數據合規的「成本」與「資產」，算算企業個人信息保護經濟賬

2021年11月1日，《個人信息保護法》（以下簡稱「個保法」）正式實施。作為國內首部專門針對個人信息保護的系統性、綜合性法律，「個保法」明確要求個人信息處理者在收集、使用、加工、傳輸、存儲他人個人信息時遵循合法、正當、必要和誠信等原則。該法的焦點之一在於對企業的影響，比如規定有關數據平台企業要建立合規制度體系，明確其保護個人信息、定期發佈個人信息保護社會責任報告等一系列法定義務。

開展個人信息保護與數據合規，對相關企業是「成本增加」還是「資產增值」？多家受訪企業表示，從企業長遠發展、消費者權益保障、政府監管與政策導向的宏觀視角來看，個人信息保護實則是一項能帶來諸多效益、促進多方共贏的重要舉措，它不僅能夠規範市場秩序，更能為企業贏得用戶信任，這對企業來說是一筆巨大的「隱形資產」。

消費者看個保：上海專項執法兩年，場景消費信任提升

個人信息保護一直以來都是社會各界關注的焦點。尤其是在人工智能加速發展的背景下，諸多場景愈發麵臨個人信息被過度使用、濫用甚至泄露的風險。

針對個人信息被「過度采、強製要、誘導取、違規用」等問題，2023年6月，在國家網信辦網絡執法與監督局的指導下，上海市網信辦、上海市市場監督管理局聯合部分行業主管部門啟動「亮劍浦江·消費領域個人信息權益保護專項執法行動」，對掃碼點餐、停車掃碼繳費、少兒學習培訓、網絡理財小貸、房產中介、租借充電器、商超購物、汽車4S店等八大日常消費場景，分階段、分重點、分領域開展專項執法行動。

2024年，專項執法行動向縱深推進，聚焦掃碼點餐、停車掃碼、景點景區購票服務、人臉識別濫用、未成年人個人信息保護等重點場景，區分具體化應用場景，提出風險與合規成本相適配的規範指引體系，貫穿個人信息收集、存儲、使用、加工、傳輸等全流程。

兩年執法行動成效如何？近日，澎湃新聞記者深入上海靜安、徐彙和普陀等多區多個消費場景，發現多數消費場景的個人信息合規處理確實有了明顯改觀，市民在消費領域中的安全感也在逐步提升。

在租用共享充電寶消費場景，上海靜安區威海路附近商舖的多個不同品牌的充電寶租借處，通過微信或支付寶掃碼即可直接租借，不再需要登錄微信或手機號碼。

在咖啡點單場景，連鎖咖啡品牌「manner」掃碼之後、點單之前需勾選並同意「隱私政策」「用戶協議」等提示，此後彈出的頁面顯示「開始點單」、「會員積分碼」兩個按鈕，且「開始點單」按鈕更加顯眼，點擊後即直接跳轉支付。在連鎖咖啡品牌「瑞幸」，掃碼之後同樣會跳轉至「我已閱讀並同意本溫馨提示內容及相關協議」頁面，其中包括「開啟位置權限後獲取位置信息」「根據位置信息提供更契合需求的頁面展示」等。澎湃新聞發現，點單前除了選擇「我已閱讀並同意相關協議、隱私權政策」外，還有三個按鈕，從上至下依次為「微信一鍵登錄」「手機號登錄」和「免登錄」，點擊任意按鈕均可跳轉到點單頁面。

在停車掃碼繳費場景，在位於上海靜安區的「興業太古彙」地下停車場，澎湃新聞記者走訪發現，停車場內部貼有支付頁面，分別為「註冊會員」和「即刻繳費」。點擊「即刻繳費」後，車主填寫車牌號後可立即支付停車費並快速離場。

在人臉識別技術應用場景，普陀區鎮坪路地鐵站某出口，一台顯示經營者為「北京泰和瑞通雲商科技有限公司上海分公司」的自動販售機上，雖有「刷臉支付」標識，但在實際使用中，該選項已下線，消費者可以直接掃碼開櫃門獲取需要的商品。「以前總覺得為了買一瓶水，還要出讓自己的人臉信息，很不值得。所以，寧可忍一會走出地鐵站，到便利店去購買，才感覺安心。現在這種擔心放下了」，一位在地鐵站內自動售貨機買水的乘客對比介紹自己心態變化。

家住普陀區的上海市民小周說，去年點單某品牌咖啡是無法跳過「登錄」選項的，經常被索取微信或電話號碼。即使最終她還是會選擇登錄，但也會因為個人信息被索取而惴惴不安。但今年她發現，包括咖啡點單在內的多個掃碼消費場景，都不再需要微信或電話登錄，「有‘免登錄’的選項節省了時間，也多了一點安全感。」

