监管“组合拳”下 个人信息“裸奔”时代将终结

本报记者 周丽敏 曲忠芳 北京报道

11月2日，中国内地的苹果（Apple）用户普遍发现，自己的邮箱里收到了一封由苹果公司官方群发的、主题为“Apple已为《个人信息保护法》做好准备”的邮件。点击邮件正文中的链接，可以查到苹果最新的隐私政策，对于如何收集、使用和共享用户的个人数据做了详细的阐述。

就在苹果群发邮件几日前的10月30日，富途证券、老虎证券等互联网券商平台也向用户群发了类似说明邮件。富途证券表态，“仅收集向您提供您使用的服务所需的最少个人信息”，老虎证券也将自身更新的隐私政策通知到中国内地全体用户。

除此之外，《中国经营报》记者通过亲身体验和多方采访获悉，自10月底至今，几乎所有的主流App（应用软件）均更新了隐私政策、用户协议等涉及个人信息保护的相关文件，且通过简化版声明、关键文字加粗、图文或者视频等多种形式让用户最大可能地知悉隐私政策内容，并且在此基础上“点击”同意。

相关企业之所以迫切调整自身隐私政策，主要原因在于，被业界视为个人信息保护领域“基本法”的《个人信息保护法》于11月1日起正式施行。《个人信息保护法》对“个人信息处理规则”“敏感个人信息的处理规则”等做了明确严格的约束与要求。除此之外，近大半年来，关于数据安全、个人信息保护的配套法律以及行业法规密集出台，个人信息保护步入强监管时代。在法律监管组合拳重击之下，互联网企业的合规门槛大幅提升。

个人信息处理步入强监管时代

《个人信息保护法》于8月20日由全国人大常委会表决通过，从11月1日起正式施行，全文共八章七十四条，全面系统地对个人信息的定义与权利、处理原则、个人信息处理者的义务和法律责任做了明确规定。尤其是对近年来社会大众高度关注的热点问题及争议——如“大数据杀熟”“人脸识别滥用”“算法推送”“个人信息跨境”“未成年人信息”等，都做了明确界定和要求。

本报记者通过梳理注意到，在《个人信息保护法》正式施行之前，《数据安全法》已于9月1日施行，对数据处理各方义务做了明确规定，并加大了数据安全违法处罚力度。《个人信息保护法》《数据安全法》和《网络安全法》这三大法律，将全面构筑起我国信息安全领域的法律框架。与此同时，包括工信部、网信办、国家市场监管总局在内的相关主管部门颁布了多项规章及其他规范性文件。

比如，工信部于9月30日发布《工业和信息化领域数据安全管理办法（试行）（征求意见稿）》公开征求社会意见，明确数据分类分级保护、重要数据管理具体要求；11月8日印发《关于开展信息通信服务感知提升行动的通知》，其中要求相关企业建立“已收集个人信息清单”和“与第三方共享个人清单”（合称“双清单”），并在App二级菜单中展示。首批“双清单”企业包含39家主要互联网企业，几乎覆盖了广大用户最常用的App运营方。更早之前，由网信办、工信部、公安部和国家市场监管总局四部门联合印发的《常见App必要个人信息范围规定》于5月1日施行，最高人民法院发布的《关于审理使用人脸识别技术处理个人信息相关民事案件适用法若干问题的规定》于8月1日起施行。

北京云嘉律师事务所律师、中国政法大学知识产权中心研究员赵占领向记者指出，国家在个人信息保护方面举措较多有目共睹，不仅从立法层面形成了一整套关于个人信息保护的法律体系，且对个人信息处理行为的监管从不同角度进行加强，各部门从不同的监管、执法等角度都保持了比较大的力度，因此个人信息保护迎来了一个强监管时代。

金融科技行业专家张鲲持相同看法。在张鲲看来，《个人信息保护法》及相关配套法律法规的施行，以往利用个人数据变现、野蛮生长的时代结束了，“个人信息可携带权”等权利的阐明，意味着个人信息的掌控权逐步回归到个人手中。

