虎嗅网|个人信息保护法,真正拉开“反杀熟”大幕
文章图片
图1/16
作者|宇多田
出品| 虎嗅科技组
封面来自视觉中国
2018年~2021年 , 在不少人经历了半夜起床发现智能音箱处于“唤醒录音状态” , 为N个app、门禁和闸门贡献了自己的人脸与身份证数据 , 在某夕刚下单晒衣架就被某宝和某东推送晾晒三件套 , 被打车和外卖软件杀过熟 , 以及被小区强行要求刷脸进门的一系列“奇幻之旅”后……
这是我们第一次从头到尾、如此认真地阅读一部中国法律 。
8月20日 , 十三届全国人大常委会第三十次会议 , 最终表决通过了《中华人民共和国个人信息保护法》(下面简称《保护法》) 。 2021年11月1日起 , 这部法律将正式生效 。
实际上 , 从2019年开始 , 关于“数据隐私保护”国家层级的一系列信息安全技术规范与数据管理政策 , 就以前所未有的密度起草、推出和实施 。 直到2021年 , 个人信息保护法正式颁布 。
文章图片
图2/16
图片来自人大网
在阅读全文并请教律师后 , 我们发现 , 这不仅仅是中国在个人信息保护方面的里程碑事件 , 也是一个与时俱进的 , 紧跟时代与地理特点、技术和思想发展脚步的法律范本 。
譬如 , 《保护法》用了不小篇幅 , 对那些需要把数据带出境外的运营商与企业提出了更多要求 。
第三章里 , 就明确规定了跨境数据服务的安全审查方案 , 强调“出海”需要经过网信办的严格安全评估 , 签署网信部门制定的标准合同;还特别指出 , 收集和产生的个人信息需要存储在境内 。
文章图片
图3/16
此外 , 法律也将符合以下三个条件的境外机构纳入管辖范围内 。 这就意味着 , 那些向境内自然人提供产品或服务 , 但却登记在海外的公司(这样的诈骗网络团伙和黄色网站非常多) , 一旦违法 , 也需要接受中国的处置 。
文章图片
图4/16
总体来看 , 所有条例都可与当下发生在我们身上的那些个人隐私争议与数据纠纷对号入座 。 一定程度上 , 它们的生效 , 将会倒逼从通讯运营商、设备制造商到软件设计公司等所有涉及数据服务的企业 , 在未来一段时间内 , 修正涉及到数据处理问题的产品运行规则 。
个人信息保护力度 , 很大
上海市新闵律师事务所高级合伙人庄帆律师在接受虎嗅采访后 , 从法律和隐私保护角度 , “圈”出了消费者需要重点关注的部分 。 他指出 , 很多条例都是站在普通人这一边 , 在努力保护个人隐私权益 。
譬如 , 在《保护法》未颁布前 , 所有相关文件对“需要保护的个人信息”定义非常模糊 , 这会给很多数据采集者可乘之机 , 因为“个人信息”这个概念实在太大了 。
而第28条 , 就对个人敏感信息做出了明确定义——生物识别、宗教信仰、特定身份、医疗健康以及金融账户和行踪轨迹 , 都隶属于不得侵犯和非法使用范围内 。
庄帆律师提及 , 条例还特别提到了对14岁以下未成年人实行更为严苛的信息保护 , 他认为 , 这体现了立法者对未成年人的特别关爱 。
文章图片
图5/16
此外 , 第69条 , 也蕴含了值得推敲的信息——在一起涉及个人信息侵权的纠纷中 , 如果数据处理者(通常为被告)不能证明自己没过错 , 那么 , 就必须承担责任 。
文章图片
图6/16
这条很重要
据庄帆律师回忆 , 2013年曾发生过一起林某与四川航空之间的民事诉讼案件 , 前者控告航空公司滥用自己的电话与航班信息数据 , 给自己出行造成损失 。
由于当时的法律尚未针对个人信息泄露相关的侵权案件采用“举证责任倒置” , 一审法院以林某“举证不能”而未支持他相关的诉请 。 随后 , 他提起上诉 , 经过复杂的二审程序 , 最终艰难胜诉 。
但是 , 如果本案在《个人信息保护法》生效后审理 , 那么法官就可以直接援引第69条 , 让被告去证明自己没有过错 , 否则 , 被告就应当承担相应的侵权责任 。
