個人信息保護法今天實施 互聯網平臺“守門人” 如何避免再次 「踏雷」？

“有前款規定的違法行為，情節嚴重的，由省級以上履行個人信息保護職責的部門責令改正，沒收違法所得，并處5000萬元以下或者上一年度營業額5%以下罰款。”

相比數安法，個信法保護的個人信息一旦泄漏和被非法使用，極易導致自然人的人格尊嚴受到侵害，或者人身，財產安全受到危害，其中一些大型平臺的個人信息，因為用戶量巨大，業務類型復雜，被管制時缺乏競爭對手，一旦發生信息泄露或濫用，可能導致嚴重后果，甚至關系到國家經濟和國家安全，因此相比數安法，個信法對相關企業的處罰要重得多、波及的受眾要廣得多、治理起來的難度要復雜地多，可謂是全民關注的第一部信息安全法律。然樹欲靜而風不止，在個信法正式實施前的一個月里，大家忙于大考的關鍵月，不少互聯網平臺企業卻感受到了個人信息保護的“棘手”。

今天之前  風雨暗藏

個信法正式實施前的一個月里，互聯網平臺圈并不太平。10月8日，有網友開啟iOS 15 的隱私新特性“記錄App活動”時，發現微信、淘寶、QQ等多款國產App均存在后臺頻繁讀取用戶相冊的行為，次日騰訊發出了《微信「快捷發圖」功能到底發生了什么事》來技術解釋；10月10日，一網友在社交網絡上發布了一段視頻，視頻中顯示美團 App 從 10 月 6 日起便開始獲取位置信息，頻率高達每 5 分鐘一次，24小時內完全沒有間斷。次日美團工程師雖就“頻繁定位”回應稱：建議謹慎下載某境外隱私軟件，常用App權限開啟時檢測結果基本一致。但我們看到，美團雖然有所回應，但是不了解視頻中定位行為背后原理的用戶依然沒有100%解開自己心中的疑惑；美團定位視頻的同一天，王思聰在微博發文，稱自己的大眾點評被別人改綁手機號并質問：“這就是上萬億市值公司的安全系統嗎？” ，次日，就有熱心網友發出技術文推理還原——《猜猜王思聰是怎么被盜號的》？

誠然，大家可以看到，一些互聯網平臺已經針對個人信息保護法的合規做了不少“能先做”的動作，比如近期幾乎所有App都有更新的隱私條款，部分App剛剛上線的青少年模式，部分快遞平臺開始隱匿一些明文個人郵寄的信息。但，個人信息保護法作為一部直接針對個人的法律，因在其頒布前已經有諸起大型互聯網平臺數據泄漏、數據濫用的大規模事件，其治理迫切程度已經到了“不得不治”的地步。典型的事件，包括某快遞公司40W個人信息被內鬼泄漏引發央視點名批評，某微博5億用戶數據在暗網售賣被媒體曝光，某酒店數億條酒店用戶信息泄漏涉及1.3億人身份及開房信息數據。

每每想到隨手一個大型互聯網平臺，積累了盈萬累億的個人信息，其一舉一動都可能對個人人身財產安全產生直接危害，對產業市場造成巨大沖擊，對國民經濟和社會活動產生深遠影響，不管是個人還是國家，都沒辦法對這些事關國民經濟安全，國家數據安全的平臺置若罔聞。

首次直面 “守門人”義務

針對上述實際情況，我們可以看到，針對個人信息安全問題的復雜性和多樣性，相關立法部門在個信法中首次賦予個人充分權利，并在國內立法中首次出現“個人敏感信息”這個概念。另外，相關立法部門，還在個信法第五十八條首創“守門人”義務——明言對于提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者，應當履行下列義務：

（一）按照國家規定建立健全個人信息保護合規制度體系，成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督；（二）遵循公開、公平、公正的原則，制定平臺規則，明確平臺內產品或者服務提供者處理個人信息的規范和保護個人信息的義務；（三）對嚴重違反法律、行政法規處理個人信息的平臺內的產品或者服務提供者，停止提供服務；（四）定期發布個人信息保護社會責任報告，接受社會監督。

上述4項“守門人”義務中，據雷鋒網觀察到的，相關律所在解讀個信法時，都有著重提到“成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督” 、“定期發布個人信息保護社會責任報告，接受社會監督?！?這兩項，它們都是明言強調“借”用外部獨立機構或者外部社會監督力量來彰顯個人信息安全治理的決心，以及尋求最大力度地把個人信息保護拉回正軌的舉措。

