個(gè)人信息保護(hù)法創(chuàng)設(shè)了“守門人”制度,其中規(guī)定互聯(lián)網(wǎng)平臺需要成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督,這就像是在個(gè)人隱私保護(hù)的“大門”內(nèi)再設(shè)一道“護(hù)欄”。然而,這道“護(hù)欄”建設(shè)的標(biāo)準(zhǔn)是什么?怎么建?行業(yè)內(nèi)仍處于“摸著石頭過河”的階段。
雖然相關(guān)部門、企業(yè)和老百姓的個(gè)人隱私保護(hù)意識不斷提高,但個(gè)人在互聯(lián)網(wǎng)“裸奔”的風(fēng)險(xiǎn)似乎沒有明顯降低。3月15日,中國消費(fèi)者協(xié)會發(fā)布了2023年消費(fèi)維權(quán)年主題調(diào)查報(bào)告,其中,“個(gè)人信息泄露煩擾多”排在當(dāng)前消費(fèi)環(huán)境存在的問題之首。
事實(shí)上,對于個(gè)人信息保護(hù)的監(jiān)管一直在“加碼”,尤其是加大了對掌握數(shù)據(jù)較多的互聯(lián)網(wǎng)平臺的監(jiān)管力度。2021年11月1日開始實(shí)施的個(gè)人信息保護(hù)法創(chuàng)設(shè)了“守門人”制度,其中規(guī)定互聯(lián)網(wǎng)平臺需要成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督,以及定期發(fā)布個(gè)人信息保護(hù)社會責(zé)任報(bào)告,接受社會監(jiān)督。
“該規(guī)定的核心邏輯就是提高企業(yè)在個(gè)人信息處理以及管理上的透明度。”近日,螞蟻集團(tuán)首席隱私官聶正軍在接受中青報(bào)·中青網(wǎng)記者采訪時(shí)表示,透明度是提升企業(yè)在這方面意識和能力最好的驅(qū)動力,“陽光是最好的消毒劑,當(dāng)一切在陽光之下時(shí),健康的東西就會生長出來,不健康的東西就會滅亡”。
在“守門人”制度框架之下,借助外部獨(dú)立機(jī)構(gòu)與社會力量對平臺進(jìn)行監(jiān)督,一定程度上像是在個(gè)人隱私保護(hù)的“大門”內(nèi)再設(shè)一道“護(hù)欄”,也是再上一道“保險(xiǎn)”。然而,這道“護(hù)欄”建設(shè)的標(biāo)準(zhǔn)是什么?怎么建?行業(yè)內(nèi)仍處于“摸著石頭過河”的階段。
多家企業(yè)設(shè)立個(gè)人信息保護(hù)監(jiān)督委員會
當(dāng)前,行業(yè)內(nèi)已有一些互聯(lián)網(wǎng)平臺開始嘗試在個(gè)人信息保護(hù)“大門”內(nèi)再設(shè)“護(hù)欄”。
3月22日,在螞蟻集團(tuán)個(gè)人信息保護(hù)監(jiān)督委員會(以下簡稱“監(jiān)委會”)2023年度首次會議上,監(jiān)委會委員、華東政法大學(xué)教授高富平表示,全社會的數(shù)字化轉(zhuǎn)型,本質(zhì)上是將數(shù)據(jù)作為資產(chǎn)轉(zhuǎn)型,在兼顧數(shù)據(jù)安全性的基礎(chǔ)上,進(jìn)一步探索數(shù)據(jù)的價(jià)值。
“個(gè)人信息保護(hù)的背后反映的是信任問題,是關(guān)于企業(yè)和用戶、企業(yè)和監(jiān)管機(jī)構(gòu)之間的信任。”另一位監(jiān)委會委員、對外經(jīng)濟(jì)貿(mào)易大學(xué)法學(xué)院副教授許可認(rèn)為,重建信任可以從兩個(gè)方面入手:一是提高算法的透明度;二是加強(qiáng)平臺內(nèi)經(jīng)營管理者的保護(hù)能力,平臺不僅自己要合規(guī),更要重視平臺內(nèi)經(jīng)營者的合規(guī)。
據(jù)悉,該監(jiān)委會設(shè)立于2022年下半年,由螞蟻集團(tuán)董事會、董事會隱私保護(hù)及數(shù)據(jù)安全委員會批準(zhǔn)設(shè)立,首批委員共5人,他們是來自法學(xué)領(lǐng)域和技術(shù)領(lǐng)域?qū)<?,作為?dú)立機(jī)構(gòu)對公司個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督,進(jìn)一步健全個(gè)人信息保護(hù)評價(jià)和監(jiān)督機(jī)制。