上海申伦律师事务所律师夏海龙认为，随着相关法律法规逐步健全、执法力度逐步加大、惩处手段逐渐完善，企业的违规、违法成本将显著加大，这表明个人信息保护和数据安全合规已经成为互联网监管的重要领域。

主流App积极应对：最小化、透明化

当记者打开某短视频App时，页面跳出“个人信息保护指引”，相当于一份简化版的《用户服务协议》《隐私政策》说明，点击进入《隐私政策》原文，记者注意到该政策于11月1日更新，于11月8日生效，关于个人信息权益的重要条款已用加粗形式提示。记者注意到，在“设置”功能二级菜单中，“个人信息收集清单”与“第三方SDK（软件开发包）目录列表”均已清晰展示。

在某生活类App内，平台还新增了“个人信息下载”功能，输入邮箱地址，不到1分钟就收到了平台发送的文档，内容比较简单，包括用户名、头像、手机号、注册时间四项个人账号相关信息。

同样提供个人信息副本获取或下载功能的还有不少App，有的是从App自行操作导出，有的从App指定的反馈界面提交申请，还有的则通过指定的邮箱、电话等渠道联系相关隐私保护部门。与此同时，像广为用户诟病的个性化内容广告推荐，用户在这些App内可以容易找到关闭按钮。

赵占领律师指出，以往各平台的隐私政策文字非常多，而且用户读起来往往是晦涩难懂。按照《个人信息保护法》等相关规定，企业在收集用户个人信息之前，应当向用户明确告知收集的个人信息的类型、范围、使用方式等。近来，各个互联网企业添加了简化版政策声明、双清单、下载导出等新功能，位置突出、方便查询，其收集、使用、存储、转让共享、注销等处理信息的全流程更加透明化，其目的在于最大可能地保障用户知悉隐私保护政策，并在知情的基础上点击“同意”。

记者从数名在互联网企业内部工作的法务、技术人员处了解到，《个人信息保护法》施行后，许多App运营方对个人信息的收集从原来的“野蛮式”的“最大化”转变成了“最小化”，这是因为掌握个人信息数据量越多意味着更多的安全保护义务和责任。

数据安全和个人信息保护是一道持续的社会课题。在记者的测试体验中，除了用户规模较大的主流App之外，还有更多App在个人信息保护方面暂时仍停留在简单调整修改自身隐私政策方面，用户仍无法全面清晰地获悉自身个人信息被处理的情况。

专家提醒广大用户知晓并用好自身权利

在法律监管组合拳下，个人信息保护在技术方面也存在较大的提升空间。张鲲告诉记者，“彻底的数据保护，只需完全断开个人信息的授权即可，但是不流通的数据是没有价值的。现阶段的难点在于保证数据一定程度流通的前提下，保护个人信息。”张鲲认为，涉及最核心的技术在于隐私计算，目前隐私计算正在从技术阶段向应用阶段过渡。

赵占领律师从法律角度提醒广大用户，首先提高法律意识，在使用互联网服务时遇到要求收集用户个人信息，要判断收集这些个人信息是否必要，如果是敏感信息是否经过了用户同意；如果用户不同意的情况下，企业是否因此而拒绝向用户提供基本的服务，比如不让接着注册账户、不能使用基本功能。这样的行为是明显违法的，可以向相关监管部门举报。另外，用户对于《个人信息保护法》施行后，自身所享有的权利应该清晰明了。

夏海龙律师则提醒，最重要的一点就是，通过官方、权威渠道获取正规App，不点击陌生链接，谨慎下载、使用不熟悉的App。更为重要的是，熟悉App中关于个人信息和隐私保护的协议相关设置，关闭那些不必要的功能和授权。

北京寻真律师事务所主任律师王德怡告诉记者，《个人信息保护法》根据相应的情形，规定了行政处罚的标准；还允许人民检察院、消费者组织及由国家网信部门确定的组织提起诉讼，这些都是法律制度上的进步。但对于侵权赔偿数额的规定比较模糊。用户不仅要知法、懂法，而且在遇到个人信息受到损害的情况下，要善于利用法律武器保障合法权益。