數據安全重典專治隱私泄露

編者按：從大數據“殺熟”到需求被手機“偷聽”，從不全面授權就不讓使用的App到被畫像的用戶……人們苦網絡隱私泄露“頑疾”久矣。如何在技術進步與隱私保護當中尋求一個最佳平衡點？如何消除人們的“隱私焦慮”？當下我國正在緊鑼密鼓地構建數據安全、個人信息與隱私保護的法律體系，加大不法分子竊取隱私的違法成本，個人隱私保護水平有望持續提高。

禁止App過度索權 重罰“大數據殺熟”

數據保護細則將落地

“大數據殺熟”最高可罰5000萬元；用戶有權拒絕被畫像和個性化推薦；未滿十四周歲未成年人數據視作敏感個人數據……近日《深圳經濟特區數據條例》（以下簡稱《條例》）正式公布，《條例》將于明年1月1日起施行，內容涵蓋了個人信息數據、公共數據、數據市場、數據安全等方面，被稱為是國內數據領域首部基礎性、綜合性立法。

接受《經濟參考報》記者采訪的多位專家表示，《條例》在制度設計方面有較多突破，《條例》的出臺是在數據法律法規層面的先行先試，是對《數據安全法》的地方落實及進一步細化，對于我國其他地區進行地方性數據立法具有重要借鑒意義。

強化個人數據保護

“明明只是一款音樂App，卻一定要讀取地理位置、通訊錄，否則就不能使用。”“騷擾電話太多了，上來就能叫出我的名字，有的還能報出身份證號碼和家庭住址。”在移動互聯時代，個人信息被網絡平臺泄露和濫用的憂慮不絕于耳。

針對App過度收集個人信息、強制索要用戶授權的問題，《條例》確立以“告知-同意”為前提的個人數據處理規則，即處理個人信息應當在事先充分告知的前提下取得個人同意，數據處理者應當提供撤回同意的途徑，不得對撤回同意進行不合理限制或者附加不合理條件。在規范用戶畫像和個性化推薦的應用上，《條例》首創性地規定，數據處理者基于提升產品或者服務質量的目的，對自然人進行用戶畫像的，應當明示用戶畫像的主要規則和用途；自然人有權拒絕數據處理者對其進行上述用戶畫像和基于用戶畫像進行的個性化推薦，數據處理者應當為其提供拒絕的途徑。

值得關注的是，當前“人臉識別”“指紋驗證”“聲音解鎖”“虹膜識別”等生物識別技術，在治安、金融、醫療、交通、學校、支付等場景被大范圍使用。為避免生物識別數據的濫用，《條例》對處理生物識別數據作出了相較于處理其他數據更加嚴格的規定，要求處理生物識別數據時，除該生物識別數據為處理個人數據目的所必需，且不能為其他非生物識別數據所替代的情形外，應當同時提供處理其他非生物識別數據的替代方案。

在強化對未成年人個人數據的保護方面，《條例》將未滿十四周歲未成年人的個人數據視作敏感個人數據，首次在國內立法中明確，除為了維護未滿十四周歲未成年人的合法權益且征得其監護人明示同意外，不得向其進行個性化推薦。

“《條例》及時回應了民眾關心的App過度索權等問題，同時還與歐盟《通用數據保護條例》（GDPR）等國際主流個人數據立法的規定相接軌。特別針對未成年人個人數據做出相關規定，進一步充實了我國未成年人個人信息網絡保護的法律依據，也為其他地方性數據安全立法的制定提供了借鑒。”中國電子信息產業發展研究院網絡安全所所長劉權對《經濟參考報》記者表示。

促進數據要素市場公平競爭

值得一提的是，在確保數據安全、保護個人數據的基礎上，《條例》還探索培育數據要素市場，最大程度激發、釋放數據作為生產要素的經濟價值。

《條例》從五個方面探索培育數據要素市場，并填補目前數據交易相關法律規范的空白。具體包括，建立健全數據標準體系，推動數據質量評估認證和數據價值評估，探索建立數據要素統計核算制度，拓寬數據交易渠道，明確數據交易范圍為“合法處理數據形成的數據產品和服務”等。

在填補目前數據交易相關法律規范空白的同時，在國內立法中首次確立數據公平競爭有關制度，針對數據要素市場“搭便車”“不勞而獲”“大數據殺熟”等競爭亂象作出專門規定。例如，針對數據要素市場“大數據殺熟”等競爭亂象，《條例》明確規定處罰上限設為5000萬元。

