2021年11月1日,《个人信息保护法》(以下简称“个保法”)正式实施。作为国内首部专门针对个人信息保护的系统性、综合性法律,“个保法”明确要求个人信息处理者在收集、使用、加工、传输、存储他人个人信息时遵循合法、正当、必要和诚信等原则。该法的焦点之一在于对企业的影响,比如规定有关数据平台企业要建立合规制度体系,明确其保护个人信息、定期发布个人信息保护社会责任报告等一系列法定义务。
开展个人信息保护与数据合规,对相关企业是“成本增加”还是“资产增值”?多家受访企业表示,从企业长远发展、消费者权益保障、政府监管与政策导向的宏观视角来看,个人信息保护实则是一项能带来诸多效益、促进多方共赢的重要举措,它不仅能够规范市场秩序,更能为企业赢得用户信任,这对企业来说是一笔巨大的“隐形资产”。
个人信息保护一直以来都是社会各界关注的焦点。尤其是在人工智能加速发展的背景下,诸多场景愈发面临个人信息被过度使用、滥用甚至泄露的风险。
针对个人信息被“过度采、强制要、诱导取、违规用”等问题,2023年6月,在国家网信办网络执法与监督局的指导下,上海市网信办、上海市市场监督管理局联合部分行业主管部门启动“亮剑浦江·消费领域个人信息权益保护专项执法行动”,对扫码点餐、停车扫码缴费、少儿学习培训、网络理财小贷、房产中介、租借充电器、商超购物、汽车4S店等八大日常消费场景,分阶段、分重点、分领域开展专项执法行动。
2024年,专项执法行动向纵深推进,聚焦扫码点餐、停车扫码、景点景区购票服务、人脸识别滥用、未成年人个人信息保护等重点场景,区分具体化应用场景,提出风险与合规成本相适配的规范指引体系,贯穿个人信息收集、存储、使用、加工、传输等全流程。
两年执法行动成效如何?近日,澎湃新闻记者深入上海静安、徐汇和普陀等多区多个消费场景,发现多数消费场景的个人信息合规处理确实有了明显改观,市民在消费领域中的安全感也在逐步提升。
在租用共享充电宝消费场景,上海静安区威海路附近商铺的多个不同品牌的充电宝租借处,通过微信或支付宝扫码即可直接租借,不再需要登录微信或手机号码。
在咖啡点单场景,连锁咖啡品牌“manner”扫码之后、点单之前需勾选并同意“隐私政策”“用户协议”等提示,此后弹出的页面显示“开始点单”、“会员积分码”两个按钮,且“开始点单”按钮更加显眼,点击后即直接跳转支付。在连锁咖啡品牌“瑞幸”,扫码之后同样会跳转至“我已阅读并同意本温馨提示内容及相关协议”页面,其中包括“开启位置权限后获取位置信息”“根据位置信息提供更契合需求的页面展示”等。澎湃新闻发现,点单前除了选择“我已阅读并同意相关协议、隐私权政策”外,还有三个按钮,从上至下依次为“微信一键登录”“手机号登录”和“免登录”,点击任意按钮均可跳转到点单页面。
在停车扫码缴费场景,在位于上海静安区的“兴业太古汇”地下停车场,澎湃新闻记者走访发现,停车场内部贴有支付页面,分别为“注册会员”和“即刻缴费”。点击“即刻缴费”后,车主填写车牌号后可立即支付停车费并快速离场。
在人脸识别技术应用场景,普陀区镇坪路地铁站某出口,一台显示经营者为“北京泰和瑞通云商科技有限公司上海分公司”的自动贩售机上,虽有“刷脸支付”标识,但在实际使用中,该选项已下线,消费者可以直接扫码开柜门获取需要的商品。“以前总觉得为了买一瓶水,还要出让自己的人脸信息,很不值得。所以,宁可忍一会走出地铁站,到便利店去购买,才感觉安心。现在这种担心放下了”,一位在地铁站内自动售货机买水的乘客对比介绍自己心态变化。
家住普陀区的上海市民小周说,去年点单某品牌咖啡是无法跳过“登录”选项的,经常被索取微信或电话号码。即使最终她还是会选择登录,但也会因为个人信息被索取而惴惴不安。但今年她发现,包括咖啡点单在内的多个扫码消费场景,都不再需要微信或电话登录,“有‘免登录’的选项节省了时间,也多了一点安全感。”
消费者的感受也得到了第三方评估机构的认同。澎湃新闻了解到,为了对“亮剑浦江”专项执法行动成效进行客观呈现和综合评估,华东政法大学作为中立第三方连续受邀成立评估项目组,开展调研评估。对2024年的专项执法行动,评估项目组认为,行动贯穿个人信息收集、存储、使用、加工、传输等全流程,实现“前端”“后端”综合治理,特别是针对彰显上海特色的咖啡领域和具有高度敏感性的人脸识别技术应用领域,提出风险与合规成本相适配的规范指引体系,以点带面,促进上海个人信息保护现状得到进一步改观。
收集个人信息应当限于实现处理目的的最小范围,不得过度收集;不得对个人在交易价格等交易条件上实行不合理的差别待遇;提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者应当建立健全个人信息保护合规制度体系,定期发布个人信息保护社会责任报告……作为国内第一部个人信息保护方面的专门法律,“个保法”充分回应了社会关切,为破解个人信息保护中的热点难点问题提供了强有力的法律保障。
对消费者来说,企业做好数据合规能进一步保障个人信息安全,减少隐私泄露风险。那么对于企业来说,这笔“账”应该怎么算?
