“有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处5000万元以下或者上一年度营业额5%以下罚款。”
相比数安法,个信法保护的个人信息一旦泄漏和被非法使用,极易导致自然人的人格尊严受到侵害,或者人身,财产安全受到危害,其中一些大型平台的个人信息,因为用户量巨大,业务类型复杂,被管制时缺乏竞争对手,一旦发生信息泄露或滥用,可能导致严重后果,甚至关系到国家经济和国家安全,因此相比数安法,个信法对相关企业的处罚要重得多、波及的受众要广得多、治理起来的难度要复杂地多,可谓是全民关注的*部信息安全法律。
然树欲静而风不止,在个信法正式实施前的一个月里,大家忙于大考的关键月,不少互联网平台企业却感受到了个人信息保护的“棘手”。
今天之前 风雨暗藏
个信法正式实施前的一个月里,互联网平台圈并不太平。10月8日,有网友开启iOS 15 的隐私新特性“记录App活动”时,发现微信、淘宝、QQ等多款国产App均存在后台频繁读取用户相册的行为,次日腾讯发出了《微信「快捷发图」功能到底发生什么事?》来技术解释;10月10日,一网友在社交网络上发布了一段视频,视频中显示美团 App 从 10 月 6 日起便开始获取位置信息,频率高达每 5 分钟一次,24小时内完全没有间断。次日美团工程师虽就“频繁定位”回应称:建议谨慎下载某境外隐私软件,常用App权限开启时检测结果基本一致。
但我们看到,美团虽然有所回应,但是不了解视频中定位行为背后原理的用户依然没有100%解开自己心中的疑惑;美团定位视频的同一天,王思聪在微博发文,称自己的大众点评被别人改绑手机号并质问:“这就是上万亿市值公司的安全系统吗?” ,次日,就有热心网友发出技术文推理还原——《猜猜王思聪是怎么被盗号的》?
诚然,大家可以看到,一些互联网平台已经针对个人信息保护法的合规做了不少“能先做”的动作,比如近期几乎所有App都有更新的隐私条款,部分App刚刚上线的青少年模式,部分快递平台开始隐匿一些明文个人邮寄的信息。但,个人信息保护法作为一部直接针对个人的法律,因在其颁布前已经有诸起大型互联网平台数据泄漏、数据滥用的大规模事件,其治理迫切程度已经到了“不得不治”的地步。典型的事件,包括某快递公司40W个人信息被内鬼泄漏引发央视点名批评,某微博5亿用户数据在暗网售卖被媒体曝光,某酒店数亿条酒店用户信息泄漏涉及1.3亿人身份及开房信息数据。
每每想到随手一个大型互联网平台,积累了盈万累亿的个人信息,其一举一动都可能对个人人身财产安全产生直接危害,对产业市场造成巨大冲击,对国民经济和社会活动产生深远影响,不管是个人还是国家,都没办法对这些事关国民经济安全,国家数据安全的平台置若罔闻。
首次直面 “守门人”义务
针对上述实际情况,我们可以看到,针对个人信息安全问题的复杂性和多样性,相关立法部门在个信法中首次赋予个人充分权利,并在国内立法中首次出现“个人敏感信息”这个概念。另外,相关立法部门,还在个信法第五十八条首创“守门人”义务——明言对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:
(一)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;(二)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;(三)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;(四)定期发布个人信息保护社会责任报告,接受社会监督。
上述4项“守门人”义务中,据雷锋网观察到的,相关律所在解读个信法时,都有着重提到“成立主要由外部成员组成的独立机构对个人信息保护情况进行监督” 、“定期发布个人信息保护社会责任报告,接受社会监督。” 这两项,它们都是明言强调“借”用外部独立机构或者外部社会监督力量来彰显个人信息安全治理的决心,以及寻求*力度地把个人信息保护拉回正轨的举措。
它们遇到的难与痛