它們遇到的難與痛

一「互聯網平臺 “守門人” 遇到的問題一樣嗎？」

據360大數據安全協同技術國家工程實驗室專家童磊介紹，“從共性問題來說，所有的互聯網平臺都會收集個人信息包括姓名、電話、地址等，所以都需要按照‘個保法’ 的要求做好個人信息和敏感個人信息的治理和管理工作，并針對不同重要程度的信息進行相應的安全控制設計”。從差異性問題來說：

以社交網絡App舉例，“近期出現了很多社交網絡App違規收集個人信息的安全事件。針對社交軟件的使用場景， ‘個保法’明確要求了的對個人信息和敏感個人信息管理要求，如最小收集原則，用戶同意授權等。一個社交網絡App在收集了大量個人信息后若不妥善保管用戶數據，可能會造成數據泄漏，造成的影響甚至可能會關系用戶主體的人身安全電商這邊，“會涉及到一些金融財務包括數據流轉相關的場景，偏向于金融安全和金融數據保護。比如，一個手機App的互聯網金融產品，涉及到股票或者貸款保險，只要涉及到金融屬性，就要在‘個保法’ 的基礎上遵從人行和銀保監會相關的要求?！?所以，主要的考慮場景涉及到金額交易。

游戲的問題側重點，“則在未成年人。因為在‘個保法’ 中一個重要的信息提到針對未成年人在收集和處理個人信息時，需要有單獨的考慮，重點要放在未成年人是否要達到14歲?！?如未達到14歲則需要獲得監護人個人信息的授權和使用。

外賣這邊，“重點會涉及到這個人購買食品的偏好，比如是否有精準營銷、客戶畫像、大數據殺熟，當然殺熟這個場景在其他的情況下可能也會有，比如出行中也會有殺熟的問題。” 這類問題主要考慮的是，如何保證數據的算法的公開透明。

短視頻涉及到“個保法”的內容和相關性比較有特點的，是在生物識別的個人信息?！笆紫人敲舾袀€人信息，在視頻播放的時候，其實不但要考慮到‘個保法’ ，還要考慮到廣電總局視頻播放的相關要求，包括視頻的主題。” 所以，在以往的項目或者視頻實施過程中，會體現需要結合實際應用場景所涉及到的行業去遵從和設計相應的個人信息保護的相關要求。

招聘求職也是一樣的，“一些大型招聘網站會涉及到一些比較敏感的行業特色的信息，這里面只說差異性的。比如人員履歷還有相應的薪酬，無論是企業角度包括個人角度，可能有人進行客戶的畫像，比如它是一個高管，收入很高，則他的個人信息的敏感度和薪酬數據的屬性是要保護的。也有一些特殊行業是涉密的，招聘網站就需要對這些行業進行涉及，這些都是在‘個保法’ 的管控原則里都有提到?！?/p>

網絡尖刀的創始人曲子龍則補充到，“據了解，一般相同的，都是圍繞數據授權、數據使用范圍進行治理；相對不同的是不同類型的平臺，所‘必須’ 的數據并不一樣，對治理的方案有一定的差異化，比如電商、外賣、快遞、出行相對來說都是訂單數據及收件信息還有一定的位置數據；社交、直播、搜索則更偏向于廣告畫像?！?/p>

二「此刻 “守門人” 最關注哪些難題？」

根據中國信息通信研究院互聯網法律研究中心高級研究員楊婕表示，目前超級大型互聯網平臺在應對個信法合規的過程中，系統性地在關注，可以概括為：

對外：接受外部獨立機構監督；

            定期發布社會責任報告。

對內：按照國家規定，建立健全個人信息保護合規制度體系；

           制訂平臺規則，明確平臺內部規范和義務；

           對平臺內部產品或者服務提供者的監督。

跟客戶數據接觸較多的明略科技高雅則表示，“從公司實際執行方的角度，一般會先看企業中處理的數據是不是個人信息范疇，是不是屬于敏感個人信息范疇，這會影響后面數據的分類分級和具體管理方式?！?/p>

三「實踐時，具體的業務和技術痛點在哪？」

據網絡尖刀創始人曲子龍的觀察，“首先面臨最大的問題是‘數據授權’問題，尤其在電商、金融、廣告業表現最為明顯，原本多渠道聚合的數據已經不能用了，自身也不能向自己生態的企業或服務商進行 ‘數據轉授權’，行業里中下游企業已經出現數據斷供問題。另外就是原本需要一定的用戶敏感數據才能展開的業務，接下來該如何開展，也會成為企業最大的問題，目前原有的數據授權體系可能并不能完全合規，急需實現數據可用而不可見的轉化，比如金融業?！?nbsp;

