中国信通院汤立波等:个人信息保护政策标准发展分析
The following article is from 信息通信技术与政策 Author 汤立波 等
0 引言
个人信息是大数据时代高价值资产,为信息领域新产品、新服务、新业态发展提供重要支持。个人信息的高价值属性导致信息泄漏事件频繁发生,违规收集个人信息和滥用现象严重,用户权益受到严重侵害。本文分析当前个人信息保护面临的严峻挑战,研究国内外政策法规进展和特点,给出我国个人信息保护标准化工作重点。
1 个人信息保护形势严峻
当前主要发达国家和我国都将信息产业定为国家战略性新兴产业,其中信息服务特别是互联网服务对个人信息需求强烈,收集和使用个人信息的行为活跃。个人信息保护关系到公民的权益和互联网产业能否健康持续发展,如何科学、有效地开展个人信息保护成为国际社会关注焦点。
1.1 个人信息泄露事件频发,如何保护成为世界性难题
互联网触角延伸到社会方方面面,在网络上获取个人信息更容易实现也更具隐蔽性,国内外个人信息泄露事件频繁发生。例如,2018年,Under Armour 1.5 亿用户数据泄露,Facebook 5000 万用户信息提供给英国剑桥分析公司;2019年,美国数据公司People Data Labs和OxyData.io服务器泄露12 亿人敏感信息,美国房地产和产权保险巨头FirstAmerican 8.85 亿客户财务记录泄露;2020年,以色列650 万选民数据泄露,雅诗兰黛4.4 亿条用户敏感信息泄露,1 500 万加拿大公民个人信息泄露,2.67 亿个Facebook帐户信息在暗网出售;2021年,巴西2.2 亿人信息泄露,印度政府网站800 万个人信息和核酸检测结果泄露等。个人信息泄露事件举不胜举,暴露出社会各界获取个人信息的强烈诉求和管理不足,个人信息泄露催生一系列社会问题和安全问题,严重影响用户权益甚至生命财产安全。个人信息如何保护已成为国际社会共同面对的难题[1]。
1.2 业务创新对个人信息需求强烈,行业监管挑战加剧
信息领域新产品、新服务、新业态不断涌现,个人信息在业务创新中发挥重要作用[2]。例如,Facebook等社交类软件利用用户信息开展广告精准推送,阿里支付宝等支付类软件依托用户信息开展大数据征信,电商和打车类应用通过用户信息提供商品交易和出行服务,这些业务给用户带来极大方便,提升了生活质量和效率。与此同时,信息领域业务快速创新加剧了开发者和运营者对个人信息的需求,给政府行业监管带来更加严峻挑战。过去,个人信息保护监管比较侧重“事后处置”,在信息服务业井喷式发展的时期,信息服务业创新速度和更新迭代频率前所未有,“事后处置”监管方式不能完全满足当前市场快速变化的需要。因此,需逐步建立适应新形势需要的个人信息保护“事前指导”加“事后处置”相结合的监管机制,促进形成全行业统一认识和自律氛围,针对不同信息服务制定差异化的监管策略和标准规范,为信息领域新产品、新服务、新业态健康可持续发展保驾护航。
2 国内外个人信息保护政策法规持续完善
为规范和引导产业健康发展,欧美和我国都在积极加强个人信息保护政策制定和法律完善,推行符合各自国情的个人信息保护政策法规。
2.1 欧盟采取严格立法保护个人信息
欧盟主张全欧盟范围统一、严格的立法。欧盟自2018年5月起执行《通用数据保护条例》(General Data Protection Regulation,GDPR),通过法律强制力对个人信息保护实行严格管理。GDPR适用欧盟全体成员国,以“一个大陆、一部法律”为原则在欧盟27 个成员国内部建立统一的个人信息保护和流动规则。GDPR不仅适用于设立在欧盟境内的数据控制者或处理者,还适用于设立在欧盟境外但向欧盟境内的数据主体提供商品/服务或监控欧盟境内数据主体行为的数据控制者或处理者。同时,GDPR规定了非常严厉的处罚措施,违反GDPR的行为罚款范围是1 000 万到2 000 万欧元,或企业全球年营业额的2%到4%,GDPR 被称为史上最严格数据保护法。2019年1月,法国国家信息与通信委员会对谷歌开出5 000 万欧元罚单;2019年6月,西班牙数据保护局因Laliga(西班牙足球甲级联赛)官方手机应用软件(APP)非法获取用户信息,处罚25,万欧元;2021年7月,卢森堡数据保护局对亚马逊开出7.46 亿欧元罚单。另外,在行政部门的介入程度方面,欧盟强调政府部门对个人信息保护的监管权力,欧盟各成员国均成立了专门的用户个人数据保护机构,享有广泛的监督管理权利。
2.2 美国立法和行业自律相结合推动个人信息保护
