2018年~2021年,在不少人经历了半夜起床发现智能音箱处于“唤醒录音状态”,为N个app、门禁和闸门贡献了自己的人脸与身份证数据,在某夕刚下单晒衣架就被某宝和某东推送晾晒三件套,被打车和外卖软件杀过熟,以及被小区强行要求刷脸进门的一系列“奇幻之旅”后……

这是我们第一次从头到尾、如此认真地阅读一部中国法律。

8月20日,十三届全国人大常委会第三十次会议,最终表决通过了《中华人民共和国个人信息保护法》(下面简称《保护法》)。2021年11月1日起,这部法律将正式生效。

实际上,从2019年开始,关于“数据隐私保护”国家层级的一系列信息安全技术规范与数据管理政策,就以前所未有的密度起草、推出和实施。直到2021年,个人信息保护法正式颁布。

图片来自人大网

在阅读全文并请教律师后,我们发现,这不仅仅是中国在个人信息保护方面的里程碑事件,也是一个与时俱进的,紧跟时代与地理特点、技术和思想发展脚步的法律范本

譬如,《保护法》用了不小篇幅,对那些需要把数据带出境外的运营商与企业提出了更多要求。

第三章里,就明确规定了跨境数据服务的安全审查方案,强调“出海”需要经过网信办的严格安全评估,签署网信部门制定的标准合同;还特别指出,收集和产生的个人信息需要存储在境内。

此外,法律也将符合以下三个条件的境外机构纳入管辖范围内。这就意味着,那些向境内自然人提供产品或服务,但却登记在海外的公司(这样的诈骗网络团伙和黄色网站非常多),一旦违法,也需要接受中国的处置。

总体来看,所有条例都可与当下发生在我们身上的那些个人隐私争议与数据纠纷对号入座。一定程度上,它们的生效,将会倒逼从通讯运营商、设备制造商到软件设计公司等所有涉及数据服务的企业,在未来一段时间内,修正涉及到数据处理问题的产品运行规则。

个人信息保护力度,很大

上海市新闵律师事务所高级合伙人庄帆律师在接受虎嗅采访后,从法律和隐私保护角度,“圈”出了消费者需要重点关注的部分。他指出,很多条例都是站在普通人这一边,在努力保护个人隐私权益。

譬如,在《保护法》未颁布前,所有相关文件对“需要保护的个人信息”定义非常模糊,这会给很多数据采集者可乘之机,因为“个人信息”这个概念实在太大了。

而第28条,就对个人敏感信息做出了明确定义——生物识别、宗教信仰、特定身份、医疗健康以及金融账户和行踪轨迹,都隶属于不得侵犯和非法使用范围内。

庄帆律师提及,条例还特别提到了对14岁以下未成年人实行更为严苛的信息保护,他认为,这体现了立法者对未成年人的特别关爱。

此外,第69条,也蕴含了值得推敲的信息——在一起涉及个人信息侵权的纠纷中,如果数据处理者(通常为被告)不能证明自己没过错,那么,就必须承担责任。

“这便是过错推定原则。当你的个人信息权益受到侵害时,在信息处理者不能证明其没有过错的情况下,就会被推定有过错,应承担赔偿损害责任。这对处理信息的一方是不利的。”

这条很重要

据庄帆律师回忆,2013年曾发生过一起林某与四川航空之间的民事诉讼案件,前者控告航空公司滥用自己的电话与航班信息数据,给自己出行造成损失。

由于当时的法律尚未针对个人信息泄露相关的侵权案件采用“举证责任倒置”,一审法院以林某“举证不能”而未支持他相关的诉请。随后,他提起上诉,经过复杂的二审程序,最终艰难胜诉。

“这个案例是在《个人信息保护法》颁布以前的。

一审,法院认为林某虽然举证证明了四川航空公司掌握、知晓其交易信息及该信息被泄露的客观事实,但并未举证证明该信息确系由四川航空公司泄露。按照‘谁主张,谁举证’的原则,法院表示林某应承担举证不能的法律后果,因此未支持消费者的相关诉请

二审过程中,法官已经认识到举证责任难度,虽然‘谁主张,谁举证’是民事诉讼中举证责任的一般原则,但结合具体情况,法院认为可根据公平原则和诚实信用原则,综合原告举证能力等因素确定举证责任,所以二审原告胜诉。”

