2018年~2021年,在不少人經歷了半夜起床發現智能音箱處於“喚醒錄音狀態”,為N個app、門禁和閘門貢獻了自己的人臉與身份證數據,在某夕剛下單晒衣架就被某寶和某東推送晾曬三件套,被打車和外賣軟件殺過熟,以及被小區強行要求刷臉進門的一系列“奇幻之旅”后……
這是我們第一次從頭到尾、如此認真地閱讀一部中國法律。
8月20日,十三屆全國人大常委會第三十次會議,最終表決通過了《中華人民共和國個人信息保護法》(下面簡稱《保護法》)。2021年11月1日起,這部法律將正式生效。
實際上,從2019年開始,關於“數據隱私保護”國家層級的一系列信息安全技術規範與數據管理政策,就以前所未有的密度起草、推出和實施。直到2021年,個人信息保護法正式頒布。
圖片來自人大網
在閱讀全文並請教律師后,我們發現,這不僅僅是中國在個人信息保護方面的里程碑事件,也是一個與時俱進的,緊跟時代與地理特點、技術和思想發展腳步的法律範本。
譬如,《保護法》用了不小篇幅,對那些需要把數據帶出境外的運營商與企業提出了更多要求。
第三章里,就明確規定了跨境數據服務的安全審查方案,強調“出海”需要經過網信辦的嚴格安全評估,簽署網信部門制定的標準合同;還特別指出,收集和產生的個人信息需要存儲在境內。
此外,法律也將符合以下三個條件的境外機構納入管轄範圍內。這就意味着,那些向境內自然人提供產品或服務,但卻登記在海外的公司(這樣的詐騙網絡團伙和黃色網站非常多),一旦違法,也需要接受中國的處置。
總體來看,所有條例都可與當下發生在我們身上的那些個人隱私爭議與數據糾紛對號入座。一定程度上,它們的生效,將會倒逼從通訊運營商、設備製造商到軟件設計公司等所有涉及數據服務的企業,在未來一段時間內,修正涉及到數據處理問題的產品運行規則。
個人信息保護力度,很大
上海市新閔律師事務所高級合伙人庄帆律師在接受虎嗅採訪后,從法律和隱私保護角度,“圈”出了消費者需要重點關注的部分。他指出,很多條例都是站在普通人這一邊,在努力保護個人隱私權益。
譬如,在《保護法》未頒布前,所有相關文件對“需要保護的個人信息”定義非常模糊,這會給很多數據採集者可乘之機,因為“個人信息”這個概念實在太大了。
而第28條,就對個人敏感信息做出了明確定義——生物識別、宗教信仰、特定身份、醫療健康以及金融賬戶和行蹤軌跡,都隸屬於不得侵犯和非法使用範圍內。
庄帆律師提及,條例還特別提到了對14歲以下未成年人實行更為嚴苛的信息保護,他認為,這體現了立法者對未成年人的特別關愛。
此外,第69條,也蘊含了值得推敲的信息——在一起涉及個人信息侵權的糾紛中,如果數據處理者(通常為被告)不能證明自己沒過錯,那麼,就必須承擔責任。
“這便是過錯推定原則。當你的個人信息權益受到侵害時,在信息處理者不能證明其沒有過錯的情況下,就會被推定有過錯,應承擔賠償損害責任。這對處理信息的一方是不利的。”
這條很重要
據庄帆律師回憶,2013年曾發生過一起林某與四川航空之間的民事訴訟案件,前者控告航空公司濫用自己的電話與航班信息數據,給自己出行造成損失。
由於當時的法律尚未針對個人信息泄露相關的侵權案件採用“舉證責任倒置”,一審法院以林某“舉證不能”而未支持他相關的訴請。隨後,他提起上訴,經過複雜的二審程序,最終艱難勝訴。
“這個案例是在《個人信息保護法》頒布以前的。
一審,法院認為林某雖然舉證證明了四川航空公司掌握、知曉其交易信息及該信息被泄露的客觀事實,但並未舉證證明該信息確系由四川航空公司泄露。按照‘誰主張,誰舉證’的原則,法院表示林某應承擔舉證不能的法律後果,因此未支持消費者的相關訴請;
二審過程中,法官已經認識到舉證責任難度,雖然‘誰主張,誰舉證’是民事訴訟中舉證責任的一般原則,但結合具體情況,法院認為可根據公平原則和誠實信用原則,綜合原告舉證能力等因素確定舉證責任,所以二審原告勝訴。”
