针对个人信息被“过度采、强制要、诱导取、违规用”等问题,2023年6月,在国家网信办网络执法与监督局的指导下,上海市网信办、上海市市场监督管理局等联合启动“亮剑浦江·消费领域个人信息权益保护专项执法行动”。个保法实施已进入第三年,“亮剑浦江·2024”继续向纵深推进,聚焦扫码点餐、停车扫码、景点景区购票服务、人脸识别滥用、未成年人个人信息保护等重点场景。
去年,围绕个人信息保护法实施以来个人信息权益保护执法行动中的问题和成效,澎湃新闻曾对话华东政法大学教授、博士生导师,华东政法大学互联网法治研究院院长高富平。今年,澎湃新闻再度对话高富平,聊聊我们该如何看待个人信息保护和社会化的关系;企业如何转变观念探索合规路径;相关部门又该如何引导企业主动合规。
“保护个人信息本质上也是员工教育和理念转型问题,要形成尊重个人、保护个人信息的文化,做好信息保护是企业在数字时代从事经营活动必须付出的成本。”高富平说。
以下是澎湃新闻与高富平的对话:
澎湃新闻:新技术的出现使得个人信息权益保护面临更大的考验和挑战,2024年您有没有发现一些新问题亟待解决?
高富平:数据要素市场的发展激发了大家对数据应用的热情,个人信息作为社会治理、产品营销、市场推送活动的必要要素,应用变得频繁,需求也变得更大了。
在这种情况下,个保法的执行也面临着挑战。例如,在个人信息提供方面,如果银行贷款需要用户运营商补强贷款人信用,按照个保法要求,运营商提供数据需获得个人单独同意,这在实务中就导致数据难以提供出去,因为合规部门认为必须按法律要求获得用户的单独同意,而用户一般不会同意运营商来询问是否同意提供数据。信贷银行可以获得个人同意获取特定运营商的数据,但在法律上往往不认为属于符合“单独同意”要求。个保法从保护个人信息角度制定,但社会化利用与数据要素社会化应用存在一定矛盾,目前需要通过一些制度机制如匿名化、合规共识等手段来解决。
澎湃新闻:整治滥用人脸识别是今年“亮剑浦江·2024”专项执法行动重点之一,您对此如何看待?
高富平:人脸识别被认为是高效、快捷、真实的身份识别技术。从技术中立角度,应鼓励验证身份的人脸识别应用于门禁、交通、公共安全等场景,但人脸识别的危害在于二次使用。由于人脸信息不可篡改,一旦被不法分子利用风险很高,所以对于安全存储的要求高。如果能确保安全且不做二次使用、不用于非法目的,人脸识别技术还是可以信赖的。
人脸信息除了安全存储问题,还有商家通过摄像头观察消费者行为。不过,目前关于人脸识别普遍接受的共识是,在身份核验的必要场景,允许人们自由选择核验方式,即选择人脸识别方式或是其他身份核验方式。这是个人对“人脸”自主决定。
比如,一些办公楼为了提升核验效率,内部员工通道员工同意扫脸,走人脸核验通道,而外来人员则验证身份证或使用APP报备生成二维码。又比如,坐高铁时,为便捷可选择扫身份证或扫脸。如果不愿意也可人工验证身份,要根据具体使用场景判断是否必要。
澎湃新闻:对平衡个人信息保护和个人信息社会化,我们有哪些思路?
高富平:收集平台数据、形成用户画像,进而影响决策,这类基于用户行为的个性化推送和互联网信息传播在大数据时代很普遍。减少这些行为对隐私和用户自主决定权的影响,仅靠阻止信息流动是无法真正根治的。在数字化时代,我们不知道信息在哪里,这已超出个人的控制能力。
个人信息有三种常见类型,一类是有唯一性、能指向个人的身份信息,如姓名、电话、身份证等,这类信息被随意披露、买卖会带来安全风险,如欺诈骚扰等,所以对于直接关联个人的信息,不允许随意披露、买卖,这仍是个人信息保护的重中之重。另一类则是数字ID或设备ID,互联网凭借其强大分析功能,通过关联设备ID对网络信息进行匹配分析。即便不知用户真实身份,也可开展个性化分析,精准推送往往基于此技术实现。而大量的个人信息则属于第三类,如大家在数字化环境留下的行为轨迹等。
澎湃新闻:在企业描述用户画像时,会不会用到个人身份信息?关联身份的个人信息有没有可能被社会化利用?
高富平:一般只有两种情况会用到身份信息,一是比如寄快递需要具体家庭地址、电话等信息,二是事件发生需要找责任人时,需要利用数据确定身份。正常商业交易中,如咖啡店打印外卖单披露姓名电话,如果没有提供给不相关他人,在营业场所内是可以接受的。从商家角度看,将外卖单交给快递小哥本身没错,但风险在于商家或者快递链条中可能存在的二次售卖信息。
需要指出的是,商家为获客做精准推送,并不需要知道潜在客户是谁(真实身份),只是通过数字ID推送。如果客户因广告推送与商家有接触交易时,商家才能获取身份信息并负有保密义务。
在正常的社会活动中,更合理的个人信息使用规则应该是这样:当信息本身能够指向个人(唯一关联性)时,使用人应当遵循事先同意规则;而当信息并不具有唯一指向个人功能时,则应当适当放开限制,只需确保分析使用环节不能泄露个人信息。同时,我们还应当接受,遵守个人保护原则的商业推送,只要精准推送具有选退机制,那么这样的商业推送行为仍然被认为是尊重个人选择的行为。
当然,商家在给用户画像时,如果涉及私密信息则要做好保密,即使收集的信息不敏感,深度分析后仍有可能产生敏感信息,所以企业内部要有评估、监控和判断,对信息的分类、标签和保密要有敏感度。
澎湃新闻:企业在处理个人信息存在哪些难度?如何转变企业观念?降低数据合规成本的路径有吗?
高富平:其实只要管理好用户身份信息,遵守法律法规,技术上的难度并不高。对于大企业来说,他们在全流程合规方面做的相对完善,但部分中小企业的个人信息保护观念相对淡薄,个人信息的处理方案并不妥善。
我们建议监管部门可以分类施策,根据企业规模、区分不同模式对企业作出不同要求。
在“亮剑浦江·2024”专项执法行动中,相关部门推出了“体检包”和“工具包”,“体检包”可供企业进行自查,及时发现潜在问题;“工具包”则以操作手册的形式为企业提供详细的指导,明确各环节的具体操作规范。
其实,保护个人信息本质上也是员工教育和理念转型问题,要形成尊重个人、保护个人信息的文化,做好信息保护是企业在数字时代从事经营活动应该付出的成本。
澎湃新闻:基于前述问题,在消费者个人信息保护和企业合规成本引领上,监管部门有没有具体的对策?
高富平:我们注意到,“亮剑浦江·2024”专项执法行动不是为了处罚企业,而是帮助企业合规经营,协助企业了解个人信息保护,完善企业相关制度。执法行动发布“工具包”“体检包”“服务包”“护身包”,通过释法、指导、评估、保护四个层次,进一步丰富了个人信息保护的政策工具。监管部门起到了引导企业从被动合规到主动合规,协助企业合法经营的作用,是一种预防式执法,最终目的是打造良好营商环境。
