近日,工信部在重拳整治了APP違規調用通訊錄、位置資訊以及彈窗騷擾用戶等問題后,又調查了APP超範圍、高頻次索取許可權,非服務場景必需時收集用戶個人資訊,欺騙誘導使用者下載等違規問題,共發現"騰訊新聞""QQ音樂""小紅書"等38款APP存在問題。 在互聯網時代,個人資訊是許多單位盈利的重要來源,"能收則收、多多益善"是多數APP的設計思路。 客戶資源、精準行銷、廣告推送甚至大數據殺熟,都需要依靠大量個人資訊。 將本單位掌握的個人資訊提供給第三方以獲取利益,是很多行業的潛規則。 在黑市,個人資訊已有不菲的交易價值,並形成龐大的黑灰產業鏈。 近年來,各地公安機關破獲了多起在「暗網」上交易公民個人資訊的案件。
類似案件中的個人資訊,多數是從銀行、醫院、通信公司、培訓機構、房產公司和互聯網企業洩露出去的。 雖然許多案件在司法機關調查後發現,洩露原因是單位內鬼,或者系駭客利用單位系統漏洞而爬取所得,但是,單位對資訊、人員、系統的管理過失也是重要原因。 長期以來,單位管理過失是我國在公民個人信息保護上的頑疾。 顯然,為了從源頭上遏制公民個人資訊洩露問題,我們需要減少個人資訊收集範圍、強化收集單位的管理責任。 個人資訊對企業而言不僅意味著數據資源,更意味著法律責任,法律要警示收集單位"多收集一條個人資訊,多增加一份法律責任"。 一方面,單位收集個人信息應當嚴格遵守"最少收集"原則。 在數字時代,"多收集多得利"是行業共識。 2021年第三季度,相關機構在對全國APP進行抽樣檢測后發現,接近六成的APP"違規收集個人資訊"。 為了糾正這一亂象,2021年11月實施的《個人信息保護法》第6條規定:"收集個人資訊,應當限於實現處理目的的最小範圍,不得過度收集個人資訊。 "該條確立的"最小範圍"對症下藥,可以有效解決我國個人信息洩露的亂象。 前幾年,大量APP收集與服務無關的資訊,如導航、讀書APP等要收集個人通訊錄等,其目的無非是想擴大用戶數量、搶佔市場份額。 為了獲得收集的正當性,在《個人信息保護法》出臺前,各種APP競相採用冗長的"告知-同意"授權書,或者採用"不授權就無法使用"規避法律風險。 近年來,很多單位又熱衷於人臉識別,大量收集個人生物識別資訊以提高商業利潤。 2021年「3·15晚會」就曝光了多個門店抓取人臉數據,分析顧客到店頻次、性別、年齡乃至情緒好壞。 在多數情況下,顧客對於被抓拍、分析並無感知,更不存在"告知-同意"的基本程式。 這些人臉識別應用,基本上都缺乏必要性與正當性,西方國家正在逐漸限制濫用人臉識別。 無疑,《個人信息保護法》確立的"最少收集"比"必要性""告知-同意"等原則的標準更高。 顯然,即使相關單位有必要收集個人資訊,但如果能夠採用其他驗證方式,也不能收集生物識別資訊,而應"採取對個人權益影響最小的方式"處理個人資訊。 同樣,即使使用者同意,也不意味著收集行為的正當性。 按照「最少收集」原則,多數APP都需要整改,縮小收集範圍,而不能以使用者同意為擋箭牌。 另一方面,應當對違規單位追究"最嚴責任"。 我國《個人信息保護法》大幅度提高了違規單位的違法成本,確立了比史上最嚴的《歐盟的通用數據保護條例》還高的罰則:最高罰款為上一年度營業額的5%。 立法者保護公民個人資訊的決心顯而易見。 但是,徒法不足以自行,商業機構多是利益導向型,只有落實嚴厲的罰則,才能夠敦促其做好個人信息保護工作。 在發達國家,保護個人資訊的主要方式是強化單位管理責任。 歐美監管機構對洩露資訊企業的罰款動輒數億美元。 例如,2020年初,美國互聯網巨頭推特與美國證券監管機構FTC就資訊洩露問題達成50億美元的和解協定。 高額罰款推動美國互聯網企業不斷加強個人信息保護力度,減少個人資訊收集範圍,提高系統安全防護力度,向第三方提供使用者資訊時更加謹慎。 在我國,保護公民個人資訊的主要方式是追究違法個人的刑事責任。 近年來,我國司法機關通過「侵犯公民個人資訊罪」,打擊了大量盜取、倒賣公民個人信息的個人,但很少追究單位的法律責任。 一批又一批倒賣者被送進監獄,但個人信息洩露問題仍未得到有效治理。 在犯罪學上,溯源治理才能標本兼治。 相信《個人信息保護法》施行后,針對資訊收集、處理單位的高額罰款,將有利於從源頭上堵住個人資訊洩露的漏洞,從根本上鏟除個人信息買賣的黑灰產業鏈條。 無個人資訊則無人格尊嚴。 在數位時代,網路空間已經成為個人的第二生活空間,個人資訊就是公民的數位化存在。 個人信息洩露會侵犯個人隱私與尊嚴,侵犯個人財產權利,甚至會威脅個人生命健康權。 只有奉行「最少收集、最嚴處罰」的原則,才能敦促收集單位既把個人信息當成盈利管道,又當成風險來源,進而讓數字經濟成為人民群眾滿意的安全產業。 (作者是浙江大學數位法治研究院副院長)
|