繼個人信息保護法施行后 工信部要求建立與第三方共享個人信息清單

針對個人信息野蠻掘金的時代結束了

在手機上瀏覽購房信息，轉身就接到裝修銷售電話；閑聊中提到某個產品，打開購物APP就收到同類廣告推送……類似上述“被APP監控”的場景，對很多人而言，并不陌生。

11月8日，工信部就《關于開展信息通信服務感知提升行動的通知》進行解讀，指出要建立與第三方共享個人信息清單，讓用戶知道企業收集了哪些信息，信息將被共享到哪里、用在何處。

互聯網與大數據時代，個人信息是寶貴的數字資產，保護個人信息權益是廣大人民群眾最關心最直接最現實的利益問題之一。面對過度收集、非法獲取、非法交易、泄露、濫用等亂象，如何筑牢個人信息安全“金鐘罩”？《個人信息保護法》實施后會帶來哪些改變？如何平衡好數字經濟創新發展和個人信息保護間的關系？記者就此采訪了相關專家。

個人信息安全問題屢遭曝光，線上線下均有隱患

QQ音樂超范圍收集個人信息，亞朵違規使用個人信息……11月3日，工信部通報38款APP存在超范圍、過度收集用戶個人信息等問題，要求11月9日前完成整改。而APP超范圍、高頻次索取權限，非服務場景收集用戶個人信息，正是線上個人信息保護的突出隱患。

記者點開某音樂應用的相關政策說明，在“如何收集和使用個人信息”一章中，除完成注冊及登錄、實現身份認證等使用目的外，還包括對收集的部分個人信息進行商業利用，例如提取瀏覽、搜索偏好、位置信息，推送個性化廣告等，這也是數字經濟時代個人信息的潛在商業價值。

利用個人信息精準畫像，有利于提升用戶體驗，在數字經濟發展中發揮積極作用，但也產生了大數據“殺熟”等侵犯消費者權益現象。北京市消費者協會開展的專項調查顯示，88.32%的被調查者認為大數據“殺熟”現象普遍或很普遍。

“大家對大數據‘殺熟’的問題感受比較明顯。”公安部第三研究所網絡安全法律研究中心主任、研究員黃道麗說，大數據“殺熟”是指互聯網平臺依靠數據優勢和信息不對稱，對用戶實施價格歧視。它主要由算法定價引起，典型表現為新老用戶在價格上被差別對待。

除不當收集利用之外，一些企業或個人還將個人信息擺上交易桌，明碼標價販賣個人信息，由此滋生出網絡詐騙、電信詐騙等各類違法犯罪活動，形成個人信息泄露、買賣、詐騙的黑色產業鏈。

比如，在江蘇淮安警方破獲的一起侵犯公民個人信息案中，某銀行員工以每條80元到100元的價格，將銀行卡使用人的身份信息、電話號碼、余額甚至交易記錄售賣謀利，涉及個人信息5萬余條；某快遞公司內部員工與外部不法分子勾結，外泄40萬條用戶個人信息，其中約4.5萬條有效信息被以每條1元的價格打包售賣到電信詐騙高發區。

個人信息被侵犯不局限于線上，線下同樣存在隱患，特別是對人臉、指紋、虹膜等生物數據的收集利用。除在車站檢票、移動支付等場景中主動“刷臉”獲取便利外，還有在不知情時被動“刷臉”的風險。

有些門店使用“無感式”人臉識別技術，在未經同意情況下擅自采集消費者人臉信息。10月29日，浙江省杭州市上城區人民法院受理了一起消費者訴商場人臉抓拍的案件。一名大學生在杭州某商場購物時，發現某門店外安裝了人臉識別抓拍攝像頭。消費者只要到店，就會自動被抓拍并注冊為會員，而商家通過將人臉信息與消費行為結合分析，來進行精準營銷。

還有賣家在社交平臺公開售賣人臉識別視頻、買賣人臉信息等，因人臉信息等身份信息泄露導致“被貸款”和隱私權、名譽權被侵害等問題多有發生。全國信息安全標準化技術委員會等成立的APP專項治理工作組發布的《人臉識別應用公眾調研報告（2020）》顯示，在2萬多名受訪者中，有三成受訪者表示已因人臉信息泄露、濫用而遭受隱私或財產損失。

