编者按
从大数据“杀熟”到需求被手机“偷听”,从不全面授权就不让使用的App到被画像的用户……人们苦网络隐私泄露“顽疾”久矣。如何在技术进步与隐私保护当中寻求一个最佳平衡点?如何消除人们的“隐私焦虑”?当下我国正在紧锣密鼓地构建数据安全、个人信息与隐私保护的法律体系,加大不法分子窃取隐私的违法成本,个人隐私保护水平有望持续提高。
禁止App过度索权 重罚“大数据杀熟”
数据保护细则将落地
□记者 郭倩 北京报道
“大数据杀熟”最高可罚5000万元;用户有权拒绝被画像和个性化推荐;未满十四周岁未成年人数据视作敏感个人数据……近日《深圳经济特区数据条例》(以下简称《条例》)正式公布,《条例》将于明年1月1日起施行,内容涵盖了个人信息数据、公共数据、数据市场、数据安全等方面,被称为是国内数据领域首部基础性、综合性立法。
接受《经济参考报》记者采访的多位专家表示,《条例》在制度设计方面有较多突破,《条例》的出台是在数据法律法规层面的先行先试,是对《数据安全法》的地方落实及进一步细化,对于我国其他地区进行地方性数据立法具有重要借鉴意义。
强化个人数据保护
“明明只是一款音乐App,却一定要读取地理位置、通讯录,否则就不能使用。”“骚扰电话太多了,上来就能叫出我的名字,有的还能报出身份证号码和家庭住址。”在移动互联时代,个人信息被网络平台泄露和滥用的忧虑不绝于耳。
针对App过度收集个人信息、强制索要用户授权的问题,《条例》确立以“告知-同意”为前提的个人数据处理规则,即处理个人信息应当在事先充分告知的前提下取得个人同意,数据处理者应当提供撤回同意的途径,不得对撤回同意进行不合理限制或者附加不合理条件。在规范用户画像和个性化推荐的应用上,《条例》首创性地规定,数据处理者基于提升产品或者服务质量的目的,对自然人进行用户画像的,应当明示用户画像的主要规则和用途;自然人有权拒绝数据处理者对其进行上述用户画像和基于用户画像进行的个性化推荐,数据处理者应当为其提供拒绝的途径。
值得关注的是,当前“人脸识别”“指纹验证”“声音解锁”“虹膜识别”等生物识别技术,在治安、金融、医疗、交通、学校、支付等场景被大范围使用。为避免生物识别数据的滥用,《条例》对处理生物识别数据作出了相较于处理其他数据更加严格的规定,要求处理生物识别数据时,除该生物识别数据为处理个人数据目的所必需,且不能为其他非生物识别数据所替代的情形外,应当同时提供处理其他非生物识别数据的替代方案。
在强化对未成年人个人数据的保护方面,《条例》将未满十四周岁未成年人的个人数据视作敏感个人数据,首次在国内立法中明确,除为了维护未满十四周岁未成年人的合法权益且征得其监护人明示同意外,不得向其进行个性化推荐。
“《条例》及时回应了民众关心的App过度索权等问题,同时还与欧盟《通用数据保护条例》(GDPR)等国际主流个人数据立法的规定相接轨。特别针对未成年人个人数据做出相关规定,进一步充实了我国未成年人个人信息网络保护的法律依据,也为其他地方性数据安全立法的制定提供了借鉴。”中国电子信息产业发展研究院网络安全所所长刘权对《经济参考报》记者表示。
促进数据要素市场公平竞争
值得一提的是,在确保数据安全、保护个人数据的基础上,《条例》还探索培育数据要素市场,最大程度激发、释放数据作为生产要素的经济价值。
《条例》从五个方面探索培育数据要素市场,并填补目前数据交易相关法律规范的空白。具体包括,建立健全数据标准体系,推动数据质量评估认证和数据价值评估,探索建立数据要素统计核算制度,拓宽数据交易渠道,明确数据交易范围为“合法处理数据形成的数据产品和服务”等。
在填补目前数据交易相关法律规范空白的同时,在国内立法中首次确立数据公平竞争有关制度,针对数据要素市场“搭便车”“不劳而获”“大数据杀熟”等竞争乱象作出专门规定。例如,针对数据要素市场“大数据杀熟”等竞争乱象,《条例》明确规定处罚上限设为5000万元。
