資訊保護的相關要求。
招聘求職也是一樣的,“一些大型招聘網站會涉及到一些比較敏感的行業特色的資訊,這裡面只說差異性的。比如人員履歷還有相應的薪酬,無論是企業角度包括個人角度,可能有人進行客戶的畫像,比如它是一個高管,收入很高,則他的個人資訊的敏感度和薪酬資料的屬性是要保護的。也有一些特殊行業是涉密的,招聘網站就需要對這些行業進行涉及,這些都是在‘個保法’ 的管控原則裡都有提到。”
網路尖刀的創始人曲子龍則補充到,“據瞭解,一般相同的,都是圍繞資料授權、資料使用範圍進行治理;相對不同的是不同型別的平臺,所‘必須’ 的資料並不一樣,對治理的方案有一定的差異化,比如電商、外賣、快遞、出行相對來說都是訂單資料及收件資訊還有一定的位置資料;社交、直播、搜尋則更偏向於廣告畫像。”
二「此刻 “守門人” 最關注哪些難題?」
根據中國資訊通訊研究院網際網路法律研究中心高階研究員楊婕表示,目前超級大型網際網路平臺在應對個信法合規的過程中,系統性地在關注,可以概括為:
對外:接受外部獨立機構監督;定期釋出社會責任報告。 對內:按照國家規定,建立健全個人資訊保護合規制度體系; 制訂平臺規則,明確平臺內部規範和義務;對平臺內部產品或者服務提供者的監督。
跟客戶資料接觸較多的明略科技高雅則表示,“從公司實際執行方的角度,一般會先看企業中處理的資料是不是個人資訊範疇,是不是屬於敏感個人資訊範疇,這會影響後面資料的分類分級和具體管理方式。”
三「實踐時,具體的業務和技術痛點在哪?」
據網路尖刀創始人曲子龍的觀察,“首先面臨最大的問題是‘資料授權’問題,尤其在電商、金融、廣告業表現最為明顯,原本多渠道聚合的資料已經不能用了,自身也不能向自己生態的企業或服務商進行 ‘資料轉授權’,行業裡中下游企業已經出現數據斷供問題。另外就是原本需要一定的使用者敏感資料才能展開的業務,接下來該如何開展,也會成為企業最大的問題,目前原有的資料授權體系可能並不能完全合規,急需實現資料可用而不可見的轉化,比如金融業。”
還有就是,淘寶、京東、抖音都陸續對訂單資訊及消費者資訊採取脫敏加密,不再向商家、ISV提供消費者敏感資訊,“沒有了消費者隱私資料後,下游企業如果不依託大廠商僅在廣告這件事兒上就已經很難實現精準投放,銷售成本自然就會跟著變高,掌握精準資料的頭部企業,很可能透過資料壟斷形成更高的壁壘。”
360大資料安全協同技術國家工程實驗室專家童磊則表示,近期大家非常關注資料安全合規的問題,因為,“大多數平臺對自己平臺產品和相關供應商產品很難做到有效的的管理和監督。這其實也是一個行業痛點問題,從目前的可行性方案來說,業內傾向於有技術積累優勢的大平臺去統一管理,憑藉自身平臺的研發能力,安全能力,能夠對企業業務邊界、資料安全的邊界,做到更有效的管控。
比較通用的一個建議,是在管理制度職能上包括職責上需要更新相應的服務條款,比如透過DPA(Data Protection Assessment)或者其它的條款,去進行雙方關於個人資訊保護重新的職能劃分,明確保護的義務,使用資料的場景,這樣至少於一些有意識或者想進行更好服務的App廠商來說,能更有自驅力去做好資料安全和個人資訊保護的工作。”
