不得不承认,一些 App 们总喜欢“耍流氓”。
更新了 iOS 14后,我的手机时刻都在提醒我谁在“偷窥”我,简直不要太好用。
不过,除了苹果和小米有这样的隐私保护功能外,其他手机用户依旧会受到这样的困扰。
就拿我们最常见的手机权限来说,访问相册,开启定位,获取联系人列表,还有调用麦克风……弹窗一多,图方便或是无所谓的朋友基本就无脑点“允许”了。
当然,有时我们也没什么自主选择权,毕竟一禁止,人家可能就不让你正常使用了。
更多时候,为了一句“提供更好更安全的用户体验”,我们也只得将数据双手奉上,而互联网大厂也大可以用一句“用隐私换便利”的说法,来为自己圆场。
的确,很多人并不反感这样的便利,就像是淘宝的“猜你喜欢”页面,就省去了很多人去思考“该买点什么”的过程,哪怕这些推荐都是淘宝收集你的搜索记录、购买习惯和点击历史等数据生成的。
但事实上大部分人的个人信息依旧在裸奔。
所幸,我们期盼已久的个人信息保护法草案终于要呼之欲出了,以后,即便我们的手机没有像苹果和小米的隐私保护政策,我们也能给那些“流氓 App ”们治罪了。
1
个人信息保护法草案将出台
10月13日,个人信息保护法草案提请十三届全国人大常委会第二十二次会议初次审议。
据悉,此次草案明确了适用范围,健全了个人信息处理规则,与民法典有关规定衔接,规定了个人信息处理活动中个人的各项权利,对敏感个人信息给出定义,成为公民个体权利的延伸。
草案共八章七十条。草案确立了以“告知——同意”为核心的个人信息处理系列规则,要求处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。
2
把知情权、选择权留给用户
就目前已知的信息来看,此次草案的一个核心要点是要将知情权、选择权留给用户,具体来看,有五大亮点:
一、个人信息不包括“匿名化处理后的信息”
草案首先对何为个人信息做出了界定。
草案明确个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。
需要注意的是,与民法典规定相比,本次草案明确了个人信息“不包括匿名化处理后的信息。”
据了解,企业收集个人信息最常见的日常应用就是进行个性化推荐。如抖音推送的视频、淘宝的广告等。其中不少过于精准的推送甚至会让用户产生自己“被手机监听”的感觉。
对此,草案对于饱受用户诟病的精准推送问题也做出了一定限制。对于一些平台利用用户大数据推送个性化广告,草案对此强调,通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项。
草案明确,处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。
二、敏感信息限制更为严格
针对明星身份信息、航班信息等频遭买卖,公民个人信息可通过“人肉搜索”花钱在黑产端找到,个人敏感信息“裸奔”的现象,草案也做出了更严格的规定。
根据草案,敏感个人信息包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等。个人信息处理者只有在具有特定的目的和充分的必要性的情形下,方可处理敏感个人信息,并且应当取得个人的单独同意或者书面同意。
值得注意的是,草案对疫情时期公民出行必须填写“健康码”等特殊情况也做出了规定。其将应对突发公共卫生事件,或者紧急情况下保护自然人的生命健康,作为处理个人信息的合法情形之一。
同时,国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。国家机关不得公开或者向他人提供其处理的个人信息,法律、行政法规另有规定或者取得个人同意的除外。
三、健全个人信息处理系列规则
草案确立了个人信息处理应遵循的原则,强调处理个人信息应当采用合法、正当的方式,具有明确、合理的目的,限于实现处理目的的最小范围,公开处理规则,保证信息准确,采取安全保护措施等,并将上述原则贯穿于个人信息处理的全过程、各环节。
值得一提的是,在应对新冠肺炎疫情中,大数据应用为联防联控和复工复产提供了有力支持。为此,草案将应对突发公共卫生事件,或者紧急情况下保护自然人的生命健康,作为处理个人信息的合法情形之一。
同时,草案还确立了以“告知—同意”为核心的个人信息处理一系列规则,要求处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。考虑到经济社会生活的复杂性和个人信息处理的不同情况,草案还对基于个人同意以外合法处理个人信息的情形作了规定。
四、公共场所个人信息不得随意公开
在公共场所安装图像采集、个人身份识别设备,所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供;取得个人单独同意或者法律行政法规另有规定的除外。
五、加大惩处力度,最高处罚营业额5%
本次草案的一大亮点在于对侵害个人信息的处罚力度上,按照规定,处罚的力度甚至超过以严格著称的欧盟《通用数据保护条例》(GDPR)。
草案首先对违反本法规定行为的处罚及侵害个人信息权益的民事赔偿等作了规定。
同时规定,有前款规定的违法行为,情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,并处5000万元以下或者上一年度营业额5% 以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;
对直接负责的主管人员和其他责任人员处10万元以上100万元以下罚款。
此外,草案规定,有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。对侵害个人信息权益的民事赔偿,按照个人所受损失或者个人信息处理者所获利益确定数额,上述数额无法确定的,由人民法院根据实际情况确定赔偿数额。
诚然,没有人会觉得数据被私自调用是合情合理的事情,一旦加上了法律的枷锁,相信守住自己的私密数据也不是难事。
3
互联网公司机遇与挑战并存
草案的出台,对于互联网公司们来说则是机遇与挑战并存的。
挑战来自于草案对用户数据的自主上作了限制。
对于互联网巨头们来讲,隐私意味着数据,用户数据就是公司最大的资产,公司的收入和市值,都建立在海量的用户数据上。
而互联网公司就是依靠这些海量数据变现的。
需要注意的是,这并不能证明互联网公司在侵犯隐私,还要看他们用这些数据来做什么。
所以,当用户有了自主选择的权利,互联网公司们想要获取海量数据也会变为难题,也就是恰饭会受到影响。
正如前文中所述,此次草案出台的一个核心目的是让用户拥有知情权和选择权,对于用户来说是大快人心,但对于互联网公司们来说这是一件不小的难题,如何在合规和恰饭之间找到一个平衡点,是互联网公司们最棘手的问题。
而机遇则来自于草案会引起互联网公司对隐私的重视。
对于互联网公司来说,如何保护用户的隐私也是他们长期思考的一个问题。
比如小米公司。2014年,小米就成立了信息安全与隐私委员会,通过技术防护、流程制度、评估和审查机制等,来给小米建立一套完善的安全与隐私管理体系。
当然,类似的公司也不在少数,草案的出台无疑会让行业内意识到隐私的重要性,让更多互联网公司加入到隐私保护的行列。
另一方面,无论是欧盟的 GDPR ,还是即将出台的个人信息保护法草案,他们的最终目的都是希望推动数据的合理使用,给用户更多的自主选择权,对隐私给予足够的重视。
这对用户,对互联网公司来说这都是一件好事。
虽然,我们想要完全保护隐私信息,依旧是一件很困难的事,但好在我们在慢慢意识到隐私的重要性。