哈尔滨工业大学-奇安信数据安全研究院执行院长刘川意对《经济参考报》记者表示,数据真正能起到新时代的新型生产要素作用,需要明确权属和定价两个问题,《条例》在这两个方面都给出了可落地、可实施的建设性方案,其关键制度性创新在于通过构建两级数据要素市场结构,其中一级市场以政府行政机制为主,通过管理和运行适度分离,解决公共数据权属界定的难题;二级市场以市场竞争机制为主,规范数据进场交易,解决企业数据交易定价难题。
推动公共数据最大限度开放利用
政府各部门掌握的公共数据资源蕴藏着巨量的经济信息,通过增值开发不仅可以给市民带来便利,也可以产生巨大的经济效益。《条例》设计了公共数据治理的顶层框架,要求政府建立城市大数据中心,实现对全市公共数据资源的统一、集约管理。明确公共数据以共享为原则,不共享为例外,建立以公共数据资源目录体系为基础的公共数据共享需求对接机制。
《条例》明确,将提供教育、卫生、社会福利、供水、供电、环保、公交等公共服务的组织纳入公共管理和服务机构范围,其在提供服务过程中产生、处理的数据均属公共数据。公共数据应当在法律、法规允许的范围内最大限度地开放,不得收取任何费用。
刘川意表示,《条例》在制度设计方面有较多突破,促进数据作为生产要素开放流动和开发利用具有重要意义。其中,公共数据的开放制度,将使得公共数据的潜力得到最大程度的挖掘,明确了公共数据的利用方式将为社会主体充分利用公共数据提供通道。
中国信息通信研究院云计算与大数据研究所副所长魏凯对《经济参考报》记者表示,当前,公共数据仍呈现出数据总量规模小、可利用率不高、用户参与度低等特点,《条例》在将公共数据相关改革创新经验转化为制度成果的同时,着力解决现有公共数据共享开放的瓶颈难题,充分开发利用公共数据资源,将进一步加快数字政府建设,提升政府数据治理能力。
在专家看来,《条例》对于我国其他地区进行地方性数据立法具有重要的借鉴意义。
“《条例》有望成为数据生产要素领域立法的先行示范和判例蓝本。”刘川意表示,采取先综合性、基础性立法,而后再制订实施细则的立法模式,有利于先厘清基本问题,再对具体问题具体分析,有利于避免立法框架出现偏差。同时,《条例》为政府制定相应配套细则提供了依据。
魏凯还指出,数据催生下的数字经济新产业、新业态和新模式正在蓬勃发展,通过立法将进一步充分发挥数据的基础资源作用和创新引擎作用,培育资源配置高效的数据要素市场,促进数字经济健康发展。
网络平台金融业务:滥用个人信息面临“穿透式监管”
□记者 韩婕 王虎云 李婷 北京报道
近年来,多家网络平台企业凭借流量优势“跨界”开展金融业务,推出第三方移动支付、网络借贷、互联网理财等创新金融服务,在提升金融服务效率、推动数字普惠金融发展等方面发挥了重要作用,但不少企业在信息收集和使用、营销宣传方面存在非法搜集、使用个人信息,滥用个人信息等问题。
中国财富管理50人论坛、清华大学五道口金融学院近期联合发布的《平台金融科技公司监管研究》课题报告认为,平台金融科技公司存在未经授权收集个人信息、过度收集个人信息、隐私过度暴露和侵犯个人隐私的倾向。有必要尽快建立我国的金融科技监管和数据治理体系。平台金融科技的监管框架应该以包容性、稳定性、技术中性和消费者保护为目标。
中国人民银行金融消费权益保护局课题组在《大型互联网平台消费者金融信息保护问题研究》一文中建议,综合运用各种监管手段,实现穿透性监管,督促大型互联网平台树立负责任金融的理念。在借鉴域外信息保护立法与监管经验的基础上,从我国实际出发,依法将大型互联网平台的金融业务全面纳入监管,增强业务信息披露全面性和透明度,有效控制共债风险,不断完善金融信用信息基础设施建设,严格规范金融营销宣传行为,切实保护金融消费者长远和根本利益。
