个人信息保护法创设了“守门人”制度,其中规定互联网平台需要成立主要由外部成员组成的独立机构对个人信息保护情况进行监督,这就像是在个人隐私保护的“大门”内再设一道“护栏”。然而,这道“护栏”建设的标准是什么?怎么建?行业内仍处于“摸着石头过河”的阶段。
——————————
虽然相关部门、企业和老百姓的个人隐私保护意识不断提高,但个人在互联网“裸奔”的风险似乎没有明显降低。3月15日,中国消费者协会发布了2023年消费维权年主题调查报告,其中,“个人信息泄露烦扰多”排在当前消费环境存在的问题之首。
事实上,对于个人信息保护的监管一直在“加码”,尤其是加大了对掌握数据较多的互联网平台的监管力度。2021年11月1日开始实施的个人信息保护法创设了“守门人”制度,其中规定互联网平台需要成立主要由外部成员组成的独立机构对个人信息保护情况进行监督,以及定期发布个人信息保护社会责任报告,接受社会监督。
“该规定的核心逻辑就是提高企业在个人信息处理以及管理上的透明度。”近日,蚂蚁集团首席隐私官聂正军在接受中青报·中青网记者采访时表示,透明度是提升企业在这方面意识和能力最好的驱动力,“阳光是最好的消毒剂,当一切在阳光之下时,健康的东西就会生长出来,不健康的东西就会灭亡”。
在“守门人”制度框架之下,借助外部独立机构与社会力量对平台进行监督,一定程度上像是在个人隐私保护的“大门”内再设一道“护栏”,也是再上一道“保险”。然而,这道“护栏”建设的标准是什么?怎么建?行业内仍处于“摸着石头过河”的阶段。
多家企业设立个人信息保护监督委员会
当前,行业内已有一些互联网平台开始尝试在个人信息保护“大门”内再设“护栏”。
3月22日,在蚂蚁集团个人信息保护监督委员会(以下简称“监委会”)2023年度首次会议上,监委会委员、华东政法大学教授高富平表示,全社会的数字化转型,本质上是将数据作为资产转型,在兼顾数据安全性的基础上,进一步探索数据的价值。
“个人信息保护的背后反映的是信任问题,是关于企业和用户、企业和监管机构之间的信任。”另一位监委会委员、对外经济贸易大学法学院副教授许可认为,重建信任可以从两个方面入手:一是提高算法的透明度;二是加强平台内经营管理者的保护能力,平台不仅自己要合规,更要重视平台内经营者的合规。
据悉,该监委会设立于2022年下半年,由蚂蚁集团董事会、董事会隐私保护及数据安全委员会批准设立,首批委员共5人,他们是来自法学领域和技术领域专家,作为独立机构对公司个人信息保护情况进行监督,进一步健全个人信息保护评价和监督机制。
“隐私合规能力是数字化企业行稳致远的重要基石和核心竞争力。”聂正军表示,设立该委员会,一是为了洞察社会对于平台在数据安全和个人隐私保护方面的期待和关切;二是希望通过外部监督力量督促企业提升数据安全和个人隐私保护水平。
此前,一些企业已在这方面进行了一些尝试。2021年10月22日,腾讯公司副总裁谢呼曾在发言时透露,将成立个人信息保护外部监督委员会,独立评议腾讯公司及各产品隐私保护的相关工作,提出指导和修改意见等,提高腾讯公司个人信息保护工作的机制建设和透明度水平。
腾讯宣布这一消息后的第三天,携程集团合规委员会就发布了一则《携程“个人信息保护外部监督专家团”招募公告》,招募9名专家,独立监督、评估携程集团及旗下各产品的个人信息保护相关工作,并为携程提出指导和修改建议等。
外部监督如何保证独立且有效
目前,关于如何建设外部监督机构,行业缺乏统一的标准。
行业亦有隐忧。比如,外部监督机构介入企业太深,可能会涉及企业商业秘密,甚至可能影响企业运营。如果企业披露信息不够充分,可能无法保障监督效果。那么,该如何保证外部监督的独立性以及有效性?
