“個人信息安全規范”針對三大問題出招

2018年1月10日，國家互聯網信息辦公室網絡安全協調局約談“支付寶年度賬單事件”當事企業，即螞蟻金服負責人。網絡安全協調局負責人指出，支付寶、芝麻信用收集使用個人信息的方式，不符合即將于5月1日實施的“個人信息安全規范”國家標準的精神，也違背了螞蟻金服與其他企業在2017年9月共同簽署的個人信息保護倡議書的承諾。

其實，彼時“個人信息安全規范”并未正式生效，但已成為有關部門監管時的重要依據。

2017年12月，推薦性國家標準《信息安全技術 個人信息安全規范》（下稱《規范》）出臺，將于2018年5月1日起正式實施;在更早之前的2017年6月1日，《中華人民共和國網絡安全法》正式實施，其中有專門章節針對保護個人信息安全。

“在我個人看來，《規范》首先遵循了網絡安全法確立的個人信息保護框架，其次也提供了遵從網絡安全法關于個人信息保護要求的一個良好方案。”《規范》起草人之一、北京大學互聯網發展研究中心研究主管洪延青對《中國經濟周刊》記者表示，不能說如果企業的做法與《規范》不符合就一定違反了網絡安全法對個人信息保護的相關要求，但如果企業按照《規范》去做，達到合規，則肯定會符合網絡安全法的規定。也就是說，如果企業沒有對《規范》合規，不能說其肯定觸犯了網絡安全法，其完全可以在《規范》之外自己制定一套符合網絡安全法對個人信息保護要求的制度，但其制定成本會遠遠大于對《規范》合規。

《規范》對目前互聯網行業取得用戶個人信息時發生的“默認勾選”“最小化原則”以及“跨界融合”三大常見問題進行了詳細規定，企業終于有標準可以參照了。

“默認勾選”綁架用戶

“支付寶年度賬單事件”中比較令人關注的是涉事企業在頁面中并不顯眼的地方安排了“我同意《芝麻服務協議》”的選項，并且提前替用戶勾選，用戶如果不同意，需要再點擊一下復選框。用戶如果稍有疏漏，就會“被自愿”地同意該協議，存在第三方和支付寶內的個人信息便會被企業收集。

《規范》規定，有關數據控制方“在間接獲取個人信息時，作為接收方的企業有義務要求提供方對相關個人信息的來源進行說明并確認其合法性，同時還應當了解個人信息主體對于提供方的授權范圍，包括使用目的、個人信息主體是否授權同意轉讓、共享、公開披露等內容，若接收方處理個人信息超出上述范圍的，還應在合理期限內另行征得個人信息主體的明示同意?！痹诖耸录?，支付寶對用戶的提示信息字體很小，并處在按鈕下方易被忽略的位置，且默認勾選也遠遠不能算是個人信息主體的“明示同意”。

類似于“默認勾選”的“綁架”做法其實不只存在于某一家企業，其似乎是互聯網行業的“頑疾”。

線上醫療企業丁香園創始人李天天曾在國外體驗過一種具有自助掛號功能的軟件，該軟件也會讓用戶選擇同意或不同意隱私政策，若不同意，則無法進入服務流程的下一步，也就是說無法實現自助掛號功能，線上醫療行業內部對此條款稱為“知情同意”，但背后的一句話則是，“若不同意，則無法使用該服務”。也就是說，“知情同意”其實是“知情后必須同意，否則不提供服務”。值得注意的是，此種做法在目前國內的線上醫療企業中也是相當普遍，浙江省衛生信息學會秘書長倪榮曾對《中國經濟周刊》記者評價說：“這種‘知情同意其實是對消費者個人信息保護程度嚴重不到位的?！?h3>獲取信息“最小化原則”將打倒一大片互聯網企業？

