《个人信息保护法时代的隐私保卫战》系列报道③|织密法网,做好互联网平台“守门人”
文/本社记者 张纯
来源:《民主与法制》周刊2022年第11期
编者按
数据被称为“信息时代的石油”,作为数据内容之一的个人信息,毫无疑问,因具有巨大的商业价值潜力而被广泛关注。
不可否认,数据的信息交流已经完全渗透并覆盖到当今社会人类日常生活中所涉及的各个领域。我国作为人口大国,数据产业带来的经济体量不容小觑,而大多数人可能不注意的是,平时我们在使用手机软件时留下的搜索记录、聊天信息、访问足迹等,都有可能成为用来牟利的信息资源。当下我国正处于全面数字化转型的高质量发展新阶段,在新技术新应用层出不穷的生态语境下,个人信息的处理已经成为社会进步和产业升级新的驱动力,而广大民众对于加大个人信息保护力度也有着空前的关切和期待。
2021年11月1日,《个人信息保护法》正式施行,标志着我国个人信息保护立法体系更上一个台阶。针对不得过度收集个人信息、“大数据杀熟”、对人脸信息等敏感个人信息的处理等问题作出规制,可以说,这部法律急民之所急,解民之所忧,充分回应了社会关切。
《个人信息保护法》实施四个多月来,侵害个人信息权益的违法行为频频发生在我们每一个人身边。进入2022年以来,工业和信息化部已经完成两批次134款App和SDK的200多个合规问题的通报。不可否认,保护个人信息,拥抱个人信息合法权益受保护、个人信息处理活动受规范、个人信息合理利用受促进的数字治理新时代,任重而道远。
由此可见,如何使用好这部法律,发挥其应有作用,还需我们共同努力。
《个人信息保护法时代的隐私保卫战》系列报道之三
织密法网,做好互联网平台“守门人”
本社记者 张纯
“现在的购物平台太不老实,网页上的广告很奇怪。”网友“张心心”抱怨说,“当天在一个平台上买了东西,广告里就出现了。”
家住湖南的牛先生也有同感。用手机搜了狗粮,打开短视频、社交和一些工具软件时,广告里就推送了狗粮,刷短视频也推荐狗粮;搜了一个保温杯,微信公号就推送了保温杯的广告,连款式都一模一样。“甚至只是口头提过一种商品,类似广告就频频出现在手机页面……好像全世界都掌握我的一举一动。”牛先生颇为无奈。
你是否也有过这样的经历,某天在和朋友聚餐时提起某个感兴趣的产品,过会儿打开购物网站时就能看到类似产品的推销。抑或是前脚刚看了房价走势,后脚就接到推销楼盘的电话。
这些披着智能算法外衣的广告在为我们带来便利的同时,更让人毛骨悚然。在央视“3·15”晚会上,相关问题被曝光,涉事企业被公开披露后也遭到了严惩。虽然涉事企业被处罚,但是公众就如何保障用户信息权益,防范恶意窃取个人信息的问题仍然充满担忧。
我买了什么、搜了什么,全网的购物、短视频、社交平台怎么都知道了?基于大数据算法的精准推送,在服务用户需求的同时,也让人感觉不解和恐慌。不可否认,人们在享受网络技术带来的便利和好处之时也时刻面临着个人信息“裸奔”的风险。
“精准营销”“急刹车”?法律给精准广告划定红线
《中国互联网络发展状况统计报告》显示,截至2021年12月,我国网民规模达10.32亿,互联网普及率达73.0%。滚滚而来的时代浪潮中,各类网页和软件以其丰富的信息资源和便利的鲜明特点,进入众人的生活。但是,随着相关软件变得更加“贴心”,其背后的信息安全等新型问题逐渐浮出水面。
最常见的便是广告投放问题,在用户不知情的情况下,许多第三方App在暗中收集用户的个人数据,包括用户年龄、性别、收入、行业、教育背景、婚姻状态、兴趣爱好等信息,然后对这些数据进行分析。最终根据得出的结论来指导广告的投放,以此来提高产品销售的转化率。
也许在部分人眼中,这种程度的个人信息采集并不打紧,但是其背后的灰色地带却不容小觑。这样的个性化广告“精准营销”往往会衍生出更加严重的犯罪行为,比如诈骗。
在知名护肤品珂润商家涉及信息泄露事件中,受害者均为淘宝珂润官方旗舰店消费者。诈骗人员能够准确说出消费记录、订单信息、个人信息等敏感资料,获取消费者的信任后,便以“珂润”产品存在问题为由进行诈骗。遍布全网的受害消费者中,有人被骗了近10万元。受害者事后回忆:“本来很警觉,但对方说出那些信息后,自己就放松了防范意识。”