近些年,金融监管部门一直努力在鼓励金融科技创新和防范金融风险之间寻求平衡。起初,在包容的监管环境下,金融科技迅速兴起,比如支付宝、微信支付等非银行移动支付业务快速增长。伴随着发展过程中一些风险的逐步暴露,如今监管部门对金融科技的监管思路非常清晰,遵循“同样业务同样监管”的原则,按照实质重于形式,落实穿透式监管,坚持金融活动全部纳入金融监管。
中国工商银行原行长杨凯生认为,当前,金融科技、互联网金融受到整个金融系统改革深化的影响,面临着新阶段、新形势。去年以来,监管部门对于规章制度先行的理解比过去更加深刻,社会对金融科技规范发展的期待更高,从业人员对金融科技发展方向、商业模式有了更清晰的把握。要提高站位,对金融科技有新的理解和认识,否则创新难以接受新形势的检验。
中国社科院金融所金融科技研究室主任尹振涛认为,大型的金融科技平台用户非常多,产品也很丰富,例如第三方支付,具有很多公共产品的属性,企业应该承担更多的社会责任。此外,这类企业应该意识到自己不是单纯的科技企业,还具备金融机构的特点,要接受金融监管,承担相应的责任,应对风险有敬畏之心。
招联金融首席研究员董希淼进一步表示,约谈与监管,并不是为了打压金融科技,不是对金融创新的否定。相反地,加强反垄断规制,创造更加公平公正的市场竞争秩序,有助于激发市场主体活力,推动金融科技良性创新、行稳致远。董希淼说,金融管理部门实施从严监管和穿透式监管,继续查处各类违法违规行为,将更好地保护消费者隐私和数据信息安全。
记者近日调查发现,此前被监管部门联合约谈的13家网络平台企业陆续制定整改方案,所从事金融业务也更为规范。从细项来看,一些方面的整改效果比较明显。比如,断开支付工具和其他金融产品的不当连接,贷款产品明示贷款年化利率、规范与第三方机构的金融业务合作等。
在人大货币研究所所长助理曲强看来,网络平台企业未来将非常重视监管和合规,并积极研究如何适应监管要求,然后在公司内部“刮骨疗毒”,就监管套利、违规放贷、支付业务违规、个人信息隐私安全违反等问题进行自查、整改。“整个行业要经历阵痛期,之后全行业的发展会有更明确的方向,也会更加健康。监管的本质目的还是以互联网优势促进实体经济发展,而不是将互联网规模效应变成套利和挣钱的工具。”曲强表示,这需要互联网金融企业专注主业,以服务实体经济为目的,不要动不动就想着将业务金融化。
记者从业内了解到,部分网络平台企业正考虑将金融业务与主业分开,将金融业务纳入新设立的金控公司。一位网络平台金融业务部门人士告诉记者,公司目前正积极自查整改金融业务,未来很可能会设立金融控股公司。事实上,2020年12月金融管理部门联合约谈蚂蚁集团时,就提出了重点业务领域的整改要求,其中一条是依法设立金融控股公司,严格落实监管要求,确保资本充足、关联交易合规。2021年4月,金融管理部门约谈部分从事金融业务的网络平台企业,在整改要求中也提到符合条件的企业要依法申请设立金融控股公司。
中信证券研报提出,对于部分符合金控要求的金融科技平台而言,资本杠杆、资产负债要求以及关联业务限制,或对过去的“获客-引流-变现”商业模式带来影响,资本补充与业务规范经营成为下阶段转型重点内容。董希淼也建议,对不同的网络平台企业,应实施有差异的整改路径。比如,蚂蚁集团整体申设金融控股公司,腾讯、京东等或将部分业务申设金融控股公司,但多数企业并不需要申设金融控股公司。
(记者韩韬参与调研)
应对手机App“偷听”有大招
□记者 高洁 李典 北京报道
刚与同事说中午想吃麻辣烫,打开订餐软件,首页排在前两位的竟然都是麻辣烫商家;周末逛街时与朋友探讨哪条裙子好看,打开某购物软件便发现各式连衣裙……近年来,谈话被手机“偷听”时常成为大家议论的焦点话题,从过去根据搜索习惯进行精准推送,到如今“未见其人先闻其声”的隔空投送,着实让很多人感到,自己在手机面前隐私全无。
手机真的在偷听吗?