“隱私合規(guī)能力是數(shù)字化企業(yè)行穩(wěn)致遠(yuǎn)的重要基石和核心競爭力。”聶正軍表示,設(shè)立該委員會,一是為了洞察社會對于平臺在數(shù)據(jù)安全和個(gè)人隱私保護(hù)方面的期待和關(guān)切;二是希望通過外部監(jiān)督力量督促企業(yè)提升數(shù)據(jù)安全和個(gè)人隱私保護(hù)水平。
此前,一些企業(yè)已在這方面進(jìn)行了一些嘗試。2021年10月22日,騰訊公司副總裁謝呼曾在發(fā)言時(shí)透露,將成立個(gè)人信息保護(hù)外部監(jiān)督委員會,獨(dú)立評議騰訊公司及各產(chǎn)品隱私保護(hù)的相關(guān)工作,提出指導(dǎo)和修改意見等,提高騰訊公司個(gè)人信息保護(hù)工作的機(jī)制建設(shè)和透明度水平。
騰訊宣布這一消息后的第三天,攜程集團(tuán)合規(guī)委員會就發(fā)布了一則《攜程“個(gè)人信息保護(hù)外部監(jiān)督專家團(tuán)”招募公告》,招募9名專家,獨(dú)立監(jiān)督、評估攜程集團(tuán)及旗下各產(chǎn)品的個(gè)人信息保護(hù)相關(guān)工作,并為攜程提出指導(dǎo)和修改建議等。
外部監(jiān)督如何保證獨(dú)立且有效
目前,關(guān)于如何建設(shè)外部監(jiān)督機(jī)構(gòu),行業(yè)缺乏統(tǒng)一的標(biāo)準(zhǔn)。
行業(yè)亦有隱憂。比如,外部監(jiān)督機(jī)構(gòu)介入企業(yè)太深,可能會涉及企業(yè)商業(yè)秘密,甚至可能影響企業(yè)運(yùn)營。如果企業(yè)披露信息不夠充分,可能無法保障監(jiān)督效果。那么,該如何保證外部監(jiān)督的獨(dú)立性以及有效性?
有人認(rèn)為,在互聯(lián)網(wǎng)平臺,個(gè)人隱私保護(hù)與企業(yè)盈利存在沖突,因?yàn)榱髁考磧r(jià)值。聶正軍指出,支付寶在設(shè)置用戶保護(hù)中心的位置時(shí),就曾遇到類似問題。該用戶保護(hù)中心包含了個(gè)人信息已收集清單以及個(gè)人信息共享清單等,消費(fèi)者可以看到自己的哪些信息被收集了以及被共享到何處。
當(dāng)時(shí)討論將這個(gè)內(nèi)容放在更低的位置,然而,最終還是被放在了“第二欄”的高位,他們希望,用戶可以保護(hù)好自己。
當(dāng)外部監(jiān)督與企業(yè)業(yè)務(wù)發(fā)生沖突該怎么辦?聶正軍表示,一是監(jiān)委會提出的意見可以直接提交到螞蟻集團(tuán)董事會隱私保護(hù)及數(shù)據(jù)安全委員會,從而保障和促進(jìn)實(shí)施。二是社會責(zé)任報(bào)告最終由監(jiān)委會審閱通過,監(jiān)委會有“把關(guān)”的權(quán)力。
高富平認(rèn)為,監(jiān)委會成員作為連接企業(yè)與社會的“橋梁”,對企業(yè)的個(gè)人隱私保護(hù)情況進(jìn)行監(jiān)督的同時(shí),應(yīng)盡可能更多地反映社會的聲音。并且,作為專業(yè)人士,在信息披露方面可以作出更專業(yè)的判斷,且對必要信息需要盡到保密責(zé)任。他坦言,外部監(jiān)督不是改變企業(yè)隱私合規(guī)文化最根本的路徑,“像我們這樣的人能夠發(fā)揮的作用還是有限”。他說,要做好這個(gè)“橋梁”需要下很多功夫。
數(shù)據(jù)安全與個(gè)人隱私保護(hù)最關(guān)鍵的是數(shù)據(jù)使用,這一環(huán)節(jié)鏈條長、涉及面廣、運(yùn)行復(fù)雜。
高富平指出,個(gè)人信息保護(hù)的落實(shí)關(guān)鍵執(zhí)行者是平臺,平臺需要借助技術(shù)、法律以及管理,尤其是管理等手段,將個(gè)人隱私保護(hù)的意識貫穿于員工培養(yǎng)、產(chǎn)品設(shè)計(jì)、產(chǎn)品生產(chǎn)等各個(gè)環(huán)節(jié)。“最關(guān)鍵的是執(zhí)行。”他說。
讓監(jiān)督與發(fā)展兩條腿“走路”。作為業(yè)內(nèi)人士,高富平更希望,除了監(jiān)督,也可以為數(shù)據(jù)的開發(fā)利用找到“出路”。他認(rèn)為,在數(shù)據(jù)利用與個(gè)人信息保護(hù)之間,匿名化或許是一種平衡的手段,因而如何實(shí)現(xiàn)數(shù)據(jù)匿名化制度的落地、落實(shí),也是眾多科技企業(yè)可以探索的方向之一。
“把數(shù)據(jù)匿名化落到實(shí)處”