在个人信息的过度采集问题中,App的违规数据采集的现象不容忽视。2021年12月20日,国家计算机网络应急技术处理协调中心点名存在隐私保护不合规行为的17款App,其中包括哈啰出行、和讯财经等在内的15款App“未向用户明示申请的全部隐私权限”。与此同时,在工信部发布的2022年第一批侵害用户权益的App名单通告中,有107款国内知名的App应用存在不同程度的违规获取和采集用户数据和权限的情况。
对于此类行为,我国《个人信息保护法》规定:“通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。”
简言之,互联网广告商需要向用户提供关闭个性化广告推送的功能。细心的用户可能会发现,微信在《个人信息保护法》实施不久后,给用户推送了改版的服务协议,阿里、京东等大型主流电商平台也都纷纷采取了增加个性推送开关等应对措施。据《App违法违规收集使用个人信息监测分析报告》(以下简称《报告》)统计,目前全国主流安卓应用商店在架App的去重后总数为112万款。《个人信息保护法》实施以来,App强制要求用户打开非必要权限、强制要求用户填写非必要个人信息等典型违规行为明显减少,监测发现仅有1%的中小应用残留此问题。对此,专家指出,这是因为《个人信息保护法》正式实施后,给精准推送等广告营销模式划定了精准的红线。
为了验证该类情况的整改效果,记者在今日头条、抖音等App进行了相关测试,发现这些App的设置选项下确实多出了关于个性化广告“关闭/开启”的选项。不过,这些App都把“个性化推荐”关闭键“藏得”较为深入,一般在“设置”选项里面的,隐私、广告相关的选项中才找到。
这一“碟中谍”问题也得到了有关部门的重视。今年1月,《互联网信息服务算法推荐管理规定》出台,明确了算法推荐服务提供者应当以显著方式,告知用户其提供算法推荐服务的情况;向用户提供不针对其个人特征的选项,或者向用户提供便捷的关闭算法推荐服务的选项。该规定自3月1日起施行。
此外,《报告》显示,尽管很多App不再强制收集个人信息,但仍存在首次启动时弹窗索要多个无关权限的问题,由此产生的投诉举报也比较集中,用户对此较为反感。据国家计算机网络应急技术处理协调中心相关人士介绍,目前量大面广的App已将启动时索要权限改为在用户触发特定功能时再索要对应权限,改善了用户体验。监测显示,在华为、小米、vivo、OPPO、腾讯等主流平台的应用商店近3个月新上架的应用中,每月平均有近1000款应用存在此问题。
“由于App数量非常多,推陈出新频率高,而且App的个人信息收集行为和方式也在不断变化,监管部门很难做到全覆盖监管,很容易出现覆盖范围过窄的情况。”TalkingData法务合规负责人兼数据合规官葛梦莹说,“针对海量App收集、使用个人信息的情况,《个人信息保护法》提出了从关键环节入手的监管思路,即首次区分了一般的个人信息处理者和充当‘守门人’角色的操作系统、应用程序分发平台、大型App平台等个人信息处理者。这其中就包括了上述应用商店,因为应用商店是众多App进行个人信息收集处理的必要通道,从应用商店这个关键环节入手,对其提出增强个人信息保护的要求,例如要求超大平台建立外部监督委员会,主动引入对内部信息处理行为的社会监督,主动承担对平台生态中各方个人信息处理行为的监督,并发布社会责任报告等多种手段来杜绝App强制收集非必要个人信息的问题。”
除了非法收集个人信息等严重违法行为,互联网领域“擦边”行为也在悄然地损害着消费者的权益。
近年来,各地屡有披露,有的楼盘违规收集人脸信息进行大数据分析,对客户类型进行甄别后“精准营销”。多家互联网企业也曾被曝光,利用大数据分析对不同群体进行差别定价,实行“价格歧视”,这一行为被称为“大数据杀熟”。
“大数据杀熟”是指互联网平台依靠数据优势和信息不对称,对用户实施价格歧视,这也并非新鲜话题。来自浙江的胡女士曾经以携程采集了自己非必要个人信息进行“杀熟”,将其告上法庭,此案被称为“大数据杀熟”第一案。法院经审理查明,胡女士一直都通过携程App来预订机票、酒店,是该平台享受8.5折优惠价的钻石贵宾客户。然而,身为贵宾的胡女士不仅没有享受到优惠,反而多支付了一倍的房价。最后,法院按“退一赔三”标准,对胡女士的诉求予以支持。
