最近两会,不少代表委员建议加快个人信息保护法立法进程,个人信息保护又进入大众的视野。
在互联网时代里,我们是方便了很多,伴随着的是我们没有了隐私:你刚访问一个网站的时候,客服就打电话进来了;你搜索过或点击过什么产品后,在你后续的上网过程中这类产品一直出现在你打开的页面;你刚在社交软件给别人聊起什么,后面你总能看到这个东西的广告……
现代人是毫无隐私可言,你的一举一动都是透明的,不管你是搜索了什么,看了什么,聊什么,都会给你记录,被人变现,被转卖。
在2018年中国发展高层论坛上,百度董事长兼CEO李彦宏表示,“中国人对隐私问题的态度更开放,也相对来说没那么敏感。如果他们可以用隐私换取便利、安全或者效率。在很多情况下,他们就愿意这么做。当然我们也要遵循一些原则,如果这个数据能让用户受益,他们又愿意给我们用,我们就会去使用它的。我想这就是我们能做什么和不能做什么的基本标准。”此言一出,引起很多网友的关注和争论,李彦宏称中国人愿用隐私换便利的说辞也收到央视质疑。
2019年第二季度,工信部组织对61家互联网企业和51家手机应用商店的应用软件进行检查,其中有32款应用软件(其中含两个网站)在检查中发现问题。
2020年5月15日,工业和信息化部信息通信管理局发布关于侵害用户权益行为的App通报(2020年第一批),当当、知乎日报、e代驾等16款App在列,上述16款App问题大多涉及私自收集个人信息、私自共享给第三方等。
2015年至2020年工信部公布的检测发现问题的网站和应用软件名单发现,超过1000个网站或APP存在违规收集使用用户个人信息、强制捆绑推广无关软件、恶意“吸费”等行为,其中不乏很多知名的,用户过亿、甚至数亿的APP或网站。
国外在个人信息保护立法方面,或多或少走在了中国前面,目前世界各国为了更好的保护个人用户的数据隐私已经发布很多的法律法规,如欧盟的GDPR和加州的CCPA,为个人信息保护提供法理依据,无一不是明确了责任、权利与处罚规则。
欧盟GDPR
GDPR全称General Data Protection Regulation,中文名叫《通用数据保护条例》,是一项新法律,规定了企业如何收集,使用和处理欧盟公民的个人数据。
该条例在2012年1月份就已经起草,经过4年的探讨与协商,欧盟于2016年4月正式通过这一条例并宣布试行,于 2018 年 5 月 25 日正式生效。这部“大法”不仅取代了 1995 年的《数据保护指令》和欧盟成员国各自制定的相关法规,而且在个人隐私保护方面迈出一大步。
GDPR定义了隐私保护的七项基本原则,许可(Consent)、反对(Objection)、访问(Access)、清除(Erasure)、移动性(Portability)、安全(Security)和信息泄露通知(Breach notification)。
并提出一系列更具操作性的要求与规范。同时,GDPR的法律效果辐射到欧盟之外,其规定适用于任何向欧盟消费者推销或销售产品的企业。
执行保障机制方面,严重违反GDPR可能被处以2000万欧元或上年度全球年营业额4%的罚款,这有着极大的威慑力。
欧盟的个人数据是可以流动或存储到第三国,换句话说,到相关国家的转移将被等同于欧盟内部的数据传输,需要欧盟的认可,到目前为止欧盟委员会已经认可了安道尔,阿根廷,加拿大(商业组织),法罗群岛,根西岛,以色列,曼岛,日本,泽西岛,新西兰,瑞士,乌拉圭和美国。
欧盟的GDPR号称史上最严格的数据隐私保护,在全球范围内都影响深远,如国内的华为和小米为了符合GDPR的要求任命了数据保护官(PDO)专门负责这一块,QQ国际版不合法规的版本在GDPR生效之际都下线。
加州CCPA
CCPA全称 California Consumer Privacy Act,中文名《加利福尼亚州的消费者隐私法案》,旨在保护消费者隐私权益而设立的法案。
2018年6月加州通过CCPA,该法案已于2020年1月1日生效,并将于2020年7月1日起正式实施。这部法律出台的目的是当科技公司收集和使用数据时,赋予人们更多的信息和数据控制权。
满足以下条件之一的加州企业,属于本法律的适用范围:
- 年收入超过 2500 万美元;
- 拥有超过 50000 个消费者、家庭或设备的商业数据;
- 消费者个人数据的销售额占年收入一半以上。
虽然是州际法律,但由于加州在美国,在世界的经济份额很大,美国90%的互联网公司都集中在加州,要知道谷歌和Facebook都是在加州,所以这个法规在全球都有很大的影响力,如Mozilla决定以CCPA的标准为全球使用者提供服务。
加拿大PIPEDA
PIPEDA全称Personal Information Protection and Electronic Documents Act,中文名是《个人信息保护及电子文档法案》。
