11月1日起,《個人信息保護(hù)法》正式施行,對于消費者而言,這無疑是一大保護(hù)自身權(quán)益的法律利器,自此,過度收集個人信息、“大數(shù)據(jù)殺熟”等機(jī)構(gòu)行為將涉嫌違法;而對于數(shù)據(jù)違規(guī)重災(zāi)區(qū)的金融科技行業(yè),無疑將面臨新的監(jiān)管挑戰(zhàn),后續(xù)如何做好數(shù)據(jù)“攻守道”,將是每一家公司都要面臨的重要考題。
明確個人信息處理規(guī)則
從11月1日實施的《個人信息保護(hù)法》來看,其總計共8章74條,既明確了個人信息和敏感個人信息的處理規(guī)則,也完善了個人信息保護(hù)投訴、舉報工作機(jī)制,另從制度上加強了對侵害個人信息權(quán)益行為的預(yù)防和懲治,可謂是全方位保障消費者的信息安全。
具體來看,法律明確收集個人信息,應(yīng)當(dāng)限于實現(xiàn)處理目的的最小范圍,不得過度收集個人信息;另對人臉信息等敏感個人信息,強調(diào)只有在具有特定的目的和充分的必要性并采取嚴(yán)格保護(hù)措施的情形下,方可處理生物識別、金融賬戶、行蹤軌跡等敏感個人信息。
此外在法律責(zé)任上,《個人信息保護(hù)法》強調(diào),違反該法規(guī)定處理個人信息者,將由相關(guān)部門責(zé)令改正給予警告,并沒收違法所得,對違法處理個人信息的應(yīng)用程序,責(zé)令暫?;蛘呓K止提供服務(wù)。
《個人信息保護(hù)法》的落地,可謂是恰逢其時。數(shù)字經(jīng)濟(jì)時代下,一些企業(yè)、機(jī)構(gòu)甚至個人為了謀求商業(yè)利益,隨意收集、違法獲取、過度使用甚至非法買賣個人信息,不少消費者直稱深受其害。在業(yè)內(nèi)看來,此次《個人信息保護(hù)法》的實施,不僅有助于用戶告別信息“霸王獲取”時代,也將保障隱私權(quán)、人格權(quán)等一系列法律權(quán)利,有效防止數(shù)據(jù)資源被不法分子利用造成損害。
“《個人信息保護(hù)法》將對互聯(lián)網(wǎng)平臺和數(shù)字經(jīng)濟(jì)帶來重大影響。其界定了個人信息隱私內(nèi)容涵蓋的范圍,同時也明確了個人信息的權(quán)屬權(quán)益。”中南財經(jīng)政法大學(xué)數(shù)字經(jīng)濟(jì)研究院執(zhí)行院長、教授盤和林在接受北京商報記者采訪時指出,“未來,互聯(lián)網(wǎng)平臺利用個人信息需要從用戶獲取授權(quán),也將在使用、存儲過程中承擔(dān)更多信息保護(hù)的責(zé)任。”
盤和林進(jìn)一步稱,但總體上,《個人信息保護(hù)法》主要是為了促進(jìn)數(shù)字經(jīng)濟(jì)的發(fā)展,明確數(shù)字信息使用的權(quán)利邊界,讓權(quán)屬權(quán)益更加清晰,通過清晰的界定,掃清數(shù)字經(jīng)濟(jì)前行的障礙。同時,《個人信息保護(hù)法》也推進(jìn)了數(shù)字產(chǎn)權(quán)的確定,而數(shù)字產(chǎn)權(quán)政策是推動數(shù)字經(jīng)濟(jì)發(fā)展的重要推動力。
已有違規(guī)平臺被判違法
《個人信息保護(hù)法》生效,加強用戶數(shù)據(jù)權(quán)保障的另一面,是一系列互聯(lián)網(wǎng)公司、金融科技平臺、支付公司、大數(shù)據(jù)公司以及銀行等金融機(jī)構(gòu),將面臨更加嚴(yán)格和全面的監(jiān)管。
北京商報記者注意到,就在10月29日,杭州互聯(lián)網(wǎng)法院就對一大型電商平臺和支付機(jī)構(gòu)違法處理公民個人信息案作出判決。
根據(jù)披露,被告A公司是某電商平臺經(jīng)營者,被告B公司是該電商平臺內(nèi)置支付軟件的運營者,原告吳某是該電商平臺的注冊用戶。原告訴稱,該電商平臺在未經(jīng)其同意的情況下,將用戶真實身份信息傳輸給支付公司,上述行為已嚴(yán)重侵害原告?zhèn)€人信息權(quán)益等合法權(quán)益。
法院認(rèn)為,兩機(jī)構(gòu)在開發(fā)、設(shè)計產(chǎn)品之初,應(yīng)知其產(chǎn)品存在違法處理用戶個人信息的問題,為追求商業(yè)利益等,仍上線經(jīng)營,主觀過錯明顯。原告的敏感個人信息被違法處理,足以使原告在信任危機(jī)之下,產(chǎn)生相關(guān)信息可能被進(jìn)一步泄露或不法使用的風(fēng)險焦慮。
