客户至上 专业立本 协同创新 追求卓越
“滴滴出行”下架后 ——个人信息该如何保护?
浏览量
2021年7月4日,国家网信办发布公告,“滴滴出行”APP因存在严重违法违规收集使用个人信息问题,被网信办通知下架。在舆论一片哗然之际,7月5日,网络安全审查办公室发布公告称将对“运满满”“货车帮”“BOSS直聘”实施网络安全审查,审查期间停止新用户注册。
监管部门此番动作,引发了全社会各界对于个人信息安全保护、数据合规监管的关注。事实上,“滴滴出行”并非首个因数据违法违规被整改的应用。此前,网信办曾于2021年5月、6月先后对抖音、KEEP等234款App违法违规收集使用个人信息进行通报并要求整改。数据违法违规并非个例,“整改盛筵”折射出个人信息安全保护的现实困境。大数据时代,公民个人信息该如何保护?
一、个人信息,价值几何?
(一)个人信息的范围界定
我国《民法典》、《网络安全法》均对个人信息进行了明确界定。全国信息安全标准化技术委员会发布的《信息安全技术个人信息安全规范》(以下简称“《规范》”)细化区分出“个人信息”与“个人敏感信息”,其中:
“个人信息”包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等;
“个人敏感信息”则更加重要,其是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息,包括身份证件号码、个人生物识别信息、银行账户、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)儿童的个人信息等。其中,收集年满14周岁未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意。
(二)个人信息保护的当前困境
当前,互联网个人信息收集乱象丛生,对我国个人信息安全保护提出严峻的挑战。在这困局之中存在以下主要问题:
1. App超范围收集信息。用户在安装App时,往往会遇到“请求获取位置权限”、“请求访问相机、相册”等获取权限的要求,若不同意勾选,就无法进行下一步操作。过度收集、强制授权已成为App使用常态,用户丧失对个人信息的自主权。
2. 企业的数据“金山”。各种APP收集个人信息后,企业对海量数据进行整理、加工、分析,并加以利用,无论是基于用户画像精准投放广告还是通过电商、优惠券进行变现,用户数据都成为极具价值的资产,无疑是开拓市场的“财富密码”。部分企业以牺牲用户权益为代价,利用数据优势、贩卖个人信息达到利益最大化。个人信息一旦泄露,就为犯罪实施提供了“温床”,犯罪分子利用个人信息实施精准诈骗案件已屡见不鲜,如“徐玉玉案”,并由此引发众多关联犯罪。
徐玉玉案:
家住山东临沂的徐玉玉2016年考上了南京邮电大学,由于家庭困难,她向教育部门申请助学金。2016年8月19日,徐玉玉接到了一通陌生电话,对方声称有一笔2600元助学金要发放给她,但需要把存有学费的银行卡全额提现后存入到指定的助学金账号进行激活。按照对方要求,徐玉玉将准备交学费的9900元打入了骗子提供的账号。发现被骗后,徐玉玉伤心欲绝,郁结于心,她在报案后回家路上突然晕厥,最终导致心脏骤停,经医院抢救不幸离世。
3. 生物识别技术侵犯个人敏感信息。随着人工智能技术的发展,人脸、声音、指纹识别已广泛应用于生活,但这也将引发用户个人隐私信息被过度采集和滥用的风险。值得注意的是,个人的生物信息具有唯一性、永久性与不可替换性,一旦被泄露就会造成永久性泄露,为用户个人人身及财产安全埋下巨大隐患。
二、个人信息的采集处理规则
(一)法律规定
近几年来,我国针对个人信息保护力度加大,已初步形成相关的制度体系。在各项法律法规中,针对个人信息的收集处理,主要适用以下规则:
1. 合法、正当、必要
《网络安全法》第41条规定“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”
《民法典》第1035条规定“处理个人信息的,应当遵循合法、正当、必要原则”,此外还强调“不得过度处理”。
《规范》第4条“个人信息安全基本原则”强调信息收集的“最小必要”原则——只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后,应及时删除个人信息。
2. 明示、公开、同意
《民法典》第1035条规定,个人信息处理应符合以下条件:“(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;(二)公开处理信息的规则;(三)明示处理信息的目的、方式和范围;(四)不违反法律、行政法规的规定和双方的约定。”
3. 严格保密、采取必要及补救措施
《网络安全法》第40条:“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。”第42条:“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”
我国个人信息保护立法尚在制定当中,根据《个人信息保护法(草案)》,强调处理个人信息应当采用合法、正当的方式,具有明确、合理的目的,限于实现处理目的的最小范围,公开处理规则,采取安全保护措施等,体现了“以人为本”的个人信息处理规则。
(二)违法违规收集个人信息的认定
为针对认定违法违规收集使用个人信息行为提供参考,国家网信办等四部委联合制定了《App违法违规收集使用个人信息行为认定方法》,对违法违规行为进行界定。其中,主要的违规行为有:
1. “未公开收集使用规则”,如App中没有隐私政策,未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则,文字过小过密等。
2. “未明示收集使用个人信息的目的、方式和范围”,如未逐一列出App收集使用个人信息的目的、方式、范围,在申请打开可收集个人信息的权限未同步告知用户其目的等。
3. “未经用户同意收集使用个人信息”,如在征得用户同意前就开始收集个人信息或打开可收集个人信息的权限,以默认选择同意隐私政策等非明示方式征求用户同意等。
4. “违反必要原则,收集与其提供的服务无关的个人信息”,如收集的个人信息与现有业务功能无关,因用户不同意收集非必要个人信息或打开非必要权限拒绝提供业务功能等。
5. “未经同意向他人提供个人信息”,如既未经用户同意,也未做匿名化处理,App客户端直接向第三方提供个人信息等。
6. “未按法律规定提供删除或更正个人信息功能”、“未公布投诉、举报方式等信息”,如未提供有效的更正、删除个人信息及注销用户账号功能,更正、删除个人信息或注销用户账号设置不必要或不合理条件等。
根据上述规则,国家网信办对于互联网APP行业进行网络安全审查,从查处公告中可以看出(见下图),APP收集信息的问题主要集中在“未经用户同意收集使用个人信息”“违反必要原则,收集与其提供的服务无关的个人信息”等方面。
三、个人信息安全的保护路径
面对目前的现实困境,维护公民个人信息的安全不仅需要顶层设计的制度支撑,更需要企业、用户树立对于个人信息保护的理念,从个人信息收集的“神经末梢”回溯,切实保障信息收集的合法合规。
1. 公民个人尽到注意义务
为贯彻个人信息收集的“合法、正当、必要”原则、“网络运营者不得收集与其提供的服务无关的个人信息”等规定,国家网信办联合四部委发布《常见类型移动互联网应用程序必要个人信息范围规定》(见附件),明确移动App运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用App基本功能服务。公民个人在日常生活中,可遵循上述规定中的范围,核查手机中安装的APP是否存在收集非必要信息的情况。
2. 监督企业合法合规使用数据
根据《民法典》第1038条“信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。”如个人用户在日常生活中发现企业、APP存在泄露、篡改个人信息情形的,可以向有关部门、平台进行投诉举报;企业自身亦应监督内部对于个人信息的合规使用,定期自查,防止“内鬼”泄露信息。
3. 要求违法者承担行政、刑事责任
根据《网络安全法》第64条,网络运营者、网络产品或者服务的提供者侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可处以警告、没收违法所得、处违法所得一倍以上十倍以下罚款等处罚,情节严重的,可责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处以罚款。如构成犯罪,将追究其相应的刑事责任。