主管:商务部中国国际电子商务中心
当前位置:资讯首页 > 政策文件 > 正文
    
刘新海:数字经济下个人信息保护的挑战和应对
2020-11-24 11:23:19 来源:刘新海 源点credit

随着移动互联网的发展,移动App已经成为消费者经济生活中的一部分,在促进经济社会发展、服务民生等方面发挥了不可替代的作用。

在数字经济时代,消费者不断产生的海量的数据对于大数据公司和商业机构来说就是金矿,可以挖掘出有价值的商业信息。

而移动互联网免费服务模式更是加剧了其对个人信息的依赖性。许多互联网商业机构也开始通过App获取消费者的各种信息,从中挖掘商业洞察力,或对数据流转销售,获得丰厚利润。

因此,加强个人信息保护迫在眉睫。

App过度采集个人信息存在极大隐患

目前,国内App数量已超500万款,很多App对于数据合规采集和对消费者权益没有太多的经验和概念,都不同程度地存在过度采集消费者信息的情况,从央企到大型民营企业,甚至专业安全软件公司的产品均赫然违规在列。同时国内大量消费者缺乏自我保护和维权意识,也纵容了这些App的肆意妄为。

目前移动App强制授权、过度索权、超范围地采集消费者手机的个人敏感信息,侵犯消费者权益的现象比较普遍,给消费者的个人信息保护带来了挑战。个人信息的滥用和不受保护,导致了层出不穷的个人身份盗窃和电信诈骗。根据中国互联网协会发布的报告,2016年因垃圾短信、诈骗信息、个人信息泄漏等造成的经济损失估算达915亿元。

针对一些App严重影响消费者切身利益,危害社会公众安全的现象,2019年1月,工信部、公安部、市场监管总局四部门开启了App专项整治工作。通过专项治理工作,公众常用App存在的无隐私政策、捆绑授权和强制索权等典型问题得到一定改善。相关调查显示,76%的网民感到App个人信息收集使用问题得到部分改善。特别是违规查询个人征信报告的App已经消失了。

由于App过度采集消费者数据涉及环节复杂,而且和重要商业利益挂钩,虽经多轮重拳治理,一些App违法违规收集使用个人信息问题还未根本解决。

相关法律法规为个人信息采集划定边界

不同的App由于功能不同,所以采集消费者的数据差异比较大,例如小额信贷的App采集的个人信息就要比外卖购物的App更加敏感。关于对于个人信息的采集范围,近年来出台的关于个人信息保护的法律法规都有着明确的规定。

2017年6月1日施行的《网络安全法》的第四十一条规定:

“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”

2018年正式实施的国家标准《信息安全技术个人信息安全规范》对个人信息进行明确地说明和示例:

如果从信息本身的特殊性识别出自然人,或者该消费者在其活动中产生的关联信息,这些信息即为个人信息。并规定App开展个人信息处理活动应遵循合法、正当、必要的原则,例如采集信息要具有明确、清晰、具体的使用目的,并征求消费者授权同意,个人信息的收集类型、频率和数量应在必要性的最小要求之内,即符合最少够用原则。

个人金融信息是个人信息领域敏感和备受关注的部分。2020年2月,中国人民银行印发了JR/T0171-2020《个人金融信息保护技术规范》:

根据个人金融信息按敏感程度、泄露后造成的危害程度,可以从高到低分为C3、C2、C1三个类别;同时,规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。

2019年11月,网信办、工信部、公安部和市场监管总局四部委制定发布《App违法违规收集使用个人信息行为认定方法》:

将App违法违规收集使用个人信息行为概括为六类行为,为统一监管执法尺度提供参考。

①“未公开收集使用规则”

②“未明示收集使用个人信息的目的、方式和范围”

③“未经用户同意收集使用个人信息”

④“违反必要原则,收集与其提供的服务无关的个人信息”

⑤“未经用户同意向他人提供个人信息”

⑥“未按法律规定提供删除或更正个人信息功能或未公布投诉、举报方式等信息”

此外,专项治理工作委托全国信息安全标准化技术委员会组织修订国家标准《个人信息安全规范》,编制国家标准《移动互联网应用程序(App)收集个人信息基本规范》:

明确App收集使用个人信息时应满足的基本要求,以及30类大众化App基本业务功能可收集的最小必要信息,细化落实个人信息收集使用的必要性要求。

由此可见,App过度采集消费者个人敏感信息问题并非无法可依,解决目前普遍App过度采集消费者信息的问题关键在于加强执法力度,同时协调各方面资源,保证个人信息保护法规的落地。此外还要增强消费者自我保护和维权意识。

科技向善助力个人信息保护

当前网络信息科技高速发展,在世界各国都非常重视对于个人信息和数据保护的大背景下,个人信息保护的技术也在发展,一些科技向善的企业开始行动起来:面对一些App大肆采集个人消费者用户信息的做法,部分手机企业从源头出手,力图提醒用户或禁止App对高危隐私的收集。

近日在最新推出的iOS14测试版里,苹果增加了剪切板读取提醒。如果有应用想要悄悄读取剪切板内容,系统会弹出提醒告知用户。

今年7月小米披露,其大面积上线全新的MIUI12系统,通过照明弹、拦截网等全新隐私保护功能应对无赖应用,禁止App的高危行为。在MIUI12照明弹功能模块中,所有App的一切敏感行为都被手机系统忠实记录,并呈现给用户。当敏感系统能力被使用时,会给予用户明显提醒,以前无法察觉的App小动作能一目了然。

不仅如此,华为的EMUI,OPPO的ColorOS等最新版手机操作系统也都不断推陈出新。例如目前的华为EMUI系统支持用户查看权限访问记录,并可以进行全盘加密。而OPPO的ColorOS则可提供空白信息,以及防止App截屏录屏等功能。

