行業(yè)動(dòng)態(tài)

個(gè)人信息法即將落地,大廠(chǎng)或?qū)o(wú)法進(jìn)行畫(huà)像營(yíng)銷(xiāo)?

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2021-10-18    瀏覽次數(shù):
 

信息來(lái)源:安全內(nèi)參


11月1日起,個(gè)人信息保護(hù)法正式施行。作為首部個(gè)人信息保護(hù)領(lǐng)域的專(zhuān)門(mén)性立法,個(gè)人信息的邊界如何明確?監(jiān)管對(duì)象是誰(shuí)?互聯(lián)網(wǎng)大廠(chǎng)將受到哪些影響?

隱私的核心強(qiáng)調(diào)的是秘密和安寧不被外界打擾,不愿為他人知曉,而個(gè)人信息往往是社會(huì)生活交往中經(jīng)常會(huì)用到的信息,比如電子郵箱、電話(huà)。隱私和個(gè)人信息之間一個(gè)很大的差異在于隱私不能商業(yè)化利用,但個(gè)人信息很多時(shí)候處于一種商業(yè)服務(wù)場(chǎng)景之下。比如說(shuō),在設(shè)置登錄賬號(hào)時(shí)需要輸入個(gè)人信息綁定來(lái)獲取特定的服務(wù)。

個(gè)人信息保護(hù)法中的個(gè)人信息概念比民法典和網(wǎng)絡(luò)安全法都規(guī)定得更加寬泛,既是識(shí)別也是關(guān)聯(lián),通俗來(lái)說(shuō),識(shí)別指的是哪些信息能把我從人群中識(shí)別出來(lái),比如身份證號(hào),或者畢業(yè)學(xué)校、工作單位、年齡等信息加在一起把我識(shí)別出來(lái)。當(dāng)我這個(gè)人已經(jīng)被識(shí)別出來(lái),跟我相關(guān)聯(lián)的其他信息也屬于個(gè)人信息。

筆者認(rèn)為只要是有可能對(duì)個(gè)人產(chǎn)生傷害的,又和個(gè)人活動(dòng)密切相關(guān)的信息都可以被當(dāng)做個(gè)人信息來(lái)保護(hù)。但實(shí)操過(guò)程中,確實(shí)很多數(shù)據(jù)到底屬不屬于個(gè)人信息會(huì)產(chǎn)生一些爭(zhēng)議,比如手機(jī)的設(shè)備信息,雖然是個(gè)人的設(shè)備,但個(gè)人和設(shè)備之間的綁定可能會(huì)產(chǎn)生變化。

在應(yīng)用場(chǎng)景下,可以反過(guò)來(lái)看某一類(lèi)信息被還原成個(gè)人的可能性,以及在共享和合作過(guò)程中,對(duì)方去把這條信息還原成個(gè)人的可能性。

涉及個(gè)人信息保護(hù)法的監(jiān)管對(duì)象,從前期的收集再到處理、刪除、存儲(chǔ)、共享信息,監(jiān)管對(duì)象包括了全生命周期中的個(gè)人信息處理者——一個(gè)普通人平時(shí)接觸到各個(gè)場(chǎng)景下涉及到的個(gè)人信息,不管是線(xiàn)下還是線(xiàn)上都會(huì)被納入法律的管理范疇中。

從對(duì)象來(lái)說(shuō)的話(huà),只要是處理個(gè)人信息的組織或者個(gè)人,尤其是掌握大量個(gè)人信息的企業(yè)都在法律的監(jiān)管范圍內(nèi)。

我認(rèn)為在個(gè)人信息保護(hù)法推出以后,互聯(lián)網(wǎng)大廠(chǎng)想要再基于個(gè)人畫(huà)像做精準(zhǔn)營(yíng)銷(xiāo),其實(shí)是有一些門(mén)檻。之前很多互聯(lián)網(wǎng)大廠(chǎng)手上掌握著大量的個(gè)人隱私數(shù)據(jù),在過(guò)去他們可以通過(guò)用戶(hù)畫(huà)像來(lái)對(duì)用戶(hù)進(jìn)行針對(duì)性商業(yè)營(yíng)銷(xiāo),但在個(gè)人信息保護(hù)法推出之后,已經(jīng)針對(duì)個(gè)人信息處理制定了非常精確的一些規(guī)則,比如App不能肆意地違規(guī)收集個(gè)人信息,更不能拿去銷(xiāo)售和交易。

