2023年,个人信息监管进入常态化,全链条、上下游联防共治已经成为工信部执法原则,“26号文”的发布更是工信部执法经验的集大成者。
2023年,也是AI监管快速发展的一年,继《互联网信息服务算法推荐管理规定》与《互联网信息服务深度合成管理规定》之外,《生成式人工智能服务管理办法》又公开征求意见,AI的路还不明晰,而其中的个人信息保护问题也成为一大隐忧。
由此可见,个人信息保护从来不是单点、单个场景的特定问题,而是与各业务领域、多方利益主体相互交织的重要议题。
1 立法动态
(一)AI中的个人信息保护监管,网信办拟出新规再度发力
自去年发布《互联网信息服务算法推荐管理规定》与《互联网信息服务深度合成管理规定》以来,2023年4月11日发布的《生成式人工智能服务管理办法(征求意见稿)》(下文简称《办法》)再度为AI增加了合规压力。尽管《办法》主要是为应对ChatGPT这一类生成式应用,但《办法》的内容无疑扩大了被监管的范围,同时其主要条款对新型AI应用设定了许多义务和责任。
《办法》将生成式人工智能界定为“基于算法、模型、规则生成文本、图片、声音、视频、代码等内容的技术”,并规定利用生成式AI提供应用服务,以及通过API支持应用服务,受到同等监管(均构成“提供者”)。同时,《办法》要求生成式AI产品或者服务提供者对训练数据合法性负责,并应当按照《互联网信息服务深度合成管理规定》对生成的图片、视频等内容进行标识。同时,《办法》拟要求提供者应当建立用户投诉接收处理机制,及时处置个人关于更正、删除、屏蔽其个人信息的请求。此外,利用生成式人工智能生成的内容时应当真实准确,采取措施防止生成虚假信息。对于运行中发现、用户举报的不符合本办法要求的生成内容,除采取内容过滤等措施外,应在3个月内通过模型优化训练等方式防止再次生成。
(二)备案成为算法管理手段,生成合成类信息需要标识
2022年3月1日,《互联网信息服务算法推荐管理规定》生效,其中明确具有舆论属性或者社会动员能力的算法推荐服务提供者应当在提供服务之日起十个工作日内通过互联网信息服务算法备案系统进行备案。从去年8月开始,包括微信看一看、淘宝推荐、快手短视频生成合成等算法纷纷进行了备案。从备案的情况来看,目前备案最多的为个性化推送类算法,其次是检索过滤类。尽管已经要求对生成合成类算法进行备案,但针对深度合成专门的管理规定:《互联网信息服务深度合成管理规定》,已经今年1月10日起正式生效。在《互联网信息服务深度合成管理规定》生效之前,已经有九个生成合成类算法进行了备案。而在今年公布的第三批和第四批的备案清单中,并没有看到生成合成类的算法备案。
《互联网信息服务深度合成管理规定》细化了标识制度,标识包括显性标识:可能导致公众混淆或者误认的,应当在生成或者编辑的信息内容的合理位置、区域进行显著标识,向公众提示深度合成情况,以及隐性标识:深度合成服务提供者对使用其服务生成或者编辑的信息内容,应当采取技术措施添加不影响用户使用的标识,并依照法律、行政法规和国家有关规定保存日志信息。后续将会有标识的细化标准出台,规定如何添加标识。
(三)数据出境三种方式细则明晰,标准合同即将生效
数据出境在《个人信息保护法》生效之后受到严格管控,《个人信息保护法》规定了三种出境方式,即:安全评估、标准合同和跨境认证。
