多管齐下维护个人信息安全
党的二十大报告明确指出“要加强个人信息保护”。随着全球数字化进程的纵深推进,个人信息的广泛利用成为时代潮流,然而大数据时代个人信息保护也遭遇了前所未有的挑战,个人信息超范围收集、泄露等违法违规处理个人信息的现象呈高发态势。如何平衡个人信息保护与利用,成为数字时代的核心议题。
近期,中国消费者协会、中国网络空间安全协会、新华网三方联合发布《个人信息超范围收集与泄露问题分析研究报告》。报告梳理典型案例后总结认为,个人信息超范围收集和泄露表现为三大突出问题:个人和企业能力与信息不对称加剧信息滥用、企业技术防护不足导致泄露频发、海量数据汇集放大泄露后果。
其中,个人和企业能力与信息不对称加剧信息滥用主要表现为两种情形。一是技术能力差异导致信息收集失衡。例如,2024年5月,某词典软件在不通知用户的前提下,其系统自动为客户默认勾选“已阅读并同意服务条款和隐私政策”的选项。若用户拒绝,系统将会自动闪退,无法正常使用。二是知识储备差距引发信息认知偏差。例如2024年1月,某餐饮企业软件在个人信息收集环节强制索取精准位置信息,用户由于普遍缺乏相关法律知识,既未意识到拥有拒绝提供信息的自主选择权,也不了解这种强制索取行为是否符合法律法规,最终只能被动接受。
技术防护不足也是个人信息泄露的主要诱因之一,具体表现为三类情形:一是技术防护短板凸显,二是管理漏洞引发危机,三是责任逃避加重风险。例如,2023年11月,某药房内部人员利用管理漏洞盗卖客户数据;2023年9月,某政务系统的承包商在测试数据时未履行安全义务,导致大量公民的个人身份信息和社保记录等敏感数据泄露。
海量数据汇集放大泄露后果主要体现为三种情况,海量数据集聚放大安全管理挑战,大量数据交互暴露安全防护薄弱环节,以及漏洞响应机制滞后加剧风险聚集传导。
当下,个人信息与社会经济的深度融合,使得个人信息超范围收集与泄露问题呈现多因交织的复杂态势。报告认为,个人信息超范围收集和泄露的原因有三类,分别是企业合规缺位与安全管理缺失、个人判断能力欠缺与寻求救济困难、保护与利用在技术上存在冲突。
例如,2023年1月,某互联网借贷公司伪装成正规借贷公司在搜索引擎、网络短视频平台等发布广告,吸引有贷款需求人员填写公民个人信息后,在当事人未授权的情况下,通过代理将相关信息出售给贷款人归属地的贷款公司牟利。
如何加强个人信息保护,更好应对个人信息超范围收集与泄露问题?报告强调,这需要多管齐下、精准施策,既要注重安全保障,又不能忽视流通利用。
报告从企业合规、个人救济、技术保障三个方面提出对策建议。其一,推动企业合规,规范管理落实主体责任。其二,落实个体救济,倾斜保护化解救济困局。一方面要加强对个人信息保护的宣传教育,另一方面要建立健全平台用户投诉机制。其三,强化技术保障,技术手段严守保护红线,包括开发“一键关闭权限”功能和“个人信息可携带权”功能。
报告显示,“个人信息可携带权”是指个人享有的请求个人信息处理者提供相应的途径,将其个人信息转移至所指定的个人信息处理者的权利。以社交媒体平台为例,用户在某个社交媒体平台上积累了大量的个人信息,如个人资料、好友关系、发布内容等。当用户想要更换到其他社交媒体平台时,通过“个人信息可携带权”功能,用户可以要求原平台将自己的个人信息以相应的途径转移到新的平台中,实现个人信息的无缝迁移。这在方便用户的同时,还可避免在不同平台重复填写信息可能带来的隐私泄露风险,促进个人信息的合理流动与利用,推动数据市场的竞争和创新。