PIPEDA在2000年通过, 2001年2002年和2004年分为三个阶段生效,PIPEDA主要规定了私人或者企业在进行商业活动时,使用个人信息时的范围与准则。
虽然加拿大在2000年就通过PIPEDA,但由于经济影响力不大,所以没什么人关注。
日本APPI
APPI全称是Amended Act on the Protection of Personal Information,中文名是《个人信息保护法》,旨在保护公民的个人数据免遭泄露,丢失或损坏; 监督处理数据的员工; 和托管数据的第三方监督。
在借鉴欧洲和美国的信息保护模式下,日本在2005年通过《个人信息保护法》,通过这部法律全方面地实现个人信息保护。日本于2017年施行了新版《个人信息保护法》
2019 年 1 月 23 日,欧盟委员会 (EU) 通过了一项针对日本的充分性决定,允许个人数据在两个经济体之间自由流动,并提供强有力的保障。
阿根廷PDPA
PDPA全称是Personal Data Protection Act,中文名是《阿根廷个人数据保护法》
于 2000 年执行,用来帮助保护个人数据隐私,并为用户提供对存储在公用和专用数据库和注册表中的任何信息的访问权限。
PDPA 与用于保护数据隐私的欧洲立法模式一致,并且阿根廷是拉丁美洲第一个获得从欧盟进行数据传输的“充足”资格的国家/地区。
中国的个人信息保护法 PIPL
国家在个人隐私信息保护方面出台了很多的法规,如《中华人民共和国个人信息保护法》将个人信息可以分为一般个人信息(通常直接称为个人信息)和个人敏感信息:
- 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
- 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
《信息安全技术个人信息安全规范》里面就对个人信息和个人敏感信息都做了定义和举例。
个人信息举例:
个人敏感信息举例:
一般个人信息和个人敏感信息的举例里有很多的信息都是属于个人信息或敏感信息,如IP、各种设备信息,需要满足告知同意原则,也就是需要用户的知情同意后才可以收集。
在告知用户,获得用户授权方面通常的做法是:
- 对于APP,如要收集个人信息,一般是注册页面的隐私政策里添加一些法律条款,用户在注册的时候就同意
- 对于网站,如要收集个人信息,有两种做法,一种是跟APP一样,在用户注册或登录的时候时的隐私条款,一种是通常是通过弹框告知用户,获得授权
由于大部分用户不会去细看APP的隐私条款,所以APP端操作起来比较简单。
但是对于网站,就比较麻烦,因为第一种方法是只能收集到注册或登录后的数据,而第二种方法是可以收集到登录前的数据,但却或影响用户的体验,所以部分用户会拒绝导致收集不到数据。
国内更普遍的是,很多网站根本没告知用户获取授权就直接收集数据,如网站安装有百度统计,百度统计是会收集IP,而IP是属于个人信息,你的网站有实现“告知同意”原则了嘛?
与个人信息相反的就是匿名信息,匿名信息是不需要告知,可以直接收集。而如个人信息经匿名化处理后所得的信息不属于个人信息,所以也是不需要告知就可以收集。
事实上,匿名化是个人信息处理的一种方法,常见的方法还有假名化、去标识化,但在不同国家或地区的法律中,这几种方法的定义、范围和对应的处理原则是不一样的。
如在中国,主要是使用匿名化和去标识化这两个概念,根据《信息安全技术个人信息安全规范》,“假名化”属于去标识化所使用的一种技术手段。
- 匿名化(anonymization):通过对个人信息的技术处理,使得个人信息主体无法被识别或者关联,且处理后的信息不能被复原的过程。
- 去标识化(de-identification):是指通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别或者关联个人信息主体的过程。
可以看个例子,更好的去理解匿名化和去标志化:
Google Analytics是用Client ID去识别用户,而Client ID是是一串时间戳和随机数,完全无法与个人信息识别与关联起来,可以理解Client ID就是匿名化。
而User ID,通常是Email或自己ID体系的哈希值,借助外部信息(Email/自己ID体系与哈希值的映射关系)是可以倒推出个人信息,可以理解为User ID是去标识化。
如果收集的匿名化后的匿名信息,可以直接收集而不需要告知用户,如果收集的是包含有个人信息或去标识化的信息,那么需要满足告知同意原则。
当然还有其他的一些国家有类似的法律法规,但由于经济因素没那么大的影响力,国外严格处罚措施催生专门的数字安全咨询公司,帮助企业满足相关的法律法规要求,如OneTrust、TrustARC、Privita等。