消費者的感受也得到了第三方評估機構的認同。澎湃新聞瞭解到，為了對「亮劍浦江」專項執法行動成效進行客觀呈現和綜合評估，華東政法大學作為中立第三方連續受邀成立評估項目組，開展調研評估。對2024年的專項執法行動，評估項目組認為，行動貫穿個人信息收集、存儲、使用、加工、傳輸等全流程，實現「前端」「後端」綜合治理，特別是針對彰顯上海特色的咖啡領域和具有高度敏感性的人臉識別技術應用領域，提出風險與合規成本相適配的規範指引體系，以點帶面，促進上海個人信息保護現狀得到進一步改觀。

企業看個保：合規成本增加，但「隱形資產」增值可期

收集個人信息應當限於實現處理目的的最小範圍，不得過度收集；不得對個人在交易價格等交易條件上實行不合理的差別待遇；提供重要互聯網平台服務、用戶數量巨大、業務類型複雜的個人信息處理者應當建立健全個人信息保護合規制度體系，定期發佈個人信息保護社會責任報告……作為國內第一部個人信息保護方面的專門法律，「個保法」充分回應了社會關切，為破解個人信息保護中的熱點難點問題提供了強有力的法律保障。

對消費者來說，企業做好數據合規能進一步保障個人信息安全，減少隱私泄露風險。那麼對於企業來說，這筆「賬」應該怎麼算？

美團充電寶相關工作人員告訴澎湃新聞，2023年，美團充電寶已全面接入美團App隱私註冊管理平台，嚴格落實「最小必要」原則收集用戶隱私數據。

「在用戶使用美團充電寶時，我們會通過隱私彈窗等方式向用戶告知《隱私政策》以及提供服務所需調用的隱私權限，明示個人信息或隱私權限收集、使用的具體規則，並經用戶主動勾選同意以保障用戶知情權、選擇權。」前述工作人員介紹，在數據安全保障方面，美團充電寶內部已建立嚴格的數據安全管理制度，採取訪問控制、保密分類、數據加密及脫敏等手段，以防止未經授權的訪問、泄露、不當使用等違規處理數據及個人信息的行為。

數據合規必然會導致企業成本增加？必然導致獲客及營銷成本增加？如何看待這種成本的增加？

「成本可以分為兩個維度。一是增加前述環節同時會增加用戶理解成本，導致一部分用戶流失，企業就需要投入更多成本獲客；二是在個人信息保護項目上所投入的產研成本，以及後續相關崗位審核合理性的成本。」相關工作人員表示，這些成本的增加是必要的，美團充電寶也在積極配合相關部門做好數據合規工作。

「充電寶行業準入門檻低，隨著市場下沉和入場品牌增加，難免有亂象產生。」前述相關工作人員強調，美團充電寶作為行業頭部品牌，更有必要配合相關部門做好個人信息保護，規避風險，「對於企業本身和整個行業來說具有正向作用。」

「如果用戶在單次的消費體驗受損，對於數據共享和擔保存有疑慮甚至擔心個人隱私泄露，長此以往會影響用戶對整個行業的信任度。」他說，「因此不管是單次還是長期體驗，我們都希望用戶個人信息保護做得更好。」

針對自動售貨機存在的誘導使用刷臉支付、未盡告知義務等違規收集個人信息問題，2024年8月，上海市網信辦會同上海市市場監管局、上海市國資委依法聯合同談上海申通地鐵資產經營管理有限公司及三家自動售貨機運營企業。近期，上海市網信辦、上海市市場監管局還聯合申通地鐵、支付寶、微信支付組織開展「自動售貨機個人信息保護普法培訓會」。

上海一自動售貨機企業相關工作人員告訴澎湃新聞，被上海市網信辦、上海市市場監管局等約談後，企業立即關閉設備自查，並在系統內部進行敏感數據泄漏的風險排查，開展針對數據管理平台的應急演練。其次，在消費者使用端增加了用戶同意環節，新增作為自動售貨機經營主體的隱私政策，並對消費者個人手機號進行加密、脫敏處理。

「這次培訓包括之前的約談，整體上都是讓我們企業走得更遠走得更好的保障。」上述企業相關工作人員表示，被約談之前，企業對落實相關法律法規確實有疏忽之處，約談和培訓之後意識到需要更加落地對個人信息保護的行動。「對消費者來說，我們是不是一家可靠的企業，都是在這些方方面面體現的。」

「上海市網信辦和市監局相當於給我們做了一個排雷系統，他們給我們、給我們這個行業提出的這些問題，指導我們整改，是為了讓我們能更合規地運營。」上述企業相關工作人員表示，一方面數據合規能提升用戶對企業的信任，另一方面企業自身也會因為系統的完善和不斷迭代，增強企業競爭力。

