個人信息保護法施行在即，大廠基于用戶畫像做營銷或增加門檻

個人信息保護法自下個月起正式施行。10月15日，中國網絡安全產業聯盟（CCIA）數據安全工作委員會主辦的“個人信息安全有法可依”專家對話直播活動在2021國家網絡安全宣傳周期間于線上召開。

會上，專家探討了個人信息保護法會對互聯網大廠產生哪些影響，企業如何落實“單獨同意”以及如何減少電信詐騙受害者等問題。有專家表示，個人信息保護法施行后，互聯網大廠想要再基于個人畫像做精準營銷，“其實是有一些門檻”。

大廠想基于用戶畫像做精準營銷有些“門檻”

11月1日起，個人信息保護法正式施行。作為首部個人信息保護領域的專門性立法，個人信息的邊界如何明確？監管對象是誰？互聯網大廠將受到哪些影響？

首先，世輝律師事務所合伙人王新銳介紹了個人信息和隱私之間的區別：隱私的核心強調的是秘密和安寧不被外界打擾，不愿為他人知曉，而個人信息往往是社會生活交往中經常會用到的信息，比如電子郵箱、電話。

“隱私和個人信息之間一個很大的差異在于隱私不能商業化利用，但個人信息很多時候處于一種商業服務場景之下?！蓖跣落J表示，個人信息保護法中的個人信息概念比民法典和網絡安全法都規定得更加寬泛，“既是識別也是關聯，通俗來說，識別指的是哪些信息能把我從人群中識別出來，比如身份證號，或者畢業學校、工作單位、年齡等信息加在一起把我識別出來。當我這個人已經被識別出來，跟我相關聯的其他信息也屬于個人信息?！?/p>

中國電子技術標準化研究院網絡安全研究中心測評實驗室副主任何延哲分享了他在參與國家標準制定時思考過的個人信息定義問題。

“當時我自己的一個理解是只要是有可能對個人產生傷害的，又和個人活動密切相關的信息都可以被當做個人信息來保護，盡量預防傷害。但實操過程中，確實很多數據到底屬不屬于個人信息會產生一些爭議，比如手機的設備信息，雖然是個人的設備，但個人和設備之間的綁定可能會產生變化?！彼f。

百度資深數據安全及隱私保護專家孫碩從企業的視角分享他們對個人信息的判斷標準：在應用場景下，他們一般會反過來看某一類信息被還原成個人的可能性，以及在共享和合作過程中，對方去把這條信息還原成個人的可能性。

談及個人信息保護法的監管對象，王新銳認為，從前期的收集再到處理、刪除、存儲、共享信息，監管對象包括了全生命周期中的個人信息處理者——一個普通人平時接觸到各個場景下涉及到的個人信息，不管是線下還是線上都會被納入法律的管理范疇中。

何延哲總結，從對象來說的話，只要是處理個人信息的組織或者個人，尤其是掌握大量個人信息的企業都在法律的監管范圍內。

“我認為在個人信息保護法推出以后，互聯網大廠想要再基于個人畫像做精準營銷，其實是有一些門檻?！卑埠阈畔祿踩鉀Q方案專家唐雷直言。

他進一步闡釋，之前很多互聯網大廠手上掌握著大量的個人隱私數據，在過去他們可以通過用戶畫像來對用戶進行針對性商業營銷，但在個人信息保護法推出之后，已經針對個人信息處理制定了非常精確的一些規則，比如App不能肆意地違規收集個人信息，更不能拿去銷售和交易。

“商業利益是有限的，個人受到的傷害是終生的”

App過度收集個人信息、不授權就不讓用等問題久遭用戶詬病。王新銳認為，個人信息保護中的高額罰款以及舉證責任倒置等條款都給企業施加了保護個人信息的義務。

根據個人信息保護法，如果個人信息處理者違規處理個人信息，或者處理個人信息未履行個人信息保護義務，情節嚴重的，可由省級以上履行個人信息保護職責的部門處以五千萬以下或者上一年度營業額百分之五以下罰款。

“企業在收集個人信息的時候，它就會判斷。收集的環節如果合法性不足，后面會有巨額處罰，它的壓力會大很多……其實企業未必有什么心想作惡，但是如果沒有法律的壓力，很多事情可做可不做（企業可能就不會去做），但現在是必須要做?！蓖跣落J說道。

另外，對于敏感個人信息和一些特殊場景，個人信息保護法還規定了“取得個人單獨同意”的保護規則，對于“單獨同意”如何落地也是實務界非常關注的焦點。

王新銳認為，個人信息保護法中設置單獨同意實則是組合拳中的“一招”。以往的概括性同意中用戶可能注意不到某一項敏感信息，而現在單獨同意，用戶往往會引起警覺，從而很有可能選擇拒絕授權，這也促使企業去評估收集敏感個人信息的必要性，并向用戶作出合理說明。

“一些情況下企業知難而退，因為他覺得個人不可能同意，那如果他沒有收集敏感信息特別強的正當理由，可能就不去收集了……所以產業界說單獨同意在一些情況下沒辦法落地，我覺得這恰恰是我們立法者刻意而為之的目標，就是讓你在一些情況下不要去收集。因為你（企業）收集獲得的利益是一些有限的商業利益，而（一旦數據泄露后）個人受到的傷害的終生的?！彼f。

一方面，個人信息保護相關的法律法規頻頻出臺，另一方面針對電信詐騙的監管和宣傳也在不斷發力，但令許多人不解的是，為何電信詐騙依然難以真正地解決？企業又能做些什么？

孫碩分析認為，近幾年電信詐騙的對抗性和產業鏈條呈現體系化的特點，甚至很多電信詐騙者不在境內。在詐騙產業鏈的前端已經呈現出了很明確的分工，有專門的團伙通過惡意代碼嵌入到正常網站中等方法來盜取個人信息，當公眾被電話觸達之前，我們的個人信息可能已經被詐騙者獲取到了。

他認為，單個點的防御很難突破詐騙體系化，還是需要從監管到互聯網企業形成一套整體方案，更快速高壓地持續性打擊，來降低電信詐騙受害者的數量。

至于企業對減少電信詐騙能做些什么，唐雷分析，企業的數據泄露很大一部分原因是從內部泄露出的。企業尤其需要避免讓第三方運維人員、外包人員查到“裸數據”（明文數據），而應讓他們看到脫敏數據。

何延哲分析，即便是通過技術手段對個人數據脫敏，也無法保證百分之百不會數據泄露，但至少能做到泄露出來的脫敏數據不會成為精準詐騙的“原料”。

(來源：南方都市報)