記者 任震宇
3月15日�,中國消費者協(xié)會、中國網(wǎng)絡(luò)空間安全協(xié)會��、新華網(wǎng)聯(lián)合發(fā)布了《個人信息超范圍收集與泄露問題分析研究報告》(以下簡稱《報告》)。其中�,個人和企業(yè)能力與信息不對稱加劇信息濫用����、企業(yè)技術(shù)防護不足導(dǎo)致泄露頻發(fā)�����、海量數(shù)據(jù)匯集放大泄露后果這三大問題被點名��。
聚焦三大突出問題
《報告》指出�,個人信息超范圍收集與泄露問題主要發(fā)生在互聯(lián)網(wǎng)應(yīng)用�、金融、醫(yī)療���、教育等重要領(lǐng)域,其中互聯(lián)網(wǎng)應(yīng)用領(lǐng)域問題尤為突出�������!秷蟾妗方Y(jié)合已經(jīng)處置的11個典型案例,梳理提出目前個人信息超范圍收集與泄露的三大典型問題�����。
首先是個人與企業(yè)能力和信息不對稱加劇信息濫用���。此類問題的根源在于個人與企業(yè)之間能力和信息的高度不對稱性�,即企業(yè)或機構(gòu)與個人在技術(shù)能力、知識儲備和資源獲取上的差距���。具體表現(xiàn)為兩種情形:一是技術(shù)能力差異導(dǎo)致信息收集失衡;二是知識儲備差距引發(fā)信息認(rèn)知偏差。2024年5月�����,某詞典軟件在不通知用戶的前提下����,其系統(tǒng)自動為客戶默認(rèn)勾選“已閱讀并同意服務(wù)條款和隱私政策”的選項,若用戶拒絕,系統(tǒng)將會自動閃退��,無法正常使用�����。
其次是企業(yè)技術(shù)防護不足導(dǎo)致泄露頻發(fā)�。具體表現(xiàn)為3類情形:技術(shù)防護短板凸顯����、管理漏洞引發(fā)危機、責(zé)任逃避加重風(fēng)險���。2023年9月���,某政務(wù)系統(tǒng)的承包商在測試數(shù)據(jù)時未履行安全義務(wù)�����,導(dǎo)致大量公民的個人身份信息和社保記錄等敏感數(shù)據(jù)泄露�����。
第三是海量數(shù)據(jù)匯集放大泄露后果。一方面����,海量數(shù)據(jù)集聚放大安全管理挑戰(zhàn)�,大量數(shù)據(jù)交互暴露安全防護薄弱環(huán)節(jié)�����,漏洞響應(yīng)機制滯后加劇風(fēng)險聚集傳導(dǎo)�����;另一方面,泄露數(shù)據(jù)造成的個人信息失控風(fēng)險往往具有不可逆性,即便漏洞被修復(fù),泄露的數(shù)據(jù)仍可能被不法分子長期利用。
管理缺失個人選擇權(quán)受阻
個人信息超范圍收集和泄露�����,到底是什么原因造成的�?《報告》對該問題進行了分析并提出,從企業(yè)層面來說���,個人信息超范圍收集與泄露存在合規(guī)制度缺位與安全管理缺失兩大成因��;從個人層面來說��,則受到個人判斷能力欠缺與尋求救濟困難等因素影響���。
在企業(yè)層面��,存在企業(yè)合規(guī)缺位與安全管理缺失。企業(yè)合規(guī)的缺位表現(xiàn)在3個方面:個別企業(yè)合規(guī)制度不夠完善����,難以全面滿足合規(guī)要求��;個別企業(yè)合規(guī)制度浮于表面,事后審查流于形式��;有些企業(yè)應(yīng)急響應(yīng)機制不健全���,落實執(zhí)行存在困難�。企業(yè)安全管理缺失體現(xiàn)在4個方面:個別企業(yè)過度追求數(shù)據(jù)資產(chǎn)化利益;個別企業(yè)員工行為管理存在漏洞���;個別企業(yè)與第三方合作缺少個人信息保護安全管理;個別企業(yè)數(shù)據(jù)全生命周期管理缺位��。
