这种愤怒的情绪可能会蔓延,并且扩展到对于所有营销行为的质疑上,尤其对于互联网上的精准营销,更难免成为众矢之的。
可是,群体的情绪和事实的真象往往有很大的差异,但当情绪积累,就会腐蚀真相,并用盲目取代真相。
一、红线
什么是红线很重要,而且现在的红线,比过去几年要清晰多了。什么能做什么不能做,基本上已经比较明确。当然,在《中华人民共和国个人信息保护法》正式出台之后(现在这个法律还是草案,离正式实施还早),红线可能会更加清晰。
先看当下,红线主要划在两个事情上,第一“个人信息”;第二,非法处置了“个人信息”。目前很多的误解和争议,也都主要来自于这两点。
比如,2012年发布的《全国人大常委会关于加强网络信息保护的决定》的第一条:“任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。”。
又如,2015年《刑法修正案(九)》,明确了在履行职责或者提供服务过程中获得的公民信息出售或者提供给他人的应当重罚。
又如,2017年《民法总则》,明确个人信息受到法律保护,确立了个人信息的独立民事权利地位。
另外还有一些法律规定了侵害个人信息的量刑和法律适用等,这里不一一列出。
虽然法规不少,条款繁多,但总结起来还是“个人信息”和“处置个人信息”这两块。涉及这两块的,都很敏感,都不可以随便对待从而造成侵权甚至犯法犯罪。所以,两根红线,我们值得进一步解读。
二、个人信息
对于“个人信息”具体指什么,不同的法律条款的表述不一样。
比如,工信部在2011年年末发布的《规范互联网信息服务市场秩序若干规定》,明确将“可识别性”作为个人信息认定的核心规则,并规定除了法律、行政法规等另行规定外,收集、使用、提供个人信息必须经得用户同意。这是第一次明确对“个人信息”进行定义,并且与今天大家公认的定义非常类似。
又如,两高一部在2013年联合发布《关于依法惩处侵害公民个人信息犯罪活动的通知》中明确公民个人信息包括能够识别公民个人身份和涉及公民个人隐私的信息、数据资料。同样强调了“能够识别”四个字。
还有,2016年11月《网络安全法》(自2017年6月1日起施行),规定个人信息是指“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”。这个定义进一步明确了一种情况,即单一信息虽然不能识别个人身份,但是却可以由多个类型信息结合起来实现个人身份识别的,同样属于“个人信息”。
2018年5月1日起生效的《个人信息安全规范》对个人信息也有定义,这一个安全规范尽管不是一般意义上的法律,但是一个已经被批准的标准,因为各个企业,尤其是互联网企业,是必须要遵守这个标准的,但也请注意,由于它不是法律,因此不遵守这个标准并不是说就是犯法,更不意味着犯罪。在这个规范标准中,对个人信息有迄今为止最为详细的定义,即以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
为了说明什么是个人信息,《个人信息安全规范》甚至用了一个附录做了详细列举,如下所示:
还有,比如说指纹、面容、DNA信息等生物识别信息,是不是个人信息,当然也是!不仅是,而且特别敏感,属于必须得高度保护的个人隐私数据。这一类高度保护的个人隐私数据,在《个人信息安全规范》中被称为“个人敏感信息”,也做了详细说明,如下:
讲到这里,稍微强调一下,个人信息有两个很重要的特征,一个是识别,一个是关联。直接能够识别到某个具体个人的,是个人信息;不能直接识别,但是由具体的个人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)能够跟这个个人关联起来的,也是个人信息。这两个特征很重要,决定了我们后面要讲的很多具体的规定。
有人说,我这里有100个人的人群画像,算不算个人信息?这个已经都是100个人了,当然就不算个人信息了,安全性大大提升。但是,一个具体的个人的画像,那就毫无疑问是个人信息。
三、过去灰色地带,现在?
这里的灰色地带,主要就是IMEI号、IDFA、MAC地址什么的,它们是否已经属于个人信息?
总体来看,这一部分较为倾向于属于个人信息,但仍然没有完全“盖棺定论”。或者这么说,国家已经基本上认定它们属于个人信息,只是没有一个法律白纸黑字经人大批准,但个人认为这是迟早的了。
那么cookie呢?是否属于个人信息?现在的法律对于cookie的情况不太明确,鉴于cookie本身很容易被删除、更新或者禁用,似乎不如IMEI之类的硬件标识敏感,但它确实又有我们前面所言的“关联性”特征,因此,我倾向于它属于不那么被重视,或者说不是那么大价值的“个人信息”。当然,这只是我的解读,国家尚无明确的规范。
别急,即使是个人信息,也没有说就是完全不能用的。我们接着看。
四、个人信息是能够被使用的
任何国家的任何法律,都没有说不允许使用个人信息,所有的法律和规定,都是围绕如何正确使用这些信息,而不是如何禁止使用这些信息。
这是一个大前提。所以,不要觉得个人信息是洪水猛兽,隐私是洪水猛兽。不是的,在法律规定范围内的合法合理使用,没有任何问题!