有人认为,在互联网平台,个人隐私保护与企业盈利存在冲突,因为流量即价值。聂正军指出,支付宝在设置用户保护中心的位置时,就曾遇到类似问题。该用户保护中心包含了个人信息已收集清单以及个人信息共享清单等,消费者可以看到自己的哪些信息被收集了以及被共享到何处。
当时讨论将这个内容放在更低的位置,然而,最终还是被放在了“第二栏”的高位,他们希望,用户可以保护好自己。
当外部监督与企业业务发生冲突该怎么办?聂正军表示,一是监委会提出的意见可以直接提交到蚂蚁集团董事会隐私保护及数据安全委员会,从而保障和促进实施。二是社会责任报告最终由监委会审阅通过,监委会有“把关”的权力。
高富平认为,监委会成员作为连接企业与社会的“桥梁”,对企业的个人隐私保护情况进行监督的同时,应尽可能更多地反映社会的声音。并且,作为专业人士,在信息披露方面可以作出更专业的判断,且对必要信息需要尽到保密责任。他坦言,外部监督不是改变企业隐私合规文化最根本的路径,“像我们这样的人能够发挥的作用还是有限”。他说,要做好这个“桥梁”需要下很多功夫。
数据安全与个人隐私保护最关键的是数据使用,这一环节链条长、涉及面广、运行复杂。
高富平指出,个人信息保护的落实关键执行者是平台,平台需要借助技术、法律以及管理,尤其是管理等手段,将个人隐私保护的意识贯穿于员工培养、产品设计、产品生产等各个环节。“最关键的是执行。”他说。
让监督与发展两条腿“走路”。作为业内人士,高富平更希望,除了监督,也可以为数据的开发利用找到“出路”。他认为,在数据利用与个人信息保护之间,匿名化或许是一种平衡的手段,因而如何实现数据匿名化制度的落地、落实,也是众多科技企业可以探索的方向之一。
“把数据匿名化落到实处”
数字化浪潮是大势所趋,未来,数据要素流动更多、更活跃,尤其是数据跨域流动,可能会产生新的风险。如何进一步保障数据安全与个人信息是行业共同的考题。
当前,大型互联网平台在不断提升隐私合规的能力,更多的中小微企业数字化能力相对较弱,保护数据安全和个人信息安全的能力则更弱。
高富平指出,数字化转型就是向“将数据作为资产”转型,这个过程中,用户信息的识别很重要,要区分哪些是正当合法必须保护的,对用户的信息要分级别,从而采用不同的处理方式,而非“一刀切”,这样成本高,也不利于数据要素发展。
“没有匿名化,数据可能流动不起来。”高富平谈到,在个人数据保护和数据利用方面主要面临两个问题,一是个人ID保护问题:如何在匿名的前提下,继续保留数据的价值,数据的价值不在ID,而在ID关联的属性和行为信息,这需要探讨一个标准,做好身份信息的安全保护。“把数据匿名化落到实处。”
高富平说,数据安全风险主要在数据的使用,而不在采集。高富平指出,对数据使用的控制,是一个隐私问题,也是一个安全问题,也是实现数据可流通利用的问题。这就需要构建起安全体系和权益保护体系。
“数据安全保护还没有从一个‘奢侈品’变成日用品。”蚂蚁集团数据安全资深总监郭亮表示,当前,虽然监管形势逐渐清晰,但行业外部形势依然严峻。
“网络黑产趋于强对抗。”郭亮认为,当前,网络“黑产”呈现往专业发展趋势,且产业链长、隐蔽性强,打击难度随之上升。他说,数据黑市愈加活跃,黑产公开售卖数据,数据还被欺诈等黑产利用。
在利益驱动下,数据源头“内鬼”风险呈频发态势。郭亮介绍,全国范围内数据泄露事件频发。另外,国内数据企业数据安全意识弱,数据安全投入不足。安全公司加速数据安全领域布局,但能力和方案成熟度低。
聂正军也担心,在平台内数据安全可以得到保证,一旦数据走出平台,这就很难说了。“孩子还在家里时,能够给它一个安全的港湾,长大成人出去了,很难管住。”他说,“这也是我们最担心,也最想要解决的问题。”
当前,制约这些中小微企业提升数据安全能力的一个关键因素是成本太高。聂正军指出,如果能够把相关技术从“奢侈品包”变成“帆布包”,大家都可以用,整个行业在这方面的能力就都能够得到加强。作为平台企业,在提升自身的相关能力时,也需要提醒行业尤其是下游企业,并且用平台技术去给它们赋能。
他观察到,近一两年,国内已经开始涌现出一批关于数据安全合规的创业公司,探索数据安全合规,这也是新赛道的商业机会。
聂正军预测,未来4年,中国将涌现一批比较成熟、成体系的数据安全合规产品的供应者。中国巨大的数据市场之下,随着技术进步迅猛,这个时间可能会明显缩短。
中青报·中青网见习记者 赵丽梅 来源:中国青年报