還有就是，淘寶、京東、抖音都陸續對訂單信息及消費者信息采取脫敏加密，不再向商家、ISV提供消費者敏感信息，“沒有了消費者隱私數據后，下游企業如果不依托大廠商僅在廣告這件事兒上就已經很難實現精準投放，銷售成本自然就會跟著變高，掌握精準數據的頭部企業，很可能通過數據壟斷形成更高的壁壘?！?/p>

360大數據安全協同技術國家工程實驗室專家童磊則表示，近期大家非常關注數據安全合規的問題，因為，“大多數平臺對自己平臺產品和相關供應商產品很難做到有效的的管理和監督。這其實也是一個行業痛點問題，從目前的可行性方案來說，業內傾向于有技術積累優勢的大平臺去統一管理，憑借自身平臺的研發能力，安全能力，能夠對企業業務邊界、數據安全的邊界，做到更有效的管控。

比較通用的一個建議，是在管理制度職能上包括職責上需要更新相應的服務條款，比如通過DPA（Data  Protection  Assessment）或者其它的條款，去進行雙方關于個人信息保護重新的職能劃分，明確保護的義務，使用數據的場景，這樣至少于一些有意識或者想進行更好服務的App廠商來說，能更有自驅力去做好數據安全和個人信息保護的工作?！?/p>

最后，要準備好在這個過程中，“不做投入可能就會面臨處罰，以及時間會淘汰一批沒有能力，或者意識上不想去做上述行動的從業者?！?/p>

安恒信息上?？偛渴紫茖W家周亞超則表示，從一些廠商自己都沒意識到的角度來說：“出于好奇，有時候我個人會使用一些信息隱私追蹤類小工具測試，看看當搜索引擎或者App內的搜索功能拿了我們的數據之后，會用在哪里？打開這些工具時會發現，雖然用戶只是在搜索引擎中或者App內的搜索功能中，輸入一個簡單信息，但是這個信息會給到平臺當中幾十甚至上百個關聯方。這可能是App的安全問題，也可能是App沒有做到合規。如果是安全問題，安恒安全需求分析與設計平臺就是針對App具體功能業務進行安全需求與設計，在App成形前檢測可能存在的安全風險點，在開發的同時提高App的安全保障能力?！?/p>

有些廠商可能都沒注意到隱私政策條款這些細節或者可能對這些問題有模糊的認知，但措施還不到位。另外，從她本人的實踐經驗看：

“個人信息是很復雜的，大家暫時能夠解決的結構化數據有一定規則，非結構性的那些數據，它的隱患可能外部目前沒把它監測出來，具體的非結構性數據，需要具體的什么工具什么解決技術，這個需要長期探索。”

另外，根據雷鋒網了解，從其它一些廠商自己都沒注意到的角度來說，上述涉及到相關信息會給到平臺當中幾十甚至上百個關聯方這種情形，用戶如果遇到信息泄露很明顯的情況，各種排查找不出原因，可以回過頭仔細閱讀它的隱私政策條款，這些隱私條款可能還有可待商榷的地方，但用戶自己確實選擇了同意。

四「守門人3類分法，哪一類根據個信法處理對應需求，難度最大，任務最重？」

個信法中提到“大型互聯網平臺判定條件有提供重要互聯網平臺服務，用戶數量巨大，業務類型復雜”，關于“業務類型復雜”，根據金杜律師事務所的分法，以下3類模式可能被認定為“業務類型復雜”

1）一種是超級App+小程序，第三方小程序可能存在大量個人信息收集，共享，處理活動。2）一種是內嵌多種業務的單一App，比如同時提供外賣，在線旅行，移動出行，社區團購，金融服務等等。3）一種是通過多種渠道提供在線服務。不同服務之間可能出現交互，構成體系性的復雜業務網絡。

「那哪一類近期根據個人信息保護處理對應需求，難度最大，任務最重？」

據360大數據安全協同技術國家工程實驗室專家童磊的看法，按以上維度來分的話，“第三種跨實體的，并且跨品牌的最難，因為涉及到了邊界管控和數據交換，因為相關方數量越多，場景就越復雜，數據安全風險就越大，整改成本也越大?！?/p>

網絡尖刀創始人曲子龍則認為，看似不同的業務屬性，實際上從合規角度來講，“需要的都是從原始的一次性授權，轉向分批次授權的轉變，用到哪個業務時再申請哪個權限，用戶沒有使用就不需要對此授權，在自己的業務內這樣重新定義權限的使用和獲取其實并不難，以微信小程序為例，小程序的開發者本身就是需要向微信申請權限再使用的。

