近日一款APP應用程序“ZAO”軟件,因為具備給動態視頻換臉功能,一時風靡朋友圈。在滿足大眾消費娛樂的同時,該軟件在個人信息數據採集使用授權、開發利用用途等方面一些做法也引起了社會普遍擔憂,個人信息未經明晰授權利用人工智能技術將個人生物特徵信息移木嫁接等做法,受到業界的詬病。數字經濟時代個人信息開發利用將無處不在,網絡零售、網約車、網絡資訊、網絡教育等眾多互聯網應用精準服務能力的提升,都依賴於對個人信息的開發利用,離開了個人信息的開發利用,個人從網絡生活中得來的獲得感、幸福感都會受到影響,但個人信息的濫採濫用,也會給個人生活帶來極大的困擾,甚至有可能埋下重大安全隱患,造成不可估量的損失。如何平衡好個人信息保護和開發利用,是擺在數字經濟發展面前必須要解決的問題。
發展形勢
個人信息開發需求非常旺盛。隨著互聯網應用的普及,以及數字經濟和智慧社會的推進,利用個人信息的場景在大幅增加,各行各業對個人信息開發利用需求在不斷增加,對於個人信息採集和利用,已經成為推進其管理加強、服務提升、業態創新等的不可或缺要素,嚴格限制個人信息使用已經不太現實,促進和規範個人信息開發利用已經成為一個不可迴避的時代話題。
個人信息保護形勢非常緊迫。當前,移動APP應用過度採集個人信息、含個人信息數據資源在數據黑市頻繁交易、大數據殺熟和大數據追蹤個人行蹤等違規違法開發行為頻繁暴出,不僅降低了大眾對數字經濟發展的獲得感,影響和擾亂了正常的數字經濟發展秩序,也給數字經濟發展蒙上了一層烏雲。個人信息濫採或過度採集、盜竊和販賣、非法流通交易、違規開發利用等行為,已經成為數字經濟時代的社會發展重大安全隱患,加強個人信息保護已經刻不容緩。
把握原則
個人同意原則。個人同意原則是推進個人信息開發利用的前提,也是維護數據主體個人信息所有權最核心手段。個人信息的採集、流通、開發、利用都需要徵得數據主體許可,當數據目的用途、使用範圍、控制主體、使用期限等要素髮生變化時,都需要再次徵求數據主體許可,更不能以一次性一攬子協議方式完成個人數據使用所有授權。當數據主體不同意的時候,個人信息開發利用必須終止。
權利保護原則。權利保護原則是判斷個人信息開發利用價值取向的重要依據,保護法律賦予個人的各項權利是推進個人信息開發利用必須遵守的準則。當對個人信息開發利用會對法律賦予個人的各項權利正當履行產生影響的時候,必須告知用戶,並徵得數據主體的同意;當對個人的各項權利正當履行會產生危害時,個人信息開發利用必須終止。
有限範圍原則。個人信息開發利用必須在有限範圍執行,以電子數據形式的個人信息只有在有限範圍開發利用,才能實現可管可控。數據使用人使用個人信息時候必須按合同限定的有限目的、範圍、方式和期限來使用,當數據使用人使用個人信息的目標、範圍、方式和期限等要素髮生變化的時候,需要重新徵求用戶同意。個人數據按照合同約定使用完畢後,數據使用人應當將合同所涉及的個人數據做不可恢復銷燬處理。
主體責任原則。主體責任原則是推進個人信息開發利用的重要保障,只有數據控制主體或使用主體切實履行了相關主體責任,肩負起了應有的數據合理利用和安全保障責任,才能在可管可控範圍實現個人信息開發利用。數據控制主體或使用主體在推進個人信息開發利用時,需要建立相應的組織機制和內控機制,加強安全防護設施建設,健全產品審核、安全測評、風險評估、安全審計、保密審查、日常監測、應急處置、投訴響應等機制,防範未經授權的訪問、修改、洩露、竊取、違規利用等風險。
合法合規原則。合法合規原則是推進個人信息開發利用的前提條件,也是兜底原則。數據控制主體或使用主體在推進個人信息開發利用時,必須自覺遵守個人信息保護相關法律法規、部門規章和標準規範,按照規定的要求加強技術、設施、制度等建設,自覺維護數據主體的合法權益。
