南财个保月丨专访何延哲:全方位思维是治理关键,个人信息保护影响评估可平衡安全和发展

合规科技李润泽子 2022-11-15 08:10
南财个保月丨专访周辉:发展合规科技是实现个人信息保护敏捷治理的关键一招 南财个保月丨数据治理脚步加快,合规服务商迎来“风口”? 南财个保月丨明星条款“单独同意”实践一年:跨境、金融等行业如何改变应对? 展开更多

南方财经全媒体记者 李润泽子 实习生 杨婧文 广州报道

编者按:

伴随着数字经济发展,对个人信息的采集和利用成为一种“刚需”。个人信息保护不断涌现出新问题,随意收集、违法获取、过度使用、非法买卖个人信息等情况“野火烧不尽”。数据的挖掘利用与个人信息保护之间张力扩大,急需专门法律对个人信息处理活动提供规范样本。

2021年11月1日,《个人信息保护法》正式施行,转眼间即将实施一周年。南财合规科技研究院长期关注个人信息保护议题,持续跟踪报道立法进程、监管动态,反映公众呼声。借此机会,将推出“南财个人信息保护月”系列活动,探讨《个人信息保护法》实施以来的落实情况以及对企业带来的影响。将围绕“守门人”条款的落实、用户个人信息权益的实现、数字广告行业的变革、数字经济发展与合规的平衡等多个维度推出20余篇系列稿件,刊出个人信息保护特刊,并且举办线下高峰论坛。

法律的生命力在于实施,在完成立法后,《个人信息保护法》需司法和执法接力,也需要企业恪守法律要求。我们希望能借助媒体的力量,持续追踪问效,推动个人信息权益的保障,提升全社会个人信息保护的水位线。

随着《个人信息保护法》(下称“个保法”)的落地,个人信息野蛮掘金时代结束。

当前,我国APP在架数量和用户规模持续扩大,已成为个人信息保护的关键领域。未来,APP个人信息保护合规治理工作应如何进一步推进?大型互联网平台应如何履行“守门人”角色?

在《个保法》落地一年的背景下,聚焦APP个人信息保护合规治理等热点问题,南方财经全媒体记者专访了中国电子技术标准化研究院网安中心测评实验室副主任何延哲,详谈《个人信息保护法》带来的重要影响及未来个人信息保护的方向。

在何延哲看来,《个保法》颁布以后最大的变化是随着治理工作深入,把握发展和安全的平衡成为关键,未来要通过更加完备的方法和机制发挥个人信息的最大作用。此外,个人信息的收集使用不存在“一管就死一放就乱”,法律保护和商业价值对于企业而言同样重要,企业应当要在兼顾合规的情况下,创新业务模式。

(中国电子技术标准化研究院网安中心测评实验室副主任何延哲|受访者供图)

APP监管治理需全方位思考

南财:个保法落地的一年间,APP监管治理工作有什么变化?目前的难点是什么?

何延哲:2019年年初至今,APP监管治理工作的范围、频次、颗粒度已经逐渐落细。以APP测评为例,从无到有,再到标准完善,如今APP测评已经越来越广泛、深入且细致。

但随着治理工作的深入,目前难点转变为发现问题后要怎么办。我认为,在采取合规的方式时,也要考虑到这些方式对用户体验的影响和对产业以往商业模式的冲击。因此,我们需要全方位地考虑问题,通过更加完备的方法和机制达到发展和安全的平衡。

南财:如何理解“全方位?

何延哲:个人信息的使用具有多面性。以APP读取应用程序列表为例。一方面APP收集应用程序列表可作企业安全风控之用,如企业通过收集应用程序列表发现用户手机的APP数量突然发生变化,种类上与原先没有交叉性,便可判定用户更换设备进行登录,从而提示账号风险。如果用户真的被盗号了,除了及时告知,企业还可把账户的敏感功能如转账等关停冻结。但另一方面,APP收集应用程序列表并非必要功能,也存在泄露用户个人隐私的风险。未经同意读取了用户手机上所安装的应用程序后,APP可进行用户画像分析,从而为用户提供对应的个性化服务,其中可能涉及敏感个人,因此也不能排除对用户权益造成损害的可能。

所以,应尽可能放大用户的利益,压缩潜在的损失,才能让个人信息发挥最大的价值。如果仅以功能必要性进行判断,会限制个人信息的多面性。这种限制挡住了风雨的同时也可能遮蔽了阳光。

南财:据您观察,随着个保法落地后APP监管治理的持续推进,对普通用户有何影响?

何延哲:个保法的落地让大众对于个人信息保护越来越重视,平台对于收集个人信息也越发谨慎。也因此,用户对于信息收集的选择权有所增加。现在,用户可以自主判断选择适合自己的APP服务或功能。

但由于对个人信息收集和使用的目的并不十分了解,在实际中多数用户会因为害怕个人信息被收集而选择直接拒绝所有信息的收集。以安全风控为例,如今为了避免过度收集个人信息,企业不被允许以安全风控的名义进行强制收集。如果企业为了安全需要开放权限或是收集信息,需要向用户申请权限,一般情况下普通用户很难做出合适的决定,通常是选择直接拒绝,这或许就将影响APP的安全风控效果。

虽然拒绝已经是一种进步,但这不是最好的状态。下一步应当通过有效的科普让更多用户了解个人信息收集背后的机制,真正选择适合自己的服务。

南财:如何从企业层面保障用户的选择权?

