記者 任震宇
3月15日�����,中國消費者協(xié)會��、中國網絡空間安全協(xié)會����、新華網聯(lián)合發(fā)布了《個人信息超范圍收集與泄露問題分析研究報告》(以下簡稱《報告》)。其中�����,個人和企業(yè)能力與信息不對稱加劇信息濫用、企業(yè)技術防護不足導致泄露頻發(fā)�����、海量數(shù)據匯集放大泄露后果這三大問題被點名��。
聚焦三大突出問題
《報告》指出����,個人信息超范圍收集與泄露問題主要發(fā)生在互聯(lián)網應用、金融����、醫(yī)療、教育等重要領域����,其中互聯(lián)網應用領域問題尤為突出������!秷蟾妗方Y合已經處置的11個典型案例,梳理提出目前個人信息超范圍收集與泄露的三大典型問題�����。
首先是個人與企業(yè)能力和信息不對稱加劇信息濫用。此類問題的根源在于個人與企業(yè)之間能力和信息的高度不對稱性���,即企業(yè)或機構與個人在技術能力�����、知識儲備和資源獲取上的差距����。具體表現(xiàn)為兩種情形:一是技術能力差異導致信息收集失衡�;二是知識儲備差距引發(fā)信息認知偏差。2024年5月�,某詞典軟件在不通知用戶的前提下,其系統(tǒng)自動為客戶默認勾選“已閱讀并同意服務條款和隱私政策”的選項��,若用戶拒絕����,系統(tǒng)將會自動閃退,無法正常使用�����。
其次是企業(yè)技術防護不足導致泄露頻發(fā)。具體表現(xiàn)為3類情形:技術防護短板凸顯���、管理漏洞引發(fā)危機����、責任逃避加重風險����。2023年9月,某政務系統(tǒng)的承包商在測試數(shù)據時未履行安全義務�,導致大量公民的個人身份信息和社保記錄等敏感數(shù)據泄露。
第三是海量數(shù)據匯集放大泄露后果����。一方面,海量數(shù)據集聚放大安全管理挑戰(zhàn)��,大量數(shù)據交互暴露安全防護薄弱環(huán)節(jié)��,漏洞響應機制滯后加劇風險聚集傳導���;另一方面,泄露數(shù)據造成的個人信息失控風險往往具有不可逆性��,即便漏洞被修復,泄露的數(shù)據仍可能被不法分子長期利用�。
管理缺失個人選擇權受阻
個人信息超范圍收集和泄露,到底是什么原因造成的��?《報告》對該問題進行了分析并提出�,從企業(yè)層面來說,個人信息超范圍收集與泄露存在合規(guī)制度缺位與安全管理缺失兩大成因��;從個人層面來說���,則受到個人判斷能力欠缺與尋求救濟困難等因素影響��。
在企業(yè)層面���,存在企業(yè)合規(guī)缺位與安全管理缺失。企業(yè)合規(guī)的缺位表現(xiàn)在3個方面:個別企業(yè)合規(guī)制度不夠完善��,難以全面滿足合規(guī)要求���;個別企業(yè)合規(guī)制度浮于表面��,事后審查流于形式�����;有些企業(yè)應急響應機制不健全��,落實執(zhí)行存在困難����。企業(yè)安全管理缺失體現(xiàn)在4個方面:個別企業(yè)過度追求數(shù)據資產化利益;個別企業(yè)員工行為管理存在漏洞�����;個別企業(yè)與第三方合作缺少個人信息保護安全管理���;個別企業(yè)數(shù)據全生命周期管理缺位����。
在個人層面���,存在判斷能力欠缺與尋求救濟困難�。一是信息主體認知不足導致“同意”形式化困境����,使得用戶在面對復雜的個人信息處理規(guī)則時處于信息不對等的劣勢地位,無法真正理解個人信息將被如何使用并作出合理決策���;二是個別企業(yè)捆綁授權模式削弱用戶選擇權����,大量平臺與應用軟件采用“全選同意”“一次性授權”的授權方式��;三是技術復雜性與后果滯后性加劇安全風險����,在此種認知偏差的驅使下,個人極有可能為了一時便利而將隱私問題拋諸腦后����,對超范圍收集行為放松警惕,從而為后續(xù)的信息安全埋下隱患�����;四是個人信息主體救濟困難助長違法行為���。
此外����,在技術層面,個人信息保護與利用在技術上存在沖突也是個人信息超范圍收集和泄露的一大原因�����。在數(shù)據收集技術方面����,個別企業(yè)缺乏明確的技術規(guī)范和標準,導致收集行為隨意性較大���;個別企業(yè)數(shù)據收集技術過度應用�,一些企業(yè)和機構為了獲取更多個人信息���,過度依賴數(shù)據收集技術���,導致個人信息被超范圍收集;個別企業(yè)存在技術漏洞導致個人信息收集失控�����。在數(shù)據存儲技術方面���,個別企業(yè)的存儲技術存在安全性隱患���;個別企業(yè)的存儲設備和系統(tǒng)老化與維護不善����;個別企業(yè)采用云存儲帶來安全風險����。在數(shù)據使用技術方面�����,個別企業(yè)數(shù)據處理目的模糊造成數(shù)據濫用�;個別企業(yè)數(shù)據使用操作不規(guī)范;個別數(shù)據分析技術存在局限性��。
協(xié)同共治破解難題
為了破解個人信息超范圍收集和泄露的難題�,《報告》從企業(yè)合規(guī)、個人救濟���、技術保障3個方面提出對策建議����,旨在推動形成個人信息保護的多方協(xié)同共治格局��,破解個人信息超范圍收集和泄露難題。
從企業(yè)層面�,要規(guī)范管理落實主體責任。首先�,完善個人信息保護合規(guī)體系,制定完善的個人信息處理規(guī)則����,構建嚴格的內部合規(guī)審查流程,引入外部中立的合規(guī)監(jiān)督力量�。其次,強化個人信息處理員工管理����,包括規(guī)范員工操作行為準則,開展全面深入的安全培訓�����,加強員工職業(yè)道德教育����。最后,健全落實應急處理安全機制��,包括建立高效的信息泄露監(jiān)測體系�����,制定詳細的應急處理預案,進行全面的事后恢復與改進��。
從個體救濟層面�����,要傾斜保護化解救濟困局�����。加強個人信息保護宣傳教育�,包括增強宣傳教育培養(yǎng)保護意識��、創(chuàng)新宣傳模式共建網絡生態(tài)���。建立健全平臺用戶投訴機制�����,包括完善平臺規(guī)則����、明確投訴機制,設計便利的用戶投訴方式�。引入外部監(jiān)督,提升投訴實效����。
從技術保障層面,要用技術手段嚴守保護紅線�����。賦予用戶對個人信息的更多控制權���,是個人信息保護的重要原則之一����。開發(fā)用戶自主控制工具����,如“一鍵關閉權限”“個人信息可攜帶權”等功能,能夠讓用戶更加便捷地管理個人信息�,增強用戶對個人信息保護的參與感和主動權。