但是,如果本案在《个人信息保护法》生效后审理,那么法官就可以直接援引第69条,让被告去证明自己没有过错,否则,被告就应当承担相应的侵权责任。

因此,之所以现在《保护法》这样规定,他认为有可能是个人维权用户去举证比较困难太多技术细节和更多信息都在对方(企业或数据侵权者)手里,所以通过举证责任倒置,也是对个人的一种保护。

他还指出,《保护法》第70条,正式将个人信息保护列入了公益诉讼的范围。这很有意义。

以前如果个人去提起“个人信息被滥用”的诉讼,时间和金钱成本很高,很多事情总是不了了之。而现在引入了公益诉讼机制,个人在其权利受损后就应当勇敢发声。

当这些信息被汇总后,相关组织经过判断并掌握一定证据后,就有权去发起诉讼。这就相当于给很多愿意通过法律渠道来维护个人信息权益的人,开辟了一个相对便捷的通道。

个人数据收集乱象,该结束了

从很多人的经历来看,我们心里很清楚,一方面,其实不可避免很多个人数据已被拿走,譬如人脸特征和身份证信息等等;另一方面,我们仍然在不知不觉被很多APP实时收集个人网络行踪数据。

前者,重点是要放在对数据滥用行为的打击上;后者,则涉及到对数据采集的规范。

而这部法律的一个特点,就是从存在数据滥用现象的“商业公司”端入手,对他们未来的数据采集方法进行严格约束与监控。

举个例子,我们都会在不知不觉中允许手机和app打开我们的麦克风和摄像头,或者默许app收集自己的定位和信息浏览踪迹。这才会出现越来越多的可疑数据偷窃痕迹:

在某夕下单,某宝可能会立刻“惊觉”你的行为,马上推送并给予优惠券;家里智能音箱播放一首歌,手机上的音乐app竟然会很快推荐同一首歌,同样的情况屡次发生;在机场的唱吧里唱歌,回家后某品牌智能音箱竟然能够推荐大量相同的歌曲……

这里面一定涉及到企业对我们个人行踪信息“无孔不入”的采集策略。

2021年5月,苹果公司上线了针对手机用户的隐私保护策略——更新iOS 14.5后,你会发现其中新增了“App跟踪透明度”功能。每打开一个app,它会提示你“是否同意追踪”。只有用户主动授权,App才能收集属于你在这个设备上的活动数据,也叫做“获取你的IDFA”。

你可以把IDFA看做一个记录了用户网络行为习惯的手机ID:你每天用了哪些app,搜索了什么,浏览了什么网页,都在IDFA里,而app开发者以前是可以读取IDFA的。

这也是为何,我今天在百度上搜索了“自动驾驶”相关内容,知乎竟然在当天给我推送了关于自动驾驶的提问,而我此前从未在知乎上搜索过相关内容。

苹果手机“设置”里对跟踪功能的说明,追踪app使用信息,以便精准投放广告

实际上,直到苹果在上线这个功能之后,很多人才惊觉,原来“各个app以前几乎像是打通的,共享我们很多个人行为信息”。

所以,我们才是商场展示橱窗里的那个商品,而很多app背后的企业才是站在橱窗前“欣赏”你各种行为,利用你的网络踪迹来赚取大量广告费用的赢家。

因此,庄帆律师提醒我们关注《保护法》的第14~17条,以及第44条(下图)。商业公司对个人信息的采集与处理,必须详细告知用户处理目的和保存期限。而用户对自己的个人信息应用状态,从头到尾都必须享有知情权和决定权。

几年前,大家在用一些app时会出现这样一种情况:你如果不打开某种权限,那么app就无法继续正常使用,所以不得不点击“同意”。而这种做法,从11月1日起,都是违法的,你有权对这些要求说“不”。

“很多公司滥用优势地位,把需要用到的、用不到的信息全部收集起来,试图把包括声音、脸、虹膜等生物信息,以及个人定位、偏好习惯都统统拿走,而现在包括第6条也明确指出,收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”

当然,除了手机,还有一个过去两年大家讨论最多的个人隐私保护争议点,就在于“人脸识别”

从银行与各类支付程序,再到小区和便利店,甚至是之前闹的沸沸扬扬的“戴头盔看房”事件,人脸识别作为一种身份鉴定手段,过去两年来,在越来越多的地方不仅被强制采集,甚至在采集后还被非法出售和滥用。