2023年2月24日,国家互联网信息办公室公布《个人信息出境标准合同办法》以及《个人信息出境标准合同》范本,个人信息出境标准合同自此有了细化规定。《个人信息出境标准合同办法》规定了个人信息出境标准合同(以下简称标准合同)的适用范围、订立条件和备案要求,明确了标准合同范本,为向境外提供个人信息提供了具体指引,并要求合同需规定个人可以选择适用国内法律并在国内法院起诉。在适用范围方面,该办法适用于满足非关键信息基础设施运营者、处理个人信息不满100万人的、自上年1月1日起累计向境外提供个人信息不满10万人的、自上年1月1日起累计向境外提供敏感个人信息不满1万人四项条件的个人信息处理者。5月30日,《个人信息出境标准合同备案指南(第一版)》发布。不同于安全评估,标准合同的备案对象为省级网信办,省级网信办出具备案通过或者不通过的结果。这意味着省级网信办拥有更大的自主权,根据安全评估的经验,不同地方的省级网信办的审核要求和严格程度并不相同。对于多主体位于不同省份的公司在备案时,能否择一进行申报目前暂不明晰。
去年9月,《数据安全评估办法》生效,其要求企业在《数据安全评估办法》施行之日起6个月也即2023年3月1日之前完成整改。
同时,个人信息跨境传输认证的国家标准也正在制定中,2023年3月16日,《信息安全技术 个人信息跨境传输认证要求》征求意见稿发布,在该征求意见稿中,对跨境认证并不设门槛要求,企业可以自行选择是否进行跨境认证。不过,由于《数据出境安全评估办法》已经明确必须要申报安全评估的适用情形,因而跨境认证和安全评估仍然是互斥的关系。
至此,针对《个保法》第38条规定的出境细化措施总结如下:
(四)“26号文”发布,个人信息监管进入常态化
2023年2月28日,工信部发布《关于进一步提升移动互联网应用服务能力的通知》(以下简称“26号文”。在个人信息保护方面,“26号文”强调,个人信息处理者不得仅以服务体验、产品研发、算法推荐、风险控制等为由,强制要求用户同意超范围或者与服务场景无关的个人信息处理行为。此外,“26号文”还要求,不得要求用户一揽子同意多个非本业务功能的必要权限,在调用终端相册、通讯录、位置等权限时,同步告知用户申请该权限的目的,未经用户同意,不得更改用户未授权权限状态。
虽然“26号文”中并未提及小程序,但按照工信部的理解,以及全链条监管的核心要义,小程序会依据APP的规定参照适用。TAF也在制定小程序管理的团标,未来在小程序管理方面会进一步细化。
同时SDK成为规制重点,“26号文”中有6条直接涉及SDK的管理要求,从APP开发运营者主体、SDK自身、企业三方分别提出要求。其中特别需要注意的是,SDK独立采集、传输、存储个人信息的,应当单独作出说明。
“26号文”的发布,是工信部历年来个人信息执法要求和经验的总结,也是为下一步进行常态化监管打下基础。从2019年至今,工信部在APP监管和执法上已经十分成熟,对于新兴业务形态,如小程序、H5也势必会纳入重点监管范围。
(五)其他立法动态
1、《证券期货业网络和信息安全管理办法》发布,要求不得将人脸等生物特征作为唯一的客户身份认证方式。
2023年3月4日,中国证券监督管理委员会公布了《证券期货业网络和信息安全管理办法》,《管理办法》对投资者个人信息保护作了专章规定,要求核心机构和经营机构不得收集提供服务非必要的投资者个人信息,不得以投资者不同意处理其个人信息或者撤回同意为由拒绝向投资者提供服务。此外,在生物识别信息保护方面,《管理办法》要求核心机构和经营机构不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的客户身份认证方式,强制客户同意收集其个人生物特征信息。
2、《寄递服务用户个人信息安全管理规定》修订通过