除“默認勾選”外，支付寶的做法實際上也不符合《規范》中的“最小化原則”。

所謂“最小化原則”包含數量和存儲時間兩個概念上的“最小化”?！兑幏丁芬幎〝祿刂品健白詣硬杉瘋€人信息的頻率應是實現產品或服務的業務功能所必需的最低頻率;間接獲取個人信息的數量應是實現產品或服務的業務功能所必需的最低頻率;個人信息保存期限應為實現目的所必需的最短時間”。也就是說，既然不勾選同意《芝麻服務協議》也可生成個性化年度賬單，支付寶應在盡可能少量、低頻收集個人信息的前提下實現賬單功能，連對用戶出示同意《芝麻服務協議》的選項都 “多此一舉”。

按照洪延青的說法，網絡安全法中的正當性和必要性原則給出了一個大的框架，此為《規范》中“最小化原則”的司法背書來源。

“最小化原則”可能會“打倒一大片”互聯網企業，原因在于目前不少企業所遵循的不是“最小化原則”，而是“最大化原則”。

“最小化原則肯定是法律精神，但在國內互聯網企業中，之前推行的一套做法其實是嚴重違背這個精神的?！币晃毁Y深投資人士對《中國經濟周刊》記者表達了自己的擔憂，他表示，從商業利益角度出發，數據控制方只有盡可能多地獲得用戶海量，且類型多樣的數據，才能生成最準確的用戶畫像，進而產生更精確的營銷內容，比如“精準推送”。

然而，若企業減少收集用戶個人信息的頻率和數量，也縮短了存儲時間，是否意味著用戶所能享受到的個性化服務變得不那么“貼心”？中國政法大學知識產權研究中心特約研究員李俊慧對此持否定態度，“用戶個人信息與大數據分析有相關性但沒有必然聯系，互聯網企業精準營銷更多是基于大數據分析，只是在其使用的設備中予以推送展示，對個人敏感信息并不一定需要使用，因此精準營銷與個人信息保護并不沖突?！?/p>

丁香園創始人李天天的回答則更加直接：“如果由于監管限制，導致業務無法開展或者影響品質，我認為還是應該服從監管?！彼硎?，以醫療行業為例，美國的監管十分嚴格，但確實避免了很多問題。

APP演變成多功能平臺，“一攬子”授權不可取

如今，隨著“跨界融合”，不少應用已不再具備單一功能，而是在基本服務之上疊加了各種其他功能，演變成聚合性平臺。

以微信和支付寶兩款人們常用的APP為例，微信最初以社交功能切入市場，隨后演變出支付、理財、生活繳費等疊加功能，同時也搭載了大眾點評、美團外賣、京東優選等第三方服務;支付寶此前以支付功能入局，此后也開發出包括紅包在內的社交和聊天功能，疊加了如余額寶、芝麻信用等金融服務?！拔乙呀浾f不清楚微信究竟還是不是聊天工具了，好像不是?！币晃粡?012年微信發布不久便開始使用微信的用戶對記者說。

在扎克伯格出席聽證會期間也被問道，“Facebook是一家電視公司嗎？”扎克伯格回應說，我認為我們是一家科技公司。

多功能聚合性平臺也對個人信息保護帶來了隱患。當某個平臺擁有多項功能時，從減少成本的角度出發，平臺可能會采取“一攬子”協議的做法，即在用戶最初使用平臺提供的服務時，采用較為明顯的方式對隱私政策以及收集個人信息的類別和用途做出較為詳細的展示，當用戶點擊“同意”后，則被視為該用戶在使用所有類別的功能時都同意了這一版本的條款。

針對“一攬子”授權“綁架用戶”的嫌疑，《規范》做出了改善的建議：將核心功能與附加功能區分。洪延青在解讀這一條款時稱，即便點擊了隱私政策長文本的同意，并不意味著附加功能同時一并打開，在現實使用中，還是需要再次點擊同意?！耙约磿r通信APP為例，其核心功能是聊天，在實現這一核心功能時需要收集敏感信息或是普通個人信息，用戶為了使用都需要提供。但其中的理財等功能，明顯屬于附加功能，如果用戶只想聊天，不想使用理財功能，就不能認為同意了隱私政策就意味著開通理財功能時不需要再次征詢。”