依托先申請授權再使用原則，其實能解決大部分隱私授權問題，而被廣泛關注的‘大數據殺熟’、‘個人信息濫用’ 這些問題本身就是違法違規的作惡問題，不存在怎么整改這一說，本身就是必須立即停止不能做的事情?！?/p>

11月始，如何避免再次“踏雷” ？

從法律層面，除了市面上眾多律所根據《個人信息保護法》第五章個人信息處理者義務規定的九大義務：

（一）制定內部管理制度和操作規程； 

（二）對個人信息實行分類管理； 

（三）采取相應的加密、去標識化等安全技術措施； 

（四）定期對從業人員進行安全教育和培訓；

（五）制定信息安全事件應急預案；

（六）處理個人信息達到國家網信部門規定數量的義務；

（七）處理境外（有境外業務）企業的特殊業務；

（八）定期合規審計

（九）對特殊情形的個人信息處理活動事前進行個人信息保護影響評估；

互聯網平臺守門人要額外謹記上述針對互聯網平臺“守門人”的特殊對外，對內5小義務

（十）對外：接受外部獨立機構監督；

                        定期發布社會責任報告。

            對內：按照國家規定，建立健全個人信息保護合規制度體系；

                       制訂平臺規則，明確平臺內部規范和義務；

                       對平臺內部產品或者服務提供者的監督。

從企業層面，據網絡安全廠商反饋

360大數據安全協同技術國家工程實驗室專家童磊基于自己上述所提的多數平臺對自己平臺內部產品或者服務提供者的監督治理這個問題，表示360已經有一些成熟的方案和產品實驗室憑借多年在行業、企業的實踐積累與國家監管機構，包括與網信辦，工信部，公安部相關部門開展合作，建立了多個大數據安全技術技術平臺，可以解決大部分行業痛點難點問題。

而從整個行業視角看，要避免再次踏雷 ：

“從業務視角來說，第一個要做企業業務個人信息資產盤點。在11月1號之前，企業至少心里有底，若真的出現問題，我們能夠達到一個心理預期和心理準備，知道某一個App某個業務開發團隊沒有做這塊內容，所以才泄露了，比如手機驗證隨便修改，大家要快速下線或整改這個業務。

第二個對管理層，盤點之后要進行整個企業業務發展方向的一個重新的設計，在現有的企業戰略規劃中加入個人信息的相關內容，最快最簡單的就是在企業內部，把相應的人找到，管理者找到，比如CIO或者CISO，去承擔這塊的業務。其一是讓大家現在做一個查漏補缺快速自查，其二就是委托職能部門或者高管推行或者承擔這件事情，要持續投入人員精力或者需要一個部門。

第三個在相應的其他單位，比如審計或者第三方監管機制，需要有人去做承擔和執行。執行的方式，有兩點建議，一是要有專業的人，專業的機構去做，律所，或者我們這種專業機構，售賣產品的廠商，籍由專業咨詢機構或者有咨詢服務能力的團隊或者找現有的供應商廠商，要求它在合同里去進行這方面的產品輸入，并在下一年的IT規劃和整個戰略規劃里要去同步。

第四個要做數據安全委員會出發的應急響應機制，把企業的法務部門、內控部門、公關部門、政府關系部門拉攏去規避突發事件，因為安全行業永遠不變的主題就是永遠會有事件。”

安恒信息上?？偛渴紫茖W家周亞超則鼓勵大家從態度層面正視：“隨著法律的正式實施肯定還會有一波熱點，這些問題暴露出來，其實是一件好事。我們這兩年來圍繞App的治理行動，包括圍繞違規行為，對于保障用戶權益的個人信息治理典范，其實是一個很好的合作者管理體系。整個大的治理體系，光靠用戶，運營商，監管機構可能也不太夠，實際過程中可能需要一個推動政府、企業以及社會公眾共同參與共治的過程，以及明確在這個過程中，大家各自的角色以及在相關問題上，各自的主體責任的邊界?！?/p>

另外，在正式實施的“熱點”來臨之前，“其實企業內部通過一些風險評估的工作，也能夠及時規避掉不少這類內部風險。我覺得這個可能不是方法而是需求驅動的，比如一些熱點行業屬于監管的重點領域，企業可能會有抱團意識，形成行業內部的監管協會。以人工智能為例，圍繞生物特征、生物信息等領域，它自身存在較大需求，就會推動一個參與共治的機構或是機制來做這方面的加強?！?/p>