修订后的版本强调了对电子运单进行去标识化管理,防止信息在寄递过程中泄密;同时加强对服务用户个人信息的应用安全管理,强化信息安全实时监测,防范和遏制信息安全事件发生。2023年4月7日,国家市场监督管理总局(国家标准委)批准发布的《快递电子运单》(GB/T 41833-2022)和《通用寄递地址编码规则》(GB/T 41832-2022)两项国家标准正式实施。《快递电子运单》国家标准基于2015年发布的《快递电子运单》邮政行业标准制定。标准内容包括禁止快递运单显示完整的个人信息,推荐对个人信息进行全加密处理,以及规范个人信息相关内容的读取权限等。
3、国家网信办发布《网信部门行政执法程序规定》,进一步规范网信部门行政执法程序
2023年3月23日,国家互联网信息办公室公布《网信部门行政执法程序规定》(以下简称《规定》),自2023年6月1日起施行。《规定》对2017年5月2日公布的《互联网信息内容管理行政执法程序规定》进行了全面修订、规范了网信部门行政执法程序、规定了行政处罚的执行与监督。在本次修订中,新《行政诉讼法》的许多要求被纳入了《规定》当中,例如“首违不罚”、“主观无过错不罚”等要求。其中,值得注意的是,《规定》的征求意见稿原拟规定网信部门的执法人员应当“参加网信部门组织的法律知识和业务知识培训,并经行政执法资格考试或者考核合格,取得执法证后方可从事执法工作”,但正式发布的《规定》尽保留了“ 网信部门应当加强执法队伍和执法能力建设,建立健全执法人员培训、考试考核、资格管理和持证上岗制度”的原则性规定,似乎对执法人员的要求有所放宽。
4、《科技伦理审查办法(试行)》公开征求意见,涉及使用个人信息的科技活动需要开展伦理审查
2023年4月4日,科技部就《科技伦理审查办法(试行)》公开征求意见。根据征求意见稿,拟要求涉及使用个人信息的科技活动,需要依照该办法进行科技伦理审查。此外,其亦明确科技伦理(审查)委员会开展审查的内容和标准包括对涉及人类研究参与者的科技活动,其对个人隐私数据、生物特征信息等信息处理是否符合保护个人信息的有关规定进行审查。
5、国家标准《信息安全技术 个人信息去标识化效果评估指南》公开,个人信息标识符划分为4级
2023年4月17日,国家标准《个人信息去标识化效果评估指南》(GB/T 42460-2023)全文公开,该标准旨在依据个人信息能多大程度上表示个人身份进行分级,用于评估个人信息去标识化活动的效果。该标准将个人信息标识度划分为4级,1级为包含直接标识符,在特定环境下能直接识别个人信息主体的;2级为清除了直接标识符,但包含准标识符,且重标识风险高于或等于可接受风险阈值的;3级为消除了直接标识符,但包含准标识符,且重标识风险低于可接受风险阈值的;4级为不包含任何标识符。
2 监管动态
(一)网信办、网空协会官网同步发布APP个人信息收集情况测试报告
从2023年2月2日,中国网络空间安全协会、国家计算机网络应急技术协调中心共同发布《“网上购物类”APP个人信息收集情况测试报告》开始,浏览器类、地图导航类、新闻资讯类、在线影音类APP个人信息收集情况测试报告陆续发布。值得一提的是,这些报告也持续同步发布在网信办官网上。
测试报告展示了APP系统权限调用、个人信息上传以及网络上传流量在APP使用以及后台静默场景下的情况,通过同类型业务场景APP个人信息收集情况的测试和比对,可以很明显看出相同场景下不同APP调取个人信息的种类、频率。在“最小必要”的执法力度日益增长的当下,测试报告虽然没有引发类似于通报、下架的直接后果,但部分APP数量较大的权限调取等易引发负面舆情,甚至影响用户是否使用相关APP的选择。
(二)SDK成为监管重点,小程序监管力度逐渐加强