“告知-同意”是《個人信息保護法》的核心規則，收集個人信息應當限于實現處理目的的最小范圍

11月1日，我國第一部個人信息保護的專門法律《個人信息保護法》正式實施。

“這是我國置身數字化時代不可或缺的一項基礎性立法，貼合了關系每個人最直接最現實利益的立法需要。”北京航空航天大學法學院院長龍衛球告訴記者，個人信息是網絡信息化時代開始凸顯的一種新型且頗具基礎性的重要個人利益，它的價值通過數據挖掘和商業應用得以顯現。個人信息保護和數字化發展之間的關系日益復雜，特別是未經同意的個人信息處理和愈演愈烈的濫用行為，成為亟待解決的痛點。

“告知-同意”是《個人信息保護法》確立的個人信息保護核心規則。“《個人信息保護法》明確，處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關，采取對個人權益影響最小的方式。收集個人信息，應當限于實現處理目的的最小范圍。”全國人大常委會法工委經濟法室副主任楊合慶表示，個人信息處理者在取得個人同意的情形下方可處理個人信息，個人信息處理的重要事項發生變更，應當重新向個人告知并取得同意。

在《個人信息保護法》全文中，“告知”一詞出現了16次，“同意”一詞出現了27次。“‘告知-同意’規則是個人對個人信息處理享有知情權、決定權的必然要求。要保證個人對信息處理‘充分知情’，就應該以顯著的方式、清晰易懂的語言讓個人知道誰在處理他的信息、信息被怎樣處理、可能對他造成何種影響，以及怎么要求更正、查詢、刪除個人信息等。”中央黨校（國家行政學院）政法部教授劉銳說。

“同意”并非泛泛而談。《個人信息保護法》明確規定了兩種同意機制，一是廣泛的同意，二是個人單獨同意。比如，該法規定，個人信息處理者處理敏感個人信息、向他人提供或公開個人信息、跨境轉移個人信息等，都應取得個人的單獨同意。

“個人信息對于主體的重要程度不同，有的是敏感信息，有的是隱私信息，有的屬于一般信息，因此告知的強度和同意的方式、明確程度也不盡相同。”中國人民大學法學院教授、中國法學會網絡信息法學研究會副會長張新寶說，《個人信息保護法》對此作了詳細區分。

針對群眾反映強烈的強制索權、不同意就無法使用APP，過度收集用戶信息，大數據“殺熟”等現象，《個人信息保護法》也作出了明確回應。比如，該法第二十四條規定直指大數據“殺熟”，有利于規制人工智能等新興信息技術在個人信息處理領域的應用：個人信息處理者利用個人信息進行自動化決策，應當保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。

“個人信息保護問題往往被技術中立的外衣包裹，甚至被算法等操作系統黑箱化。”龍衛球說，個人信息處理活動本質是一種科技應用活動，不同于一般的行為治理，必須進行科技治理。《個人信息保護法》建立了強大的監管體系，并且深入到技術治理層面，最終目的是讓技術向善發展。

濫用用戶個人信息源于對個人信息的過度采集，“守門人”規定等倒逼互聯網企業規范行為

“我們為你增加了個人信息瀏覽和導出機制，設置了系統權限和應用授權管理入口，增加了個性化推薦管理途徑更詳細地披露了微信是如何處理你的個人信息的。”近期，微信等多家APP向用戶發送了類似告知。

“Apple已為《個人信息保護法》做好準備。”蘋果公司也在發送給用戶的郵件中承諾“確保用戶能了解、能獲取、能更正自己的個人數據，能限制對個人數據的使用，并且能刪除這些數據。”

一家互聯網公司法務表示，“為了遵守《個人信息保護法》，各家互聯網企業的法務都在加班，面對細致的規定，需要改的地方太多了”。

濫用用戶個人信息的背后，實際上是從對個人信息的過度采集開始的。復旦大學中國研究院副研究員劉典告訴記者，“對于平臺型企業來說，用戶信息數據是一項具有商業價值的重要資產，這也是基于平臺經濟的自身特點——有賴于龐大用戶群體形成網絡效應。”

