11月1日起,《個人信息保護法》正式施行,對于消費者而言,這無疑是一大保護自身權益的法律利器,自此,過度收集個人信息、“大數(shù)據(jù)殺熟”等機構行為將涉嫌違法;而對于數(shù)據(jù)違規(guī)重災區(qū)的金融科技行業(yè),無疑將面臨新的監(jiān)管挑戰(zhàn),后續(xù)如何做好數(shù)據(jù)“攻守道”,將是每一家公司都要面臨的重要考題。
明確個人信息處理規(guī)則
從11月1日實施的《個人信息保護法》來看,其總計共8章74條,既明確了個人信息和敏感個人信息的處理規(guī)則,也完善了個人信息保護投訴、舉報工作機制,另從制度上加強了對侵害個人信息權益行為的預防和懲治,可謂是全方位保障消費者的信息安全。
具體來看,法律明確收集個人信息,應當限于實現(xiàn)處理目的的最小范圍,不得過度收集個人信息;另對人臉信息等敏感個人信息,強調(diào)只有在具有特定的目的和充分的必要性并采取嚴格保護措施的情形下,方可處理生物識別、金融賬戶、行蹤軌跡等敏感個人信息。
此外在法律責任上,《個人信息保護法》強調(diào),違反該法規(guī)定處理個人信息者,將由相關部門責令改正給予警告,并沒收違法所得,對違法處理個人信息的應用程序,責令暫停或者終止提供服務。
《個人信息保護法》的落地,可謂是恰逢其時。數(shù)字經(jīng)濟時代下,一些企業(yè)、機構甚至個人為了謀求商業(yè)利益,隨意收集、違法獲取、過度使用甚至非法買賣個人信息,不少消費者直稱深受其害。在業(yè)內(nèi)看來,此次《個人信息保護法》的實施,不僅有助于用戶告別信息“霸王獲取”時代,也將保障隱私權、人格權等一系列法律權利,有效防止數(shù)據(jù)資源被不法分子利用造成損害。
“《個人信息保護法》將對互聯(lián)網(wǎng)平臺和數(shù)字經(jīng)濟帶來重大影響。其界定了個人信息隱私內(nèi)容涵蓋的范圍,同時也明確了個人信息的權屬權益。”中南財經(jīng)政法大學數(shù)字經(jīng)濟研究院執(zhí)行院長、教授盤和林在接受北京商報記者采訪時指出,“未來,互聯(lián)網(wǎng)平臺利用個人信息需要從用戶獲取授權,也將在使用、存儲過程中承擔更多信息保護的責任。”
盤和林進一步稱,但總體上,《個人信息保護法》主要是為了促進數(shù)字經(jīng)濟的發(fā)展,明確數(shù)字信息使用的權利邊界,讓權屬權益更加清晰,通過清晰的界定,掃清數(shù)字經(jīng)濟前行的障礙。同時,《個人信息保護法》也推進了數(shù)字產(chǎn)權的確定,而數(shù)字產(chǎn)權政策是推動數(shù)字經(jīng)濟發(fā)展的重要推動力。
已有違規(guī)平臺被判違法
《個人信息保護法》生效,加強用戶數(shù)據(jù)權保障的另一面,是一系列互聯(lián)網(wǎng)公司、金融科技平臺、支付公司、大數(shù)據(jù)公司以及銀行等金融機構,將面臨更加嚴格和全面的監(jiān)管。
北京商報記者注意到,就在10月29日,杭州互聯(lián)網(wǎng)法院就對一大型電商平臺和支付機構違法處理公民個人信息案作出判決。
根據(jù)披露,被告A公司是某電商平臺經(jīng)營者,被告B公司是該電商平臺內(nèi)置支付軟件的運營者,原告吳某是該電商平臺的注冊用戶。原告訴稱,該電商平臺在未經(jīng)其同意的情況下,將用戶真實身份信息傳輸給支付公司,上述行為已嚴重侵害原告?zhèn)€人信息權益等合法權益。
法院認為,兩機構在開發(fā)、設計產(chǎn)品之初,應知其產(chǎn)品存在違法處理用戶個人信息的問題,為追求商業(yè)利益等,仍上線經(jīng)營,主觀過錯明顯。原告的敏感個人信息被違法處理,足以使原告在信任危機之下,產(chǎn)生相關信息可能被進一步泄露或不法使用的風險焦慮。