“商業(yè)利益是有限的,個(gè)人受到的傷害是終生的”

App過(guò)度收集個(gè)人信息、不授權(quán)就不讓用等問(wèn)題久遭用戶(hù)詬病。個(gè)人信息保護(hù)中的高額罰款以及舉證責(zé)任倒置等條款都給企業(yè)施加了保護(hù)個(gè)人信息的義務(wù)。

根據(jù)個(gè)人信息保護(hù)法,如果個(gè)人信息處理者違規(guī)處理個(gè)人信息,或者處理個(gè)人信息未履行個(gè)人信息保護(hù)義務(wù),情節(jié)嚴(yán)重的,可由省級(jí)以上履行個(gè)人信息保護(hù)職責(zé)的部門(mén)處以五千萬(wàn)以下或者上一年度營(yíng)業(yè)額百分之五以下罰款。

企業(yè)在收集個(gè)人信息的時(shí)候,它就會(huì)判斷。收集的環(huán)節(jié)如果合法性不足,后面會(huì)有巨額處罰,它的壓力會(huì)大很多……其實(shí)企業(yè)未必有什么心想作惡,但是如果沒(méi)有法律的壓力,很多事情可做可不做(企業(yè)可能就不會(huì)去做),但現(xiàn)在是必須要做。

另外,對(duì)于敏感個(gè)人信息和一些特殊場(chǎng)景,個(gè)人信息保護(hù)法還規(guī)定了“取得個(gè)人單獨(dú)同意”的保護(hù)規(guī)則,對(duì)于“單獨(dú)同意”如何落地也是實(shí)務(wù)界非常關(guān)注的焦點(diǎn)。

個(gè)人信息保護(hù)法中設(shè)置單獨(dú)同意實(shí)則是組合拳中的“一招”。以往的概括性同意中用戶(hù)可能注意不到某一項(xiàng)敏感信息,而現(xiàn)在單獨(dú)同意,用戶(hù)往往會(huì)引起警覺(jué),從而很有可能選擇拒絕授權(quán),這也促使企業(yè)去評(píng)估收集敏感個(gè)人信息的必要性,并向用戶(hù)作出合理說(shuō)明。

一方面,個(gè)人信息保護(hù)相關(guān)的法律法規(guī)頻頻出臺(tái),另一方面針對(duì)電信詐騙的監(jiān)管和宣傳也在不斷發(fā)力,但令許多人不解的是,為何電信詐騙依然難以真正地解決?企業(yè)又能做些什么?

近幾年電信詐騙的對(duì)抗性和產(chǎn)業(yè)鏈條呈現(xiàn)體系化的特點(diǎn),甚至很多電信詐騙者不在境內(nèi)。在詐騙產(chǎn)業(yè)鏈的前端已經(jīng)呈現(xiàn)出了很明確的分工,有專(zhuān)門(mén)的團(tuán)伙通過(guò)惡意代碼嵌入到正常網(wǎng)站中等方法來(lái)盜取個(gè)人信息,當(dāng)公眾被電話(huà)觸達(dá)之前,我們的個(gè)人信息可能已經(jīng)被詐騙者獲取到了。

單個(gè)點(diǎn)的防御很難突破詐騙體系化,還是需要從監(jiān)管到互聯(lián)網(wǎng)企業(yè)形成一套整體方案,更快速高壓地持續(xù)性打擊,來(lái)降低電信詐騙受害者的數(shù)量。

至于企業(yè)對(duì)減少電信詐騙能做些什么,企業(yè)的數(shù)據(jù)泄露很大一部分原因是從內(nèi)部泄露出的。企業(yè)尤其需要避免讓第三方運(yùn)維人員、外包人員查到“裸數(shù)據(jù)”(明文數(shù)據(jù)),而應(yīng)讓他們看到脫敏數(shù)據(jù)。

即便是通過(guò)技術(shù)手段對(duì)個(gè)人數(shù)據(jù)脫敏,也無(wú)法保證百分之百不會(huì)數(shù)據(jù)泄露,但至少能做到泄露出來(lái)的脫敏數(shù)據(jù)不會(huì)成為精準(zhǔn)詐騙的“原料”。


 
 

上一篇:REvil勒索軟件因服務(wù)器被入侵再次關(guān)閉

下一篇:2021年10月18日聚銘安全速遞