專訪華東政法大學教授高富平:做好個人信息保護是企業經營需要付出的成本
針對個人信息被「過度采、強製要、誘導取、違規用」等問題,2023年6月,在國家網信辦網絡執法與監督局的指導下,上海市網信辦、上海市市場監督管理局等聯合啟動「亮劍浦江·消費領域個人信息權益保護專項執法行動」。個保法實施已進入第三年,「亮劍浦江·2024」繼續向縱深推進,聚焦掃碼點餐、停車掃碼、景點景區購票服務、人臉識別濫用、未成年人個人信息保護等重點場景。
去年,圍繞個人信息保護法實施以來個人信息權益保護執法行動中的問題和成效,澎湃新聞曾對話華東政法大學教授、博士生導師,華東政法大學互聯網法治研究院院長高富平。今年,澎湃新聞再度對話高富平,聊聊我們該如何看待個人信息保護和社會化的關係;企業如何轉變觀念探索合規路徑;相關部門又該如何引導企業主動合規。
「保護個人信息本質上也是員工教育和理念轉型問題,要形成尊重個人、保護個人信息的文化,做好信息保護是企業在數字時代從事經營活動必須付出的成本。」高富平說。
以下是澎湃新聞與高富平的對話:
澎湃新聞:新技術的出現使得個人信息權益保護面臨更大的考驗和挑戰,2024年您有沒有發現一些新問題亟待解決?
高富平:數據要素市場的發展激發了大家對數據應用的熱情,個人信息作為社會治理、產品營銷、市場推送活動的必要要素,應用變得頻繁,需求也變得更大了。
在這種情況下,個保法的執行也面臨著挑戰。例如,在個人信息提供方面,如果銀行貸款需要用戶運營商補強貸款人信用,按照個保法要求,運營商提供數據需獲得個人單獨同意,這在實務中就導致數據難以提供出去,因為合規部門認為必須按法律要求獲得用戶的單獨同意,而用戶一般不會同意運營商來詢問是否同意提供數據。信貸銀行可以獲得個人同意獲取特定運營商的數據,但在法律上往往不認為屬於符合「單獨同意」要求。個保法從保護個人信息角度製定,但社會化利用與數據要素社會化應用存在一定矛盾,目前需要通過一些制度機制如匿名化、合規共識等手段來解決。
澎湃新聞:整治濫用人臉識別是今年「亮劍浦江·2024」專項執法行動重點之一,您對此如何看待?
高富平:人臉識別被認為是高效、快捷、真實的身份識別技術。從技術中立角度,應鼓勵驗證身份的人臉識別應用於門禁、交通、公共安全等場景,但人臉識別的危害在於二次使用。由於人臉信息不可篡改,一旦被不法分子利用風險很高,所以對於安全存儲的要求高。如果能確保安全且不做二次使用、不用於非法目的,人臉識別技術還是可以信賴的。
人臉信息除了安全存儲問題,還有商家通過攝像頭觀察消費者行為。不過,目前關於人臉識別普遍接受的共識是,在身份核驗的必要場景,允許人們自由選擇核驗方式,即選擇人臉識別方式或是其他身份核驗方式。這是個人對「人臉」自主決定。
比如,一些辦公樓為了提升核驗效率,內部員工通道員工同意掃臉,走人臉核驗通道,而外來人員則驗證身份證或使用APP報備生成二維碼。又比如,坐高鐵時,為便捷可選擇掃身份證或掃臉。如果不願意也可人工驗證身份,要根據具體使用場景判斷是否必要。
澎湃新聞:對平衡個人信息保護和個人信息社會化,我們有哪些思路?
高富平:收集平台數據、形成用戶畫像,進而影響決策,這類基於用戶行為的個性化推送和互聯網信息傳播在大數據時代很普遍。減少這些行為對隱私和用戶自主決定權的影響,僅靠阻止信息流動是無法真正根治的。在數字化時代,我們不知道信息在哪裡,這已超出個人的控制能力。
個人信息有三種常見類型,一類是有唯一性、能指向個人的身份信息,如姓名、電話、身份證等,這類信息被隨意披露、買賣會帶來安全風險,如欺詐騷擾等,所以對於直接關聯個人的信息,不允許隨意披露、買賣,這仍是個人信息保護的重中之重。另一類則是數字ID或設備ID,互聯網憑藉其強大分析功能,通過關聯設備ID對網絡信息進行匹配分析。即便不知用戶真實身份,也可開展個性化分析,精準推送往往基於此技術實現。而大量的個人信息則屬於第三類,如大家在數字化環境留下的行為軌跡等。
澎湃新聞:在企業描述用戶畫像時,會不會用到個人身份信息?關聯身份的個人信息有沒有可能被社會化利用?
高富平:一般只有兩種情況會用到身份信息,一是比如寄快遞需要具體家庭地址、電話等信息,二是事件發生需要找責任人時,需要利用數據確定身份。正常商業交易中,如咖啡店打印外賣單披露姓名電話,如果沒有提供給不相關他人,在營業場所內是可以接受的。從商家角度看,將外賣單交給快遞小哥本身沒錯,但風險在於商家或者快遞鏈條中可能存在的二次售賣信息。
需要指出的是,商家為獲客做精準推送,並不需要知道潛在客戶是誰(真實身份),只是通過數字ID推送。如果客戶因廣告推送與商家有接觸交易時,商家才能獲取身份信息併負有保密義務。
在正常的社會活動中,更合理的個人信息使用規則應該是這樣:當信息本身能夠指向個人(唯一關聯性)時,使用人應當遵循事先同意規則;而當信息並不具有唯一指向個人功能時,則應當適當放開限制,只需確保分析使用環節不能泄露個人信息。同時,我們還應當接受,遵守個人保護原則的商業推送,只要精準推送具有選退機制,那麼這樣的商業推送行為仍然被認為是尊重個人選擇的行為。
當然,商家在給用戶畫像時,如果涉及私密信息則要做好保密,即使收集的信息不敏感,深度分析後仍有可能產生敏感信息,所以企業內部要有評估、監控和判斷,對信息的分類、標籤和保密要有敏感度。
澎湃新聞:企業在處理個人信息存在哪些難度?如何轉變企業觀念?降低數據合規成本的路徑有嗎?
高富平:其實只要管理好用戶身份信息,遵守法律法規,技術上的難度並不高。對於大企業來說,他們在全流程合規方面做的相對完善,但部分中小企業的個人信息保護觀念相對淡薄,個人信息的處理方案並不妥善。
我們建議監管部門可以分類施策,根據企業規模、區分不同模式對企業作出不同要求。
在「亮劍浦江·2024」專項執法行動中,相關部門推出了「體檢包」和「工具包」,「體檢包」可供企業進行自查,及時發現潛在問題;「工具包」則以操作手冊的形式為企業提供詳細的指導,明確各環節的具體操作規範。
其實,保護個人信息本質上也是員工教育和理念轉型問題,要形成尊重個人、保護個人信息的文化,做好信息保護是企業在數字時代從事經營活動應該付出的成本。
澎湃新聞:基於前述問題,在消費者個人信息保護和企業合規成本引領上,監管部門有沒有具體的對策?
高富平:我們注意到,「亮劍浦江·2024」專項執法行動不是為了處罰企業,而是幫助企業合規經營,協助企業瞭解個人信息保護,完善企業相關制度。執法行動發佈「工具包」「體檢包」「服務包」「護身包」,通過釋法、指導、評估、保護四個層次,進一步豐富了個人信息保護的政策工具。監管部門起到了引導企業從被動合規到主動合規,協助企業合法經營的作用,是一種預防式執法,最終目的是打造良好營商環境。