今天,工信部一口气下架了106个应用软件。据官方发布的通告,这些应用软件涉及“超范围、高频次索取权限、非服务场景所必需收集用户个人信息”,以及“欺骗误导用户下载”。
而下架这些应用软件的法律依据主要来自于《个人信息保护法》。一切还要从一年前说起。2020年,携程“钻石会员”胡女士在携程上花2889元定了一间房,在退房时她发现,同样的房子,其他人定只要1300元。胡女士越想越生气,随后把携程公司告上法庭,理由是携程“采集非必要个人信息,进行大数据杀熟”。
“大数据杀熟”这几个字出现在判决文书里,让律师和法官尤其头疼。怎么界定大数据杀熟?又如何判罚?两个朋友定同一个酒店,价格不一样;前脚买房,后脚电话打来问你装修吗;上午考完驾照,下午接到电话问你买车吗;昨天报名考试,今天收到短信问你上补习班吗……这到底是“无微不至”还是侵犯隐私?法律上又有什么相应的规定吗?
今年11月,一部专注保护个人网络隐私的《个人信息保护法》终于填补了这方面空白,我们的数字生活将得到法律保护。余盛峰是北京航空航天大学法学院副教授,同时兼任中国法学会比较法学研究会理事。他的研究集中在法律社会理论领域和网络信息安全领域。
《保护法》实施之后,还会有哪些即将到来的转变?《保护法》的严格规定有多重要?余教授为我们带来了第一手解读。11月起,人脸识别减少,大数据杀熟被制裁。11月开始,第一次登陆社交软件时,大家都会看到一个“个人信息保护政策有更新”的弹窗。很多人直接跳过了这个弹窗,但这其实是《保护法》已经生效的标志。
点进查看详情可以看到,现在的应用软件必须公布用户信息的去向,而且不能拒绝向用户提供服务。软件修改隐私政策只是《保护法》带来的改变之一,接下来我们可能还会迎来更多改变。最明显的是,现在随处可见的人脸识别会消失一大部分,很多贩卖敏感信息(比如人脸数据库)的黑产都会受到整顿。
根据《保护法》第二章第二节,生物识别信息被划分为敏感个人信息,只有在具有特定的目的和充分的必要性(比如和防疫安全有关)、并采取严格保护措施的情形下才能收集。第二,公共场所的监控设备会出现明显标识。现在大量的监控摄像头都是藏在暗处、没有标识的,有时候不注意就看不到,依据《保护法》,摄像头都需要加上统一标牌。
第三,大数据杀熟现象会被制裁,互联网公司必须依法对自己的算法自动化决策给出解释说明,而不能再把定价依据藏在黑箱里。11月《保护法》正式施行之后,人民检察院,特别是最高检很有可能会主动选取一些典型性的案件进行公益诉讼。比如说大数据杀熟,接下来可能会有案例针对打车、外卖平台的双标定价问题。
也可能会有与滥用用户信息相关的案例。比如某音乐平台,号称收集数据是为了推荐更符合用户口味的音乐,结果转手就把信息卖给广告商,这属于违反了目的明确性和目的限定性的侵权行为。还会有数据存储期限过长的侵权问题。此外,《个人信息保护法》还明确了纠正信息的权利。
比如说你五年前把我信息收集走,但这五年间我的个人信息早就发生了变化,但是你一直不更正,给我带来了潜在的危害,这个权利也应该被激活。还有删除信息的权利,比如有些不愿意让他人看到的隐私信息,十年过去了还是一搜就能搜出来,现在我有权要求删除。
彻底清除“黑历史”也是我们的权利。再比如数据携带权,假设我现在要注销抖音账号,把所有个人信息迁移到快手,抖音就需要为我提供技术支持。11月之后,大家的数据生活会得到强力保护,这种变化是可以感知的。
大数据如何锁定你?没有姓名长相也可以。《个人信息保护法》对我们的保护看似无微不至,但不意味着我们已经绝对安全了。问题就出在法律里对“个人信息”的定义上。到底什么是“个人信息”?曾经,这是一个再简单不过的问题。
在许多国家的法律中,“个人信息”指的就是PII(Personal Identifiable Information),也就是说,已识别、或者可以识别到个人的信息。比如,知道了你的名字和长相,就可以马上认出你,再比如知道了你的学校和学号,虽然不能马上认出你,但是可以间接识别到你,这两者都叫做个人信息。
欧盟《通用数据保护条例》和我们现在的《个人信息保护法》都采取了这种定义。这种定义最初,也正是从欧洲发源的。上世纪60年代到70年代,欧洲开始从二战中复苏,为了建立福利国家,政府开始利用电子数据库搜集和存储大量的公民个人信息。
针对公民信息,欧盟提出了“公平信息实践原则”,原则的核心是赋予每个数据主体个人信息的控制权。依据这个原则,政府必须告知公民哪些信息被收集,公民反过来也拥有各类纠正信息、删除数据、获得通知的权利。
然而在大数据时代,个人信息的传统定义和保护受到了很大的挑战。如今的数字技术不需要知道姓名长相也可以触及(access)你。一些似乎跟本人关联不大的信息,通过去匿名化技术和大数