學界看個保：引導企業主動合規，立足長遠算好經濟賬

多家受訪企業表示，立足長遠，個人信息保護是一本多贏的經濟賬。企業通過合規建設收穫長遠利益，消費者權益得到有效保障，政府與政策引導市場健康發展，各方積極協同，共同推動個人信息保護工作的深入開展。

「提高了成本並不一定會利空企業。」

知名經濟學者、工信部信息通信經濟專家委員會委員盤和林撰文稱，實際上，個人信息保護法說到底是針對個體層面的權益保護法律，與企業不具有直接關聯關係，因法律實施而產生的企業合規成本一直存在，但由於監管缺位，加之用戶對於個人信息價值不敏感，導致企業可以不進行內部合規建設，從而節省了這部分開支。

「從這個角度來講，個人信息保護法只是通過強製規定讓企業花該花的錢。因此，個人信息保護法作為新的市場規則，並沒有直接作用於當前市場格局，而只是規範了市場秩序，這樣的規則對市場應該是長期利好的。」他認為。

華東政法大學教授、博士生導師，互聯網法治研究院院長高富平也提到，只要遵循法律法規管理好用戶身份信息，數據合規技術上的難度並不高。「對大型企業來說，他們的全流程合規方面做得相對完善，但部分中小企業的個人信息保護觀念相對淡薄，個人信息的處理方案並不妥善。」

「其實，保護個人信息也是員工教育和理念轉型問題，要形成尊重個人、保護個人信息的文化，做好信息保護是企業在數字時代從事經營活動應該付出的成本。」高富平說。

從監管角度出發，盤和林告訴澎湃新聞，嚴厲的執法和處罰是推動企業從被動向主動的主要手段，但現階段尚未有一套行之有效的個人信息泄露問題的發現機制，因為數據信息泄露非常隱蔽，普通人根本不知道哪個應用泄露了自己的信息，所以無法發現導致往往無人去維權，此時管理者需要通過技術手段主動去發現問題。

「實際上，企業主要是基於要利用信息和數據的價值，而在利用數據和信息過程中，按道理需要探索出合規使用路徑才可以使用。」盤和林說，但現實情況是，直接使用數據和信息的企業並未受到嚴厲處罰，而找到合規使用路徑的企業需要投入大量成本，也就是說，如果個人信息和數據的保護嚴格到一定程度，企業自然會做出正確的選擇。

對於促進數據合規，盤和林認為，思路應該是系統性的。「比如可以對企業信息保護的機制給予評估，定期和不定期都可以。比如以區塊鏈技術給信息打標籤，在發現信息泄露的時候方便倒查信息泄露點。比如可用不可見的脫敏脫密數據預處理模式，比如數據場景模式，只允許找到合規使用路徑的場景和企業開放數據服務和銷售業務。」

盤和林也提到，隨著個人信息保護場景的擴大，個人信息保護還存在一些覆蓋死角。諸如推薦算法還存在普遍的消費者偏好數據讀取的問題，尚待繼續完善場景應用機制。

黨的二十屆三中全會明確了進一步全面深化改革的目標和任務，其中對加快構建促進數字經濟發展體制機制和完善數據要素市場制度規則等作出了詳細部署。

中央財經大學中國互聯網經濟研究院副院長歐陽日輝曾撰文稱，在數字經濟時代，數據是新的生產要素，是基礎性資源和戰略性資源，也是重要生產力。數字信任是數字經濟發展和創新的基礎。數字經濟時代的數字信任，是個人和組織參與經濟交易的基本信任，信任的經濟功能將放大。數字信任有助於解決數據治理和安全問題，促進數據要素市場形成，支撐數據的市場化配置，推動數字經濟發展。

「數據要素市場的發展激發了大家對數據應用的熱情，個人信息作為社會治理、產品營銷、市場推送活動的必要要素，應用變得頻繁，需求也變得更大了。」高富平說。

正是基於此，上海相關部門一直在行動。上海市網信辦、上海市市場監管局協同多個部門啟動開展「‘亮劍浦江·2024’消費領域個人信息權益保護專項執法行動」。今年行動的成果之一，就是結合兩年來網信執法實踐成果，圍繞個人信息保護法，將首次面向企業面向消費者推出4個大禮包，通過釋法、指導、評估、保護四個層次，提供個人信息合規利用立體化、集約化管理框架與工具，進一步優化企業合規效果，提升全社會個人信息權益保護意識，通過構建「政府—用戶—平台—企業」之間穩定的數字信任關係，推動我國數字經濟進入良性競爭和健康發展的狀態。