一「互联网平台 “守门人” 遇到的问题一样吗?」
据360大数据安全协同技术国家工程实验室专家童磊介绍,“从共性问题来说,所有的互联网平台都会收集个人信息包括姓名、电话、地址等,所以都需要按照‘个保法’的要求做好个人信息和敏感个人信息的治理和管理工作,并针对不同重要程度的信息进行相应的安全控制设计”。从差异性问题来说:
以社交网络App举例,“近期出现了很多社交网络App违规收集个人信息的安全事件。针对社交软件的使用场景,‘个保法’明确要求了的对个人信息和敏感个人信息管理要求,如最小收集原则,用户同意授权等。一个社交网络App在收集了大量个人信息后若不妥善保管用户数据,可能会造成数据泄漏,造成的影响甚至可能会关系用户主体的人身安全电商这边,“会涉及到一些金融财务包括数据流转相关的场景,偏向于金融安全和金融数据保护。
比如,一个手机App的互联网金融产品,涉及到股票或者贷款保险,只要涉及到金融属性,就要在‘个保法’的基础上遵从人行和银保监会相关的要求。” 所以,主要的考虑场景涉及到金额交易。
游戏的问题侧重点,“则在未成年人。因为在‘个保法’中一个重要的信息提到针对未成年人在收集和处理个人信息时,需要有单独的考虑,重点要放在未成年人是否要达到14岁。” 如未达到14岁则需要获得监护人个人信息的授权和使用。
外卖这边,“重点会涉及到这个人购买食品的偏好,比如是否有精准营销、客户画像、大数据杀熟,当然杀熟这个场景在其他的情况下可能也会有,比如出行中也会有杀熟的问题。” 这类问题主要考虑的是,如何保证数据的算法的公开透明。
短视频涉及到“个保法”的内容和相关性比较有特点的,是在生物识别的个人信息。“首先它是敏感个人信息,在视频播放的时候,其实不但要考虑到‘个保法’,还要考虑到广电总局视频播放的相关要求,包括视频的主题。” 所以,在以往的项目或者视频实施过程中,会体现需要结合实际应用场景所涉及到的行业去遵从和设计相应的个人信息保护的相关要求。
招聘求职也是一样的,“一些大型招聘网站会涉及到一些比较敏感的行业特色的信息,这里面只说差异性的。比如人员履历还有相应的薪酬,无论是企业角度包括个人角度,可能有人进行客户的画像,比如它是一个高管,收入很高,则他的个人信息的敏感度和薪酬数据的属性是要保护的。也有一些特殊行业是涉密的,招聘网站就需要对这些行业进行涉及,这些都是在‘个保法’的管控原则里都有提到。”
网络尖刀的创始人曲子龙则补充到,“据了解,一般相同的,都是围绕数据授权、数据使用范围进行治理;相对不同的是不同类型的平台,所‘必须’的数据并不一样,对治理的方案有一定的差异化,比如电商、外卖、快递、出行相对来说都是订单数据及收件信息还有一定的位置数据;社交、直播、搜索则更偏向于广告画像。”
二「此刻 “守门人” 最关注哪些难题?」
根据中国信息通信研究院互联网法律研究中心高级研究员杨婕表示,目前超级大型互联网平台在应对个信法合规的过程中,系统性地在关注,可以概括为:
对外:接受外部独立机构监督;定期发布社会责任报告。
对内:按照国家规定,建立健全个人信息保护合规制度体系;制订平台规则,明确平台内部规范和义务;对平台内部产品或者服务提供者的监督。
跟客户数据接触较多的明略科技高雅则表示,“从公司实际执行方的角度,一般会先看企业中处理的数据是不是个人信息范畴,是不是属于敏感个人信息范畴,这会影响后面数据的分类分级和具体管理方式。”
三「实践时,具体的业务和技术痛点在哪?」
据网络尖刀创始人曲子龙的观察,“首先面临*的问题是‘数据授权’问题,尤其在电商、金融、广告业表现最为明显,原本多渠道聚合的数据已经不能用了,自身也不能向自己生态的企业或服务商进行‘数据转授权’,行业里中下游企业已经出现数据断供问题。另外就是原本需要一定的用户敏感数据才能展开的业务,接下来该如何开展,也会成为企业*的问题,目前原有的数据授权体系可能并不能完全合规,急需实现数据可用而不可见的转化,比如金融业。”
还有就是,淘宝、京东、抖音都陆续对订单信息及消费者信息采取脱敏加密,不再向商家、ISV提供消费者敏感信息,“没有了消费者隐私数据后,下游企业如果不依托大厂商仅在广告这件事儿上就已经很难实现精准投放,销售成本自然就会跟着变高,掌握精准数据的头部企业,很可能通过数据垄断形成更高的壁垒。”