同时一些信息技术也在研发,在保护消费者信息的前提下更好地对个人信息的分析和应用,其中代表性的技术就是联邦机器学习和差分隐私计算。

联邦机器学习是一个机器学习框架,能有效帮助多个机构在满足用户隐私保护、数据安全和政府法规的要求下,进行数据使用和机器学习建模。基于分布在多个设备上的数据集构建机器学习模型,同时防止数据泄漏。联邦机器学习可以避免非授权的数据扩散和解决数据孤岛问题。传统的数据集中处理模式存在很多弊端,由于人们需要把数据集中起来进行处理,所以才需要搜集和传输数据,在这个过程中才可能会侵犯隐私,才可能会泄露数据,才可能会产生数据的集中和垄断。

为了改变这种集中处理数据的模式,联邦学习技术和传统的机器学习算法要求集中处理数据不同,联邦学习把算法发到所有的数据拥有者手中,在本地对数据进行学习,然后对所有分别学习的结果进行整合,得到最终结果。形象地说,如果传统的机器学习是把数据“喂”给算法,那么联邦学习就是让算法去主动觅食。最早把联邦学习技术投入应用的是谷歌公司。

2017年,谷歌推出了一款基于安卓手机的联邦学习程序。它通过将算法程序发送到每个用户的手机上,然后回收反馈信息,进而获得想要的分析结论。

在看到了谷歌的实践后,国内的大型互联网企业也很快认识到了联邦学习的价值,“腾讯系”的微众银行、“阿里系”的蚂蚁金服都陆续推出了与之类似的技术解决方案,并将它们应用到了实践领域(注:蚂蚁金服将自己的方案称为“共享学习”,但从本质上看,它和联邦学习的思路是一致的)。

在这些大型互联网企业的推动之下,目前联邦学习技术已经开始在金融、保险、电子商务等领域得到了应用,而其潜在的应用前景更是相当可观。在一些行业研究机构发布的报告中,这一技术甚至已经被誉为了“推动人工智能下一轮高潮的重要力量”,以及“数字时代的新基础设施”。

差分隐私是密码学中的一种手段,旨在提供一种从统计数据库查询时,最大化数据查询的准确性,同时最大限度减少识别其记录的机会。差异隐私的方法涉及给数据添加噪声,或者使用归纳方法掩盖某些敏感属性,直到第三方无法区分个人为止,从而使数据无法恢复以保护用户隐私。至今为止,比较知名的采用差分隐私的应用例如2016年6月13日,苹果公司宣布其在iOS10中使用差异隐私,以改进其虚拟助理和建议技术。

多措并举强化个人信息保护

除了从技术的角度来保护个人信息,还需要营造一个良好的系统性的法制保护环境。根据App专项治理工作组发布的《App违法违规收集使用个人信息专项治理报告(2019)》,2019年以《网络安全法》等法律法规为准绳,制定发布了实施了《儿童个人信息网络保护规定》和《App违法违规收集使用个人信息行为认定方法》,未来还将颁布《数据安全管理办法》和《个人信息出境安全评估办法》,逐步完善个人信息保护的法制环境。

与此同时,对于出现App出现过度采集消费者数据的侵权行为可以由网信办等执法部门发起调查;对于App出现过度采集消费者数据的侵权行为造成了严重社会后果的,需要提交公安部门进行刑事处理。

由于App过度采集消费者个人数据的情况普遍存在,涉及面广,保护消费者个人信息工作存在一定难度,需要如下多方的措施并举:

01

网信办等相关监管部门

一是网信办等相关监管部门对App的个人信息采集进行进一步地规范和细化。今年8月底前,有关部门将上线运行全国App技术检测平台管理系统,对用户规模大、问题反映集中的App、小程序等进行深度评估。针对面部特征等生物特征信息收集使用不规范,App后台自启动、关联启动、私自调用权限上传个人信息,录音、拍照等敏感权限滥用等社会反映强烈的重点问题,今年有关部门也将开展专题研究和深度检测与处理。

02

App发布平台

二是App发布平台要肩负起维护消费者权益的社会责任,例如华为应用市场和苹果AppStore也要设定门槛,对那些严重侵犯消费者个人信息的App采用黑名单和禁入机制。

03

广大消费者

三是增强消费者和消费者权益组织的维权意识。对于这种漠视消费者权益,随意采集个人敏感信息的App及时向监管部门进行举报和追踪。App违法违规收集使用个人信息治理工作组利用微信公众号(“App个人信息举报”)、网站(pip.tc260.org.cn)两种专门渠道,受理广大网民关于违法违规收集使用个人信息的线索举报和问题反映。同时,广大网民也可向违法和不良信息举报中心(www.12377.cn)、网络不良与垃圾信息举报受理中心(www.12321.cn)等平台举报和反映不法行为。

04

App网络运营商

四是App网络运营商要加强行业自律意识,积极主动地通过App个人信息安全认证,只追求商业利益,而漠视消费者的合法权益最终会损坏到自身的商业利益。

05

行业监管部门

五是对于一些有行业性质的App的过度个人信息采集,例如金融领域的App,除了网络安全监管部门介入执法之外,相关行业监管部门(例如央行征信管理局)也要适时介入,以便统筹协调。

App过度信息采集涉及商业利益,同时随着新技术出现和深入地应用会不断有一些新的问题出现,所以App应用与个人信息保护的博弈局面会长期存在。但保证消费者的基本利益不受侵犯,这需要未来多方长期的努力、技术的进步和法制环境的逐步完善。

信用在线