“之前看到一些案例,有些饭店或商场在安装摄像头后录入了大量用户面部特征,之后又对这些面部数据做了非法交易。除了能获取人脸信息,很多地方其实还能同时获取登记的家庭地址和电话,综合使用这些数据,危害极大。

因此,重点是在‘防滥用’。

所以,法律规定除了公共安全目的,第26条规定在公共场所采集的个人信息,除维护公共安全目的之外,不得用于其他目的,当然,取得个人单独同意属于例外情形。”

但是,上面提到的“戴头盔看房”,是一个特殊案例。

根据21世纪经济报道的调查,房地产商使用人脸识别的主要目的是“区分”新老看房人来调整渠道佣金,这便导致不同购房人之间最后支付的房款数存在高达几十万的差价

这在某种程度上不仅是一种偏离了公共安全目的的侵权,其实也是一种“杀熟”。

而外卖app的“会员加价”,打车app老客户页面相同路段显示的车费更高,某宝上同一件衣服老客户页面价格更高……早已屡见不鲜,也都是我们常说的“大数据杀熟”现象。

但是,现在我们终于有了对付“大数据杀熟”的法律武器。《保护法》第24条对此有了明确规定:

“这一条紧贴当下现实情况。这是从法律角度,明确禁止了涉及‘大数据杀熟’的所有行为,再加上相应的处罚手段,是对以后类似不公平商业营销的一种有效遏制。”

监管严,处罚重

如果说法律对信息采集端的约束是一种“警告”,那么强有力的监管过程与处罚措施,才是对商业公司停止滥用数据最有效的威慑

《保护法》明确提到,对企业进行监督的一方,必须是来自外部的第三方机构,这某种程度也体现了一种公信力

但是,落实到具体执行,譬如机构到底由哪些成员组成,它的权限有哪些,需要审查到多深的程度,都是需要在未来做进一步明确。

“大逻辑是没问题的。从实操角度来看,双方会做更多的平衡,因为在保护个人信息的同时,也应注意不能干扰企业的正常运营。这里面的度如何把握,未来监管部门会做更深层的考量。”

庄帆律师也同时指出,随着未来各类涉及数据纠纷的具体案例越来越多,《保护法》还会有完善空间。

此外,他重点提到了处罚力度——因为“《保护法》的进步和国家决心,也体现在对惩罚金额的措辞上”。以前,很多法律条款的罚款金额都是明确的,但在《保护法》里,出现了一个百分比——

“情节严重的,没收违法所得,并处于5000万以下,或者上一年度营业额5%以下的罚款。”

对于很多巨头公司来说,5000万并不是一个大数字。但是营业额的5%,按照阿里2020财年5057亿元的营收,5%就是254亿。他认为,这的确是一种进步,大大增加了对很多过度收集和滥用数据企业的威慑力,因为付出的代价很大。

“有了明确采集规定和滥用处罚条例,很多企业就不得不按照透明原则公布自己的追踪细则。

即便是现在,很多偷数据和滥用数据的现象你只是在怀疑,感觉‘模棱两可’没有证据,但一旦有人知道了内幕,或者员工爆料,或者竞争对手有了感知,外加对个人用户更友好的‘举证责任倒置’以及公益诉讼,那么他们就会认识到,如果违法,最终一定会付出相应的代价。”

写在最后

其实保护个人隐私信息,防止信息被泄露和滥用的方法,远远不止非要“法律约束”来解决。

譬如在企业软件安全市场,“隐私计算”已经成为一种很受欢迎的数据安全保护技术;越来越多的普法大V出现在B站等社交平台上;而这一代年轻人的思想觉醒和对自我隐私保护的重视,似乎有了高于“对便捷性过度依赖”的迹象……

以上,都是普通人防范被企业与网络犯罪者继续挖坑的重要路径。

当然,未来很多具体案例在审理和执行中,也会因为现实复杂条件的干预产生更多变数。甚至可能会出现千奇百怪的,不符合上述任何法律条例的奇葩案例。如上面所说,这部法律并非没有持续修正的空间。

但是,这部个人信息保护法的尘埃落定,将会是人工智能与大数据时代人人变得愈加赤裸状态下,我们维护个人数据权益的第一块盾牌。

所以,“反杀熟”,“反泄露”,“反滥用”,你准备好了吗?