最後,要準備好在這個過程中,“不做投入可能就會面臨處罰,以及時間會淘汰一批沒有能力,或者意識上不想去做上述行動的從業者。”
安恆資訊上海總部首席科學家周亞超則表示,從一些廠商自己都沒意識到的角度來說:“出於好奇,有時候我個人會使用一些資訊隱私追蹤類小工具測試,看看當搜尋引擎或者App內的搜尋功能拿了我們的資料之後,會用在哪裡?開啟這些工具時會發現,雖然使用者只是在搜尋引擎中或者App內的搜尋功能中,輸入一個簡單資訊,但是這個資訊會給到平臺當中幾十甚至上百個關聯方。這可能是App的安全問題,也可能是App沒有做到合規。如果是安全問題,安恆安全需求分析與設計平臺就是針對App具體功能業務進行安全需求與設計,在App成形前檢測可能存在的安全風險點,在開發的同時提高App的安全保障能力。”
有些廠商可能都沒注意到隱私政策條款這些細節或者可能對這些問題有模糊的認知,但措施還不到位。另外,從她本人的實踐經驗看:
“個人資訊是很複雜的,大家暫時能夠解決的結構化資料有一定規則,非結構性的那些資料,它的隱患可能外部目前沒把它監測出來,具體的非結構性資料,需要具體的什麼工具什麼解決技術,這個需要長期探索。”
另外,根據雷鋒網瞭解,從其它一些廠商自己都沒注意到的角度來說,上述涉及到相關資訊會給到平臺當中幾十甚至上百個關聯方這種情形,使用者如果遇到資訊洩露很明顯的情況,各種排查找不出原因,可以回過頭仔細閱讀它的隱私政策條款,這些隱私條款可能還有可待商榷的地方,但使用者自己確實選擇了同意。
四「守門人3類分法,哪一類根據個信法處理對應需求,難度最大,任務最重?」
個信法中提到“大型網際網路平臺判定條件有提供重要網際網路平臺服務,使用者數量巨大,業務型別複雜”,關於“業務型別複雜”,根據金杜律師事務所的分法,以下3類模式可能被認定為“業務型別複雜”
1)一種是超級App+小程式,第三方小程式可能存在大量個人資訊收集,共享,處理活動。2)一種是內嵌多種業務的單一App,比如同時提供外賣,線上旅行,移動出行,社群團購,金融服務等等。3)一種是透過多種渠道提供線上服務。不同服務之間可能出現互動,構成體系性的複雜業務網路。
「那哪一類近期根據個人資訊保護處理對應需求,難度最大,任務最重?」
據360大資料安全協同技術國家工程實驗室專家童磊的看法,按以上維度來分的話,“第三種跨實體的,並且跨品牌的最難,因為涉及到了邊界管控和資料交換,因為相關方數量越多,場景就越複雜,資料安全風險就越大,整改成本也越大。”
網路尖刀創始人曲子龍則認為,看似不同的業務屬性,實際上從合規角度來講,“需要的都是從原始的一次性授權,轉向分批次授權的轉變,用到哪個業務時再申請哪個許可權,使用者沒有使用就不需要對此授權,在自己的業務內這樣重新定義許可權的使用和獲取其實並不難,以微信小程式為例,小程式的開發者本身就是需要向微信申請許可權再使用的。
依託先申請授權再使用原則,其實能解決大部分隱私授權問題,而被廣泛關注的‘大資料殺熟’、‘個人資訊濫用’ 這些問題本身就是違法違規的作惡問題,不存在怎麼整改這一說,本身就是必須立即停止不能做的事情。”
4
11月始,如何避免再次“踏雷” ?