哈爾濱工業大學-奇安信數據安全研究院執行院長劉川意對《經濟參考報》記者表示，數據真正能起到新時代的新型生產要素作用，需要明確權屬和定價兩個問題，《條例》在這兩個方面都給出了可落地、可實施的建設性方案，其關鍵制度性創新在于通過構建兩級數據要素市場結構，其中一級市場以政府行政機制為主，通過管理和運行適度分離，解決公共數據權屬界定的難題；二級市場以市場競爭機制為主，規范數據進場交易，解決企業數據交易定價難題。

推動公共數據最大限度開放利用

政府各部門掌握的公共數據資源蘊藏著巨量的經濟信息，通過增值開發不僅可以給市民帶來便利，也可以產生巨大的經濟效益?！稐l例》設計了公共數據治理的頂層框架，要求政府建立城市大數據中心，實現對全市公共數據資源的統一、集約管理。明確公共數據以共享為原則，不共享為例外，建立以公共數據資源目錄體系為基礎的公共數據共享需求對接機制。

《條例》明確，將提供教育、衛生、社會福利、供水、供電、環保、公交等公共服務的組織納入公共管理和服務機構范圍，其在提供服務過程中產生、處理的數據均屬公共數據。公共數據應當在法律、法規允許的范圍內最大限度地開放，不得收取任何費用。

劉川意表示，《條例》在制度設計方面有較多突破，促進數據作為生產要素開放流動和開發利用具有重要意義。其中，公共數據的開放制度，將使得公共數據的潛力得到最大程度的挖掘，明確了公共數據的利用方式將為社會主體充分利用公共數據提供通道。

中國信息通信研究院云計算與大數據研究所副所長魏凱對《經濟參考報》記者表示，當前，公共數據仍呈現出數據總量規模小、可利用率不高、用戶參與度低等特點，《條例》在將公共數據相關改革創新經驗轉化為制度成果的同時，著力解決現有公共數據共享開放的瓶頸難題，充分開發利用公共數據資源，將進一步加快數字政府建設，提升政府數據治理能力。

在專家看來，《條例》對于我國其他地區進行地方性數據立法具有重要的借鑒意義。

“《條例》有望成為數據生產要素領域立法的先行示范和判例藍本。”劉川意表示，采取先綜合性、基礎性立法，而后再制訂實施細則的立法模式，有利于先厘清基本問題，再對具體問題具體分析，有利于避免立法框架出現偏差。同時，《條例》為政府制定相應配套細則提供了依據。

魏凱還指出，數據催生下的數字經濟新產業、新業態和新模式正在蓬勃發展，通過立法將進一步充分發揮數據的基礎資源作用和創新引擎作用，培育資源配置高效的數據要素市場，促進數字經濟健康發展。

網絡平臺金融業務：濫用個人信息面臨“穿透式監管”

近年來，多家網絡平臺企業憑借流量優勢“跨界”開展金融業務，推出第三方移動支付、網絡借貸、互聯網理財等創新金融服務，在提升金融服務效率、推動數字普惠金融發展等方面發揮了重要作用，但不少企業在信息收集和使用、營銷宣傳方面存在非法搜集、使用個人信息，濫用個人信息等問題。

中國財富管理50人論壇、清華大學五道口金融學院近期聯合發布的《平臺金融科技公司監管研究》課題報告認為，平臺金融科技公司存在未經授權收集個人信息、過度收集個人信息、隱私過度暴露和侵犯個人隱私的傾向。有必要盡快建立我國的金融科技監管和數據治理體系。平臺金融科技的監管框架應該以包容性、穩定性、技術中性和消費者保護為目標。

中國人民銀行金融消費權益保護局課題組在《大型互聯網平臺消費者金融信息保護問題研究》一文中建議，綜合運用各種監管手段，實現穿透性監管，督促大型互聯網平臺樹立負責任金融的理念。在借鑒域外信息保護立法與監管經驗的基礎上，從我國實際出發，依法將大型互聯網平臺的金融業務全面納入監管，增強業務信息披露全面性和透明度，有效控制共債風險，不斷完善金融信用信息基礎設施建設，嚴格規范金融營銷宣傳行為，切實保護金融消費者長遠和根本利益。