以阿里巴巴為例，用戶在淘寶上的消費記錄，通過算法加以分析，形成對個人的授信核定，繼而催生了花唄等金融產品。

“從信息采集、加工再到價值轉化，是一條完整的數據價值鏈。基于這樣的商業邏輯，很多互聯網公司傾向于盡可能大幅度、廣覆蓋地去采集更多個人信息并形成數據。這就是過度采集的原因。”劉典說。

反觀消費互聯網產業的商業模式，幾乎都建立在基于個人信息的消費數據上，靠廣告盈利也是眾多APP免費的基礎。通過采集信息對用戶“畫像”，其中的核心數據往往和個人信息中偏隱私性的信息高度相關。風險隨之而來，畢竟數據被采集后，其具體應用場景難以預測。

民有所呼，法有所應。《個人信息保護法》第五十八條進一步完善了“守門人條款”：一是將提供基礎性互聯網平臺服務修改為提供重要互聯網平臺服務；二是在第一項中補充了按照國家規定建立健全個人信息保護合規制度體系的義務；三是單獨增加了一項守門人義務，即遵循公開、公平、公正的原則，制定平臺規則，明確平臺內產品或者服務提供者處理個人信息的規范和保護個人信息的義務。

為提升用戶對于個人信息保護的感知，11月1日，工信部印發通知，要求企業建立個人信息保護“雙清單”（即建立已收集個人信息清單、與第三方共享個人信息清單），并在APP二級菜單中展示，方便用戶查詢。同時要求提升APP關鍵責任鏈個人信息保護能力，鼓勵應用商店為本平臺APP提供檢測服務，及時向APP開發者反饋相關問題并督促改正，防止違規APP上架。

統籌兼顧效率與公平、活力與秩序、發展與安全，需要在實踐中找到平衡，護航數字經濟持續健康發展

近十年來我國數字經濟發展勢頭迅猛，據中國信息通信研究院測算，數字經濟增加值已由2011年的9.5萬億元增加到2019年的35.8萬億元，占GDP比重提升了超過15個百分點。2020年新冠肺炎疫情來襲，在線辦公、視頻會議、網上授課等無接觸經濟蓬勃發展，有效對沖了經濟下行風險，加速了企業的數字化戰略布局。一項針對全球兩千多家企業的調研發現，疫情將全球數字化進程至少提前了5至7年。

圍繞數字經濟，不少新業態仍處于發展階段。它們以信息和數據的高度流動共享為發展前提。對大部分用戶而言，一方面厭惡信息分享和數據泄露帶來的風險，另一方面并不排斥基于信息分享基礎下獲取一定的生活便利。這樣的“隱私悖論”并不鮮見。

劉典認為，關于個人信息權益的保護，核心問題在于用戶個人空間的信息被拿出來放入公共領域、商業領域流通，在這個過程中，個體應該獲得讓渡出這部分權利的合理補償。此外，對于用戶其他方面權利可能受到的潛在影響，也應該有一個好的救濟手段。

在劉典看來，《個人信息保護法》對此做出了積極回應：一是明確了個人信息權益保護的具體內容，二是明確了個人信息權益受到損害后有哪些救濟手段，三是完善了對于平臺責任的認定和整個監管框架的建構。未來，如何統籌兼顧效率與公平、活力與秩序、發展與安全這三組關系，還需要在具體的司法、商業實踐中找到平衡。

過去，國內對于違法違規搜集個人信息的處罰手段有限，主要依靠企業自律，或是監管部門采取限期整改、約談和下架等方式，配套法律仍不完善。

此次《個人信息保護法》的生效，對個人信息的濫用可謂“當頭棒喝”。《個人信息保護法》明確，一般的違法行為，可由監管部門責令改正，給予警告，沒收違法所得，對相關應用程序，責令暫停或者終止提供服務；拒不改正的，并處100萬元以下罰款；對直接負責的主管人員和其他直接責任人員處1萬元以上10萬元以下罰款。情節嚴重的違法行為，由省級以上監管部門責令改正，沒收違法所得，并處5000萬元以下或者上一年度營業額5%以下罰款，并可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照。

從強化反壟斷到防止資本無序擴張，再到強化個人信息保護，互聯網企業野蠻生長的時代已經過去，持續健康發展成為數字經濟的主題。（記者 管筱璞 柴雅欣）