进入2023年以来,工信部发布关于侵害用户权益的通报,一个很明显的变化是将通报的标题改为了“关于侵害用户权益行为的APP(SDK)通报”, “关于侵害用户权益行为的APP通报”的标题一去不复返。这意味着SDK大规模监管已经是现在进行时。2023年4月20日,国务院新闻办公室举行新闻发布会,介绍2023年一季度工业和信息化发展情况。会上,工业和信息化部总工程师、新闻发言人赵志国表示,一季度已经对50余万款APP进行技术检测,通报了101款违规APP和SDK,重点规范“摇一摇”乱跳转等热点问题,有效净化服务环境。
地方通信局也动作不断,浙江、内蒙古、四川、江苏均对侵害用户权益的APP、小程序等进行了通报。2023年2月6日,浙江省通信管理局通报了10款存在违规收集个人信息”、“超范围收集个人信息”、“违规使用个人信息”、“强制用户使用定向推送功能”等违法违规问题的APP,本次通报的APP涵盖了交通票务、房屋租售、在线影音以及二手车交易等行业和领域。2023年2月14日,内蒙古通信管理局通报了19款侵害用户权益的APP,其中包括由呼和浩特住房公积金管理中心开发的“呼和浩特公积金”。通报的APP所涉及的违规情形包括APP强制、频繁、过度索取权限、违规收集个人信息、强制用户使用定向推送功能等。2023年3月27日,四川省通信管理局和重庆市通信管理局联合通报了19款侵害用户权益的APP(小程序),其所涉及的违规情形包括违规收集个人信息、违规使用个人信息、APP强制、频繁、过度索取权限、APP频繁自启动和关联启动、强制用户使用定向推送功能、小程序强制、频繁、过度索取权限等。同时,该通报还公布了两起川渝地区APP典型违规案例,两款APP的下载量均超百万,存在APP未经用户同意,非服务必须或无合理使用场景获取无关权限,超范围收集使用个人信息以及频繁自启动以及未在隐私政策等公示文本中逐一列明APP所集成第三方SDK收集使用个人信息的目的、方式和范围等问题。
2023年3月28日,四川省通信管理局发布了《关于下架侵害用户权益APP的通报(2023年第1批)》,通报了5款未按要求完成整改的APP及其违规情形,被通报的APP所涉违规情形包括:违规收集个人信息、超范围收集个人信息、违规使用个人信息、APP强制、频繁、过度索取权限、APP频繁自启动和关联启动。值得注意的是,本次通报还对违规APP存在的问题进行了展开说明,例如对于“软饭圈”APP存在的“违规收集个人信息”,详细指出其是由于“APP向用户明示SDK的收集使用规则,但未见清晰明示部分SDK收集使用用户信息的目的方式范围,用户同意隐私政策后,SDK存在收集用户信息的行为”而构成违规。
2023年4月23日,江苏省通信管理局通报25款存在安全问题及违法违规收集使用个人信息的APP,涉及捷安特骑行、苏宁广场等APP。值得注意的是,本次通报并未详细说明每一个APP所涉及的违规情形为何。
值得注意的是,为落实“26号文”的要求,相关检测标准也正在制定中。针对小程序的标准已经在电信终端产业协会成功立项,其中既有针对小程序平台,也有针对小程序本身的个人信息处理要求,共4项标准。
(三)全国首个获批数据出境安全评估案例落地北京,安全评估申报如火如荼
公开消息显示,截止到目前为止,仅有来自北京、上海和江苏、浙江、天津的10家企业通过了中央网信办的安全评估,即首都医科大学附属北京友谊医院与荷兰阿姆斯特丹大学医学中心合作研究项目、中国国际航空股份有限公司、北京现代汽车有限公司、马自达(中国)企业管理有限公司、丝芙兰(上海)化妆品销售有限公司、焦点科技股份有限公司“中国制造网外贸电商平台业务”、 杭州海康威视数字技术股份有限公司、杭州萤石网络股份有限公司、一汽丰田、支付宝(杭州)信息技术有限公司“跨境小程序”业务。
