云计算业务承载平台
2022.04.22
你的信息安全吗
在进入正题之前,先问一个问题,你有多久出门没带过钱包了。你出门敢不带手机吗,我想大部分正在看手机的你会条件反射的回答,不敢。看,网络从多大程度上改变了我们的行为方式。作为网络的重度用户,笔者经历了互联网的兴起、发展、壮大,到现在离了网络,毫不夸张的说生活几近停摆。据被誉为“互联网女皇”的Mary Meeker于2019年6月公布的《互联网趋势》报告,全球互联网用户人数在总人口数中所占比例约为51%(38亿人) ,而中国网络互联网络信息中心于2020年4月发布的第45次《中国互联网络发展状况统计报告》,我国网民规模达9.04亿,较2018年底增长7508万,互联网普及率达64.5%,较2018年底提升4.9%。我们中国确实进入了一个高度互联的时代。近来法律界,不,不光是法律界,举国上下都在热议的莫过于民法典了。也难怪最近大家都在相互调侃,民法典一出,秀发不保。作为法律从业人员,虽然我们会有面对新知识的焦虑和不安,但更多的是对于中国法制事业的迅速发展的自豪和骄傲。尤其是人格权编中关于个人信息保护的规定,让笔者体味到了时代所赋予法律的新意。借着民法典的热度,让我们来聊聊中国的个人信息保护怎么样,企业如何更好的应对并使用所收集的个人信息。
一、何为个人信息
《民法典》给出了清楚的定义,在第四编人格权编中规定“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱地址、行踪信息等。个人信息中的私密信息,同时适用隐私权保护的有关规定。” 我国2020年3月6日发布并将于2020年10月1日实施的信息安全技术标准《信息安全技术 个人信息安全规范》具体界分了个人信息与个人敏感信息并以附录对其范围和类型进行列举。数据是信息的表现形式。在互联网时代,其主要就是指以电子化方式存储的信息。[1]
二、个人信息被滥用的现状
在网络带给我们巨大便利的同时,也让现在谈隐私成为了奢侈的事情。相信我们现在大都对各种各样的骚扰电话习以为常了,有时候挂掉电话也会暗自疑问,为什么对方会知道我的这个需求,难道是巧合。2019年315晚会上爆料,有些不法商家会通过商场等人流密集处安装一种叫做“探针盒子”的设备,周围开启WIFI功能的手机的MAC地址便会被自动获取,利用MAC地址进行不当的数据处理,从而获得手机号码甚至更多的个人数据。这些个人数据被交易,通过骚扰电话等形式实现精准营销。这漏出的冰山一角已经够让我们震惊的了。更为恶劣的是利用这些数据进行诈骗、洗钱等的网络黑产。据介绍,目前国内“黑产”的直接从业者超过40万人;若计入网络“黑产”的辅助性质的上下游人员,从业者超过160万人;网络“黑产”年产值约1100亿元。[2]在公安部发起的“净网2019”中,缴获公民个人信息12.63亿条。
最近疫情期间,大到出入写字楼、医院,小到进饭馆吃个面,都曾经被要求过填写姓名、联系方式、联系地址、甚至身份证号等信息,不免会想,有必要收集这么多信息吗?比如饭馆里记录在纸上的,是当废纸扔掉还是销毁?最后会不会也走上被倒卖的命运?前段时间看到一则负面新闻,主人公的各种个人信息被迅速曝光在网络上,让人不寒而栗。
三、个人信息保护立法现状
相比于欧美,中国的网络发展史还非常年轻,但发展速度非常快,一如文章开头时所说,基本上实现了全民覆盖。虽然数据问题有很多共性,但我国目前个人信息保护首要需要解决的问题是,网络黑产猖獗,个人信息被一些不法分子用于犯罪活动,给个人人身、财产以及社会带来了很大的安全风险。针对首要解决的问题,我国采取的是先刑后民的立法策略,并结合各种行政手段,多角度建立起保护个人数据的法网。
2015年11月,《刑法修正案(九)》将"出售、非法提供公民个人信息罪"和"非法获取公民个人信息罪"整合为"侵犯公民个人信息罪",扩大了犯罪主体和侵犯个人信息行为的范围。于2017年6月1日起施行的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》明确了侵犯公民个人信息罪的具体定罪量刑标准,加大了刑事打击侵害公民个人信息行为的力度。2017年6月1日实施的《网络安全法》是对网络安全管理的基本法律,进行了基本的框架构建和制度设计,而配套法规或实施细则尚需进一步展开。2017年10月1日起实施的《民法总则》中也明确了“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”《民法典》人格权编中,更是明确了个人信息的定义、利用规则以及禁止性规定。即将于2020年10月1日实施的信息安全技术标准《信息安全技术 个人信息安全规范》则更加倾向对企业数据合规的指引。该指引并非强制标准,各个企业情况不一而足,也并非均须遵循指引进行数据管理。但是在该方面的法律制度尚不完备的情况下,可以作为企业在进行数据合规治理时的有益参考范本。