360大数据安全协同技术国家工程实验室专家童磊则表示,近期大家非常关注数据安全合规的问题,因为,“大多数平台对自己平台产品和相关供应商产品很难做到有效的的管理和监督。这其实也是一个行业痛点问题,从目前的可行性方案来说,业内倾向于有技术积累优势的大平台去统一管理,凭借自身平台的研发能力,安全能力,能够对企业业务边界、数据安全的边界,做到更有效的管控。
比较通用的一个建议,是在管理制度职能上包括职责上需要更新相应的服务条款,比如通过DPA(Data Protection Assessment)或者其它的条款,去进行双方关于个人信息保护重新的职能划分,明确保护的义务,使用数据的场景,这样至少于一些有意识或者想进行更好服务的App厂商来说,能更有自驱力去做好数据安全和个人信息保护的工作。”
最后,要准备好在这个过程中,“不做投入可能就会面临处罚,以及时间会淘汰一批没有能力,或者意识上不想去做上述行动的从业者。”
安恒信息上海总部首席科学家周亚超则表示,从一些厂商自己都没意识到的角度来说:“出于好奇,有时候我个人会使用一些信息隐私追踪类小工具测试,看看当搜索引擎或者App内的搜索功能拿了我们的数据之后,会用在哪里?打开这些工具时会发现,虽然用户只是在搜索引擎中或者App内的搜索功能中,输入一个简单信息,但是这个信息会给到平台当中几十甚至上百个关联方。这可能是App的安全问题,也可能是App没有做到合规。如果是安全问题,安恒安全需求分析与设计平台就是针对App具体功能业务进行安全需求与设计,在App成形前检测可能存在的安全风险点,在开发的同时提高App的安全保障能力。”
有些厂商可能都没注意到隐私政策条款这些细节或者可能对这些问题有模糊的认知,但措施还不到位。另外,从她本人的实践经验看:
“个人信息是很复杂的,大家暂时能够解决的结构化数据有一定规则,非结构性的那些数据,它的隐患可能外部目前没把它监测出来,具体的非结构性数据,需要具体的什么工具什么解决技术,这个需要长期探索。”
另外,根据雷锋网了解,从其它一些厂商自己都没注意到的角度来说,上述涉及到相关信息会给到平台当中几十甚至上百个关联方这种情形,用户如果遇到信息泄露很明显的情况,各种排查找不出原因,可以回过头仔细阅读它的隐私政策条款,这些隐私条款可能还有可待商榷的地方,但用户自己确实选择了同意。
四「守门人3类分法,哪一类根据个信法处理对应需求,难度*,任务最重?」
个信法中提到“大型互联网平台判定条件有提供重要互联网平台服务,用户数量巨大,业务类型复杂”,关于“业务类型复杂”,根据金杜律师事务所的分法,以下3类模式可能被认定为“业务类型复杂”
1)一种是超级App+小程序,第三方小程序可能存在大量个人信息收集,共享,处理活动。2)一种是内嵌多种业务的单一App,比如同时提供外卖,在线旅行,移动出行,社区团购,金融服务等等。3)一种是通过多种渠道提供在线服务。不同服务之间可能出现交互,构成体系性的复杂业务网络。
「那哪一类近期根据个人信息保护处理对应需求,难度*,任务最重?」
据360大数据安全协同技术国家工程实验室专家童磊的看法,按以上维度来分的话,“第三种跨实体的,并且跨品牌的最难,因为涉及到了边界管控和数据交换,因为相关方数量越多,场景就越复杂,数据安全风险就越大,整改成本也越大。”
网络尖刀创始人曲子龙则认为,看似不同的业务属性,实际上从合规角度来讲,“需要的都是从原始的一次性授权,转向分批次授权的转变,用到哪个业务时再申请哪个权限,用户没有使用就不需要对此授权,在自己的业务内这样重新定义权限的使用和获取其实并不难,以微信小程序为例,小程序的开发者本身就是需要向微信申请权限再使用的。
依托先申请授权再使用原则,其实能解决大部分隐私授权问题,而被广泛关注的‘大数据杀熟’、‘个人信息滥用’ 这些问题本身就是违法违规的作恶问题,不存在怎么整改这一说,本身就是必须立即停止不能做的事情。”
11月始,如何避免再次“踏雷” ?