不过,目前暂不清楚全国有多少家企业申报了安全评估。从北京网信办发布的消息来看,《办法》实施以来,北京网信办已经收到了亚马逊、宝马、三星、葛兰素史克、博士伦、去哪儿网、小米、摩根大通、大众、联想等48家单位正式提交的申报材料。新浪微博、戴姆勒、施耐德电气、瑞士再保险等6家单位的申报材料,已经由北京市互联网信息办公室完成审核。此外,35家单位正在补充完善申报材料,142家单位初步表达了申报意愿,120余家单位咨询申报事宜。截至2023年5月29日,上海市网信办已解答咨询电话3700余通,接收正式申报材料470余件。截止5月24日,浙江省网信办已接收正式申报材料70余份,其中通过完备性查验并报送国家网信办32件,主要涉及电商平台、金融、物流、安防、通信等领域。
3 司法动态
(一)强制收集非必要个人信息无法得到法院支持
原告用户罗某在使用软件时,发现被告运营的软件在未告知隐私政策的情况下,要求用户必须填写“姓名”“职业”“学习目的”“英语水平”等内容才能完成登录。罗某认为,被告的这一行为属于强制收集用户画像信息。同时,罗某还主张被告存在未经同意向其发送营销短信、向关联软件共享信息等行为,侵犯其个人信息权益,遂诉至法院,要求法院判令被告涉案软件运营者向原告提供个人信息副本、停止侵权、删除个人信息、赔礼道歉并赔偿损失。
1、强制收集非必要个人信息无法得到法院支持
在本案中,原告在登录过程中必须要提交职业类型、学龄阶段、英语水平、学习目的等信息,无法跳过。而法院认为,对此种信息的收集,属于收集用户画像、标签信息提供个性化推送服务的行为。根据《常见类型移动互联网应用程序必要个人信息范围规定》学习教育类APP基本功能服务为“在线辅导、网络课堂等”,必要个人信息为注册用户移动电话号码。其他个人信息并非必要个人信息,理应可以自主选择提交。同时,用户还未自主选择附加功能,上述信息也非“履行合同所必需”的个人信息。此种收集行为属于强制收集非必要个人信息。
2、企业在《隐私政策》中对个人信息权利响应的例外声明,在合理限度内被法院认可
本案中,法院认可被告在《个人信息保护政策》中载明的“其查阅复制范围以收集的个人信息为限、回应时间在十五日之内、对超越合理限度的请求收取成本费用”等内容。这意味着对个人信息主体的权利实现请求,企业可以在合理范围内作出限制性的声明。个人信息权利实现的细化标准正在制定当中,未来可以依据标准中的条款进行声明。
(二)个人信息处理者未经对方同意将合法收集的对方当事人个人信息作为证据向法院提交,属于履行举证的法定义务的行为,得到法院认可
被告某科技公司是一家智能快件柜的实际运营者,2020年5月12日和18日,原告许某在该智能快件柜取快递,因超时保管,分别向被告支付了超时保管费0.5元和1元。2020年9月4日,原告与被告、案外人某速递有限公司因确认合同无效纠纷诉至广东某法院。被告为证明其主张,向某公证处申请公证保全,证据内容涉及原告使用的手机号在2020年5月至11月间的取件记录及其对应的快递公司的寄递信息,包括派件时间、快递公司、运单号、取件时间、取件人手机号等,并向法庭提交。被告据此证明,原、被告的有偿保管服务协议合法有效。其后原告提起诉讼,主张在前述案件中被告在未经原告同意,也没有经相关国家机关和司法机关要求的情况下,从数据库中调阅其寄递信息属于违法收集行为,进行公证并向法院提供属于违法使用行为,诉请法院判令被告停止侵害、赔礼道歉、赔偿精神损失费。
