麻辣財經:事關數據安全,這個地方立法了!

安裝個手電筒程序,卻要客戶提供地理位置信息;下載一個文字編輯App,商家卻要求看你的通訊錄……在使用一些手機應用程序時,商家過度收集和索要個人信息,是人們最爲糾結和頭痛的事情。

如今,隨着互聯網的發展,各種類型的手機應用程序層出不窮,極大滿足了人們在社交、購物、娛樂、辦公等多方面的需求。但這些程序在給人們生活帶來便利的同時,也給網民的個人信息安全帶來威脅。

如何讓這些應用程序在方便大家的工作和生活的同時,有效防止商家過度收集個人數據,切實保障個人信息安全?7月6日,《深圳經濟特區數據條例》(以下簡稱《條例》)公佈,將於明年1月1日起實施。這是我國首部地方出臺的數據領域的法律法規,引發了業界的衆多關注。

我國當前個人數據保護現狀如何?對於個人信息保護,《條例》有哪些借鑑意義?在保護用戶隱私和促進行業發展之間,應當如何尋找平衡?圍繞這些問題,麻辣哥採訪了權威專家,帶您解讀。

“告知―同意”爲前提,用戶有權拒絕被畫像和被推薦

對於個人數據信息,廣大網民感受最爲深刻、呼聲也最強烈的就是在使用一些App時,這些應用程序設置了“一攬子協議”捆綁服務――爲了使用該App,不少用戶往往被迫接受授權要求。針對這一現象,《條例》規定,數據處理者不得以自然人不同意處理其個人數據爲由,拒絕向其提供相關核心功能或者服務。

專家介紹,《條例》確立了可“告知―同意”個人數據處理規則,即處理個人信息應當在事先充分告知的前提下取得個人同意,數據處理者應當提供撤回同意的途徑,不得對撤回同意進行不合理限制或者附加不合理條件。

App熱衷於收集信息,重要原因是可以對收集的部分信息進行商業利用。用戶畫像和個性化推薦,雖然爲人們提供了精準、個性化的服務,但也可能對生活造成困擾。《條例》對此明確規定,數據處理者基於提升產品或者服務質量的目的,對自然人進行用戶畫像的,應當向其明示用戶畫像的具體用途和主要規則。自然人有權拒絕對其進行的用戶畫像或者基本用戶畫像推薦個性化產品或者服務,數據處理者應當以易獲取的方式向其提供拒絕的有效途徑。

此外,《條例》將未滿十四歲未成年人的個人數據視作敏感個人數據,首次在國內立法中明確,除爲了維護未滿十四周歲未成年人的合法權益且徵得其監護人明示同意外,不得向其進行個性化推薦。

在國內立法中,《條例》還首次確立數據公平競爭有關制度,針對數據要素市場“搭便車”“不勞而獲”“大數據殺熟”等競爭亂象作出專門規定。比如,市場主體不得使用非法手段獲取其他市場主體數據,不得非法收集其他市場主體數據提供替代性產品或者服務,不得通過數據分析無正當理由對交易條件相同的交易相對人實施差別待遇。違反上述規定拒不改正的,處五萬元以上五十萬元以下罰款,情節嚴重的,處上一年度營業額百分之五以下罰款,最高不超過五千萬元。

專家認爲,深圳出臺的《條例》,將成爲各地個人數據處理的參照。安全專家、綠盟科技集團副總裁曹嘉提醒,當前,App複雜的功能設計無形中也讓用戶疏於查看,即便界定了應用的基本功能和收集的必要個人信息範圍,實際上仍可能出現採集、使用的數據常常超出規定的範圍。

App處理個人信息,應遵循“知情同意”“最小必要”原則

保護隱私和個人信息,除了地方立法外,人們期待中的專門針對個人信息保護的立法――《個人信息保護法》草案已提請全國人大常委會審議。這一法律的頒佈和實施,將對保護個人信息安全發揮重要的作用。