从法律层面,除了市面上众多律所根据《个人信息保护法》第五章个人信息处理者义务规定的九大义务:
(一)制定内部管理制度和操作规程;
(二)对个人信息实行分类管理;
(三)采取相应的加密、去标识化等安全技术措施;
(四)定期对从业人员进行安全教育和培训;
(五)制定信息安全事件应急预案;
(六)处理个人信息达到国家网信部门规定数量的义务;
(七)处理境外(有境外业务)企业的特殊业务;
(八)定期合规审计
(九)对特殊情形的个人信息处理活动事前进行个人信息保护影响评估;
互联网平台守门人要额外谨记上述针对互联网平台“守门人”的特殊对外,对内5小义务
对外:接受外部独立机构监督;定期发布社会责任报告。
对内:按照国家规定,建立健全个人信息保护合规制度体系;制订平台规则,明确平台内部规范和义务;对平台内部产品或者服务提供者的监督。
从企业层面,据网络安全厂商反馈
360大数据安全协同技术国家工程实验室专家童磊基于自己上述所提的多数平台对自己平台内部产品或者服务提供者的监督治理这个问题,表示360已经有一些成熟的方案和产品实验室凭借多年在行业、企业的实践积累与国家监管机构,包括与网信办,工信部,公安部相关部门开展合作,建立了多个大数据安全技术技术平台,可以解决大部分行业痛点难点问题。
而从整个行业视角看,要避免再次踏雷 :
“从业务视角来说,*个要做企业业务个人信息资产盘点。在11月1号之前,企业至少心里有底,若真的出现问题,我们能够达到一个心理预期和心理准备,知道某一个App某个业务开发团队没有做这块内容,所以才泄露了,比如手机验证随便修改,大家要快速下线或整改这个业务。
第二个对管理层,盘点之后要进行整个企业业务发展方向的一个重新的设计,在现有的企业战略规划中加入个人信息的相关内容,最快最简单的就是在企业内部,把相应的人找到,管理者找到,比如CIO或者CISO,去承担这块的业务。其一是让大家现在做一个查漏补缺快速自查,其二就是委托职能部门或者高管推行或者承担这件事情,要持续投入人员精力或者需要一个部门。
第三个在相应的其他单位,比如审计或者第三方监管机制,需要有人去做承担和执行。执行的方式,有两点建议,一是要有专业的人,专业的机构去做,律所,或者我们这种专业机构,售卖产品的厂商,籍由专业咨询机构或者有咨询服务能力的团队或者找现有的供应商厂商,要求它在合同里去进行这方面的产品输入,并在下一年的IT规划和整个战略规划里要去同步。
第四个要做数据安全委员会出发的应急响应机制,把企业的法务部门、内控部门、公关部门、政府关系部门拉拢去规避突发事件,因为安全行业永远不变的主题就是永远会有事件。”
安恒信息上海总部首席科学家周亚超则鼓励大家从态度层面正视:“随着法律的正式实施肯定还会有一波热点,这些问题暴露出来,其实是一件好事。我们这两年来围绕App的治理行动,包括围绕违规行为,对于保障用户权益的个人信息治理典范,其实是一个很好的合作者管理体系。整个大的治理体系,光靠用户,运营商,监管机构可能也不太够,实际过程中可能需要一个推动政府、企业以及社会公众共同参与共治的过程,以及明确在这个过程中,大家各自的角色以及在相关问题上,各自的主体责任的边界。”
另外,在正式实施的“热点”来临之前,“其实企业内部通过一些风险评估的工作,也能够及时规避掉不少这类内部风险。我觉得这个可能不是方法而是需求驱动的,比如一些热点行业属于监管的重点领域,企业可能会有抱团意识,形成行业内部的监管协会。以人工智能为例,围绕生物特征、生物信息等领域,它自身存在较大需求,就会推动一个参与共治的机构或是机制来做这方面的加强。”
从实操层面,明略科技高雅也反馈,“首先需要做内部的管理制度和操作规程的要求。如果搜集了个人信息,对于一些敏感程度比较高的,要做单独的处理和管理。技术方面,需要采用更严密的加密或者去标识化,安全的措施。规定、处理这些接触个人信息的人,有操作权限的限制和安全教育培训,另外可能有一些应急预案。”