因此 , 之所以现在《保护法》这样规定 , 他认为有可能是个人维权用户去举证比较困难 。 太多技术细节和更多信息都在对方(企业或数据侵权者)手里 , 所以通过举证责任倒置 , 也是对个人的一种保护 。
【虎嗅网|个人信息保护法,真正拉开“反杀熟”大幕】他还指出 , 《保护法》第70条 , 正式将个人信息保护列入了公益诉讼的范围 。 这很有意义 。
文章图片
图7/16
以前如果个人去提起“个人信息被滥用”的诉讼 , 时间和金钱成本很高 , 很多事情总是不了了之 。 而现在引入了公益诉讼机制 , 个人在其权利受损后就应当勇敢发声 。
当这些信息被汇总后 , 相关组织经过判断并掌握一定证据后 , 就有权去发起诉讼 。 这就相当于给很多愿意通过法律渠道来维护个人信息权益的人 , 开辟了一个相对便捷的通道 。
个人数据收集乱象 , 该结束了
从很多人的经历来看 , 我们心里很清楚 , 一方面 , 其实不可避免很多个人数据已被拿走 , 譬如人脸特征和身份证信息等等;另一方面 , 我们仍然在不知不觉被很多APP实时收集个人网络行踪数据 。
前者 , 重点是要放在对数据滥用行为的打击上;后者 , 则涉及到对数据采集的规范 。
而这部法律的一个特点 , 就是从存在数据滥用现象的“商业公司”端入手 , 对他们未来的数据采集方法进行严格约束与监控 。
举个例子 , 我们都会在不知不觉中允许手机和app打开我们的麦克风和摄像头 , 或者默许app收集自己的定位和信息浏览踪迹 。 这才会出现越来越多的可疑数据偷窃痕迹:
在某夕下单 , 某宝可能会立刻“惊觉”你的行为 , 马上推送并给予优惠券;家里智能音箱播放一首歌 , 手机上的音乐app竟然会很快推荐同一首歌 , 同样的情况屡次发生;在机场的唱吧里唱歌 , 回家后某品牌智能音箱竟然能够推荐大量相同的歌曲……
这里面一定涉及到企业对我们个人行踪信息“无孔不入”的采集策略 。
2021年5月 , 苹果公司上线了针对手机用户的隐私保护策略——更新iOS 14.5后 , 你会发现其中新增了“App跟踪透明度”功能 。 每打开一个app , 它会提示你“是否同意追踪” 。 只有用户主动授权 , App才能收集属于你在这个设备上的活动数据 , 也叫做“获取你的IDFA” 。
你可以把IDFA看做一个记录了用户网络行为习惯的手机ID:你每天用了哪些app , 搜索了什么 , 浏览了什么网页 , 都在IDFA里 , 而app开发者以前是可以读取IDFA的 。
这也是为何 , 我今天在百度上搜索了“自动驾驶”相关内容 , 知乎竟然在当天给我推送了关于自动驾驶的提问 , 而我此前从未在知乎上搜索过相关内容 。
文章图片
图8/16
苹果手机“设置”里对跟踪功能的说明 , 追踪app使用信息 , 以便精准投放广告
实际上 , 直到苹果在上线这个功能之后 , 很多人才惊觉 , 原来“各个app以前几乎像是打通的 , 共享我们很多个人行为信息” 。
所以 , 我们才是商场展示橱窗里的那个商品 , 而很多app背后的企业才是站在橱窗前“欣赏”你各种行为 , 利用你的网络踪迹来赚取大量广告费用的赢家 。
因此 , 庄帆律师提醒我们关注《保护法》的第14~17条 , 以及第44条(下图) 。 商业公司对个人信息的采集与处理 , 必须详细告知用户处理目的和保存期限 。 而用户对自己的个人信息应用状态 , 从头到尾都必须享有知情权和决定权 。
文章图片
图9/16
文章图片
图10/16
几年前 , 大家在用一些app时会出现这样一种情况:你如果不打开某种权限 , 那么app就无法继续正常使用 , 所以不得不点击“同意” 。 而这种做法 , 从11月1日起 , 都是违法的 , 你有权对这些要求说“不” 。
文章图片
图11/16
当然 , 除了手机 , 还有一个过去两年大家讨论最多的个人隐私保护争议点 , 就在于“人脸识别” 。
文章图片
图12/16
图片来自视觉中国
