《信息安全保護法》生效后 個人信息“同意授權”需謹慎

11月1日，《個人信息保護法》正式實施，同此前的《數據安全法》、《網絡安全法》共同組成數據保護領域的“三駕馬車”，數據信息保護進入一個新的時代。

個人信息為什么時有泄露？

據《中國互聯網絡發展狀況統計報告》的數據顯示，截至今年6月，我國互聯網用戶已達10.11億，互聯網網站422萬個，應用程序數量302萬款。移動互聯網的普及及使用，應用商店上架使用的APP數量變多，隨之而來的是越來越多的違規收集使用個人信息。

《個人信息保護法》正式實施后的第二天，11月3日，工信部通報38款違規APP，涉及超范圍索取權限、過度收集用戶個人信息等問題，多家APP在列且被要求限時整改。

那么，什么樣的信息屬于個人信息？什么樣的個人信息易被收集和交易？

根據《個人信息保護法》第四條規定，個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。

數字認證研究院院長夏魯寧認為，有三類信息是屬于易被交易的個人信息，第一類是可以聯系到自然人的信息，比如手機號、社交賬號等； 第二類是可以標定自然人的信息，比如身份證號碼、住址等；第三類是對推銷或詐騙有背景作用的信息，比如購物傾向、病史等。

對于個人信息保護的難點，夏魯寧說道：“《個人信息保護法》規定：處理個人信息的目的、方式和信息種類，要顯著、清晰易懂的告知用戶并獲取同意。但是在實踐中，告知和同意是一件不易界定的事，比如用戶很難舉證自己在未知的情況下被后臺自動標記為同意。此外，對于個人信息處理者執行處理行為的限制，在技術方面是很難的，例如在采集時沒有告知會用于某種處理，但實際用于了。執法機關只能在事后發現了對違規的處理者進行處罰，但是事前事中很難控制其行為。”

另外，他還提出，“個人信息保護的技術和管理難易程度，取決于個人信息被合法利用的復雜程度。某個人信息處理者使用個人信息的用途越精細、越復雜，在保護個人信息和便于使用上就越難于均衡。”

對于個人信息易被泄露的問題，網宿科技副總裁、首席安全官呂士表表示，“個人信息與經濟利益密切相連，因此個人信息泄露時有發生。且個人信息保護難點還有很多，比如利用個人信息推薦算法的透明度，合理性都還沒有準確的界定方法。”

如何保證個人信息安全？ 

針對快遞和外賣面單、APP和小程序等過度收集個人信息和人臉識別系統等個人信息保護中的熱點難點問題，數牘科技副總裁姚雪潔表示，根據《個人信息保護法》，收集個人信息，應獲得用戶知情同意，并且限于實現處理目的最小范圍，處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關，如果消費者不同意，應提供不針對其個人特征的選項或提供便捷的拒絕方式。

針對網絡用戶質疑的現實生活中“一攬子授權”“強制同意”等問題，個人信息保護法規定，不得以個人不同意為由拒絕提供產品或者服務，并賦予個人撤回同意的權利，在個人撤回同意后，個人信息處理者應當停止處理或及時刪除其個人信息。

“原則上我們認為服務提供方會按照平臺隱私保護協議條款的要求對我們的個人信息進行保護，但現實生活中平臺數據泄露的例子時常發生，因此需要有專門的監管機構定期對服務平臺進行合規審查，重點審查數據安全性。從技術上，可通過數據庫審計、應用API接口監測與審計等手段進行合規審查。尤其應重點審查平臺對外的數據接口是否符合安全性要求等。”姚雪潔說道。

針對個人信息保護，呂士表提出，個人信息保護應貫穿信息流動的全過程，包括風險識別、安全防護、檢測評估、監測預警、事件處置等方面。相關技術手段有身份認證/識別、數據審計、防火墻、入侵檢測、漏洞掃描、隱私計算、訪問控制等。

隨著數字經濟的快速發展，數字生產要素在經濟發展中的作用越來越突出，數據的流通和使用過程中與信息安全保護之間的矛盾也隨著顯現。

ISACA中國技術委員會主任蔡俊磊認為，“技術是解決這些矛盾的主要手段，但現階段相關從事人才需求較大，人才緊缺。有了合規驅動的因素，有法律的要求，可以使得我們從事數據隱私安全保護的人有更多的理由去跟董事會和管理層溝通，投入更多的資源去開展數據保護的工作。”

夏魯寧表示，“保護個人隱私信息是一件需要多方共同努力的事，除了加強技術手段和法制監管外，個人對信息保護的警惕意識、社會或商業組織對個人信息警戒意識也要同步加強。”

相關行業機遇和挑戰在哪里？

隨著《個人信息保護法》、《數據安全法》、《網絡安全法》逐漸落地實施，數據保護領域的“三駕馬車”已經展蹄，在數據信息安全保護上罩上“金鐘罩”，相關行業面臨新的挑戰，與此同時，也催生了新的行業生機。

安恒信息高級副總裁、首席科學家劉博認為，“個人信息保護法的實施，對全行業來說都是利好，對于從業者來說，有法律劃清紅線，可以明確業務范圍，在適當的規則內開展自身業務，更加有利于各行業的良性長久發展。”

個人信息保護法出臺后，增加了個人信息買賣交易的違規成本，私下買賣個人信息的行為將會被盡可能的遏制，以保證相關行業中消費者的個人信息私密性，讓消費者可以放心辦理業務和消費。

在新的機遇方面，呂士表認為，法律法規的強監管之下，利好的行業主要是網絡安全行業，其中涉及的產品或服務有安全評估、數據脫敏、數據防泄漏、數據庫審計、堡壘機、數據庫防火墻等產品。

夏魯寧認為，“對于數據和信息安全的強監管，第一是利好涉及數據安全保護服務和數據安全技術等相關企業； 第二是從事新型數據保護技術（如隱私計算）研究與產業化的相關單位；第三將利好安全咨詢業和相應的測評業，因為個人信息處理者對于數據和信息安全保護的意識逐漸提高，對于信息安全保護技術和風險評估、咨詢等產品的需求就會加大。”

在挑戰方面，劉博表示，企業根據規模大小、服務性質、技術水平等面臨不同監管程度。《個人信息保護法》特殊規定，一是對于處理個人信息達到國家網信部門規定數量的個人信息處理者；二是對于境外個人信息處理者，要求在中國境內設立專門機構或者指定代表；三是特定情形下應當進行個人信息保護影響評估，主要是一些高風險情形，包括處理敏感個人信息、自動化決策、委托處理、向他人/境外提供、公開個人信息等；四是規定了“守門人”義務，對于提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者（可以理解為“守門人”或是大型互聯網平臺）還應當履行更高水平的義務，要求成立外部獨立監督機構、制定平臺規則、阻斷違法活動、定期發布履責報告等。

“對于打車軟件、運營商、電商平臺、金融銀行、學校教育機構、互聯網平臺、APP開發商、跨境電商、跨境公司和商家等等，這些個人信息數量巨大的行業將會面臨更嚴格的監管。”劉博說道。