信息来源:安全内参
11月1日起,个人信息保护法正式施行。作为首部个人信息保护领域的专门性立法,个人信息的边界如何明确?监管对象是谁?互联网大厂将受到哪些影响?
隐私的核心强调的是秘密和安宁不被外界打扰,不愿为他人知晓,而个人信息往往是社会生活交往中经常会用到的信息,比如电子邮箱、电话。隐私和个人信息之间一个很大的差异在于隐私不能商业化利用,但个人信息很多时候处于一种商业服务场景之下。比如说,在设置登录账号时需要输入个人信息绑定来获取特定的服务。
个人信息保护法中的个人信息概念比民法典和网络安全法都规定得更加宽泛,既是识别也是关联,通俗来说,识别指的是哪些信息能把我从人群中识别出来,比如身份证号,或者毕业学校、工作单位、年龄等信息加在一起把我识别出来。当我这个人已经被识别出来,跟我相关联的其他信息也属于个人信息。
笔者认为只要是有可能对个人产生伤害的,又和个人活动密切相关的信息都可以被当做个人信息来保护。但实操过程中,确实很多数据到底属不属于个人信息会产生一些争议,比如手机的设备信息,虽然是个人的设备,但个人和设备之间的绑定可能会产生变化。
在应用场景下,可以反过来看某一类信息被还原成个人的可能性,以及在共享和合作过程中,对方去把这条信息还原成个人的可能性。
涉及个人信息保护法的监管对象,从前期的收集再到处理、删除、存储、共享信息,监管对象包括了全生命周期中的个人信息处理者——一个普通人平时接触到各个场景下涉及到的个人信息,不管是线下还是线上都会被纳入法律的管理范畴中。
从对象来说的话,只要是处理个人信息的组织或者个人,尤其是掌握大量个人信息的企业都在法律的监管范围内。
我认为在个人信息保护法推出以后,互联网大厂想要再基于个人画像做精准营销,其实是有一些门槛。之前很多互联网大厂手上掌握着大量的个人隐私数据,在过去他们可以通过用户画像来对用户进行针对性商业营销,但在个人信息保护法推出之后,已经针对个人信息处理制定了非常精确的一些规则,比如App不能肆意地违规收集个人信息,更不能拿去销售和交易。
“商业利益是有限的,个人受到的伤害是终生的”
App过度收集个人信息、不授权就不让用等问题久遭用户诟病。个人信息保护中的高额罚款以及举证责任倒置等条款都给企业施加了保护个人信息的义务。
根据个人信息保护法,如果个人信息处理者违规处理个人信息,或者处理个人信息未履行个人信息保护义务,情节严重的,可由省级以上履行个人信息保护职责的部门处以五千万以下或者上一年度营业额百分之五以下罚款。
企业在收集个人信息的时候,它就会判断。收集的环节如果合法性不足,后面会有巨额处罚,它的压力会大很多……其实企业未必有什么心想作恶,但是如果没有法律的压力,很多事情可做可不做(企业可能就不会去做),但现在是必须要做。
另外,对于敏感个人信息和一些特殊场景,个人信息保护法还规定了“取得个人单独同意”的保护规则,对于“单独同意”如何落地也是实务界非常关注的焦点。
个人信息保护法中设置单独同意实则是组合拳中的“一招”。以往的概括性同意中用户可能注意不到某一项敏感信息,而现在单独同意,用户往往会引起警觉,从而很有可能选择拒绝授权,这也促使企业去评估收集敏感个人信息的必要性,并向用户作出合理说明。
一方面,个人信息保护相关的法律法规频频出台,另一方面针对电信诈骗的监管和宣传也在不断发力,但令许多人不解的是,为何电信诈骗依然难以真正地解决?企业又能做些什么?
近几年电信诈骗的对抗性和产业链条呈现体系化的特点,甚至很多电信诈骗者不在境内。在诈骗产业链的前端已经呈现出了很明确的分工,有专门的团伙通过恶意代码嵌入到正常网站中等方法来盗取个人信息,当公众被电话触达之前,我们的个人信息可能已经被诈骗者获取到了。
单个点的防御很难突破诈骗体系化,还是需要从监管到互联网企业形成一套整体方案,更快速高压地持续性打击,来降低电信诈骗受害者的数量。
至于企业对减少电信诈骗能做些什么,企业的数据泄露很大一部分原因是从内部泄露出的。企业尤其需要避免让第三方运维人员、外包人员查到“裸数据”(明文数据),而应让他们看到脱敏数据。
即便是通过技术手段对个人数据脱敏,也无法保证百分之百不会数据泄露,但至少能做到泄露出来的脱敏数据不会成为精准诈骗的“原料”。