从银行与各类支付程序 , 再到小区和便利店 , 甚至是之前闹的沸沸扬扬的“戴头盔看房”事件 , 人脸识别作为一种身份鉴定手段 , 过去两年来 , 在越来越多的地方不仅被强制采集 , 甚至在采集后还被非法出售和滥用 。
文章图片
图13/16
但是 , 上面提到的“戴头盔看房” , 是一个特殊案例 。
根据21世纪经济报道的调查 , 房地产商使用人脸识别的主要目的是“区分”新老看房人来调整渠道佣金 , 这便导致不同购房人之间最后支付的房款数存在高达几十万的差价 。
这在某种程度上不仅是一种偏离了公共安全目的的侵权 , 其实也是一种“杀熟” 。
而外卖app的“会员加价” , 打车app老客户页面相同路段显示的车费更高 , 某宝上同一件衣服老客户页面价格更高……早已屡见不鲜 , 也都是我们常说的“大数据杀熟”现象 。
但是 , 现在我们终于有了对付“大数据杀熟”的法律武器 。 《保护法》第24条对此有了明确规定:
文章图片
图14/16
监管严 , 处罚重
如果说法律对信息采集端的约束是一种“警告” , 那么强有力的监管过程与处罚措施 , 才是对商业公司停止滥用数据最有效的威慑 。
《保护法》明确提到 , 对企业进行监督的一方 , 必须是来自外部的第三方机构 , 这某种程度也体现了一种公信力 。
但是 , 落实到具体执行 , 譬如机构到底由哪些成员组成 , 它的权限有哪些 , 需要审查到多深的程度 , 都是需要在未来做进一步明确 。
庄帆律师也同时指出 , 随着未来各类涉及数据纠纷的具体案例越来越多 , 《保护法》还会有完善空间 。
文章图片
图15/16
此外 , 他重点提到了处罚力度——因为“《保护法》的进步和国家决心 , 也体现在对惩罚金额的措辞上” 。 以前 , 很多法律条款的罚款金额都是明确的 , 但在《保护法》里 , 出现了一个百分比——
“情节严重的 , 没收违法所得 , 并处于5000万以下 , 或者上一年度营业额5%以下的罚款 。 ”
文章图片
图16/16
对于很多巨头公司来说 , 5000万并不是一个大数字 。 但是营业额的5% , 按照阿里2020财年5057亿元的营收 , 5%就是254亿 。 他认为 , 这的确是一种进步 , 大大增加了对很多过度收集和滥用数据企业的威慑力 , 因为付出的代价很大 。
写在最后
其实保护个人隐私信息 , 防止信息被泄露和滥用的方法 , 远远不止非要“法律约束”来解决 。
譬如在企业软件安全市场 , “隐私计算”已经成为一种很受欢迎的数据安全保护技术;越来越多的普法大V出现在B站等社交平台上;而这一代年轻人的思想觉醒和对自我隐私保护的重视 , 似乎有了高于“对便捷性过度依赖”的迹象……
以上 , 都是普通人防范被企业与网络犯罪者继续挖坑的重要路径 。
当然 , 未来很多具体案例在审理和执行中 , 也会因为现实复杂条件的干预产生更多变数 。 甚至可能会出现千奇百怪的 , 不符合上述任何法律条例的奇葩案例 。 如上面所说 , 这部法律并非没有持续修正的空间 。
但是 , 这部个人信息保护法的尘埃落定 , 将会是人工智能与大数据时代人人变得愈加赤裸状态下 , 我们维护个人数据权益的第一块盾牌 。
所以 , “反杀熟” , “反泄露” , “反滥用” , 你准备好了吗?
推荐阅读
- 网络|天津联通全力助推天津市入选全国首批千兆城市
- 最新消息|世界单体容量最大漂浮式光伏电站在德州并网发电
- 语境|B站2021个人年度报告发布:你共计看了多少个视频
- 网络化|工信部:2025年建成500个以上智能制造示范工厂
- 视点·观察|张庭夫妇公司被查 该怎样精准鉴别网络传销?
- Tesla|网传特斯拉等新能源汽车保费上涨超50% 多家车险公司回应不实
- 上海|上海供水热线与城投水务官网合并上线,一站式服务更便民
- 数字化|70%规模以上制造业企业到2025年将实现数字化、网络化
- 服务|互联网+税务让服务更优质 杭州代开发票税务进入新局面
- Tencent|微信小程序新规则:调用个人敏感信息将需授权