而彼时,胡女士遇到的还是略显“青涩”的初代杀熟。“初代杀熟最典型的是,平台对新客展示低价,对熟客显示高价。”上海市消费者保护委员会副秘书长唐健盛解释说。如今,“熟客卖高价”的投诉已越来越少,而基于人工智能、算法迭代以及平台对消费者信息全方位收集的“二代杀熟”则更为普遍,也更为隐蔽。
比如,通过搜集打车、旅游、购物等信息,平台可以为用户进行全方位“画像”,并据此进行精准推送。“如果某一段时间内一直使用某App买咖啡,那么购买咖啡将会变贵。但当一段时间不使用后,又会收到平台推送的折扣优惠券。”2021年9月6日,北京市民牛先生表达了自己因消费频率不同,在某平台上受到的不同待遇。
无独有偶。湖北省武汉市姚女士在一外卖平台小程序下单一份工作简餐时发现,在两个账号上,该商品价格、打包费、配送费都相同,但使用“账号一”开通可领取到6张5元无门槛优惠券的会员仅需3.2元,使用“账号二”开通该会员却需要15元。若开通会员购买上述套餐,两者结算价格相差11.8元。
这已不是姚女士第一次遭遇此类状况。“在同一平台有两个购物账号,很久没用的账号大概率是被判定为非活跃用户,系统自动下发了15元无门槛优惠券。”姚女士说,她在某化妆品购物平台注册了两个账号,半年后收到客服的电话称账号已很久未使用,便发放了抵用券希望用户能经常登录平台购买商品。
平台基于用户购物习惯差异,通过系统量身定制出“千人千面”的浏览界面,是“大数据杀熟”的精髓所在。中国传媒大学大数据研究中心沈浩教授认为,多领域存在此类现象,根源于“个性化推荐算法”。“由于现阶段电商、社交媒体都可以获取消费者大量信息,特别是个性化的数据。根据这些行为数据,就能给一个用户贴上成千上万的标签,完成用户数字画像。进而深层次预测用户行为,并在此基础上进行商品推荐。”沈浩教授说。
对此,某电商平台负责人王先生进一步解释道:“用户所在区域、性别,使用的设备型号,浏览商品的类别、价格、停留时间等各种消费行为,都被一套特定的算法所标记。当消费者浏览某一类商品花费较长时间,会产生一定的价格敏感性,那么平台在推荐‘猜你喜欢’时,就倾向于推荐相似度、性价比都较高的产品。”
对于隐蔽性更强的“二代杀熟”,公安部第三研究所网络安全法律研究中心主任黄道丽此前接受媒体采访时表示:“‘大数据杀熟’相对集中在网购、网约车、网络视频和在线票务等领域。尽管‘价格歧视’现象在传统领域依然存在,但‘大数据杀熟’的实施方式非常隐蔽。用户借助电脑或移动端只能看到平台展示给自己的价格,无法像线下‘明码标价’式看到对所有用户公布的价格。”
黄道丽指出,对“大数据杀熟”现象执法存在较大困难,因为当用户主张遭遇“大数据杀熟”时,相关企业通常会以季节、数量、区域、捆绑让价、动态定价等因素,强调价格歧视问题的正当性。监管部门基于此,往往无法确认企业是否利用了个人数据实施“杀熟”。
《个人信息保护法》出台前后,对于“大数据杀熟”乱象,监管部门高度重视并出台相关规定。
2021年4月13日,国家市场监管总局会同中央网信办、税务总局召开互联网平台企业行政指导会指出:“实施‘大数据杀熟’等问题必须严肃整治。”2021年7月2日,市场监管总局发布的《价格违法行为行政处罚规定(修订征求意见稿)》,亦对电商平台经营者利用“大数据杀熟”等作出规定。
《个人信息保护法》强调,不得过度收集个人信息,禁止商家通过自动化决策“大数据杀熟”。2021年12月31日,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合发布《互联网信息服务算法推荐管理规定》,这是我国首部关于网络销售平台算法的规定。
除了对个人信息的立法保护之外,互联网领域的突出问题也屡屡出现在“两高”工作报告中。在今年全国两会上,最高人民法院工作报告强调:“对侵犯个人信息、煽动网络暴力侮辱诽谤的,依法追究刑事责任。”最高人民检察院工作报告强调:“从严追诉网络诽谤、侮辱、侵犯公民个人信息等严重危害社会秩序、侵犯公民权利犯罪。”网络虚拟空间,依法治理要实,治理网络暴力、清朗网络空间是其中重要内容。
如今,《个人信息保护法》的实施,将与《网络安全法》《数据安全法》构成我国网络空间安全和数据保护的三驾马车,预示着我国个人信息保护法治进程即将翻开新篇章。