從實操層面，明略科技高雅也反饋，“首先需要做內部的管理制度和操作規程的要求。如果搜集了個人信息，對于一些敏感程度比較高的，要做單獨的處理和管理。技術方面，需要采用更嚴密的加密或者去標識化，安全的措施。規定、處理這些接觸個人信息的人，有操作權限的限制和安全教育培訓，另外可能有一些應急預案。”

從第三方監督層面，相關專家表示

“首先，目前法律規定的確有模糊的地方，這對企業合規帶來了挑戰。因此企業需要密切關注下一步的細則文件出臺。

其次，目前很多企業都在按照個保法的要求進行整改，但這種整改是自發的，事實上在很多企業內部也存在著法務部們和業務部門“角力”的情況，因此，出現一些整改不徹底甚至沒有整改的空間，這是正常的。當出現‘角力’ 的時候，業務部分要需要充分尊重法務意見，因為合規是生命線。而法務部門也要深刻、正確理解法律條文的含義，不是機械照搬。

另外，關于最近用戶維權意識的覺醒的問題，這是好事，是一個社會形成健康的數據安全文化的前提條件。以前，用戶不是不重視自己的權益保護，但重視了也沒用，訴求得不到滿足，甚至被置之不理。在法律威懾下，現在企業的態度改變了，用戶因此增強了維權意愿。但對企業而言，有時候也會遇到濫訴，這不可避免，但總體的影響是正面的。

最后要注意的是，企業層面，除了上述提到的個人信息保護法相關個人信息處理者的直接義務，另外還要注意確保個人信息處理規則合規，并有效保護用戶個人信息信息權的行使也是企業要重視的‘必然義務’ ” 中國信息安全研究院副院長左曉棟建議到。

信通院云大所副所長魏凱則補充總結：“要注意個人信息保護合規審計是個保法的要求，在企業在進行風險治理的工作時，除了內部具體實施者從業務層面和操作層面落實一道防線；企業管理者從法務，安全合規，內控等角度落實管理的二道防線；還應該積極接受外部監督者的審計第三道防線?！? 之所以要重視審計的價值，是因為審計能夠幫助企業了解個人信息保護合規的現狀和不足，完善閉環管理機制，實現個人信息保護合規的持續改進。其具體作用體現在：

“1）發現問題：以獨立視角監督個人信息保護體系合規性，審計發現合規問題。

 2）提出改進建議：針對合規問題，提出專業合規改進建議，實現閉環管理機制。

 3）持續評價：針對審計整改結果持續評價，實現個人信息保護合規的持續改進。”

另外當雷鋒網咨詢相關部門負責本領域的數據安全個人信息安全的監管職責的負責人會不會覺得監督技術門檻比較高，魏凱對此表示，“工信部或者銀行或者其它監督部門技術能力其實是很強的，銀行管網絡金融行業，電信管電信行業，工業管工業行業，幾十年一直在管，互聯網監管實際上就是這個方式。這些年這么多這么長時間，他們的監管技術是不斷提升的，大家不用擔心監督技術問題以及抱太多僥幸心理。”

「雷鋒網總結」

對于今天正式實施的個人信息保護法，不用等到那天也可以預見，在接下來的幾個月，緣于個人用戶的監督，外部機構的監督，相關手機廠商推出的各種追蹤小工具，一定會讓整個市場“熱鬧”非凡——相較于小心翼翼地祈禱企業平臺自身不要再次“踏雷”，更靠譜的方法，反而如上述專家們所言，把它看作是一個“好事”的愚公心態反而更能安全，具體怎么防止再次踏雷，結合上述多方專家意見的綜合，我們應該力所能及的：

其一，法律義務層面，互聯網平臺要系統做好上述十大直接義務，還要做好確保個人信息處理規則合規和有效保護用戶個人信息信息權的行使的二大應當義務。

具體措施側層面：

其二，對于個信法第五章規定的直接義務，積極整改并主動向大眾同步動作和進度。

其三，對于來自個人用戶和第三方追蹤工具體驗者的投訴和監督，大膽接受用戶指正，并可以對一些追蹤工具采取“師夷長技以律己”的小妙招，利用這些小App進一步督促自己，當然也可以利用網絡安全廠商的各種專業工具和平臺啟動更高維度的自我監督。

其四，對于其它不確定的風險盲區提前做個人風險評估，特別危害是涉及國家安全層面高度的。

其五，制定短期防踏雷措施和長期防踏雷措施。

其六，要想徹底長治久安，注意借助審計很重要。

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。