在個人層面����,存在判斷能力欠缺與尋求救濟困難。一是信息主體認(rèn)知不足導(dǎo)致“同意”形式化困境�,使得用戶在面對復(fù)雜的個人信息處理規(guī)則時處于信息不對等的劣勢地位�,無法真正理解個人信息將被如何使用并作出合理決策��;二是個別企業(yè)捆綁授權(quán)模式削弱用戶選擇權(quán)��,大量平臺與應(yīng)用軟件采用“全選同意”“一次性授權(quán)”的授權(quán)方式;三是技術(shù)復(fù)雜性與后果滯后性加劇安全風(fēng)險���,在此種認(rèn)知偏差的驅(qū)使下,個人極有可能為了一時便利而將隱私問題拋諸腦后��,對超范圍收集行為放松警惕����,從而為后續(xù)的信息安全埋下隱患��;四是個人信息主體救濟困難助長違法行為���。
此外���,在技術(shù)層面����,個人信息保護與利用在技術(shù)上存在沖突也是個人信息超范圍收集和泄露的一大原因���。在數(shù)據(jù)收集技術(shù)方面����,個別企業(yè)缺乏明確的技術(shù)規(guī)范和標(biāo)準(zhǔn),導(dǎo)致收集行為隨意性較大�����;個別企業(yè)數(shù)據(jù)收集技術(shù)過度應(yīng)用����,一些企業(yè)和機構(gòu)為了獲取更多個人信息,過度依賴數(shù)據(jù)收集技術(shù)����,導(dǎo)致個人信息被超范圍收集�����;個別企業(yè)存在技術(shù)漏洞導(dǎo)致個人信息收集失控��。在數(shù)據(jù)存儲技術(shù)方面�,個別企業(yè)的存儲技術(shù)存在安全性隱患;個別企業(yè)的存儲設(shè)備和系統(tǒng)老化與維護不善;個別企業(yè)采用云存儲帶來安全風(fēng)險。在數(shù)據(jù)使用技術(shù)方面��,個別企業(yè)數(shù)據(jù)處理目的模糊造成數(shù)據(jù)濫用�;個別企業(yè)數(shù)據(jù)使用操作不規(guī)范;個別數(shù)據(jù)分析技術(shù)存在局限性。
協(xié)同共治破解難題
為了破解個人信息超范圍收集和泄露的難題��,《報告》從企業(yè)合規(guī)�、個人救濟、技術(shù)保障3個方面提出對策建議,旨在推動形成個人信息保護的多方協(xié)同共治格局,破解個人信息超范圍收集和泄露難題����。
從企業(yè)層面�����,要規(guī)范管理落實主體責(zé)任。首先����,完善個人信息保護合規(guī)體系��,制定完善的個人信息處理規(guī)則,構(gòu)建嚴(yán)格的內(nèi)部合規(guī)審查流程��,引入外部中立的合規(guī)監(jiān)督力量���。其次�,強化個人信息處理員工管理,包括規(guī)范員工操作行為準(zhǔn)則,開展全面深入的安全培訓(xùn),加強員工職業(yè)道德教育����。最后�,健全落實應(yīng)急處理安全機制����,包括建立高效的信息泄露監(jiān)測體系���,制定詳細的應(yīng)急處理預(yù)案����,進行全面的事后恢復(fù)與改進。
從個體救濟層面���,要傾斜保護化解救濟困局。加強個人信息保護宣傳教育,包括增強宣傳教育培養(yǎng)保護意識���、創(chuàng)新宣傳模式共建網(wǎng)絡(luò)生態(tài)。建立健全平臺用戶投訴機制,包括完善平臺規(guī)則����、明確投訴機制�����,設(shè)計便利的用戶投訴方式。引入外部監(jiān)督�,提升投訴實效����。
從技術(shù)保障層面����,要用技術(shù)手段嚴(yán)守保護紅線。賦予用戶對個人信息的更多控制權(quán)����,是個人信息保護的重要原則之一�����。開發(fā)用戶自主控制工具�,如“一鍵關(guān)閉權(quán)限”“個人信息可攜帶權(quán)”等功能,能夠讓用戶更加便捷地管理個人信息�����,增強用戶對個人信息保護的參與感和主動權(quán)���。