美团充电宝相关工作人员告诉澎湃新闻,2023年,美团充电宝已全面接入美团App隐私注册管理平台,严格落实“最小必要”原则收集用户隐私数据。
“在用户使用美团充电宝时,我们会通过隐私弹窗等方式向用户告知《隐私政策》以及提供服务所需调用的隐私权限,明示个人信息或隐私权限收集、使用的具体规则,并经用户主动勾选同意以保障用户知情权、选择权。”前述工作人员介绍,在数据安全保障方面,美团充电宝内部已建立严格的数据安全管理制度,采取访问控制、保密分类、数据加密及脱敏等手段,以防止未经授权的访问、泄露、不当使用等违规处理数据及个人信息的行为。
数据合规必然会导致企业成本增加?必然导致获客及营销成本增加?如何看待这种成本的增加?
“成本可以分为两个维度。一是增加前述环节同时会增加用户理解成本,导致一部分用户流失,企业就需要投入更多成本获客;二是在个人信息保护项目上所投入的产研成本,以及后续相关岗位审核合理性的成本。”相关工作人员表示,这些成本的增加是必要的,美团充电宝也在积极配合相关部门做好数据合规工作。
“充电宝行业准入门槛低,随着市场下沉和入场品牌增加,难免有乱象产生。”前述相关工作人员强调,美团充电宝作为行业头部品牌,更有必要配合相关部门做好个人信息保护,规避风险,“对于企业本身和整个行业来说具有正向作用。”
“如果用户在单次的消费体验受损,对于数据共享和担保存有疑虑甚至担心个人隐私泄露,长此以往会影响用户对整个行业的信任度。”他说,“因此不管是单次还是长期体验,我们都希望用户个人信息保护做得更好。”
针对自动售货机存在的诱导使用刷脸支付、未尽告知义务等违规收集个人信息问题,2024年8月,上海市网信办会同上海市市场监管局、上海市国资委依法联合约谈上海申通地铁资产经营管理有限公司及三家自动售货机运营企业。近期,上海市网信办、上海市市场监管局还联合申通地铁、支付宝、微信支付组织开展“自动售货机个人信息保护普法培训会”。
上海一自动售货机企业相关工作人员告诉澎湃新闻,被上海市网信办、上海市市场监管局等约谈后,企业立即关闭设备自查,并在系统内部进行敏感数据泄漏的风险排查,开展针对数据管理平台的应急演练。其次,在消费者使用端增加了用户同意环节,新增作为自动售货机经营主体的隐私政策,并对消费者个人手机号进行加密、脱敏处理。
“这次培训包括之前的约谈,整体上都是让我们企业走得更远走得更好的保障。”上述企业相关工作人员表示,被约谈之前,企业对落实相关法律法规确实有疏忽之处,约谈和培训之后意识到需要更加落地对个人信息保护的行动。“对消费者来说,我们是不是一家可靠的企业,都是在这些方方面面体现的。”
“上海市网信办和市监局相当于给我们做了一个排雷系统,他们给我们、给我们这个行业提出的这些问题,指导我们整改,是为了让我们能更合规地运营。”上述企业相关工作人员表示,一方面数据合规能提升用户对企业的信任,另一方面企业自身也会因为系统的完善和不断迭代,增强企业竞争力。
多家受访企业表示,立足长远,个人信息保护是一本多赢的经济账。企业通过合规建设收获长远利益,消费者权益得到有效保障,政府与政策引导市场健康发展,各方积极协同,共同推动个人信息保护工作的深入开展。
知名经济学者、工信部信息通信经济专家委员会委员盘和林撰文称,实际上,个人信息保护法说到底是针对个体层面的权益保护法律,与企业不具有直接关联关系,因法律实施而产生的企业合规成本一直存在,但由于监管缺位,加之用户对于个人信息价值不敏感,导致企业可以不进行内部合规建设,从而节省了这部分开支。