最后,法院認定兩機構的信息處理行為侵害原告?zhèn)€人信息權益,責令立即刪除原告?zhèn)€人信息,并以書面道歉信方式向原告賠禮道歉,并賠償原告合理維權損失2000元。
需要注意的是,類似這樣的信息處理侵權案例并不少見。北京商報記者就在多次測評中發(fā)現(xiàn),不少助貸平臺甚至持牌金融機構捆綁第三方一鍵獲取個人授權信息,霸王式永久保存使用用戶數(shù)據(jù);此外,在貸款過程中,用戶必須開啟通訊錄及位置權限,一鍵同意用戶注冊協(xié)議、個人信息查詢采集及使用授權書,否則便無法正常使用App;甚至還有一些互金公司,以提供貸款為由,誘導用戶一鍵同意授權數(shù)十份甚至幾十份個人信息授權書。
對此,一互金公司高管告訴北京商報記者,在金融業(yè)務開展過程中,機構確實需要對申貸人的信用資質(zhì)進行審查,其中難免會用到個人隱私信息,但需要按照最小化且必要的原則,即使是金融機構本身,在獲取、留存以及向第三方問詢客戶數(shù)據(jù)時,也是需要非常謹慎的。
該人士告訴北京商報記者,需要警惕的是,目前市場上仍有部分大數(shù)據(jù)公司,既不是客戶信用數(shù)據(jù)的原始容器,也不是金融業(yè)務的實施者與責任人,但其在向金融機構提供數(shù)據(jù)加工、決策引擎等服務時,在信息脫敏、跨企業(yè)互用等領域,涉及不少存在法律風險的行為。在他看來,隨著新法規(guī)的執(zhí)行和監(jiān)管的加碼,后續(xù)這些公司的數(shù)據(jù)處理、功能服務,將在未來受到更大的限制。
聚焦多個執(zhí)法重點
隨著用戶個人信息安全及隱私保護走上新臺階,法律對從業(yè)機構也提出了更高的要求。
“這是我國在信息化時代的重大戰(zhàn)略布局,包括銀行、征信機構等,只有明確法律紅線,在規(guī)范之內(nèi)開展業(yè)務才是順應時代所需、順應人民所求的正確行為。”大成律師事務所合伙人肖颯指出,以銀行為例,根據(jù)《個人信息保護法》規(guī)定,“處理個人信息應當取得個人同意,只有同意是在個人充分知情的前提下自愿、明確作出,這個同意才能被認定為個人的真實意思,從而認定個人信息處理者基于該同意處理個人信息的行為是合法有效”。
肖颯認為,這就要求銀行重視并設置同意前告知這一環(huán)節(jié),在告知客戶的時候要安排專業(yè)人員一對一提供服務,做到使客戶充分知情,且自愿作出同意的意思表示和行為。
另對互聯(lián)網(wǎng)公司,盤和林認為,隨著《個人信息保護法》生效,后續(xù)多個執(zhí)法重點值得關注。一是數(shù)據(jù)權屬方面,互聯(lián)網(wǎng)企業(yè)獲取個人信息權益需要經(jīng)過用戶授權,互聯(lián)網(wǎng)企業(yè)內(nèi)部信息保護需要推進用戶知情權。二是數(shù)據(jù)使用方面,需要數(shù)據(jù)脫敏。三是數(shù)據(jù)安全防護措施,包括數(shù)據(jù)信息存儲軟硬件安全、數(shù)據(jù)傳輸安全。互聯(lián)網(wǎng)企業(yè)要設置信息保護部門和機制。此外,公司還要嚴打信息販賣,堵截非法信息跨境交易。
“數(shù)字經(jīng)濟的發(fā)展離不開信息數(shù)據(jù)的使用,在保護用戶信息權益的同時,也要保障企業(yè)對數(shù)據(jù)信息的合理合法使用權利。”盤和林補充道,后續(xù)對于互聯(lián)網(wǎng)企業(yè),既要有具體細化的信息保護違規(guī)違法的處罰規(guī)則,也要公平保護互聯(lián)網(wǎng)企業(yè)合法的數(shù)據(jù)信息使用權利。對于信息保護執(zhí)法,關鍵核心是明確信息權益歸屬,后續(xù)或可推進和公開通用、簡化的隱私政策,包括格式較為一致的信息授權使用協(xié)議,明確個人刪除信息的權利等。