8月23日,阿里云擅自泄露用户注册信息给第三方合作伙伴的消息被有关部门证实,引发热议。
对此,阿里云回应称,2019年双11前后,阿里云一名员工利用工作便利私下获得客户联系方式,并透露给分销商员工,从而引发客户投诉。公司严禁员工向第三方泄露用户注册信息,已根据公司制度对该事件进行严肃处理,并遵照浙江省通信管理局要求积极整改,对人员管理层面上的不足进行强化改进。
值得一提的是,利用用户注册信息牟利这并非*次发生。比如部分APP利用用户注册信息向部分用户的手机精准发送广告短信进行牟利、房屋及招聘中介批量泄露用户信息等。
这种现象屡禁不绝,监管层也在加速推进我国个人信息安全管理的法律体系建设进程。第十三届全国人大常务委员会第三十次会议已于8月20日通过《中华人民共和国个人信息保护法》,该法第4条第2款明确:
个人信息处理者处理非公开的个人信息,一般应取得信息所属的个人的同意,但存在特定的必需情形或在合理范围内为实现公共利益需要以及法律、行政法规另有规定的除外。
多位法律人士认为,个人、互联网公司等擅自将用户个人信息提供给其他主体,违反了《个人信息信息保护法》相关条款,但由于上述具体行为发生在《个人信息保护法》生效之前,本身不能适用该法的规定。不过未来如果再出现这些行为,将受到该法的严厉制裁。
对网约车、电子商务、中介服务等互联网公司影响较大
阿里云未经用户同意擅自将用户信息提供给第三方合作公司的行为在社交平台上也引发了众多网友吐槽:“在饭馆点个餐,拿着自己的手机号注册了一堆会员,还被要求填写生日、籍贯、学历等与服务无关的个人信息”“在某宝上看了一下股市,接着被各种推荐股票的营销电话打爆”“在某网购平台代买一罐奶粉后,就收到所谓奶粉品牌客服人员的诈骗电话”......
对此,北京威诺律师事务所主任杨兆全向野马财经指出,当前互联网社会时有发生侵害公民个人信息合法权利的情形,如企业过度收集个人信息、大数据杀熟、非法泄露、买卖个人信息等,这些现象均被本次通过《个人信息保护法》所吸收,在立法层面作出了相应的规制。具体来说,《个人信息保护法》第十条规定禁止非法收集、买卖个人信息、第二十四条和七十三条规定禁止大数据杀熟等均对个人信息的合理使用及保护作出了更高层面、更大力度的法律要求和保障。
“今后,企业如果再通过收集、分析交易相对方的交易信息、浏览内容及次数、交易时使用的终端设备的品牌及价值等方式,对交易条件相同的交易相对方采取差别化对待,侵害交易相对方的知情权、选择权、公平交易权;或是滥用、非法买卖公民个人信息,对公民个人信息造成侵害的均将受到法律的制裁。”他说。
在信息化时代,个人信息保护已成为广大人民群众最关心的利益问题之一。2021年11月1日起正式生效的《个人信息保护法》,既是顺应了个人信息安全及保障合法权益的诉求,也是对近几年出现的部分互联网企业违规处理用户信息等不良现象的回应。
杨兆全认为,《个人信息保护法》的出台无疑在整个互联网公司生态圈掀起了一股强劲的法律巨浪,尤其对中介服务、电子商务、网约车等相关的互联网公司产生风起云涌的效果。
具体来讲,这些行业的互联网公司之所以能在对垒很多传统产业企业时竞争力强,和其不一定合理的算法策略密不可分。比如网约车平台的贵手机叫车容易“被升级”;房产中介企业根据用户在APP内的个人注册信息和浏览记录,定位用户的工作、住址及个体需求,通过电话或短信的方式向用户精准推销中介服务等。而《个人信息保护法》的严格规定,势必会对上述领域的企业在收集和处理个人信息的问题上产生严格的限制,对其行业造成冲击。
因此,《个人信息保护法》的出台也势必会影响到互联网企业的用户数据优势和算法优势。这些企业获取、处理和使用个人信息的行为都将受到限制,它们相较于传统企业得天独厚的信息优势将大大削弱,这不仅能起到保护公民的个人信息的作用,更能促进我国企业的商业发展朝着更健康、更公平的方向出发。
另有法律人士认为,之前存在用户数据优势和算法优势的企业只要做好内部合规工作,在符合法律规定的范围内开展经营活动,其用户数据优势和算法优势也能转化为新的市场竞争优势。