從法律層面,除了市面上眾多律所根據《個人資訊保護法》第五章個人資訊處理者義務規定的九大義務:
(一)制定內部管理制度和操作規程; (二)對個人資訊實行分類管理;(三)採取相應的加密、去標識化等安全技術措施;(四)定期對從業人員進行安全教育和培訓;(五)制定資訊安全事件應急預案;(六)處理個人資訊達到國家網信部門規定數量的義務;(七)處理境外(有境外業務)企業的特殊業務;(八)定期合規審計(九)對特殊情形的個人資訊處理活動事前進行個人資訊保護影響評估;
網際網路平臺守門人要額外謹記上述針對網際網路平臺“守門人”的特殊對外,對內5小義務
對外:接受外部獨立機構監督; 定期釋出社會責任報告。 對內:按照國家規定,建立健全個人資訊保護合規制度體系;制訂平臺規則,明確平臺內部規範和義務;對平臺內部產品或者服務提供者的監督。
從企業層面,據網路安全廠商反饋
360大資料安全協同技術國家工程實驗室專家童磊基於自己上述所提的多數平臺對自己平臺內部產品或者服務提供者的監督治理這個問題,表示360已經有一些成熟的方案和產品實驗室憑藉多年在行業、企業的實踐積累與國家監管機構,包括與網信辦,工信部,公安部相關部門開展合作,建立了多個大資料安全技術技術平臺,可以解決大部分行業痛點難點問題。
而從整個行業視角看,要避免再次踏雷 :
“從業務視角來說,第一個要做企業業務個人資訊資產盤點。在11月1號之前,企業至少心裡有底,若真的出現問題,我們能夠達到一個心理預期和心理準備,知道某一個App某個業務開發團隊沒有做這塊內容,所以才洩露了,比如手機驗證隨便修改,大家要快速下線或整改這個業務。
第二個對管理層,盤點之後要進行整個企業業務發展方向的一個重新的設計,在現有的企業戰略規劃中加入個人資訊的相關內容,最快最簡單的就是在企業內部,把相應的人找到,管理者找到,比如CIO或者CISO,去承擔這塊的業務。其一是讓大家現在做一個查漏補缺快速自查,其二就是委託職能部門或者高管推行或者承擔這件事情,要持續投入人員精力或者需要一個部門。
第三個在相應的其他單位,比如審計或者第三方監管機制,需要有人去做承擔和執行。執行的方式,有兩點建議,一是要有專業的人,專業的機構去做,律所,或者我們這種專業機構,售賣產品的廠商,籍由專業諮詢機構或者有諮詢服務能力的團隊或者找現有的供應商廠商,要求它在合同裡去進行這方面的產品輸入,並在下一年的IT規劃和整個戰略規劃裡要去同步。
第四個要做資料安全委員會出發的應急響應機制,把企業的法務部門、內控部門、公關部門、政府關係部門拉攏去規避突發事件,因為安全行業永遠不變的主題就是永遠會有事件。”
安恆資訊上海總部首席科學家周亞超則鼓勵大家從態度層面正視:“隨著法律的正式實施肯定還會有一波熱點,這些問題暴露出來,其實是一件好事。我們這兩年來圍繞App的治理行動,包括圍繞違規行為,對於保障使用者權益的個人資訊治理典範,其實是一個很好的合作者管理體系。整個大的治理體系,光靠使用者,運營商,監管機構可能也不太夠,實際過程中可能需要一個推動政府、企業以及社會公眾共同參與共治的過程,以及明確在這個過程中,大家各自的角色以及在相關問題上,各自的主體責任的邊界。”
另外,在正式實施的“熱點”來臨之前,“其實企業內部透過一些風險評估的工作,也能夠及時規避掉不少這類內部風險。我覺得這個可能不是方法而是需求驅動的,比如一些熱點行業屬於監管的重點領域,企業可能會有抱團意識,形成行業內部的監管協會。以人工智慧為例,圍繞生物特徵、生物資訊等領域,它自身存在較大需求,就會推動一個參與共治的機構或是機制來做這方面的加強。”
從實操層面,明略科技高雅也反饋,“首先需要做內部的管理制度和操作規程的要求。如果蒐集了個人資訊,對於一些敏感程度比較高的,要做單獨的處理和管理。技術方面,需要採用更嚴密的加密或者去標識化,安全的措施。規定、處理這些接觸個人資訊的人,有操作許可權的限制和安全教育培訓,另外可能有一些應急預案。”