對策建議
加快個人信息保護立法。加快制定和出臺個人信息保護法,明確個人信息範圍、種類和權屬,特別要明確互聯網服務平臺、大數據挖掘分析、大數據交易流通、政務信息資源共享、公共信息資源開放等情況下個人信息內容和權屬的界定辦法,同時明確個人信息採集、傳輸、存儲、流通、交易、開發、利用等全流程環節權利和責任等法律要求,為個人信息保護提供法律依據,為推進個人信息開發利用提供法律準繩。具體包括以下幾方面內容:一是明確個人信息範圍,建立個人信息分級分類制度,明確個人隱私、敏感、非敏感、可公開等各類信息的範圍和邊界。二是明確個人信息控制者和使用者的權責,壓實相關實體的主體責任。三是明確個人信息開發利用禁區,建立個人信息開發利用目的用途禁區。四是明確個人信息監管主體,明晰違法行為處罰方式和力度。
建立個人信息開發利用標準和指南。加快出臺個人信息開發利用標準和指南,明確個人信息採集、存儲、傳輸、開發利用等環節資質要求、操作流程、業務規範、管理要求、防護措施等,具體包括:一是按照業務相關、最小夠用、用戶同意等原則,建立個人信息採集標準和指南,防止過度採集或超範圍個人數據。二是按照個人同意、權利保護、有限範圍、主體責任等原則,建立個人開發利用標準和指南,防止個人數據被濫用或誤用。三是按照主體責任、合法合規等原則,建立個人信息存儲標準和指南,防止個人數據洩露和被非法竊取等。四是按照有限範圍、主體責任的原則,建立個人信息銷燬標準和指南,防止數據使用到期後留置產生安全風險。五是按照個人同意、權利保護、有限範圍、合法合規等原則,完善個人信息流通標準,防止個人數據非法買賣和非法交易。六是規範互聯網服務用戶同意承諾書,制定規範統一的企業個人信息收集和使用用戶同意承諾書通用模板,統一明確企業必要的權責,有效規範企業個人信息開發利用行為。
加大個人信息濫採濫用整治力度。隨著數字經濟的發展,當前各個領域中個人信息濫採濫用問題日趨嚴重,必須完善治理機制,健全規章制度,增強技術防範能力,建立有效的個人信息濫用整治機制。一是加強對從事個人信息開發利用企業的管理,建立企業備案和開發產品備案管理制度。二是壓實從事個人信息開發利用企業主體責任,建立健全企業內控機制,完善個人信息存儲環境、開發環境、算法模型、數據產品等審核機制,落實安全測評、風險評估、安全審計、日常監測、應急處置等各類安全管理責任制度,防止個人信息濫用、誤用和洩露。三是加大個人信息違法交易和利用打擊整治力度,加強監督檢查,提高處罰力度,將處罰力度與企業經營收入、違規利用或洩露信息規模等要素掛鉤,強化法律震懾作用。四是建立個人信息開發利用網絡監測平臺,加大對各類網絡應用程序個人信息開發利用的日常監測。
強化個人信息保護行業自律。一是推動電信、金融、互聯網、大數據、人工智能等重點領域成立個人信息保護行業自律聯盟,從技術、標準、管理、法律等角度加強個人信息保護行業研究和法律法規宣傳。二是發佈個人信息保護行業自律公約,推動龍頭企業更加重視個人信息保護,形成社會引導和示範效應,帶動行業個人信息保護水平的整體提升。三是依託行業自律聯盟,開展行業自律動態監測,實施個人信息保護髮展水平評估,定期發佈個人信息保護行業自律報告。四是定期開展行業自律交流,組織研討會、經驗交流會、論壇等形式,深入交流企業個人信息開發、利用、保護等經驗,共同探討行業發展存在的問題和應對措施。五是提高個人信息保護透明度,定期發佈企業個人信息保護白皮書,告知社會企業在個人信息採集、開發、利用、保護等方面採取措施和取得效果,提高大眾對企業個人信息保護信任度。
原題目:找準信息保護與開發利用的平衡點
本文發表在中共中央黨校《學習時報》數字世界版2019年9月20日。
閱讀更多 陸峰博士 的文章