近些年，金融監管部門一直努力在鼓勵金融科技創新和防范金融風險之間尋求平衡。起初，在包容的監管環境下，金融科技迅速興起，比如支付寶、微信支付等非銀行移動支付業務快速增長。伴隨著發展過程中一些風險的逐步暴露，如今監管部門對金融科技的監管思路非常清晰，遵循“同樣業務同樣監管”的原則，按照實質重于形式，落實穿透式監管，堅持金融活動全部納入金融監管。

中國工商銀行原行長楊凱生認為，當前，金融科技、互聯網金融受到整個金融系統改革深化的影響，面臨著新階段、新形勢。去年以來，監管部門對于規章制度先行的理解比過去更加深刻，社會對金融科技規范發展的期待更高，從業人員對金融科技發展方向、商業模式有了更清晰的把握。要提高站位，對金融科技有新的理解和認識，否則創新難以接受新形勢的檢驗。

中國社科院金融所金融科技研究室主任尹振濤認為，大型的金融科技平臺用戶非常多，產品也很豐富，例如第三方支付，具有很多公共產品的屬性，企業應該承擔更多的社會責任。此外，這類企業應該意識到自己不是單純的科技企業，還具備金融機構的特點，要接受金融監管，承擔相應的責任，應對風險有敬畏之心。

招聯金融首席研究員董希淼進一步表示，約談與監管，并不是為了打壓金融科技，不是對金融創新的否定。相反地，加強反壟斷規制，創造更加公平公正的市場競爭秩序，有助于激發市場主體活力，推動金融科技良性創新、行穩致遠。董希淼說，金融管理部門實施從嚴監管和穿透式監管，繼續查處各類違法違規行為，將更好地保護消費者隱私和數據信息安全。

記者近日調查發現，此前被監管部門聯合約談的13家網絡平臺企業陸續制定整改方案，所從事金融業務也更為規范。從細項來看，一些方面的整改效果比較明顯。比如，斷開支付工具和其他金融產品的不當連接，貸款產品明示貸款年化利率、規范與第三方機構的金融業務合作等。

在人大貨幣研究所所長助理曲強看來，網絡平臺企業未來將非常重視監管和合規，并積極研究如何適應監管要求，然后在公司內部“刮骨療毒”，就監管套利、違規放貸、支付業務違規、個人信息隱私安全違反等問題進行自查、整改。“整個行業要經歷陣痛期，之后全行業的發展會有更明確的方向，也會更加健康。監管的本質目的還是以互聯網優勢促進實體經濟發展，而不是將互聯網規模效應變成套利和掙錢的工具。”曲強表示，這需要互聯網金融企業專注主業，以服務實體經濟為目的，不要動不動就想著將業務金融化。

記者從業內了解到，部分網絡平臺企業正考慮將金融業務與主業分開，將金融業務納入新設立的金控公司。一位網絡平臺金融業務部門人士告訴記者，公司目前正積極自查整改金融業務，未來很可能會設立金融控股公司。事實上，2020年12月金融管理部門聯合約談螞蟻集團時，就提出了重點業務領域的整改要求，其中一條是依法設立金融控股公司，嚴格落實監管要求，確保資本充足、關聯交易合規。2021年4月，金融管理部門約談部分從事金融業務的網絡平臺企業，在整改要求中也提到符合條件的企業要依法申請設立金融控股公司。

中信證券研報提出，對于部分符合金控要求的金融科技平臺而言，資本杠桿、資產負債要求以及關聯業務限制，或對過去的“獲客-引流-變現”商業模式帶來影響，資本補充與業務規范經營成為下階段轉型重點內容。董希淼也建議，對不同的網絡平臺企業，應實施有差異的整改路徑。比如，螞蟻集團整體申設金融控股公司，騰訊、京東等或將部分業務申設金融控股公司，但多數企業并不需要申設金融控股公司。

應對手機App“偷聽”有大招

剛與同事說中午想吃麻辣燙，打開訂餐軟件，首頁排在前兩位的竟然都是麻辣燙商家；周末逛街時與朋友探討哪條裙子好看，打開某購物軟件便發現各式連衣裙……近年來，談話被手機“偷聽”時常成為大家議論的焦點話題，從過去根據搜索習慣進行精準推送，到如今“未見其人先聞其聲”的隔空投送，著實讓很多人感到，自己在手機面前隱私全無。