近年來,我國在規範數據處理上做了一系列探索。2017年6月1日正式施行的《網絡安全法》,在信息收集使用、網絡運營者應盡的保護義務等方面提出了明確要求。此後,針對公衆反映突出的App違法違規收集使用個人信息問題, 2019年開始,中央網信辦、工信部等四部門連續兩年開展了專項治理行動。今年3月,上述四部門聯合發佈通知,明確了移動App必要個人信息範圍。比如,地圖導航類應用,必要個人信息包括位置信息、出發地、到達地。超出部分則屬於違法違規範圍。

該通知明確規定,App運營者不得因用戶不同意收集非必要個人信息,而拒絕用戶使用App基本功能服務。今年4月,工信部又打了一個“補丁”,其發佈的徵求意見稿要求,App處理個人信息,應遵循“知情同意”“最小必要”兩項重要原則,還規定不可默認勾選、更改用戶設置等。這些強力措施出臺後,App違規收集、使用個人信息的情況得到一定改觀。

但是,保護個人信息可能比想象複雜。“從法律層面看,個人信息與非個人信息的界限並非如想象的那樣清晰。收集行爲是否合法等,也就不那麼容易判斷。”中國人民大學法學院副教授丁曉東說。

通常,企業在收集了用戶瀏覽網頁、搜索記錄等信息後,一般會將此類信息做匿名化處理。丁曉東表示,這些匿名化處理後的信息,是否屬於個人信息,是否納入個人信息的範疇來管理,學界並沒有定論。而且支持者、反對者都有很充足的理由。

從現行法律看,我國也沒有完全明確此類數據是否屬於個人信息。此外,個人信息的範圍因時代而改變,不宜做簡單的二元劃分。從法律角度看,這要求我們在設計相關法律與制度時,應分清個人信息的類型,採取不同的管理方式。

專家分析,此次頒佈的《條例》以個人數據作爲規範對象,仍然有些問題需繼續探索。《條例》界定,個人數據是指載有可識別特定自然人信息的數據,不包括匿名化處理後的數據。數據處理者向他人提供其處理的個人數據,應當對個人數據進行去標識化處理。法律、法規規定或者自然人與數據處理者約定應當匿名化的,數據處理者應當依照法律、法規規定或者雙方約定進行匿名化處理。

物聯網設備安全防護能力弱,尤需警惕信息泄露風險

數字時代數據收集無處不在,隨着物聯網的應用,萬物互聯下一些新隱患,尤其值得警惕。

不同於PC端、手機端通常有較爲成熟的安全防護體系,一些智能設備廠商,爲了讓產品在價格上更有優勢,往往弱化了安全保護功能。更大的安全隱患則在於,虛擬世界通過物聯網與物理世界緊密連接,黑客針對物聯網的攻擊,影響的不僅僅是虛擬空間,也會真實地危害到物理世界。比如,工業互聯網上的一些應用被攻擊,就可能造成生產線停產等嚴重後果。

事實上,這些物聯網攻擊行爲已經引起了監管部門重視。今年6月,中央網信辦、工業和信息化部、公安部、市場監管總局發佈《關於開展攝像頭偷窺等黑產集中治理的公告》,自5月至8月,在全國範圍組織開展攝像頭偷窺黑產集中治理。

安恆信息安全專家王聰建議,爲了保護用戶的隱私,物聯網設備提供商理應提供更高等級的安全防護。此外,針對物聯網的大部分網絡攻擊背後,都有一套成熟的黑色產業鏈,網絡安全攻擊、犯罪行爲呈現出組織化、專業化、產業化的趨勢。

我國有接近10億網民,龐大的網民數量是發展數字經濟的基石。事實上,保護個人信息與數字經濟發展並非對立,關鍵是找到數據保護與合理利用的平衡點。

專家表示,從全球看,我國對數字經濟發展的政策是寬容、審慎的,合理利用不是逃避保護責任的擋箭牌。利用脫敏、加密數據等安全技術,防止在存儲、傳輸和使用過程被不法分子竊取,數據採集、使用主體義不容辭。

安全專家王聰提到,物聯網安全是一個動態平衡的過程。如果大部分物聯網設備的安全水平迅速提高,黑客入侵難度也加大,攻擊成本增加,攻擊行爲就會大幅下降。

針對現實中信息倒賣、違背承諾等違法行爲,丁曉東表示,有必要加強對違法行爲的執法力度,提高違法成本,形成法律震懾效應。