此前一则内容为“语音发出后录音还在继续”的词条登上微博热搜,引发网友热议,其中提到App“偷听”现象。从热搜标题和内容简介来看,似乎App“偷听”现象不仅板上钉钉,甚至超出人们的预期。不少网友对我国个人信息保护现状着实感到担忧。
追溯此话题,引发热搜的内容实际上是在一档新闻节目中,一位技术专家利用自开发的模拟测试软件展示了从技术上可以实现的App“偷听”行为。同时专家也表示,技术上虽然可行,但这种“偷听”方式的成本高、效率低,而且存在非常高的法律风险。该技术专家还表示,暂时尚未发现哪款App有将语音信息直接上传的“偷听”行为,而手机越来越“懂”用户,实际上是由于大数据画像越来越精准所引起的。
尽管如此,网友们对于手机是否在“偷听”的议论并未停止。网友科技圣斗士称:“自己跟朋友吃饭时聊到茶叶,并且从未搜索过与茶叶相关的内容,随后便收到了茶叶的广告。”
针对网友们反应的问题,《经济参考报》记者亲自进行了一番测试。记者从来不吃榴莲,在各种外卖App上也从未对“榴莲”及其相应食品进行过搜索。但是,当记者与朋友针对榴莲进行一番对话和讨论后,再次打开某外卖App的首页时,便看到了“新鲜榴莲仅售29.9元”的推送信息。
“听”来的数据有用吗?
如何在接受互联网平台和各类App提供的便利服务时,保护好自己的数据安全,已经成为人们越来越关注的问题。
专家表示,手机越来越“懂”用户,其实是大数据画像越来越精准所引起的。大数据的来源可能不只是一个App,而是多个App的汇总,大量信息汇聚导致用户画像越来越精准。
对此,App治理工作组何延哲告诉记者,随着语音识别技术的发展,采用服务进程进行“低功耗”识别语音并转换成文字的方式,也就是所谓App“监听并提取关键字”理论的可行性是存在的,但需要具备如下两个条件:第一,App自带录音功能,并且获取录音权限;第二,App置于前台,并且不锁屏。
“目前最新的手机操作系统不断强化了‘录音’权限使用的透明性,一旦调用麦克风,不仅在状态栏中会出现提示,还会产生日志记录,‘偷听’行为暴露的可能性很大,导致违规处罚的风险也很高。”何延哲说。
手机App盗来的信息究竟有何用?对此,北京大成律师事务所王小云表示,其实“App监听”的数据价值与违法成本不对等,商业应用空间不大。“App监听在非实验环境下收集的信息是否能被有效使用尚是未知数。而且这种软件的售卖与运营属于违法行为,一旦被发现,App开发者、运营者都将被追究法律责任。”王小云说。
近年来,因平台使用用户的朋友圈数据、地理位置数据而引发的诉讼已有多起,记者从裁判文书网检索发现,2020年涉及App或互联网平台的隐私权纠纷案件占整体隐私权纠纷案件的15%。隐私权纠纷案件中,胜诉当事人除要求侵权人停止侵权行为、赔礼道歉外,还依据侵权行为的损害程度获得了千元以上的赔偿。
保护隐私安全需共同发力
目前,我国针对个人隐私的保护水平日趋提升,不法分子进行“窃听”的违法成本持续加大。
据了解,目前我国《民法典》《网络安全法》《数据安全法》和即将出台的《个人信息保护法》,一同构建了我国数据安全、个人信息与隐私保护的法律体系。此外,2019年11月出台的《App违法违规收集使用个人信息行为认定方法》与App治理工作组发布的《App违法违规收集使用个人信息自评估指南》等,均就个人隐私保护问题做出了明确且严格的规定。
“用户可以通过关注自己使用的App的隐私政策、采用手机操作系统提供的录音单次授权等方式,保护自己的隐私空间。”王小云说,用户还可以关闭麦克风权限,或者在使用App发语音、录音等功能后将手机切换到主界面或锁屏。
清华大学数据治理研究中心马超认为,个人隐私保护问题正日益成为一个重大的社会问题,涉及到个人与社会的方方面面,技术进步与隐私保护应当寻求一个最佳平衡点。智能设备供应商应当及时向社会公布隐私政策和技术原理,消除社会大众的隐私焦虑。