美国采取立法与行业自律相结合的方式保护个人信息,主张政府有限干预。立法方面,美国通过联邦立法结合各州分散立法构建基础法律框架。在传统电信行业,以《隐私权法》《信息自由法》《电子通讯隐私法》和《有线通讯隐私权法案》等法律为基础,形成了良好的个人信息保护法律环境。但美国在互联网行业个人信息保护方面仍处于探索阶段,行业管理和自律氛围相对薄弱。同时,美国各州分散立法可以对联邦立法进行有效补充,例如,2018年6月,加州出台《加州隐私法案》,赋予消费者对公司收集和管理其个人信息的访问权、删除权、知情权等权利,规范了企业收集处理数据的方式。2019年10月,马里兰州实施“个人信息保护法—安全违约通知要求(众议院法案1154号法案)”,相关要求延伸至企业维护的个人信息,以及企业拥有或许可的个人信息。2019年5月,华盛顿出台违反个人信息保护的安全系统相关法案(SHB 1071),修改了个人信息的法定定义,扩大了华盛顿州数据泄露法律的保护范围。另外,美国产业界也在积极推动产业联盟和行业认证等工作,如美国电子工业协会(EIA)、美国工商协会等和美国在线(AOL)、美国电话电报公司(AT&T)、万国商业机器公司(IBM)、美国银行(Bank of America)等团体和企业成立了“在线隐私联盟”,通过隐私认证机构TRUSTe、网络隐私认证计划(Privacy Seal Program)等推动行业隐私认证。
相较于欧盟的严格立法,美国在立法形式上主张分散和宽松立法,除了对金融、医疗、儿童等敏感信息有专门的立法外,其他行业的个人信息保护较多依赖于行业自律。其次,在行政部门的介入程度方面,美国主张政府有限干预,美国联邦贸易委员会(Federal Trade Commission,FTC)仅能从禁止商业不公平和欺诈行为角度对个人信息保护行使有限的监管权。
2.3 我国个人信息保护政策法规顶层设计逐步完善
我国个人信息保护立法快速推进,逐步形成较为完善的立法体系。2012年12月,《全国人民代表大会常务委员会关于加强网络信息保护的决定》发布,要求保护能够识别公民个人身份和涉及公民个人隐私的电子信息[3],该文件成为我国早期开展个人信息保护的法律基础。2016年11月,《中华人民共和国网络安全法》发布,第四十条至第四十五条对于网络运营者收集、使用个人信息等行为提出要求[4]。2020年5月,《中华人民共和国民法典》表决通过,个人信息保护成为其中重要内容[5]。2021年6月,《中华人民共和国数据安全法》通过。2021年8月,《中华人民共和国个人信息保护法》表决通过,针对个人信息保护形成专门立法[6]。至此,我国形成较完备的个人信息保护法律体系顶层设计框架,为各级政府和产业开展个人信息保护奠定了良好的法律基础。下一步,面对信息服务业快速发展和用户权益保护意识的不断提高,相关法律的实施、细化将成为重点,相关工作仍任重道远。
我国政府持续推进政策规章完善,不断强化个人信息保护监管。2011年,工业和信息化部发布《规范互联网信息服务市场秩序若干规定》,对侵害用户权益行为提出监管要求[7]。2013年,工业和信息化部发布《电信和互联网用户个人信息保护规定》,细化个人信息保护要求[8]。2016年,工业和信息化部发布《移动智能终端应用软件预置和分发管理暂行规定》,重点对手机APP个人信息和权益保护问题加强管理[9]。2018年,中央网信办、工业和信息化部、公安部、市场监管总局四部门联合发布《关于开展APP违法违规收集使用个人信息专项治理的公告》。2021年,工业和信息化部制定《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》并公开征求意见。随着一系列部门规章和管理政策出台,我国初步形成了重点突出、层次分明的政策规章体系,为我国个人信息保护监管和行业自律创造了良好的政策基础。
2020年7月,工业和信息化部开展纵深推进APP侵害用户权益专项整治行动,针对老百姓反映比较强烈的APP侵害用户权益的四方面十类问题进行重点整治。截至2021年年底,共开展12 批次专项抽查工作,发现4 029 款有问题的APP并责令整改,涉及违规问题8 016 个,其中违规收集个人信息、APP强制频繁过度索取权限、违规使用个人信息问题相对突出,具体问题统计如图1所示。
3 我国快速推进个人信息保护标准发展
为统一行业共识,细化个人信息保护要求,在工业和信息化部指导下,中国信息通信研究院、中国通信标准化协会联合产业各界,积极推动电信和互联网服务个人信息保护国家标准、行业标准制定。标准工作总体思路是以保障服务质量和用户权益为核心,急用先行,目前已建立较完善的标准体系架构,一批关键技术标准陆续发布,成为近年来个人信息保护政府监管、行业自律的重要参考。电信和互联网服务用户个人信息保护标准体系架构如图2所示。
