针对个人信息被“过度采、强制要、诱导取、违规用”等问题,2023年6月,在国家网信办网络执法与监督局的指导下,上海市网信办、上海市市场监督管理局等联合启动“亮剑浦江·消费领域个人信息权益保护专项执法行动”。个保法实施已进入第三年,“亮剑浦江·2024”继续向纵深推进,聚焦扫码点餐、停车扫码、景点景区购票服务、人脸识别滥用、未成年人个人信息保护等重点场景。
在这种情况下,个保法的执行也面临着挑战。例如,在个人信息提供方面,如果银行贷款需要用户运营商补强贷款人信用,按照个保法要求,运营商提供数据需获得个人单独同意,这在实务中就导致数据难以提供出去进击的巨人02,因为合规部门认为必须按法律要求获得用户的单独同意,而用户一般不会同意运营商来询问是否同意提供数据。信贷银行可以获得个人同意获取特定运营商的数据,但在法律上往往不认为属于符合“单独同意”要求。个保法从保护个人信息角度制定,但社会化利用与数据要素社会化应用存在一定矛盾,目前需要通过一些制度机制如匿名化、合规共识等手段来解决。
高富平:人脸识别被认为是高效、快捷、真实的身份识别技术。从技术中立角度,应鼓励验证身份的人脸识别应用于门禁、交通、公共安全等场景进击的巨人02,但人脸识别的危害在于二次使用。由于人脸信息不可篡改,一旦被不法分子利用风险很高,所以对于安全存储的要求高。如果能确保安全且不做二次使用、不用于非法目的,人脸识别技术还是可以信赖的。
个人信息有三种常见类型,一类是有唯一性、能指向个人的身份信息,如姓名、电话、身份证等,这类信息被随意披露、买卖会带来安全风险,如欺诈骚扰等,所以对于直接关联个人的信息,不允许随意披露、买卖,这仍是个人信息保护的重中之重。另一类则是数字ID或设备ID,互联网凭借其强大分析功能,通过关联设备ID对网络信息进行匹配分析。即便不知用户真实身份,也可开展个性化分析,精准推送往往基于此技术实现。而大量的个人信息则属于第三类,如大家在数字化环境留下的行为轨迹等。
高富平:一般只有两种情况会用到身份信息,一是比如寄快递需要具体家庭地址、电话等信息,二是事件发生需要找责任人时,需要利用数据确定身份。正常商业交易中,如咖啡店打印外卖单披露姓名电话,如果没有提供给不相关他人,在营业场所内是可以接受的。从商家角度看,将外卖单交给快递小哥本身没错,但风险在于商家或者快递链条中可能存在的二次售卖信息。
在正常的社会活动中,更合理的个人信息使用规则应该是这样:当信息本身能够指向个人(唯一关联性)时,使用人应当遵循事先同意规则;而当信息并不具有唯一指向个人功能时,则应当适当放开限制,只需确保分析使用环节不能泄露个人信息。同时,我们还应当接受,遵守个人保护原则的商业推送进击的巨人02,只要精准推送具有选退机制,那么这样的商业推送行为仍然被认为是尊重个人选择的行为。
高富平:我们注意到,“亮剑浦江·2024”专项执法行动不是为了处罚企业,而是帮助企业合规经营,协助企业了解个人信息保护,完善企业相关制度。执法行动发布“工具包”“体检包”“服务包”“护身包”,通过释法、指导、评估、保护四个层次,进一步丰富了个人信息保护的政策工具。监管部门起到了引导企业从被动合规到主动合规,协助企业合法经营的作用,是一种预防式执法,最终目的是打造良好营商环境。