同时我们也应该清醒地看到,现有法律法规的内容还是相对比较框架性和原则性,配套的规定或细则没有出台,个人信息保护的形势还是不容乐观。
四、企业收集、利用个人信息合规建议
个人数据既有隐私自主价值,也有在社会化交往中获取一定经济利益及某种社会评价与服务的使用价值。用户若想从某些便利的工具中获利或者更充分的体验某款产品的功能,必然要让渡个人的部分信息,而基于商业的逐利属性和数据的特性,绝对化的用户隐私无法实现,完全不流动的数据也便失去了获得新的可能性的机会。而个人信息的收集利用,并不仅仅是设立周密的保密措施便可高枕无忧了。若想要利用收集到的数据并实现所追究的商业目的,建议企业也应当同时关注以下方面的问题。
1、 个人信息匿名化处理
采用假名、加密、哈希函数等技术手段对数据进行匿名化处理,防止被再识别。不论是从后续安全利用的角度还是不幸被泄露的角度,前述的匿名化措施,都能从一定程度上降低企业的合规风险。
2、 信息存储及数据跨境传输
尽可能实现本地存储,若确需跨境传输的,应当在公布的隐私条款中予以明确。虽然《网络安全法》中,第37条规定“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储.因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”对关键信息基础设施运营者数据本地化存储及跨境传输的安全义务进行了规定。对于非关键信息基础设施运营者以外的网络运营者,国家采取的是鼓励自愿参与关键信息基础设施保护体系。但是在《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下简称《办法》)中,规定网络运营者向境外提供在境内运营中收集的个人信息,应当按照《办法》进行安全评估。但目前该《办法》尚未生效,只有等生效后安全评估开展,我们才能根据实际案例来判断安全评估对数据跨境流动的实际影响。相关细则的进一步落地,对跨国企业的数据合规指引意义非常重大。
3、 最低限度范围内收集个人信息
在隐私政策中,明确需要收集的个人信息,尽可能进行完全列举,并在用户安装软件或启用相关功能之前要求预先同意该等隐私政策。
近几年企业推广也更多的着墨在新媒体方面,越来越多的企业开通了各种社交平台的官方账号,甚至开发了专门的app,通过线上电商平台交易。2019年2月,网信办等四部门联合开展了App违法违规使用个人信息专项治理活动,发现有些数据分析企业利用电商平台、手机App、城市共享服务、快递服务等手段,在未获得用户同意、未全部获得用户同意、未尽到足够提醒注意义务情况下,大肆收集与产品、服务本身和使用目的无关的个人信息,存在侵害个人信息、个人隐私和危害数据安全的巨大风险隐患。相信今后对APP隐私政策的监控也会成为常态性的个人信息保护措施之一。
4、 设置被遗忘权(right to be forgotten)
被遗忘权,是指在欧盟委员会所公布的《一般数据保护条例》(General Data Protection Regulation)(以下简称“GDPR”)第17条中规定的数据被遗忘权,当存在目的不再、撤回同意、期限届满、非法处理或违反父母同意等情况,数据主体有权要求数据控制者及时删除有关的个人数据。我国的《电子商务法》第24条规定“电子商务经营者应当明示用户信息查询、更正、删除以及用户注销的方式、程序,不得对用户信息查询、更正、删除以及用户注销设置不合理条件。” 即将于2020年10月1日实施的《信息安全技术 个人信息安全规范》也在第8条中规定了个人信息控制者删除、撤回同意、注销账户等相关内容,也实现了在隐私政策中明确列明如何注销账户,并及时删除注销账户相关的个人信息,也实现了与GDPR中的被遗忘权类似的制度设计。我们对于不喜欢的软件,通常会选择卸载。对于那些已经注册的用户,却往往忘记注销或者不知道该如何去注销。这也一直以来是经常被很多隐私政策所忽略的一点。
当然,网络的形态千变万化,各个企业的情况也不尽相同。在此我们仅选取了比较大的风险点予以建议。
五、结束语
你的数据安全吗?可能每个人都有不同的答案。我们无法改变过去曾经经历的一切,我们也无法预测未来的网络会强大到什么程度,但是我们可以肯定的是,不论是个人还是企业,都应当从现在开始重视信息保护问题。
上一篇:SaaS安全态势管理的六大挑战