“从这个角度来讲,个人信息保护法只是通过强制规定让企业花该花的钱。因此,个人信息保护法作为新的市场规则,并没有直接作用于当前市场格局,而只是规范了市场秩序,这样的规则对市场应该是长期利好的。”他认为。
华东政法大学教授、博士生导师,互联网法治研究院院长高富平也提到,只要遵循法律法规管理好用户身份信息,数据合规技术上的难度并不高。“对大型企业来说,他们的全流程合规方面做得相对完善,但部分中小企业的个人信息保护观念相对淡薄,个人信息的处理方案并不妥善。”
“其实,保护个人信息也是员工教育和理念转型问题,要形成尊重个人、保护个人信息的文化,做好信息保护是企业在数字时代从事经营活动应该付出的成本。”高富平说。
从监管角度出发,盘和林告诉澎湃新闻,严厉的执法和处罚是推动企业从被动向主动的主要手段,但现阶段尚未有一套行之有效的个人信息泄露问题的发现机制,因为数据信息泄露非常隐蔽,普通人根本不知道哪个应用泄露了自己的信息,所以无法发现导致往往无人去维权,此时管理者需要通过技术手段主动去发现问题。
“实际上,企业主要是基于要利用信息和数据的价值,而在利用数据和信息过程中,按道理需要探索出合规使用路径才可以使用。”盘和林说,但现实情况是,直接使用数据和信息的企业并未受到严厉处罚,而找到合规使用路径的企业需要投入大量成本,也就是说,如果个人信息和数据的保护严格到一定程度,企业自然会做出正确的选择。
对于促进数据合规,盘和林认为,思路应该是系统性的。“比如可以对企业信息保护的机制给予评估,定期和不定期都可以。比如以区块链技术给信息打标签,在发现信息泄露的时候方便倒查信息泄露点。比如可用不可见的脱敏脱密数据预处理模式,比如数据场景模式,只允许找到合规使用路径的场景和企业开放数据服务和销售业务。”
盘和林也提到,随着个人信息保护场景的扩大,个人信息保护还存在一些覆盖死角。诸如推荐算法还存在普遍的消费者偏好数据读取的问题,尚待继续完善场景应用机制。
党的二十届三中全会明确了进一步全面深化改革的目标和任务,其中对加快构建促进数字经济发展体制机制和完善数据要素市场制度规则等作出了详细部署。
中央财经大学中国互联网经济研究院副院长欧阳日辉曾撰文称,在数字经济时代,数据是新的生产要素,是基础性资源和战略性资源,也是重要生产力。数字信任是数字经济发展和创新的基础。数字经济时代的数字信任,是个人和组织参与经济交易的基本信任,信任的经济功能将放大。数字信任有助于解决数据治理和安全问题,促进数据要素市场形成,支撑数据的市场化配置,推动数字经济发展。
“数据要素市场的发展激发了大家对数据应用的热情,个人信息作为社会治理、产品营销、市场推送活动的必要要素,应用变得频繁,需求也变得更大了。”高富平说。
正是基于此,上海相关部门一直在行动。上海市网信办、上海市市场监管局协同多个部门启动开展“‘亮剑浦江·2024’消费领域个人信息权益保护专项执法行动”。今年行动的成果之一,就是结合两年来网信执法实践成果,围绕个人信息保护法,将首次面向企业面向消费者推出4个大礼包,通过释法、指导、评估、保护四个层次,提供个人信息合规利用立体化、集约化管理框架与工具,进一步优化企业合规效果,提升全社会个人信息权益保护意识,通过构建“政府—用户—平台—企业”之间稳定的数字信任关系,推动我国数字经济进入良性竞争和健康发展的状态。