數(shù)字化浪潮是大勢所趨,未來,數(shù)據(jù)要素流動更多、更活躍,尤其是數(shù)據(jù)跨域流動,可能會產(chǎn)生新的風(fēng)險(xiǎn)。如何進(jìn)一步保障數(shù)據(jù)安全與個(gè)人信息是行業(yè)共同的考題。
當(dāng)前,大型互聯(lián)網(wǎng)平臺在不斷提升隱私合規(guī)的能力,更多的中小微企業(yè)數(shù)字化能力相對較弱,保護(hù)數(shù)據(jù)安全和個(gè)人信息安全的能力則更弱。
高富平指出,數(shù)字化轉(zhuǎn)型就是向“將數(shù)據(jù)作為資產(chǎn)”轉(zhuǎn)型,這個(gè)過程中,用戶信息的識別很重要,要區(qū)分哪些是正當(dāng)合法必須保護(hù)的,對用戶的信息要分級別,從而采用不同的處理方式,而非“一刀切”,這樣成本高,也不利于數(shù)據(jù)要素發(fā)展。
“沒有匿名化,數(shù)據(jù)可能流動不起來。”高富平談到,在個(gè)人數(shù)據(jù)保護(hù)和數(shù)據(jù)利用方面主要面臨兩個(gè)問題,一是個(gè)人ID保護(hù)問題:如何在匿名的前提下,繼續(xù)保留數(shù)據(jù)的價(jià)值,數(shù)據(jù)的價(jià)值不在ID,而在ID關(guān)聯(lián)的屬性和行為信息,這需要探討一個(gè)標(biāo)準(zhǔn),做好身份信息的安全保護(hù)。“把數(shù)據(jù)匿名化落到實(shí)處。”
高富平說,數(shù)據(jù)安全風(fēng)險(xiǎn)主要在數(shù)據(jù)的使用,而不在采集。高富平指出,對數(shù)據(jù)使用的控制,是一個(gè)隱私問題,也是一個(gè)安全問題,也是實(shí)現(xiàn)數(shù)據(jù)可流通利用的問題。這就需要構(gòu)建起安全體系和權(quán)益保護(hù)體系。
“數(shù)據(jù)安全保護(hù)還沒有從一個(gè)‘奢侈品’變成日用品。”螞蟻集團(tuán)數(shù)據(jù)安全資深總監(jiān)郭亮表示,當(dāng)前,雖然監(jiān)管形勢逐漸清晰,但行業(yè)外部形勢依然嚴(yán)峻。
“網(wǎng)絡(luò)黑產(chǎn)趨于強(qiáng)對抗。”郭亮認(rèn)為,當(dāng)前,網(wǎng)絡(luò)“黑產(chǎn)”呈現(xiàn)往專業(yè)發(fā)展趨勢,且產(chǎn)業(yè)鏈長、隱蔽性強(qiáng),打擊難度隨之上升。他說,數(shù)據(jù)黑市愈加活躍,黑產(chǎn)公開售賣數(shù)據(jù),數(shù)據(jù)還被欺詐等黑產(chǎn)利用。
在利益驅(qū)動下,數(shù)據(jù)源頭“內(nèi)鬼”風(fēng)險(xiǎn)呈頻發(fā)態(tài)勢。郭亮介紹,全國范圍內(nèi)數(shù)據(jù)泄露事件頻發(fā)。另外,國內(nèi)數(shù)據(jù)企業(yè)數(shù)據(jù)安全意識弱,數(shù)據(jù)安全投入不足。安全公司加速數(shù)據(jù)安全領(lǐng)域布局,但能力和方案成熟度低。
聶正軍也擔(dān)心,在平臺內(nèi)數(shù)據(jù)安全可以得到保證,一旦數(shù)據(jù)走出平臺,這就很難說了。“孩子還在家里時(shí),能夠給它一個(gè)安全的港灣,長大成人出去了,很難管住。”他說,“這也是我們最擔(dān)心,也最想要解決的問題。”
當(dāng)前,制約這些中小微企業(yè)提升數(shù)據(jù)安全能力的一個(gè)關(guān)鍵因素是成本太高。聶正軍指出,如果能夠把相關(guān)技術(shù)從“奢侈品包”變成“帆布包”,大家都可以用,整個(gè)行業(yè)在這方面的能力就都能夠得到加強(qiáng)。作為平臺企業(yè),在提升自身的相關(guān)能力時(shí),也需要提醒行業(yè)尤其是下游企業(yè),并且用平臺技術(shù)去給它們賦能。
他觀察到,近一兩年,國內(nèi)已經(jīng)開始涌現(xiàn)出一批關(guān)于數(shù)據(jù)安全合規(guī)的創(chuàng)業(yè)公司,探索數(shù)據(jù)安全合規(guī),這也是新賽道的商業(yè)機(jī)會。
聶正軍預(yù)測,未來4年,中國將涌現(xiàn)一批比較成熟、成體系的數(shù)據(jù)安全合規(guī)產(chǎn)品的供應(yīng)者。中國巨大的數(shù)據(jù)市場之下,隨著技術(shù)進(jìn)步迅猛,這個(gè)時(shí)間可能會明顯縮短。(趙麗梅)
編輯:郭成