最后,法院認(rèn)定兩機(jī)構(gòu)的信息處理行為侵害原告?zhèn)€人信息權(quán)益,責(zé)令立即刪除原告?zhèn)€人信息,并以書面道歉信方式向原告賠禮道歉,并賠償原告合理維權(quán)損失2000元。
需要注意的是,類似這樣的信息處理侵權(quán)案例并不少見。北京商報記者就在多次測評中發(fā)現(xiàn),不少助貸平臺甚至持牌金融機(jī)構(gòu)捆綁第三方一鍵獲取個人授權(quán)信息,霸王式永久保存使用用戶數(shù)據(jù);此外,在貸款過程中,用戶必須開啟通訊錄及位置權(quán)限,一鍵同意用戶注冊協(xié)議、個人信息查詢采集及使用授權(quán)書,否則便無法正常使用App;甚至還有一些互金公司,以提供貸款為由,誘導(dǎo)用戶一鍵同意授權(quán)數(shù)十份甚至幾十份個人信息授權(quán)書。
對此,一互金公司高管告訴北京商報記者,在金融業(yè)務(wù)開展過程中,機(jī)構(gòu)確實需要對申貸人的信用資質(zhì)進(jìn)行審查,其中難免會用到個人隱私信息,但需要按照最小化且必要的原則,即使是金融機(jī)構(gòu)本身,在獲取、留存以及向第三方問詢客戶數(shù)據(jù)時,也是需要非常謹(jǐn)慎的。
該人士告訴北京商報記者,需要警惕的是,目前市場上仍有部分大數(shù)據(jù)公司,既不是客戶信用數(shù)據(jù)的原始容器,也不是金融業(yè)務(wù)的實施者與責(zé)任人,但其在向金融機(jī)構(gòu)提供數(shù)據(jù)加工、決策引擎等服務(wù)時,在信息脫敏、跨企業(yè)互用等領(lǐng)域,涉及不少存在法律風(fēng)險的行為。在他看來,隨著新法規(guī)的執(zhí)行和監(jiān)管的加碼,后續(xù)這些公司的數(shù)據(jù)處理、功能服務(wù),將在未來受到更大的限制。
聚焦多個執(zhí)法重點
隨著用戶個人信息安全及隱私保護(hù)走上新臺階,法律對從業(yè)機(jī)構(gòu)也提出了更高的要求。
“這是我國在信息化時代的重大戰(zhàn)略布局,包括銀行、征信機(jī)構(gòu)等,只有明確法律紅線,在規(guī)范之內(nèi)開展業(yè)務(wù)才是順應(yīng)時代所需、順應(yīng)人民所求的正確行為。”大成律師事務(wù)所合伙人肖颯指出,以銀行為例,根據(jù)《個人信息保護(hù)法》規(guī)定,“處理個人信息應(yīng)當(dāng)取得個人同意,只有同意是在個人充分知情的前提下自愿、明確作出,這個同意才能被認(rèn)定為個人的真實意思,從而認(rèn)定個人信息處理者基于該同意處理個人信息的行為是合法有效”。
肖颯認(rèn)為,這就要求銀行重視并設(shè)置同意前告知這一環(huán)節(jié),在告知客戶的時候要安排專業(yè)人員一對一提供服務(wù),做到使客戶充分知情,且自愿作出同意的意思表示和行為。
另對互聯(lián)網(wǎng)公司,盤和林認(rèn)為,隨著《個人信息保護(hù)法》生效,后續(xù)多個執(zhí)法重點值得關(guān)注。一是數(shù)據(jù)權(quán)屬方面,互聯(lián)網(wǎng)企業(yè)獲取個人信息權(quán)益需要經(jīng)過用戶授權(quán),互聯(lián)網(wǎng)企業(yè)內(nèi)部信息保護(hù)需要推進(jìn)用戶知情權(quán)。二是數(shù)據(jù)使用方面,需要數(shù)據(jù)脫敏。三是數(shù)據(jù)安全防護(hù)措施,包括數(shù)據(jù)信息存儲軟硬件安全、數(shù)據(jù)傳輸安全。互聯(lián)網(wǎng)企業(yè)要設(shè)置信息保護(hù)部門和機(jī)制。此外,公司還要嚴(yán)打信息販賣,堵截非法信息跨境交易。
“數(shù)字經(jīng)濟(jì)的發(fā)展離不開信息數(shù)據(jù)的使用,在保護(hù)用戶信息權(quán)益的同時,也要保障企業(yè)對數(shù)據(jù)信息的合理合法使用權(quán)利。”盤和林補充道,后續(xù)對于互聯(lián)網(wǎng)企業(yè),既要有具體細(xì)化的信息保護(hù)違規(guī)違法的處罰規(guī)則,也要公平保護(hù)互聯(lián)網(wǎng)企業(yè)合法的數(shù)據(jù)信息使用權(quán)利。對于信息保護(hù)執(zhí)法,關(guān)鍵核心是明確信息權(quán)益歸屬,后續(xù)或可推進(jìn)和公開通用、簡化的隱私政策,包括格式較為一致的信息授權(quán)使用協(xié)議,明確個人刪除信息的權(quán)利等。