信息來源：安全內參

11月1日起，個人信息保護法正式施行。作為首部個人信息保護領域的專門性立法，個人信息的邊界如何明確？監(jiān)管對象是誰？互聯網大廠將受到哪些影響？

隱私的核心強調的是秘密和安寧不被外界打擾，不愿為他人知曉，而個人信息往往是社會生活交往中經常會用到的信息，比如電子郵箱、電話。隱私和個人信息之間一個很大的差異在于隱私不能商業(yè)化利用，但個人信息很多時候處于一種商業(yè)服務場景之下。比如說，在設置登錄賬號時需要輸入個人信息綁定來獲取特定的服務。

個人信息保護法中的個人信息概念比民法典和網絡安全法都規(guī)定得更加寬泛，既是識別也是關聯，通俗來說，識別指的是哪些信息能把我從人群中識別出來，比如身份證號，或者畢業(yè)學校、工作單位、年齡等信息加在一起把我識別出來。當我這個人已經被識別出來，跟我相關聯的其他信息也屬于個人信息。

筆者認為只要是有可能對個人產生傷害的，又和個人活動密切相關的信息都可以被當做個人信息來保護。但實操過程中，確實很多數據到底屬不屬于個人信息會產生一些爭議，比如手機的設備信息，雖然是個人的設備，但個人和設備之間的綁定可能會產生變化。

在應用場景下，可以反過來看某一類信息被還原成個人的可能性，以及在共享和合作過程中，對方去把這條信息還原成個人的可能性。

涉及個人信息保護法的監(jiān)管對象，從前期的收集再到處理、刪除、存儲、共享信息，監(jiān)管對象包括了全生命周期中的個人信息處理者——一個普通人平時接觸到各個場景下涉及到的個人信息，不管是線下還是線上都會被納入法律的管理范疇中。

從對象來說的話，只要是處理個人信息的組織或者個人，尤其是掌握大量個人信息的企業(yè)都在法律的監(jiān)管范圍內。

我認為在個人信息保護法推出以后，互聯網大廠想要再基于個人畫像做精準營銷，其實是有一些門檻。之前很多互聯網大廠手上掌握著大量的個人隱私數據，在過去他們可以通過用戶畫像來對用戶進行針對性商業(yè)營銷，但在個人信息保護法推出之后，已經針對個人信息處理制定了非常精確的一些規(guī)則，比如App不能肆意地違規(guī)收集個人信息，更不能拿去銷售和交易。

“商業(yè)利益是有限的，個人受到的傷害是終生的”

App過度收集個人信息、不授權就不讓用等問題久遭用戶詬病。個人信息保護中的高額罰款以及舉證責任倒置等條款都給企業(yè)施加了保護個人信息的義務。

根據個人信息保護法，如果個人信息處理者違規(guī)處理個人信息，或者處理個人信息未履行個人信息保護義務，情節(jié)嚴重的，可由省級以上履行個人信息保護職責的部門處以五千萬以下或者上一年度營業(yè)額百分之五以下罰款。

企業(yè)在收集個人信息的時候，它就會判斷。收集的環(huán)節(jié)如果合法性不足，后面會有巨額處罰，它的壓力會大很多……其實企業(yè)未必有什么心想作惡，但是如果沒有法律的壓力，很多事情可做可不做（企業(yè)可能就不會去做），但現在是必須要做。

另外，對于敏感個人信息和一些特殊場景，個人信息保護法還規(guī)定了“取得個人單獨同意”的保護規(guī)則，對于“單獨同意”如何落地也是實務界非常關注的焦點。

個人信息保護法中設置單獨同意實則是組合拳中的“一招”。以往的概括性同意中用戶可能注意不到某一項敏感信息，而現在單獨同意，用戶往往會引起警覺，從而很有可能選擇拒絕授權，這也促使企業(yè)去評估收集敏感個人信息的必要性，并向用戶作出合理說明。

一方面，個人信息保護相關的法律法規(guī)頻頻出臺，另一方面針對電信詐騙的監(jiān)管和宣傳也在不斷發(fā)力，但令許多人不解的是，為何電信詐騙依然難以真正地解決？企業(yè)又能做些什么？

近幾年電信詐騙的對抗性和產業(yè)鏈條呈現體系化的特點，甚至很多電信詐騙者不在境內。在詐騙產業(yè)鏈的前端已經呈現出了很明確的分工，有專門的團伙通過惡意代碼嵌入到正常網站中等方法來盜取個人信息，當公眾被電話觸達之前，我們的個人信息可能已經被詐騙者獲取到了。

單個點的防御很難突破詐騙體系化，還是需要從監(jiān)管到互聯網企業(yè)形成一套整體方案，更快速高壓地持續(xù)性打擊，來降低電信詐騙受害者的數量。

至于企業(yè)對減少電信詐騙能做些什么，企業(yè)的數據泄露很大一部分原因是從內部泄露出的。企業(yè)尤其需要避免讓第三方運維人員、外包人員查到“裸數據”（明文數據），而應讓他們看到脫敏數據。

即便是通過技術手段對個人數據脫敏，也無法保證百分之百不會數據泄露，但至少能做到泄露出來的脫敏數據不會成為精準詐騙的“原料”。