2021年11月1日,《个人信息保护法》正式实施,如今已经四年多时间。今年,也是上海网信办“亮剑浦江”专项行动实施的第三年。
2023年,上海网信、市监等多个部门启动“亮剑浦江”专项执法行动。图为上海市网信办会同相关部门召开部分商超企业个人信息保护合规工作座谈会。
这几年里,公民的个人信息保护意识是否在提高?目前,在个人信息保护方面,仍有哪些难点?“亮剑浦江”专项行动对个人信息保护、营商环境以及法治建设等方面,起到了什么作用……近日,澎湃新闻记者就前述问题专访了大成(上海)律师事务所律师杨宇宙。
根据他的观察,随着《个人信息保护法》的实施以及“亮剑浦江”专项行动的开展,近些年,公民和企业的个人信息保护意识都在不断提高。但未来可能还需解决三大难点:信息不对称,用户缺乏有效手段判断企业是否按照隐私政策收集、处理个人信息;违法成本和收益还不平衡;对中小企业,找到个人信息保护合规义务和企业发展的平衡点还比较困难。
2024年底,央视《新闻1+1》报道上海如何治理人脸识别滥用问题。
公民个人信息保护意识逐年提高
澎湃新闻:2021年11月1日,《个人信息保护法》正式实施,至今已经四年多了。在个人信息保护方面,您最关注什么问题?
杨宇宙:最关注个人信息主体同意的认定问题。《个人信息保护法》虽然规定了处理个人信息的合法性基础,但是个人信息主体的同意是实践中最为普遍采用的合法性基础。
有效同意以充分告知为前提,隐私政策正是最主要的告知手段。然而,目前的现状是隐私政策越写越长,而且还充满着许多晦涩的专业术语,绝大部分用户也根本不看隐私政策直接就点了同意或者授权,这就导致同意沦为了形式。
此外,还有部分APP仍将同意隐私政策与使用相绑定,用户除了点击同意之外没有其他选择。如何让用户在真正知情的情况下自愿做出同意,还需要继续加以关注。
澎湃新闻:在司法实践中,就您的感受来说,公民的个人信息保护意识,是否在发生改变?有哪些改变?
杨宇宙:我感觉,公民的个人信息保护意识确实在逐年提高,而且已经从被动接受改为积极维权。以前面对个人信息泄露,大家更多表示的是无奈,现在越来越多的人会去学习个人信息保护的相关知识,主动发现身边的个人信息侵权行为,并能识别出侵权行为的类型。
澎湃新闻:您认为是什么促使公民的个人信息保护意识发生了改变?
杨宇宙:最重要的原因是网信部门的严格执法。这种严格执法,既是对侵权行为的纠正,也是对公民个人信息保护的教育,促进公民个人信息保护意识的提升。以上海市委网信办连续三年开展的“亮剑浦江”行动为例,该行动2023年就对停车缴费、扫码点餐等场景下强制用户登录授权、不当索权等现象进行了整治。之后停车场出现“纯净码”,可直接支付;餐厅点餐也不强制登录或者提供手机号。这种变化给公民上了一堂个人信息保护的实践课。公民看到了这种变化,会意识到之前强制收集用户个人信息的行为是不恰当的。此时公民保护个人信息的意识就得到了提升。而且侵权行为能得到纠正,公民也有更多动力维权。
澎湃新闻:对企业和个人,您有哪些具体的个人信息保护合规建议?尤其是在网络社交、商业活动等高频场景中,需要重点关注哪些法律风险点?
杨宇宙:对企业而言,最重要的是要培养“隐私融入设计”的意识。在系统设计和产品研发阶段,就将个人信息保护的需求考虑进去,遵循最小化原则,在收集个人信息之前先考虑收集的必要性,处理完个人信息后及时删除。此外,企业应当注重自身个人信息保护体系和制度的建设,采取适当的技术措施保护个人信息安全,不断提升合规能力。
对个人而言,每当需要扫码时就要格外注意。要关注扫码后的App、小程序等是否收集姓名、手机号等个人信息,是否有隐私政策,是否告知个人信息处理者等内容,是否可以注销账户等。对于来源不明的、不规范的App、小程序直接卸载或关闭,不向其提供任何个人信息。
个人信息保护仍需解决的难点
澎湃新闻:您认为,“亮剑浦江”行动对保护营商环境、促进法治建设,起到什么作用?
杨宇宙:“亮剑浦江”行动起到了明确合规底线的作用,通过规范企业收集处理个人信息的行为,敦促企业为个人信息保护投入成本,打击通过过度收集个人信息而获取竞争优势的企业,保证企业的公平竞争环境,促进个人信息保护制度的落实,营造一个在保护个人信息的环境下充分竞争的营商环境。
通过“亮剑浦江”行动,能细化《个人信息保护法》的规定,使《个人信息保护法》真正得到落实,使社会公民的个人信息权益得到保护。
澎湃新闻:个人信息保护还面临哪些难点、痛点和堵点?对此,您有什么建议?
杨宇宙:首先,信息不对称是个人信息保护的最大难点。用户缺乏有效的手段判断企业是否合规收集、处理个人信息。例如最令人诟病的“大数据杀熟”,如果用户没有和其他用户比较价格的条件,就几乎不可能发现被大数据杀熟。这就需要执法部门重点监管那些容易利用信息不对称侵犯个人信息的企业。
其次,违法成本和收益还不平衡。目前对违规处理个人信息的企业大部分以警告和责令改正为主,实施罚款的案例相对较少,司法案例中赔偿的数额也不是很高。这就导致企业难有动力主动进行个人信息保护合规工作。我建议在今后的执法中,可以适当加大处罚力度,对主动合规的企业,可以从轻或减轻处罚。通过这种方式增加企业的合规收益,引领企业主动合规。
最后,对于中小企业来说,找到个人信息保护合规义务和企业发展的平衡点还比较困难。个人信息保护合规义务过重,对中小企业的发展是负担,个人信息保护合规义务过轻,又不足以令企业重视。或许在进行处罚裁量时考虑企业的规模与合规能力,有助于找到平衡点。
澎湃新闻:“亮剑浦江”专项行动已连续进行三年。对于“亮剑浦江”行动,您的观察和感受有哪些?未来有哪些建议或期待?
杨宇宙:“亮剑浦江”行动的成果是具体的,可观察的。落脚点是人民群众身边常见的“小事”,但这些“小事”又威胁到公民个人信息安全,因此又非常重要。“亮剑浦江”行动督促企业对违规行为进行整改,整治了身边的个人信息侵权行为,效果显著。
此外,“亮剑浦江”行动的成果是可持续的。除了对具体的侵权进行整治外,还为企业提供合规工具,这有助于企业不断提升个人信息保护水平。
在执法场景的选择上,我建议“亮剑浦江”行动接下来聚焦一些新兴的风险场景中。例如,随着人工智能技术的普及,人工智能生成内容中对个人信息的使用问题应当重点加以关注。一些不法分子利用人工智能技术生成个人形象带货,这不仅属于非法处理公民个人信息的行为,也是对消费者的欺诈,扰乱了市场秩序,应重点打击。