专家：辩证看待“隐私换便利” 实现数据合规使用

本篇文章3803字，读完约10分钟

《证券时报》记者近日采访了同济大学法学院副院长刘、大数据研究所个人信息保护中心副主任姜琳、郭浩律师事务所律师朱、北京金城通达(上海)律师事务所合伙人。他们认为，随着全球加强个人信息和隐私权保护的趋势日益增强，中国也加快了相关法规和相关立法的修订步伐，这最终将有助于中国互联网行业的良性规范和有序发展。

接受采访的大多数专家都认为，用户喜欢大数据带来的便利，但这不应该仅仅是“以隐私换取便利”。特别是对于一些所谓的“大数据查杀”和“出售用户私人数据”，有关部门应该进行规范和引导，适时修订和制定“重刑法”进行处罚。

治理的范围最广

这些措施是最严厉的

《证券时报》记者:中央网络信息办公室、工业和信息化部、公安部和市场监管总局发布公告，决定在2019年组织开展全国范围内的app非法收集和使用个人信息专项治理。这到底是什么意思？

姜林:这种特殊待遇可以称为解决这一问题的范围最广、措施最严格的特别行动。“最大范围”是，不仅问题严重的中小企业将面临严格的检查和治理，而且以前比较关注这个问题、表现相对较好的互联网龙头企业也将受到很大影响。例如，本次特别公告中提到的“基本业务功能和必要信息规范的普及应用”文件，就是在处理非法企业的基础上提高一个层次，对之前灰色地带的一些问题做了明确的规范。不管企业有多大，都需要在业务上做出重大调整。所谓“最严格的措施”，就是一旦发现企业违法违规，情节严重的可以吊销其许可证，这将对企业造成极大的冲击，国家许多职能部门的干预意味着监管的加强。

这种特殊待遇主要是针对个人信息收集和使用中存在的问题。更确切地说，相关的治理行动将对行业中极不规范的合规尾部业务产生更大的影响，许多对此不重视的企业可能会受到处罚甚至退出市场，但是否会出现“行业洗牌”仍有待观察。

刘:这种特殊的治理需要从法律层面调整基本制度。例如，由于个人权利保护的成本很高，政府应该采取行政执法来惩罚侵犯自然人信息的行为，而增加其非法成本则应该是一种高额的惩罚。当然，为了惩罚违法者，首先需要修改两项法律。首先，《行政处罚法》应将侵犯自然人信息纳入《行政处罚法》的调整范围；其次，在其他法律中，侵犯自然人信息的行为被纳入相应法律法规的调整范围，如《网络安全法》。具体来说，可以按照一定的营业额比例进行补偿，建议为营业额的5%~10%。

此外，建议单独制定《自然人信息保护法》，对侵犯自然人信息的行为实施行政处罚，将侵犯自然人信息的行为纳入侵权赔偿范围，并实施惩罚性赔偿。例如，《食品安全法》规定了中国十倍的最高赔偿。

王良:app的这种特殊治理是在全球范围内加强个人信息和隐私权保护、强化企业安全责任的大趋势下发起的。它回应了社会对隐私和信息监管的关注，为中国互联网行业的规范有序发展做出了贡献。因此，应用运营商需要调整他们的技术架构、产品和服务，更重要的是，调整他们的隐私政策。这些变化无疑会让应用运营商更难收集个人信息，增加处理数据的成本，并给基于数据分析的业务带来“洗牌”。同时，手机制造商应主动履行网络信息安全的法律义务，加强手机硬件供应商的安全管理，淘汰不合规供应商，控制供应链的数据泄露风险。

朱:加大监管力度，不仅将进一步规范国内大数据企业获取个人数据信息的来源和渠道，也将逐步规范其运作模式，促使企业更加重视和完善信息保护。这种特殊的治理增加了对应用运营企业的约束，企业应该在合法、正当和必要的原则下收集与所提供服务相关的个人信息。此外，个人信息的保护离不开手机硬件的加固和升级。例如，手机硬件制造商在研发过程中应注意验证应用的安全性，实现设备的安全管理。

大数据“杀戮”

你没办法

《证券时报》记者:移动应用滥用数据，或者涉及互联网企业的核心业务逻辑，如精准营销、业务发展和转型、大数据产业链。相关链中包含哪些既得利益？

刘:如果手机用户也是“受益者”，首先要确立一个前提，即手机用户同意商家获取相关个人信息，这必须以“自愿”为前提。现在的现实是，大多数用户被迫收集信息，而不是为了方便消费而自愿收集信息。商人的这种做法违反了《民法通则》第111条。同时，商家通过“点击进入下一步”与用户签订电子合同，这也违反了《合同法》关于格式条款的规定。在民事纠纷中，应做出不利于商家提供格式条款的解释。然而，应该注意的是，这只能用于民事诉讼。由于维权成本高，大多数手机用户不会采用这种方式。