而且,现在是AI时代,没有数据搞什么毛线AI。国家不能够一边鼓励AI,一边禁止使用数据,这在逻辑上也根本说不通。
那么,要怎么使用才算正确的使用呢?这就涉及到最前面讲的第二根红线。
五、同意原则
但,与过去不同,你若要使用个人信息,现在必须要经过同意。
我们看看它们分别是什么意思。
六、使用个人数据的界限
如果说同意原则是起点,那么有另一个极为重要的事情则是界限,即你获得了使用个人信息的同意,不代表着你能够将这些信息转给其他人。
当然,个人数据的界限中间还有一个非常敏感的领域,那就是数据出境。简单讲,无论如何,个人信息数据是不能出境的。否则,就是非常严重的问题。有多严重?涉及到国家安全,就不是公安管了,你懂的。
七、合理合法处置个人信息
谈到使用个人数据的界限,我们必然也要谈到收集、存储、转发、利用、消除等对于个人信息的处置。这些同样要遵循法律法规。
关于如何才算遵循法律法规,用大白话总结起来,有如下的一些要点:
1.个人信息的所有权肯定会被明确。我倾向于认为所有权肯定是属于个人的。当然,比如涉及到国家安全或者一些特定情况下,个人信息肯定也会属于其他的组织,跟我们关系不大,我就不多讲了。
3.信息主体拥有对信息的处置权,但仅限于对自己的信息(这个当然是废话)。
如何看待未来可能出现的法律呢(尤其是这个尚处草案的《中华人民共和国个人信息保护法》)?很显然,如果你对另外一部可称得上世界最严的个人信息保护法规有所了解的话,你就会发现二者有很多相似之处。我们下面看看这个法规。
八、目前世界最严格的法律
我们再来看看目前世界上最严的法律是怎么要求的。这个法律当然不是中国的法律,而是欧盟的GDPR。
GDPR规定了个人的数据权利,其中几点特别值得我们国家学习。(事实上从《中华人民共和国个人信息保护法》上来看,我们已经在直接学习了。)
第一点是被强化的同意/许可。
然后是访问权,即企业需要提供足够的便利和权限,让用户能够访问自己的全部数据,而且不应该收取用户任何费用。这些数据不仅仅只是访问,用户自己也可以不打折扣的全部索取(下载)。
限制处置权,即数据主体有权禁止数据处置方将其信息用于特定的用途,比如用于营销推广,或是禁止将这些数据转给任何第三方。
数据便携权,即数据处置者必须提供实际的保障,确保用户能够将这些数据按照自己的意志转移到其他的第三方,并且要么以通用的、机器可读的格式,要么以第三方可读的格式进行转移。
遗忘权,个体有权利要求掌握他/她的数据的人擦除掉关于他的所有的数据,不仅如此,那些被掌握这些数据的人散播出去的,也得一并擦除。
从GDPR的这些核心内容看,GDPR同样不是禁止使用数据,而是要按照更严格的要求使用数据。
那么,要多么严格呢?我们以cookie这个具有代表性的数据为例,要如何处置cookie可以符合GDPR的标准。
九、合规就可以使用
GDPR并没有特别针对cookie的条款,但是根据GDPR的普通条款,cookie不能跟过去一样随意收集,而必须按照新的规范。
而下面的这个关于cookie的弹窗,是GDPR合规的。
区别在哪里?
区别在于这个是明示同意。
当然,这个网站还必须提供入口,让用户随时删除这些cookie,或是能够让用户重新选择cookie的应用领域,以及每12个月,要重新获得一次用户的许可。
十、如果真的有“中国版”的GDPR
中国版的GDPR肯定会在不久的将来就会出现。前面提到的几个法规和标准,跟GDPR已经相当接近了。但总体还是比GDPR要宽松。
首先,部分披着大数据的皮倒卖个人数据的公司必然要转行。这些本来就是在灰色地带生存的,不来就不合理,它们在未来的日子绝对不好过,除非真的把刑法当赚钱的方法。
不过,更完善的法律通过规范整个行业的行为,也有利于业务开展和行业发展。正是因为法律不健全等原因,所以国内其实没有真正意义上的服务于数字营销的数据交易平台。未来法律如果更加健全,数据的使用可能反而能变得更加开放。并且,一部清晰明确的法律,对于统一认识、避免误解、粉碎谣言有巨大的价值。
十一、去特征化
当然,去特征化肯定是在获得了个人信息数据之后,因此,在获取这一项上,仍然需要符合前面所说的标准和法规。
去特征化的方法很多,删除敏感信息、加密、把若干个体信息集合为一个群体信息而使个体信息的可辨识性灭失的操作等,都是常用的方法。
十二、一些具体应用场景的合规性问题
文末,我们谈谈大家争议特别多的领域,看看按照现行的法律是否违规。
最后,个人信息和数据隐私保护是非常复杂的话题,错谬难免,敬请读者朋友们指正。