但是,如果本案在《個人信息保護法》生效后審理,那麼法官就可以直接援引第69條,讓被告去證明自己沒有過錯,否則,被告就應當承擔相應的侵權責任。
因此,之所以現在《保護法》這樣規定,他認為有可能是個人維權用戶去舉證比較困難。太多技術細節和更多信息都在對方(企業或數據侵權者)手裡,所以通過舉證責任倒置,也是對個人的一種保護。
他還指出,《保護法》第70條,正式將個人信息保護列入了公益訴訟的範圍。這很有意義。
以前如果個人去提起“個人信息被濫用”的訴訟,時間和金錢成本很高,很多事情總是不了了之。而現在引入了公益訴訟機制,個人在其權利受損后就應當勇敢發聲。
當這些信息被匯總後,相關組織經過判斷並掌握一定證據后,就有權去發起訴訟。這就相當於給很多願意通過法律渠道來維護個人信息權益的人,開闢了一個相對便捷的通道。
個人數據收集亂象,該結束了
從很多人的經歷來看,我們心裡很清楚,一方面,其實不可避免很多個人數據已被拿走,譬如人臉特徵和身份證信息等等;另一方面,我們仍然在不知不覺被很多APP實時收集個人網絡行蹤數據。
前者,重點是要放在對數據濫用行為的打擊上;後者,則涉及到對數據採集的規範。
而這部法律的一個特點,就是從存在數據濫用現象的“商業公司”端入手,對他們未來的數據採集方法進行嚴格約束與監控。
舉個例子,我們都會在不知不覺中允許手機和app打開我們的麥克風和攝像頭,或者默許app收集自己的定位和信息瀏覽蹤跡。這才會出現越來越多的可疑數據偷竊痕迹:
在某夕下單,某寶可能會立刻“驚覺”你的行為,馬上推送並給予優惠券;家裡智能音箱播放一首歌,手機上的音樂app竟然會很快推薦同一首歌,同樣的情況屢次發生;在機場的唱吧里唱歌,回家后某品牌智能音箱竟然能夠推薦大量相同的歌曲……
這裡面一定涉及到企業對我們個人行蹤信息“無孔不入”的採集策略。
2021年5月,蘋果公司上線了針對手機用戶的隱私保護策略——更新iOS 14.5后,你會發現其中新增了“App跟蹤透明度”功能。每打開一個app,它會提示你“是否同意追蹤”。只有用戶主動授權,App才能收集屬於你在這個設備上的活動數據,也叫做“獲取你的IDFA”。
你可以把IDFA看做一個記錄了用戶網絡行為習慣的手機ID:你每天用了哪些app,搜索了什麼,瀏覽了什麼網頁,都在IDFA里,而app開發者以前是可以讀取IDFA的。
這也是為何,我今天在百度上搜索了“自動駕駛”相關內容,知乎竟然在當天給我推送了關於自動駕駛的提問,而我此前從未在知乎上搜索過相關內容。
蘋果手機“設置”里對跟蹤功能的說明,追蹤app使用信息,以便精準投放廣告
實際上,直到蘋果在上線這個功能之後,很多人才驚覺,原來“各個app以前幾乎像是打通的,共享我們很多個人行為信息”。
所以,我們才是商場展示櫥窗里的那個商品,而很多app背後的企業才是站在櫥窗前“欣賞”你各種行為,利用你的網絡蹤跡來賺取大量廣告費用的贏家。
因此,庄帆律師提醒我們關注《保護法》的第14~17條,以及第44條(下圖)。商業公司對個人信息的採集與處理,必須詳細告知用戶處理目的和保存期限。而用戶對自己的個人信息應用狀態,從頭到尾都必須享有知情權和決定權。
幾年前,大家在用一些app時會出現這樣一種情況:你如果不打開某種權限,那麼app就無法繼續正常使用,所以不得不點擊“同意”。而這種做法,從11月1日起,都是違法的,你有權對這些要求說“不”。
“很多公司濫用優勢地位,把需要用到的、用不到的信息全部收集起來,試圖把包括聲音、臉、虹膜等生物信息,以及個人定位、偏好習慣都統統拿走,而現在包括第6條也明確指出,收集個人信息,應當限於實現處理目的的最小範圍,不得過度收集個人信息。”
當然,除了手機,還有一個過去兩年大家討論最多的個人隱私保護爭議點,就在於“人臉識別”。