法院分别从合法性、正当性、必要性的角度进行论述,合法性方面,法院认为,根据《中华人民共和国民事诉讼法》(2017年修正)第六十四条的规定,当事人和人民法院在诉讼中有依法提供、调取证据的责任,因此,当事人依法提供证据,既属于维护自身权益的自助行为,也属于履行诉讼中举证责任、诚信诉讼的法定义务。正当性方面,被告为证明其主张、查明案件事实而处理原告的个人信息,没有侵害原告个人信息的目的,其处理行为具有正当性。必要性方面,“只要当事人合法获得相关证据,该证据与案件争议焦点具有合理关联性,举证行为无侵害他人个人信息权益之故意或重大过失,即应认定为符合必要性原则。”
裁判法院:北京互联网法院
裁判来源:https://mp.weixin.qq.com/s/W-MyckZHny7NHLhHo5cRaQ
(三)个人信息权利行使的边界—涉及第三人个人信息需要综合判断
张某为了解账号使用情况,要求平台将其自注册以来所有的浏览记录以可编辑的xlsx文件形式发送至指定邮箱,包括所浏览的视频名称、发布时间、播放量、发布者账号名称以及张某观看该视频的具体时间等。
视频平台的运营者A公司表示,用户可通过“观看历史”和“反馈与帮助”等功能自主查阅、复制个人信息,同时视频名称、发布者账号名称等既属于张某的个人信息又是视频发布者的个人信息,为避免侵害视频发布者的个人信息权益,A公司采取提供播放链接的方式向张某提供。张某对该提供形式不予认可,将A公司起诉到法院。
法院认为,“若查阅、复制内容包含着可分割的个人信息,当事人的请求应限于本人的个人信息;若查阅、复制请求指向多主体的个人信息,应该考虑个人信息处理者的提供行为是否在其已取得同意的范围内或属于依法无需获得同意的情形等。如果提供行为会导致他人个人信息权益遭受重大影响,个人信息处理者未征得他人同意不应直接提供。”
裁判法院:北京互联网法院
裁判来源:https://mp.weixin.qq.com/s/a-d8FXNnT6Hap-eTBZH5JA
(四)“摇一摇”开屏广告应设置触发跳转参数设置加速度不小于15m/s²,转动角度不小于35°,操作时间不少于3s
2023年2月,因不满多次被迫触发APP“摇一摇”开屏广告,张馨月将“美图秀秀”APP所属的厦门鸿天创视科技有限公司(下称“鸿天创视公司”)告上厦门思明区法院。
法院经审理判定,美图秀秀应对触发用户跳转的交互动作参数进行合规设置,具体为触发跳转参数设置加速度不小于15m/s²,转动角度不小于35°,操作时间不少于3s。经过梳理发现,该要求来源于《APP用户权益保护测评规范第7部分:欺骗误导强迫行为》T/TAF 078.7—2022。
同时,法院也明确,APP“摇一摇”开屏广告并非为行业规范所禁止,不支持张馨月提出取消“美图秀秀”“摇一摇”开屏广告形式的要求。同时,双方共同确认“摇一摇”所使用的手机传感器信息并非敏感个人信息,使用该信息无需取得个人单独同意,“美图秀秀”并未实际侵犯张馨月个人信息安全。
裁判法院:厦门思明区法院
消息来源:https://mp.weixin.qq.com/s/j9Bz4AOGur7kgO84ERnGuw
(五)查阅死者个人信息应限于必要范围,尊重死者隐私、个人信息以及第三人权益
李某于2021年意外去世。四原告为维护自身合法权益,尝试登录李某在员工端APP上的账号查阅李某的考勤记录等个人信息,但发现该账号已被被告二深圳某公司停用,相关信息无法查阅。
四原告认为,被告二停用李某账号的行为导致其无法查阅李某的个人信息,进而严重阻碍其维护自身合法权益,侵犯了其享有的个人信息权利请求权。此外,四原告认为四被告基于各自的业务需要,均曾处理李某的上述个人信息。因此,四原告将四被告起诉到法院,请求法院判令四被告提供其主张的李某相关个人信息,并承担相应的侵权责任。