何延哲:由于企业商业模式限制,很多APP并不会真正开放选择权,而是打包成一律拒绝或同意。在用户选择拒绝之后,虽然不敢让用户直接退出APP了,但是之后只会提供一些特别难用的功能或原始功能,让用户不适。比如输入法不联想等。但一旦选择同意的话,又是“一揽子”同意。虽然不能把板子全打在企业身上,但如何将“一揽子”拆得更细,保障用户的选择权,是企业应当思考的问题。

收集更少信息也能提供更好服务

南财:不同规模的平台是否面临着不同的治理难点?

何延哲:是的,其中大型平台可能也面临着更多风险,治理也更难。收集信息越多的企业,数据使用更频繁活跃,数据应用的场景更丰富,因此风险点也会相应增加。

南财:《个保法》58条专门提出“守门人”条款,但大型平台业务类型复杂,应如何对其个人信息保护情况进行监督?

何延哲:“守门人”责任关乎商业信誉,也是对商业能力的检验。从法律角度来说大型平台应当履行个保法第58条条款本身的配套的机制,如建立外部人员组成的监督委员会等。

但仅仅是这样也还是不够的,相关标准规则也需要继续完善。事实上,目前相关国家标准正在制定。我相信,未来随着国家标准的出台,按照标准进行审核会被认为是履行了守门人条款的一个标志性动作,在此基础上相关制度体系也会逐渐完善。

南财:大型平台应该怎么去履行“守门人”条款中所列出的义务呢?

何延哲:首先,大型平台应主动拥抱守门人条款。大型平台业务类型复杂,需要结合自己的业务类型,从尽责的角度去采取措施。其次,守门人一定要齐头并进,否则就会劣币驱逐良币。

南财:未来,企业应如何兼顾数据的商业价值和法律保护?

何延哲:创新是关键。不应被合规限制,要在兼顾合规的情况下,创新业务模式。收集更少的个人信息,不代表提供不了更好的服务。个人信息保护合规治理不是“一管就死,一放就乱”。法律保护和商业价值对于企业而言都很重要,互联网的下半场谁兼顾的好,谁就能有更好的发展。

算法治理的重点为公正性和安全性

南财:《个保法》不仅规定了数据处理原则、个人数据权利,还专门引入自动决策概念,当前我国的算法治理情况如何?存在什么重难点?

何延哲:目前我国算法治理已经进入了新的阶段,算法备案标志着算法的管理对象已经具象化。但备案离最终的治理目标还有很大差距,在以后的算法治理中公正性和安全性将成为重点,而难点则是算法本身的复杂性。

南财:公正性应该怎么理解?针对这些问题,未来应如何在个保法的基础上加强治理?

何延哲:举例来说,违背公正性的有大数据杀熟、粗暴式自动筛选简历、系统自动派单过量等。事实上,衡量算法的公正性需要详细评估。在国家标准《GB/T 39335-2020 信息安全技术 个人信息安全影响评估指南》中有关差别性待遇的评估,是通过举例来说明的。但这种评估目前只形成了整体的方法论,对自动化决策的细节评估还有待探索。

算法的公正性有原则可依,但是如何把原则变成可以验证的手段,现在还没有明确的方法。这个问题立马得到彻底解决的可能性较小,还需要在技术层面研究透彻。我们要提出更多的思路,不断实践、完善、突破。

未来,要在个保法的基础上通过技术上的细致化研究加强治理。不管是“大数据杀熟”还是APP“盯梢”推送,更多的是主观上的判断,要将其变成一个客观事实来评价。

用好个人信息保护影响评估这一重要工具

南财:个保法落实情况如何?有哪些地方可以改善?

何延哲:APP始终是个人信息收集使用最大的一个领域,因此应持续加强该领域监管。

首先,应更多参考个人信息保护法相关条款进行检测。此前,虽然个保法对个人信息保护提出了新的要求,在此基础上也产生了一些新的检测,但目前完全依据个人信息保护法的条款进行检测的情况还是比较少。

此外,个保法里提到的很多新理念仍然有待探索。比如,个保法提到个人信息收集合法性基础由7个方面构成,但现在对于信息的收集还是以同意为主,其他合法性基础出现得较少。未来,可以从法律逻辑的完备性出发进行改善,否则行业只会采取保底的方案。

南财:接下来有哪些可以作为重要抓手推动个保法的进一步落地?

何延哲:我建议以个人信息保护影响评估为抓手,把握发展和安全的平衡。个保法第55条和56条提出了对个人信息安全保护影响评估的相关要求,其中在个保法第56条第三款中“所采取的保护措施是否合法、有效并与风险程度相适应”,并不是要求做到绝对的安全,而是强调现有的风险和安全措施是相适应的。只要能使风险和措施相适应,使得风险在可控的状态,就可以找到更多平衡安全和发展的创新机会。

 

策划:曹金良 陈磊

统筹:王俊

记者:李润泽子 实习生 杨婧文

(作者:李润泽子 编辑:王俊)