據了解，京東目前通行的《京東隱私政策》就在向《規范》的要求靠攏?！靶碌恼邨l款對于用戶的隱私保護做到了具體化和透明化，用戶對個人信息的掌控力度更高;在收集、使用、存儲和傳輸用戶信息的時候，京東會明確告知用戶相關信息的使用目的和范圍，包括如果將用戶信息用于新的目的或范圍將重新獲取用戶同意，提供如何關閉位置、通知等授權的具體操作步驟等?！本〇|首席安全官李德浩對《中國經濟周刊》記者說。

但接下來的問題是，在聚合化趨勢日益明顯的互聯網行業，巨頭們都不愿將自身定位為某個領域，從事單一業務的企業。京東早已不再是單純的零售平臺，BAT莫不如此?！笆裁词呛诵墓δ?，什么是附加功能，普遍認可的理解是核心功能是用戶注冊產品或服務的基本需求，除此之外為用戶提升體驗而設計的功能則是附加功能?！本〇|法律研究院秘書長嚴少敏曾在一篇署名文章中如此區分核心與附加功能。以B2C電商為例，其核心功能簡單說是實現網上購物所必需的功能，而智能化的搜索詞提示和個性化推薦功能，則是為了滿足縮小搜索目標范圍以及體驗“逛店”感受的，也應當被認定為核心功能。

值得注意的是，《規范》并未采取“一刀切”的方法來認定某一數據控制方的核心業務是什么?！拔覀兊臉藴十敃r沒有想規定什么叫核心和附加，就是想故意留一個口子，希望通過市場競爭或者社會監督能夠起到這樣的作用?！焙檠忧嗾f。

未來不排除有的企業為減少用戶授權次數，以期用一次授權獲得用戶對更多項功能的隱私授權，就將核心功能定得很多，附加功能定得很少，而實質上它本身只是個通訊軟件，而另外一些通訊軟件則只將通訊和社交功能定為核心功能，其他功能一律定為附加功能。對此，洪延青稱，相信一定會有社會監督機構或者監管機構約談相關企業時說，“你為什么定得不一樣？”這樣通過市場競爭和比較，逐漸形成行業慣例。

個人信息保護法“在路上”

盡管《規范》為數據控制方提供了一系列既遵循網絡安全法，又切實可行的做法，但其法律效力卻并不高。據了解，國家標準分為強制性和推薦性兩種，而《規范》屬于后者，無強制力。

李俊慧告訴《中國經濟周刊》記者，《規范》并不屬于法律或法規，其層級低于法律、法規。如果法律、法規的要求與標準不一致，則以法律、法規為準。對于法律、法規未明確的事項，該標準作為一項推薦性標準，可以作為評估企業相關個人信息保護措施的參照。

盡管我國已經存在一部網絡安全法，但其解決的主要是與網絡安全相關的問題，涉及面比較廣泛，雖然網絡安全法中有專門針對個人信息安全保護的章節，但由于立法目的不同，可能對個人信息的保護并不全面，因此一直有聲音呼吁制定一部專門的個人信息保護法。

2018年2月，全國人大常委會法工委經濟法室主任王瑞賀曾在接受媒體采訪時透露，全國人大常委會法工委正在會同有關方面對個人信息保護立法的有關問題進行研究論證。2017年全國兩會期間，吳曉靈等40余位全國人大代表向大會提交了《關于制定<中華人民共和國個人信息保護法>的議案》，建議盡快制定《中華人民共和國個人信息保護法》，同時將《中華人民共和國個人信息保護法（草案）》作為附件提交。

有分析認為，作為正式法律，個人信息保護法完全可以將《規范》當中對識別和關聯路徑、“最小化原則”以及將核心與附加功能進行區分等內容確定為未來正式的法律條款。