姜林:在经济效益的驱动下，网络运营商希望最大限度地收集个人信息，这不仅是为了尽可能丰富数据库，达到精准营销的目的，也是为了提前规划，满足未来功能发展的需要。然而，要收集和使用用户的个人信息，必须获得用户的明确同意，企业应首先给予用户知情权和选择权。如果它只是一个简单而粗鲁的包授权，或者“如果你不同意，你就不能使用它”，这显然侵犯了用户的合法权益。

同样，用户享受大数据带来的便利，可以更方便地使用服务，但这不应简单地“以隐私换取便利”，而应在知情同意的基础上，在一定范围内移交个人信息，并指定其仅用于网络运营商的相关业务功能。在这种情况下，双方都是受益者。

王良:在中国互联网角落赶超的数据红利下，大数据的应用范围越来越广，市场上出现了越来越多的大数据企业，形成了中国的数据产业，催生了不同的商业模式。然而，问题是大数据的商业应用带来的隐私风险没有得到重视，甚至被忽视和忽视。同时，个人隐私保护意识薄弱，为了方便会牺牲隐私，导致大量侵犯个人隐私权的行为。

我最近关注了一家知名的应用运营商。他们需要从近30个维度收集个人信息，包括:用户性别、年龄、婚姻、收入、教育程度、星座、腰围、身高、体型、家中是否有孕妇、是否有孩子、孩子的年龄、孩子的性别、是否有车、是否有房子、活动、购物类型、评价关注度、颜色偏好。然后，我们从购买力、行为特征、社会网络、心理特征和爱好等方面对数据进行分析，形成个性化营销的“用户肖像”。当然，很难避免的是，互联网商家会向每个用户提供搜索结果，这被称为“大数据杀戮”。

修订草案

带来最强的信号

《证券时报》记者:2018年底，中国消费者协会发布报告称，一旦敏感个人信息被泄露，将导致个人信息的扩散范围和使用无法控制，这意味着重大风险。那么，我国在实际操作、立法和执法层面还存在哪些不足？2019年在哪些领域有望实现实质性突破？

姜林:在我们测试过的应用隐私政策中，个人敏感信息的收集和使用是分开列出的，但并不多见；很少有人明确写出数据接收者的相关数据。

具体而言，最新修订的《个人信息安全规范》草案要求，在共享或传输敏感个人信息之前，应告知个人信息主体所涉及的敏感个人信息的类型、共享和传输个人信息的目的、数据接收人的身份、数据安全能力和数据接收人的类型，并事先获得个人信息主体的明确同意。在公开披露敏感个人信息之前，应告知个人信息主体所涉及的敏感个人信息的内容、公开披露个人信息的目的和类型，并应事先获得个人信息主体的明确同意。

刘::特别是自然人的生物特征信息(具有很强的个人属性，不宜由商家收集)和自然人的财产信息(根据法律，此类信息中的部分信息可以由相关国家机关和法律授权的自然人查询)，一旦泄露，将成为公开的、不可逆转的。因此，在将于2020年完成的《民法典》中，保护自然人信息合法权益的做法被归类为自然人的知情权。例如，颁布了《自然人信息保护法》，对侵犯自然人信息的行为实施行政处罚和刑事制裁，并赋予自然人因保护自己的信息而要求损害赔偿的权利，要求惩罚性损害赔偿。

任何法律本质上都是一种利益平衡机制，企业“数据需求”的平衡必须基于自然人的自愿性。企业的任何经营活动(包括收集客户信息)都必须遵守《民法通则》第一章规定的四项基本原则。中国需要指定一个国家机关专门负责和领导自然人的信息保护。从现在开始，国家网络办公室是最合适的。任何国家的法治进程都是艰难而漫长的，不可能一蹴而就。

朱:在执法层面上，由于获取个人信息的环节众多，查找和查处难度大，处罚和赔偿力度不够，使得我国缺乏打击非法获取个人信息的有效执法措施。在司法层面，中国仍然存在侵犯个人信息与刑事和民事责任不成比例的情况。2018年10月，中国全国人大网公布的第十三届全国人民代表大会常务委员会立法计划将《个人信息保护法》列为第一类立法项目，即在任期内提交审议的条件相对成熟的法律草案，这意味着有望出台一部专门针对个人信息保护的法律。

王良:目前中国没有关于个人信息保护的专门立法，个人信息保护在其他法律法规中有规定或体现。如《全国人大常委会关于加强网络信息保护的决定》(2012年)、《刑法修正案》(九)、《消费者权益保护法》(2013年)、《信用信息产业管理条例》(2013年)和《最高人民法院关于审理利用信息网络侵害个人权益民事纠纷适用法律若干问题的规定》(2014年)，但问题是相关规范不是一般意义上的法律，即使违反这些“标准”也不会构成犯罪

谈到2019年的立法预期，我认为首先应该关注国家信息安全标准化技术委员会2019年2月1日发布的《个人信息安全规范》修订稿，并征求公众意见。该标准直到2018年5月1日才生效，很少在短时间内开始修订工作，这可能标志着加强个人信息保护时代的到来。该草案发出的最强烈信号是，仅通过隐私政策获得一揽子授权的情况将成为历史，作为数据主体的用户有望获得更大的自决权。