手機真的在偷聽嗎？

此前一則內容為“語音發出后錄音還在繼續”的詞條登上微博熱搜，引發網友熱議，其中提到App“偷聽”現象。從熱搜標題和內容簡介來看，似乎App“偷聽”現象不僅板上釘釘，甚至超出人們的預期。不少網友對我國個人信息保護現狀著實感到擔憂。

追溯此話題，引發熱搜的內容實際上是在一檔新聞節目中，一位技術專家利用自開發的模擬測試軟件展示了從技術上可以實現的App“偷聽”行為。同時專家也表示，技術上雖然可行，但這種“偷聽”方式的成本高、效率低，而且存在非常高的法律風險。該技術專家還表示，暫時尚未發現哪款App有將語音信息直接上傳的“偷聽”行為，而手機越來越“懂”用戶，實際上是由于大數據畫像越來越精準所引起的。

盡管如此，網友們對于手機是否在“偷聽”的議論并未停止。網友科技圣斗士稱：“自己跟朋友吃飯時聊到茶葉，并且從未搜索過與茶葉相關的內容，隨后便收到了茶葉的廣告。”

針對網友們反應的問題，《經濟參考報》記者親自進行了一番測試。記者從來不吃榴蓮，在各種外賣App上也從未對“榴蓮”及其相應食品進行過搜索。但是，當記者與朋友針對榴蓮進行一番對話和討論后，再次打開某外賣App的首頁時，便看到了“新鮮榴蓮僅售29.9元”的推送信息。

“聽”來的數據有用嗎？

如何在接受互聯網平臺和各類App提供的便利服務時，保護好自己的數據安全，已經成為人們越來越關注的問題。

專家表示，手機越來越“懂”用戶，其實是大數據畫像越來越精準所引起的。大數據的來源可能不只是一個App，而是多個App的匯總，大量信息匯聚導致用戶畫像越來越精準。

對此，App治理工作組何延哲告訴記者，隨著語音識別技術的發展，采用服務進程進行“低功耗”識別語音并轉換成文字的方式，也就是所謂App“監聽并提取關鍵字”理論的可行性是存在的，但需要具備如下兩個條件：第一，App自帶錄音功能，并且獲取錄音權限；第二，App置于前臺，并且不鎖屏。

“目前最新的手機操作系統不斷強化了‘錄音’權限使用的透明性，一旦調用麥克風，不僅在狀態欄中會出現提示，還會產生日志記錄，‘偷聽’行為暴露的可能性很大，導致違規處罰的風險也很高。”何延哲說。

手機App盜來的信息究竟有何用？對此，北京大成律師事務所王小云表示，其實“App監聽”的數據價值與違法成本不對等，商業應用空間不大。“App監聽在非實驗環境下收集的信息是否能被有效使用尚是未知數。而且這種軟件的售賣與運營屬于違法行為，一旦被發現，App開發者、運營者都將被追究法律責任。”王小云說。

近年來，因平臺使用用戶的朋友圈數據、地理位置數據而引發的訴訟已有多起，記者從裁判文書網檢索發現，2020年涉及App或互聯網平臺的隱私權糾紛案件占整體隱私權糾紛案件的15%。隱私權糾紛案件中，勝訴當事人除要求侵權人停止侵權行為、賠禮道歉外，還依據侵權行為的損害程度獲得了千元以上的賠償。

保護隱私安全需共同發力

目前，我國針對個人隱私的保護水平日趨提升，不法分子進行“竊聽”的違法成本持續加大。

據了解，目前我國《民法典》《網絡安全法》《數據安全法》和即將出臺的《個人信息保護法》，一同構建了我國數據安全、個人信息與隱私保護的法律體系。此外，2019年11月出臺的《App違法違規收集使用個人信息行為認定方法》與App治理工作組發布的《App違法違規收集使用個人信息自評估指南》等，均就個人隱私保護問題做出了明確且嚴格的規定。

“用戶可以通過關注自己使用的App的隱私政策、采用手機操作系統提供的錄音單次授權等方式，保護自己的隱私空間。”王小云說，用戶還可以關閉麥克風權限，或者在使用App發語音、錄音等功能后將手機切換到主界面或鎖屏。

清華大學數據治理研究中心馬超認為，個人隱私保護問題正日益成為一個重大的社會問題，涉及到個人與社會的方方面面，技術進步與隱私保護應當尋求一個最佳平衡點。智能設備供應商應當及時向社會公布隱私政策和技術原理，消除社會大眾的隱私焦慮。