比如苹果收紧对广告商的隐私规定、亚马逊的AWS云服务等,都在加大对利用消费者隐私数据进行营销的行为的监管力度,但这并没有让硅谷的互联网企业的业绩表现太难堪。互联网公司不应该仅仅靠用户隐私来赚钱,更要走出一条依靠科技发展核心生产力来赚取利润的路子。
事实上,在该法案推出之前,互联网巨头企业头顶早就悬着一把达摩克利斯之剑。上个月,监管层就宣布对一家互联网企业涉嫌侵犯用户隐私展开调查。
在《个人信息保护法》中,也同样用了不小的篇幅,对那些需要把数据带出境外的运营商与企业提出了更多要求。
比如第三章规定,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。该法规还明确了个人信息跨境的安全审查方案,强调数据跨境需要经过网信办的严格审查,签署网信部门制定的标准合同。
反过来,该法规还明确了登记在国外的,但向境内自然人提供服务或产品的公司(电信诈骗团伙或黄色网站居多),一旦违法,也需要接受中国的处置。
总体而言,《个人信息保护法》是一部保护公民个人信息的法律,所有条例都可与当下发生在我们身上的那些个人隐私争议与数据纠纷对号入座。该法通过进一步加强个人信息保护、规范个人信息处理活动、促进个人信息的合理利用,为网络空间良好生态环境的巩固和我国数字经济的健康发展起到了保驾护航的作用,意味着中国进入个人信息保护新纪元。
互联网平台将承担更多个人信息保护义务
值得注意的是,《个人信息保护法》第58条专门规定了提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者的义务,依据这一条,经营互联网平台的大型个人信息处理者在个人信息保护方面确实应该承担更多的法律义务。
有法律人士告诉野马财经,大型信息处理者的技术水平较高,信息处理隐蔽性较强,而且往往形成产品生态,违法处理个人信息造成的危害性也比较大。
这是《个人信息保护法》对大型和中小型个人信息处理者区别对待的体现。对大型信息处理者施加与其支配力和影响力相当的法律义务、强化互联网平台的治理,是国内外理论界和实务界的共识。这样规定意义在于,实现了差异化的制度设计,优化了监管力量的资源配置。
未来违法成本很高
只有强有力的监管和严厉的处罚措施,才能对商业公司滥用用户数据的行为造成有效的震慑。
杨兆全指出,《个人信息保护法》第七章中明确了企业违法违规处理个人信息后的法律后果:“若违规情节更为严重的,违法企业可能被处以5000万元以下或者上一年度营业额5%以下罚款。而相关责任人员不仅可能受到高达百万的罚款, 还可能同时受到从业限制, 在一定期限内无法担任相关企业的董监事等要职。如违法处理个人信息涉嫌犯罪, 监管部门将同时移送公安机关处理。”
5000万元对于一些互联网巨头来说可能不痛不痒,但要是罚上一年营业额的5%,付出的代价就非常大。参考阿里巴巴因垄断被罚2019年营业额的4%,共计罚没182亿,直接导致阿里在美上市后首次交出季度亏损,经营亏损达77亿元。
此外,《个人信息保护法》第70条,正式将个人信息保护列入了公益诉讼的范围。这是由于在个人信息保护领域,当企业大规模收集用户个人信息,侵害用户信息安全时,个体在收集平台的违规证据时总会面临取证难、成本高等问题,很容易发生放弃诉权的情形。
对此,杨兆全表示,未来企业侵害众多个人的隐私权益时,当这些信息被汇总后,检察机关、消费者组织等经过判断并掌握一定证后,就有权运用公益诉讼保障众多个人信息权益。
值得注意的是, 监管部门的介入不仅能够向违法者主张公益损害赔偿, 还可能进一步依法追究违法者的行政和刑事责任。
将个人信息保护列入公益诉讼的范围不仅保护了受害者们的诉权,更表明国家高度重视个人信息保护,对互联网企业违规处理个人信息的现象提高到了国家重点关注打击的领域。
大数据杀熟、个人信息贩卖、过度采集个人信息......这些百姓习以为常的违规行为在未来都将撞上法律的“枪口”,在大数据时代人人“裸奔”的状态下,这部即将落地的《个人信息保护法》将是维护个人隐私权益的*把法律武器。当然,个人隐私保护案例纷繁复杂,未来很多具体案例在审理和执行过程中,也可能存在很多变数,对于个人信息保护法的尘埃落定,你怎么看?