查看原文
其他

高艳东|保护个人信息应强化企业管理责任

数字法学 2022-04-09

The following article is from 环时深度观察 Author 环时深度观察

点击上方“数字法学”可以免费订阅哦!



本文作者


高艳东


浙江大学数字法治研究院

副院长



本文发表于

《环球时报》2021年11月9日


近日,工信部在重拳整治了APP违规调用通讯录、位置信息以及弹窗骚扰用户等问题后,又调查了APP超范围、高频次索取权限,非服务场景必需时收集用户个人信息,欺骗诱导用户下载等违规问题,共发现“腾讯新闻”“QQ音乐”“小红书”等38款APP存在问题。


在互联网时代,个人信息是许多单位盈利的重要来源,“能收则收、多多益善”是多数APP的设计思路。客户资源、精准营销、广告推送甚至大数据杀熟,都需要依靠大量个人信息。将本单位掌握的个人信息提供给第三方以获取利益,是很多行业的潜规则。在黑市,个人信息已有不菲的交易价值,并形成庞大的黑灰产业链。近年来,各地公安机关破获了多起在“暗网”上交易公民个人信息的案件。


类似案件中的个人信息,多数是从银行、医院、通信公司、培训机构、房产公司和互联网企业泄露出去的。虽然许多案件在司法机关调查后发现,泄露原因是单位内鬼,或者系黑客利用单位系统漏洞而爬取所得,但是,单位对信息、人员、系统的管理过失也是重要原因。长期以来,单位管理过失是我国在公民个人信息保护上的顽疾。显然,为了从源头上遏制公民个人信息泄露问题,我们需要减少个人信息收集范围、强化收集单位的管理责任。个人信息对企业而言不仅意味着数据资源,更意味着法律责任,法律要警示收集单位“多收集一条个人信息,多增加一份法律责任”。


一方面,单位收集个人信息应当严格遵守“最少收集”原则。在数字时代,“多收集多得利”是行业共识。2021年第三季度,相关机构在对全国APP进行抽样检测后发现,接近六成的APP“违规收集个人信息”。为了纠正这一乱象,2021年11月实施的《个人信息保护法》第6条规定:“收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”该条确立的“最小范围”对症下药,可以有效解决我国个人信息泄露的乱象。前几年,大量APP收集与服务无关的信息,如导航、读书APP 等要收集个人通讯录等,其目的无非是想扩大用户数量、抢占市场份额。为了获得收集的正当性,在《个人信息保护法》出台前,各种APP竞相采用冗长的“告知-同意”授权书,或者采用“不授权就无法使用”规避法律风险。


近年来,很多单位又热衷于人脸识别,大量收集个人生物识别信息以提高商业利润。2021年“3·15晚会”就曝光了多个门店抓取人脸数据,分析顾客到店频次、性别、年龄乃至情绪好坏。在多数情况下,顾客对于被抓拍、分析并无感知, 更不存在“告知-同意”的基本程序。这些人脸识别应用,基本上都缺乏必要性与正当性,西方国家正在逐渐限制滥用人脸识别。


无疑,《个人信息保护法》确立的“最少收集”比“必要性”“告知-同意”等原则的标准更高。显然,即使相关单位有必要收集个人信息,但如果能够采用其他验证方式,也不能收集生物识别信息,而应“采取对个人权益影响最小的方式”处理个人信息。同样,即使用户同意,也不意味着收集行为的正当性。按照“最少收集”原则,多数APP都需要整改,缩小收集范围,而不能以用户同意为挡箭牌。


高艳东:《极限正义:刑案之道》,北京大学出版社2021年3月版


点击图片即可购买


另一方面,应当对违规单位追究“最严责任”。我国《个人信息保护法》大幅度提高了违规单位的违法成本,确立了比史上最严的《欧盟的通用数据保护条例》还高的罚则:最高罚款为上一年度营业额的5%。立法者保护公民个人信息的决心显而易见。但是,徒法不足以自行,商业机构多是利益导向型,只有落实严厉的罚则,才能够敦促其做好个人信息保护工作。


在发达国家,保护个人信息的主要方式是强化单位管理责任。欧美监管机构对泄露信息企业的罚款动辄数亿美元。例如,2020 年初,美国互联网巨头推特与美国证券监管机构FTC就信息泄露问题达成50亿美元的和解协议。高额罚款推动美国互联网企业不断加强个人信息保护力度,减少个人信息收集范围,提高系统安全防护力度,向第三方提供用户信息时更加谨慎。


在我国,保护公民个人信息的主要方式是追究违法个人的刑事责任。近年来,我国司法机关通过“侵犯公民个人信息罪”,打击了大量盗取、倒卖公民个人信息的个人,但很少追究单位的法律责任。一批又一批倒卖者被送进监狱,但个人信息泄露问题仍未得到有效治理。在犯罪学上,溯源治理才能标本兼治。相信《个人信息保护法》施行后,针对信息收集、处理单位的高额罚款,将有利于从源头上堵住个人信息泄露的漏洞,从根本上铲除个人信息买卖的黑灰产业链条。


无个人信息则无人格尊严。在数字时代,网络空间已经成为个人的第二生活空间,个人信息就是公民的数字化存在。个人信息泄露会侵犯个人隐私与尊严,侵犯个人财产权利,甚至会威胁个人生命健康权。只有奉行“最少收集、最严处罚”的原则,才能敦促收集单位既把个人信息当成盈利渠道,又当成风险来源,进而让数字经济成为人民群众满意的安全产业。



END


本文作者:高艳东
文章来源:环球时报

本文编辑:张婕妤

本文审阅:尚 鹏

(本文观点和内容与本公众号无关)

延伸阅读:

Facebook为何取消存在10年的面部识别功能?

高艳东丨完善个人信息保护制度 推动数字经济高质量发展

亮点解读|11月1日,《个人信息保护法》正式开始施行!



主     编:周莙松

副  主  编:陈思文

来稿请投:zjulaw@aliyun.com

转载须授权


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存