从第三方监督层面,相关专家表示
“首先,目前法律规定的确有模糊的地方,这对企业合规带来了挑战。因此企业需要密切关注下一步的细则文件出台。
其次,目前很多企业都在按照个保法的要求进行整改,但这种整改是自发的,事实上在很多企业内部也存在着法务部们和业务部门“角力”的情况,因此,出现一些整改不彻底甚至没有整改的空间,这是正常的。当出现‘角力’ 的时候,业务部分要需要充分尊重法务意见,因为合规是生命线。而法务部门也要深刻、正确理解法律条文的含义,不是机械照搬。
另外,关于最近用户维权意识的觉醒的问题,这是好事,是一个社会形成健康的数据安全文化的前提条件。以前,用户不是不重视自己的权益保护,但重视了也没用,诉求得不到满足,甚至被置之不理。在法律威慑下,现在企业的态度改变了,用户因此增强了维权意愿。但对企业而言,有时候也会遇到滥诉,这不可避免,但总体的影响是正面的。
最后要注意的是,企业层面,除了上述提到的个人信息保护法相关个人信息处理者的直接义务,另外还要注意确保个人信息处理规则合规,并有效保护用户个人信息信息权的行使也是企业要重视的‘必然义务’ ” 中国信息安全研究院副院长左晓栋建议到。
信通院云大所副所长魏凯则补充总结:“要注意个人信息保护合规审计是个保法的要求,在企业在进行风险治理的工作时,除了内部具体实施者从业务层面和操作层面落实一道防线;企业管理者从法务,安全合规,内控等角度落实管理的二道防线;还应该积极接受外部监督者的审计第三道防线。” 之所以要重视审计的价值,是因为审计能够帮助企业了解个人信息保护合规的现状和不足,完善闭环管理机制,实现个人信息保护合规的持续改进。其具体作用体现在:
“1)发现问题:以独立视角监督个人信息保护体系合规性,审计发现合规问题。
2)提出改进建议:针对合规问题,提出专业合规改进建议,实现闭环管理机制。
3)持续评价:针对审计整改结果持续评价,实现个人信息保护合规的持续改进。”
另外当雷锋网咨询相关部门负责本领域的数据安全个人信息安全的监管职责的负责人会不会觉得监督技术门槛比较高,魏凯对此表示,“工信部或者银行或者其它监督部门技术能力其实是很强的,银行管网络金融行业,电信管电信行业,工业管工业行业,几十年一直在管,互联网监管实际上就是这个方式。这些年这么多这么长时间,他们的监管技术是不断提升的,大家不用担心监督技术问题以及抱太多侥幸心理。”
「雷锋网总结」
对于今天正式实施的个人信息保护法,不用等到那天也可以预见,在接下来的几个月,缘于个人用户的监督,外部机构的监督,相关手机厂商推出的各种追踪小工具,一定会让整个市场“热闹”非凡——相较于小心翼翼地祈祷企业平台自身不要再次“踏雷”,更靠谱的方法,反而如上述专家们所言,把它看作是一个“好事”的愚公心态反而更能安全,具体怎么防止再次踏雷,结合上述多方专家意见的综合,我们应该力所能及的:
其一,法律义务层面,互联网平台要系统做好上述十大直接义务,还要做好确保个人信息处理规则合规和有效保护用户个人信息信息权的行使的二大应当义务。
具体措施侧层面:
其二,对于个信法第五章规定的直接义务,积极整改并主动向大众同步动作和进度。
其三,对于来自个人用户和第三方追踪工具体验者的投诉和监督,大胆接受用户指正,并可以对一些追踪工具采取“师夷长技以律己”的小妙招,利用这些小App进一步督促自己,当然也可以利用网络安全厂商的各种专业工具和平台启动更高维度的自我监督。
其四,对于其它不确定的风险盲区提前做个人风险评估,特别危害是涉及国家安全层面高度的。
其五,制定短期防踏雷措施和长期防踏雷措施。
其六,要想彻底长治久安,注意借助审计很重要。