從銀行與各類支付程序,再到小區和便利店,甚至是之前鬧的沸沸揚揚的“戴頭盔看房”事件,人臉識別作為一種身份鑒定手段,過去兩年來,在越來越多的地方不僅被強制採集,甚至在採集后還被非法出售和濫用。
“之前看到一些案例,有些飯店或商場在安裝攝像頭后錄入了大量用戶面部特徵,之後又對這些面部數據做了非法交易。除了能獲取人臉信息,很多地方其實還能同時獲取登記的家庭地址和電話,綜合使用這些數據,危害極大。
因此,除了公共安全目的,第26條規定在公共場所採集的個人信息,除維護公共安全目的之外,不得用於其他目的,當然,取得個人單獨同意屬於例外情形。”
但是,上面提到的“戴頭盔看房”,是一個特殊案例。
根據21世紀經濟報道的調查,房地產商使用人臉識別的主要目的是“區分”新老看房人來調整渠道傭金,這便導致不同購房人之間最後支付的房款數存在高達幾十萬的差價。
這在某種程度上不僅是一種偏離了公共安全目的的侵權,其實也是一種“殺熟”。
而外賣app的“會員加價”,打車app老客戶頁面相同路段顯示的車費更高,某寶上同一件衣服老客戶頁面價格更高……早已屢見不鮮,也都是我們常說的“大數據殺熟”現象。
但是,現在我們終於有了對付“大數據殺熟”的法律武器。《保護法》第24條對此有了明確規定:
“這是從法律上明確禁止了涉及‘大數據殺熟’的所有行為,再加上相應的處罰手段,是對以後類似不公平商業營銷的一種有效遏制。”
監管嚴,處罰重
如果說法律對信息採集端的約束是一種“警告”,那麼強有力的監管過程與處罰措施,才是對商業公司停止濫用數據最有效的威懾。
《保護法》明確提到,對企業進行監督的一方,必須是來自外部的第三方機構,這某種程度也體現了一種公信力。
但是,落實到具體執行,譬如機構到底由哪些成員組成,它的權限有哪些,需要審查到多深的程度,都是需要在未來做進一步明確。
“大邏輯是沒問題的。從實操角度來看,雙方會做更多的平衡,因為在保護個人信息的同時,也應注意不能干擾企業的正常運營。這裡面的度如何把握,未來需要監管部門做更深層的考量。” 因此,庄帆律師也同時指出,隨着未來具體案例的出現會越來越多,《保護法》還會有完善空間。
此外,他重點提到了處罰力度——因為“《保護法》的進步和國家決心,也體現在對懲罰金額的措辭上”。以前,很多法律條款的罰款金額都是明確的,但在《保護法》里,出現了一個百分比——
“情節嚴重的,沒收違法所得,並處於5000萬以下,或者上一年度營業額5%以下的罰款。”
對於很多巨頭公司來說,5000萬並不是一個大數字,但是營業額的5%,按照阿里2020財年5057億元的營收,5%就是254億。這增加了對很多過度收集和濫用數據企業的威懾力,因為付出的代價實在很大。
“有了明確採集規定和濫用處罰條例,很多企業就不得不按照透明原則公布自己的追蹤細則。
即便是現在,很多偷數據和濫用數據的現象你只是在懷疑,感覺‘模稜兩可’沒有證據,但一旦有人知道了內幕,或者員工爆料,或者競爭對手有了感知,外加對個人用戶更友好的‘舉證責任倒置’以及公益訴訟,那麼他們就會認識到,如果違法,最終一定會付出相應的代價。”
寫在最後
其實保護個人隱私信息,防止信息被泄露和濫用的方法,遠遠不止非要“法律約束”來解決。
譬如在企業軟件安全市場,“隱私計算”已經成為一種很受歡迎的數據安全保護技術;越來越多的普法大V出現在社交平台上,譬如B站;而這一代年輕人的思想覺醒和對自我隱私保護的重視,似乎有了高於“對便捷性過度依賴”的跡象……
以上,都是普通人防範被企業與網絡犯罪者繼續挖坑的重要路徑。
當然,未來很多具體案例在審理和執行中,也會因為現實複雜條件的干預產生更多變數。甚至可能會出現千奇百怪的,不符合上述任何法律條例的奇葩案例。如上面所說,這部法律並非沒有持續修正的空間。
但是,這部個人信息保護法的塵埃落定,將會是人工智能與大數據時代人人變得愈加赤裸狀態下,國內所有願意用法律手段維護個人數據權益的人的第一塊盾牌。
所以,“反殺熟”,你準備好了嗎?