消费者看个保:上海专项执法两年,场景消费信任提升
针对个人信息被“过度采、强制要、诱导取、违规用”等问题,2023年6月,在国家网信办网络执法与监督局的指导下,上海市网信办、上海市市场监督管理局联合部分行业主管部门启动“亮剑浦江·消费领域个人信息权益保护专项执法行动”,对扫码点餐、停车扫码缴费、少儿学习培训、网络理财小贷、房产中介、租借充电器、商超购物、汽车4S店等八大日常消费场景,分阶段、分重点、分领域开展专项执法行动。
2024年,专项执法行动向纵深推进,聚焦扫码点餐、停车扫码、景点景区购票服务、人脸识别滥用、未成年人个人信息保护等重点场景,区分具体化应用场景,提出风险与合规成本相适配的规范指引体系,贯穿个人信息收集、存储、使用、加工、传输等全流程。
两年执法行动成效如何?近日,澎湃新闻记者深入上海静安、徐汇和普陀等多区多个消费场景,发现多数消费场景的个人信息合规处理确实有了明显改观,市民在消费领域中的安全感也在逐步提升。
在停车扫码缴费场景,在位于上海静安区的“兴业太古汇”地下停车场,澎湃新闻记者走访发现,停车场内部贴有支付页面,分别为“注册会员”和“即刻缴费”。点击“即刻缴费”后,车主填写车牌号后可立即支付停车费并快速离场。
在人脸识别技术应用场景,普陀区镇坪路地铁站某出口,一台显示经营者为“北京泰和瑞通云商科技有限公司上海分公司”的自动贩售机上,虽有“刷脸支付”标识,但在实际使用中,该选项已下线,消费者可以直接扫码开柜门获取需要的商品。“以前总觉得为了买一瓶水,还要出让自己的人脸信息,很不值得。所以,宁可忍一会走出地铁站,到便利店去购买,才感觉安心。现在这种担心放下了”,一位在地铁站内自动售货机买水的乘客对比介绍自己心态变化。
消费者的感受也得到了第三方评估机构的认同。澎湃新闻了解到,为了对“亮剑浦江”专项执法行动成效进行客观呈现和综合评估,华东政法大学作为中立第三方连续受邀成立评估项目组,开展调研评估。对2024年的专项执法行动,评估项目组认为,行动贯穿个人信息收集、存储、使用、加工、传输等全流程,实现“前端”“后端”综合治理,特别是针对彰显上海特色的咖啡领域和具有高度敏感性的人脸识别技术应用领域,提出风险与合规成本相适配的规范指引体系,以点带面,促进上海个人信息保护现状得到进一步改观。
企业看个保:合规成本增加,但“隐形资产”增值可期
收集个人信息应当限于实现处理目的的最小范围,不得过度收集;不得对个人在交易价格等交易条件上实行不合理的差别待遇;提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者应当建立健全个人信息保护合规制度体系,定期发布个人信息保护社会责任报告……作为国内第一部个人信息保护方面的专门法律,“个保法”充分回应了社会关切,为破解个人信息保护中的热点难点问题提供了强有力的法律保障。
对消费者来说,企业做好数据合规能进一步保障个人信息安全,减少隐私泄露风险。那么对于企业来说,这笔“账”应该怎么算?
数据合规必然会导致企业成本增加?必然导致获客及营销成本增加?如何看待这种成本的增加?
“如果用户在单次的消费体验受损,对于数据共享和担保存有疑虑甚至担心个人隐私泄露,长此以往会影响用户对整个行业的信任度。”他说,“因此不管是单次还是长期体验,我们都希望用户个人信息保护做得更好。”
学界看个保:引导企业主动合规,立足长远算好经济账
多家受访企业表示,立足长远,个人信息保护是一本多赢的经济账。企业通过合规建设收获长远利益,消费者权益得到有效保障,政府与政策引导市场健康发展,各方积极协同,共同推动个人信息保护工作的深入开展。
“提高了成本并不一定会利空企业。”
知名经济学者、工信部信息通信经济专家委员会委员盘和林撰文称,实际上,个人信息保护法说到底是针对个体层面的权益保护法律,与企业不具有直接关联关系,因法律实施而产生的企业合规成本一直存在,但由于监管缺位,加之用户对于个人信息价值不敏感,导致企业可以不进行内部合规建设,从而节省了这部分开支。
“从这个角度来讲,个人信息保护法只是通过强制规定让企业花该花的钱。因此,个人信息保护法作为新的市场规则,并没有直接作用于当前市场格局,而只是规范了市场秩序,这样的规则对市场应该是长期利好的。”他认为。
华东政法大学教授、博士生导师,互联网法治研究院院长高富平也提到,只要遵循法律法规管理好用户身份信息,数据合规技术上的难度并不高。“对大型企业来说,他们的全流程合规方面做得相对完善,但部分中小企业的个人信息保护观念相对淡薄,个人信息的处理方案并不妥善。”
“其实,保护个人信息也是员工教育和理念转型问题,要形成尊重个人、保护个人信息的文化,做好信息保护是企业在数字时代从事经营活动应该付出的成本。”高富平说。
从监管角度出发,盘和林告诉澎湃新闻,严厉的执法和处罚是推动企业从被动向主动的主要手段,但现阶段尚未有一套行之有效的个人信息泄露问题的发现机制,因为数据信息泄露非常隐蔽,普通人根本不知道哪个应用泄露了自己的信息,所以无法发现导致往往无人去维权,此时管理者需要通过技术手段主动去发现问题。
“实际上,企业主要是基于要利用信息和数据的价值,而在利用数据和信息过程中,按道理需要探索出合规使用路径才可以使用。”盘和林说,但现实情况是,直接使用数据和信息的企业并未受到严厉处罚,而找到合规使用路径的企业需要投入大量成本,也就是说,如果个人信息和数据的保护严格到一定程度,企业自然会做出正确的选择。
对于促进数据合规,盘和林认为,思路应该是系统性的。“比如可以对企业信息保护的机制给予评估,定期和不定期都可以。比如以区块链技术给信息打标签,在发现信息泄露的时候方便倒查信息泄露点。比如可用不可见的脱敏脱密数据预处理模式,比如数据场景模式,只允许找到合规使用路径的场景和企业开放数据服务和销售业务。”
盘和林也提到,随着个人信息保护场景的扩大,个人信息保护还存在一些覆盖死角。诸如推荐算法还存在普遍的消费者偏好数据读取的问题,尚待继续完善场景应用机制。
党的二十届三中全会明确了进一步全面深化改革的目标和任务,其中对加快构建促进数字经济发展体制机制和完善数据要素市场制度规则等作出了详细部署。
中央财经大学中国互联网经济研究院副院长欧阳日辉曾撰文称,在数字经济时代,数据是新的生产要素,是基础性资源和战略性资源,也是重要生产力。数字信任是数字经济发展和创新的基础。数字经济时代的数字信任,是个人和组织参与经济交易的基本信任,信任的经济功能将放大。数字信任有助于解决数据治理和安全问题,促进数据要素市场形成,支撑数据的市场化配置,推动数字经济发展。
“数据要素市场的发展激发了大家对数据应用的热情,个人信息作为社会治理、产品营销、市场推送活动的必要要素,应用变得频繁,需求也变得更大了。”高富平说。