App治理组何延哲:企业个人信息保护实践与完全合规间存在割裂
App的隐私政策不同意就不让用,这是霸王条款?刚搜一个商品就被精准推送广告,这是在卖我数据?索要无关的电话、存储权限,这是想监视我……这些对个人信息保护不力的日常吐槽,在中国电子技术标准化研究院信安中心审查部总监何延哲看来,多数情况下都是因为用户的误区没有得到有效化解。
8月20日,第七届互联网安全大会(ISC 2019)分论坛——个人信息安全与隐私保护在北京雁栖湖召开,本次分论坛由360互联网安全中心和南方都市报个人信息保护研究中心等联合举办。会上,何延哲作了题为《多角度下如何破解APP个人信息保护难题》的主旨演讲。
中国电子技术标准化研究院信安中心审查部总监何延哲发表演讲。主办方供图。
在何延哲看来,对于App个人信息保护的问题,监管、企业和用户的具体心态可以分别用“跃跃欲试、战战兢兢和悬悬而望”来形容。
今年以来,几乎所有的监管部门、或者是执法监管机构,都对个人信息保护问题高度重视。何延哲认为,“可以用跃跃欲试这个词来代表他们的心态”。在这样的背景下,企业就会去想“我是不是应该做点什么”。
他表示,因为法律规定只是原则性的框架,对于其中的细节,企业会思考自己的每个业务环节到底是不是合法合规,这确实有点“战战兢兢”。而对于普通用户来说,对问题解决的期望很大,那么“我们等待的结果到底是什么”还是有些“悬悬而望”。
从用户视角来看,何延哲认为确实存在一些认识误区没有很好地化解。个人信息保护的“不可能三角”是廉价、方便和隐私保护,产品经理对这三点可能会有面面俱到的考量。但对于用户而言,“用户看到的永远是这三个角当中的一个角,他不会从整体来看这个问题,如果隐私保护做的不好,他肯定关注隐私保护,他不会去想隐私保护做好了是不是影响收费的问题,是不是影响便捷的问题?他不会考虑。”
个人信息保护的“不可能三角”。制图何延哲。
比如说,有些用户认为刚搜了一个商品就被推送精准广告,一定是App卖了数据给第三方。何延哲解释道,“我们知道它是瞬时的数据对接,连交换可能都不是。” 这其中确实有“用户的惯性思维”,而且“成见甚深”。他认为,在App治理过程中让大家去认可的过程很困难,“先污染再治理,总归是困难的。”
对于企业来说,在合规过程中存在一些痛点,比如说隐私政策如何展示,权限目的如何告知,注销机制如何设置?何延哲指出,这些功能的简单实现都很好办,但真正达到好的用户体验是比较难的。
此外,他还提出,个性化推送、对外提供个人信息以及平台嵌入第三方服务这三个问题对于企业而言,是怎么做都做不到完全合规的,现实和合规之间存在割裂。对此,他给出的建议是,企业在考虑这些问题时要有Plan B的思路,可以从功能实现、盈利、创新和社会责任四方面来对具体业务的合规程度进行判断。
何延哲建议,企业在考虑这些问题时要有Plan B的思路。制图何延哲。
从监管的角度来看,App治理到底难在哪里?何延哲总结为四点,第一是覆盖面广,目前App太多,粗略估计有500万;第二点是,问题交织,有用户的、企业的、监管的,不同的视角都要顾及;第三是业态已成型,其中广告、借贷、社交是最复杂的三个业态,也是最赚钱的业态。个人信息保护问题要想彻底解决,很有可能和这些业态会产生正面冲撞;最后一点是用户的成见甚深,缺失信任。
据了解,今年1月以来,中央网信办、工信部、公安部和市场监管总局四部门,联合开展为期一年的App违法违规收集使用个人信息专项治理行动。作为专项治理小组专家成员,何延哲介绍目前的主要治理动作是设立举报渠道、制定标准规范、开展监测评估以及监督整改提升。
总结而言,何延哲认为,对于个人来说,确实需要重塑数据时代的价值观,一分为二看待个人信息,了解它带来的好处,也了解它带来的危害;对于企业来说,要具备价值驱动,可以在个性化推送上彰显更多社会责任;对于监管部门来说,需要多方共担、形成默契。