APP作为用户使用互联网服务的主要入口,成为收集个人信息的重要手段,且通过APP收集、使用个人信息具有隐蔽性强、判定取证困难、用户敏感度弱、技术门槛低等特点,是当前政府开展个人信息保护监管工作的重点领域。在工业和信息化部指导下,中国信息通信研究院、电信终端产业协会积极推动APP个人信息保护团体标准制定,在开展APP专项整治过程中发挥了积极支撑作用。APP个人信息保护团体标准框架如图3所示。
4 结束语
本文对个人信息保护面临的严峻挑战进行研究,总结国内外经验和政策特点,分析我国个人信息保护政策法规环境,给出个人信息保护标准体系架构和发展方向。我国逐步完善的政策法规体系,为维护广大人民群众利益创造了条件,为电信和互联网行业健康可持续发展奠定了基础。
参考文献
[1] 中国信息通信研究院. 移动互联网应用程序(APP)个人信息保护治理白皮书[R], 2021.[2] 汤立波, 李璐, 葛雨明, 等. 电信和互联网服务个人信息保护研究[J]. 电信网技术, 2015(10):1-4.[3] 全国人民代表大会. 全国人民代表大会常务委员会关于加强网络信息保护的决定[EB/OL]. (2012-12-28)[2022-01-04]. http://www.cac.gov.cn/2012-12/29/c_133353262.htm.[4] 全国人民代表大会. 中华人民共和国网络安全法[EB/OL]. (2016-11-07)[2022-01-04]. http://www.cac. gov.cn/2016-11/07/c_1119867116.htm.[5] 全国人民代表大会. 中华人民共和国民法典[EB/OL]. (2020-05-28)[2022-01-04]. http://www.npc.gov.cn/npc/c30834/202005/1247ca1d376e47e9b02a3053dd438e2d.shtml.[6] 全国人民代表大会. 中华人民共和国数据安全法[EB/OL]. (2021-06-11)[2022-01-04]. http://www.cac.gov.cn/2021-06/11/c_1624994566919140.htm.[7] 工业和信息化部. 规范互联网信息服务市场秩序若干规定[EB/OL]. (2011-12-29)[2022-01-04]. http://www.gov.cn/gongbao/content/2012/content_2161726.htm.[8] 工业和信息化部. 电信和互联网用户个人信息保护规定[EB/OL]. (2013-07-16)[2022-01-04]. http://www.gov.cn/gzdt/2013-07/19/content_2451360.htm.[9] 工业和信息化部. 移动智能终端应用软件预置和分发管理暂行规定[EB/OL]. (2016-12-16)[2022-01-04]. http://www.gov.cn/xinwen/2016-12/25/content_5152517.htm.
作者简介
汤立波
中国信息通信研究院技术与标准研究所副所长,正高级工程师,主要从事个人信息保护、工业互联网、电信和互联网技术等方面的研究工作。
常浩伦
中国信息通信研究院技术与标准研究所产业互联网研究部工程师,主要从事个人信息保护等方面的研究工作。
臧磊
中国信息通信研究院技术与标准研究所产业互联网研究部副主任,高级工程师,主要从事个人信息保护、信息通信技术等方面的研究工作。
论文引用格式:
汤立波, 常浩伦, 臧磊. 个人信息保护政策标准发展分析[J]. 信息通信技术与政策, 2022,48(7):60-64.
本文刊于《信息通信技术与政策》2022年 第7期
主办:中国信息通信研究院
《信息通信技术与政策》是工业和信息化部主管、中国信息通信研究院主办的专业学术期刊。本刊定位于“信息通信技术前沿的风向标,信息社会政策探究的思想库”,聚焦信息通信领域技术趋势、公共政策、国家/产业/企业战略,发布前沿研究成果、焦点问题分析、热点政策解读等,推动5G、工业互联网、数字经济、人工智能、区块链、大数据、云计算等技术产业的创新与发展,引导国家技术战略选择与产业政策制定,搭建产、学、研、用的高端学术交流平台。
《信息通信技术与政策》官网开通啦!
校 审 | 陈 力、珊 珊
编 辑 | 凌 霄
推荐阅读
数字化转型专家谈