“《个人信息保护法》对防范平台通过隐私条例过度收集处理用户个人信息等提供了强有力的法律保障。”中国人民大学国家发展与战略研究院金融科技与互联网安全研究中心主任杨东撰文提到,针对当前具有市场支配地位的互联网头部企业掌握大量个人信息,对互联网市场稳定及用户数据安全具有支配力的情况,《个人信息保护法》在适用时对大型和小型个人信息处理者进行了区分和细化,明确大型互联网平台是平台经济的“守门人”,需承担更多责任。
对于提供重要互联网平台服务、用户数量巨大、信息量巨大、业务类型复杂的个人信息处理者,杨东举例说明,《个人信息保护法》特别规定了建立健全个人信息保护合规制度体系、定期发布个人信息保护社会责任报告、接受社会监督等义务;对于信息量较少、技术水平较低的小型企业,由国家网信部门为其制定数据处理相关规则。在立法时对适用对象进行区分的目的在于发挥大企业“守门人”的主体责任,并对其加强监管,同时也有利于降低小型企业合规成本,避免其承担过重压力,并弥补事后监管的滞后性。
种种举措并行,足以看出我国政府在公民隐私保护领域的整治力度和决心。“个人数据关乎公民隐私,是每一位公民的基本人权,必须予以保障。”杨东指出,在数字经济蓬勃发展的时代背景下,防止具有市场支配地位的大型平台实施垄断,也是数字经济领域各项法规的立法本意。
自开展App侵害用户权益专项整治工作以来,违规收集、使用用户个人信息的多款App被要求整改或决定下架,有效打击了侵犯用户隐私的行为。根据工信部官方网站信息,2021年以来,我国已累计完成29万款App技术检测,对其中1862款违规App提出整改要求,并下架了107款拒不整改的App。
近期,国家计算机网络应急技术处理协调中心发布的报告显示,App无隐私政策问题呈现下降趋势,问题占比由2019年最高的26%下降至2021年的6.7%。平台企业公开收集使用规则的意识显著增强,一些头部企业应用商店今年已加大无隐私政策问题应用的审核力度。在近三个月新上架的App中,此问题已基本清零。但是,部分中小体量的应用商店审核机制尚未健全,仍有约7.8万款问题App 需进行下架清理。
此外,针对疫情防控期间突出的个人信息收集和使用问题,全国政协委员、北京国际城市发展研究院院长连玉明在前不久的全国两会上呼吁,需要妥善处理涉疫个人信息“善后”问题。
连玉明指出,要明确“谁收集谁负责”“谁使用谁负责”基本原则,细化涉疫个人信息保护主体的责任义务和善后处置的边界。进一步增强对疫情相关个人信息在采集、存储、使用、共享、传输、披露、销毁等生命周期各环节进行风险管控。指定相关机构根据个人信息保密级别、敏感程度划分保存期限,分设处理方式,建立分类分级的存储管理和销毁制度。做到事前可防范、事后可追溯、信息安全可管可控。适时引入“被遗忘权”,阶段性地将前期公布的个人信息从网络上删除,以消除不良影响。
“以前,个人信息会被无节制地分享和超范围使用。”互联网观察者蒙遗善表示,《个人信息保护法》以及多项相关规定的实施,将彻底改变企业和相关部门不注重保护个人信息的情况,也让用户在主张权利时有法可依,这意味着个人信息处理裸奔的时代或将终结。
与此同时,杨东强调,以透明、平等、智能为核心,以区块链技术为驱动,既对用户数据加密,又实现数据共享的先进技术,也正在为监管机关的治理提供助力。实现数据依法合理有效利用、依法有序自由流动,将促进以数据为关键要素的数字经济发展,让平台和用户共享数字经济发展带来的机遇与便利。
能力越大,责任越大,企业做得越大、平台越活跃,相应的社会责任和道德责任就越大。在数字经济的背景下,可以预见未来互联网领域的商业化应用还会不断地发展和进步,利用大数据进行精准推送、个性化分发的商业模式注定不会被轻易抛弃。这也对企业提出了更加具体的管理责任,要求企业能够准确把握责任,明确工作规范,健全管理制度,完善运行规则。这样,网络平台才能做大做强,网络家园才能风清气正,网络强国才能稳步前行。
编辑:狄磊 芦佳琪
推荐阅读:
最新消息|最高检:加大公益诉讼办案力度,推动个人信息保护法落地落实
立法故事|个人信息保护法出台记:历十八载,执法“九龙治水”争议多年