從第三方監督層面,相關專家表示
“首先,目前法律規定的確有模糊的地方,這對企業合規帶來了挑戰。因此企業需要密切關注下一步的細則檔案出臺。
其次,目前很多企業都在按照個保法的要求進行整改,但這種整改是自發的,事實上在很多企業內部也存在著法務部們和業務部門“角力”的情況,因此,出現一些整改不徹底甚至沒有整改的空間,這是正常的。當出現‘角力’ 的時候,業務部分要需要充分尊重法務意見,因為合規是生命線。而法務部門也要深刻、正確理解法律條文的含義,不是機械照搬。
另外,關於最近使用者維權意識的覺醒的問題,這是好事,是一個社會形成健康的資料安全文化的前提條件。以前,使用者不是不重視自己的權益保護,但重視了也沒用,訴求得不到滿足,甚至被置之不理。在法律威懾下,現在企業的態度改變了,使用者因此增強了維權意願。但對企業而言,有時候也會遇到濫訴,這不可避免,但總體的影響是正面的。
最後要注意的是,企業層面,除了上述提到的個人資訊保護法相關個人資訊處理者的直接義務,另外還要注意確保個人資訊處理規則合規,並有效保護使用者個人資訊資訊權的行使也是企業要重視的‘必然義務’ ” 中國資訊安全研究院副院長左曉棟建議到。
信通院雲大所副所長魏凱則補充總結:“要注意個人資訊保護合規審計是個保法的要求,在企業在進行風險治理的工作時,除了內部具體實施者從業務層面和操作層面落實一道防線;企業管理者從法務,安全合規,內控等角度落實管理的二道防線;還應該積極接受外部監督者的審計第三道防線。” 之所以要重視審計的價值,是因為審計能夠幫助企業瞭解個人資訊保護合規的現狀和不足,完善閉環管理機制,實現個人資訊保護合規的持續改進。其具體作用體現在:
“1)發現問題:以獨立視角監督個人資訊保護體系合規性,審計發現合規問題。 2)提出改進建議:針對合規問題,提出專業合規改進建議,實現閉環管理機制。3)持續評價:針對審計整改結果持續評價,實現個人資訊保護合規的持續改進。”
另外當雷鋒網諮詢相關部門負責本領域的資料安全個人資訊安全的監管職責的負責人會不會覺得監督技術門檻比較高,魏凱對此表示,“工信部或者銀行或者其它監督部門技術能力其實是很強的,銀行管網路金融行業,電信管電信行業,工業管工業行業,幾十年一直在管,網際網路監管實際上就是這個方式。這些年這麼多這麼長時間,他們的監管技術是不斷提升的,大家不用擔心監督技術問題以及抱太多僥倖心理。”
5
「雷鋒網總結」
對於今天正式實施的個人資訊保護法,不用等到那天也可以預見,在接下來的幾個月,緣於個人使用者的監督,外部機構的監督,相關手機廠商推出的各種追蹤小工具,一定會讓整個市場“熱鬧”非凡——相較於小心翼翼地祈禱企業平臺自身不要再次“踏雷”,更靠譜的方法,反而如上述專家們所言,把它看作是一個“好事”的愚公心態反而更能安全,具體怎麼防止再次踏雷,結合上述多方專家意見的綜合,我們應該力所能及的:
其一,法律義務層面,網際網路平臺要系統做好上述十大直接義務,還要做好確保個人資訊處理規則合規和有效保護使用者個人資訊資訊權的行使的二大應當義務。
具體措施側層面:
其二,對於個信法第五章規定的直接義務,積極整改並主動向大眾同步動作和進度。
其三,對於來自個人使用者和第三方追蹤工具體驗者的投訴和監督,大膽接受使用者指正,並可以對一些追蹤工具採取“師夷長技以律己”的小妙招,利用這些小App進一步督促自己,當然也可以利用網路安全廠商的各種專業工具和平臺啟動更高維度的自我監督。
其四,對於其它不確定的風險盲區提前做個人風險評估,特別危害是涉及國家安全層面高度的。
其五,制定短期防踏雷措施和長期防踏雷措施。
其六,要想徹底長治久安,注意藉助審計很重要。
推薦閱讀
道的投資人:做局失利、破局無力
關鍵詞
個人資訊
個人資訊保護
義務
守門人
使用者