法院认为,死者李某生前并未对其死后近亲属如何行使对其个人信息的权利作出相应安排,原告在合理范围内有权主张权利。但死者李某的账户上存在不愿为他人所知晓的隐私,以及第三人的个人信息等内容,其近亲属直接登录账户并不妥。其近亲属可以通过被告在隐私政策中明确的方式行使相关权利。
裁判法院:北京互联网法院
裁判来源:https://mp.weixin.qq.com/s/WtGwcpmq7LZq5zd7ijoiLA
(六)个人信息权利起诉前应先向个人信息处理者提出有效的权利响应请求,个人信息处理者明确表示拒绝的,才能提起诉讼
2021年12月,王某为试用某科技公司对外提供的电子合同服务,进入该公司网站,并在该网页“接受试用服务”的对话框中,按要求输入了姓名和联系手机号等信息。
其在网页输入个人信息后不久,便陆续接到某科技公司工作人员的回访电话,甚至接到了其他骚扰电话。王某觉得是某科技公司泄露其个人信息,于是向网页预留的销售电子邮箱发送了一封函件,要求某科技公司删除其个人信息,但迟迟未等到对方回应。王某认为,某科技公司未经同意处理其个人信息,且对其删除个人信息的要求不予回应,构成侵权,故诉至法院,要求某科技公司赔偿损失并履行删除义务。
在判定用户是否向个人信息处理者提出了有效的程序性、保护性权利的申请,法院会审查1)企业是否建立便捷的权利申请受理和处理机制,若无,则直接被认定为忽视用户权利请求;2)若建立了相应机制,用户是否按照指引提交申请,用户若不按照指引申请,则认定用户没有提出有效的权利申请。但个人信息处理者接收并明确表示拒绝的除外。
因而,企业应当建立便捷的个人信息权利申请受理和处理机制,例如客服中心、设定专门邮箱等。
裁判法院:杭州互联网法院
裁判来源:https://mp.weixin.qq.com/s/YS8ViFOl_Jb8s6lnvHvyKQ
(七)最高检披露2022年侵犯公民个人信息案件数据,共起诉9300余人
2023年3月2日,最高人民检察院发布了关于侵犯公民个人信息案件的数据,全国检察机关2022年共起诉侵犯公民个人信息犯罪9300余人。最高检指出,当前侵犯公民个人信息犯罪的态势呈现出共同犯罪比例较高、犯罪手段多样化、网络化、产业化、被侵害的个人信息类型多、范围广等特点,暴露出行业“内鬼”泄露个人信息问题严重、APP非法收集个人信息问题突出等问题。下一步,检察机关将依法从严惩处相关犯罪,同时完善刑事检察和公益诉讼检察协作机制。
此外,最高检在公益诉讼案件方面也有很大进展。今年3月30日,最高检发布个人信息保护检察公益诉讼典型案例,最高检在开展个人信息保护公益诉讼的过程中,表示要加大办案力度,聚焦个人信息保护领域突出问题。一是突出整治APP违规收集个人信息问题。上海、江苏、江西、重庆、广东等地检察机关通过办案监督违规APP企业整改,推动相关职能部门形成监管合力,强化溯源治理。二是紧盯处理大规模个人信息的互联网平台。北京铁路运输检察院针对某网络招聘平台侵害公民个人信息行为以民事公益诉讼立案办理。
4 行业动态
(一)全国首笔个人数据合规流转场内交易完成
2023年4月27日,贵阳大数据交易所表示,全国首笔个人数据合规流转交易在贵阳大数据交易所场内完成。此次交易是在个人用户知情且明确授权的情况下,利用数字化、隐私计算等技术采集求职者的个人简历数据,加工处理成数据产品,确保用户数据可用不可见,保障个人隐私。具体而言,个人用户授权“好活公司”经营其个人简历,开发出数据产品,数据中介机构贵州吾道律师事务所针对该款数据产品出具法律意见书,好活公司在贵阳大数据交易所上架该个人数据产品,在就业服务场景下,用工单位在贵阳大数据交易所平台购买个人简历数据。最终,个人用户通过平台获得其个人简历数据产品交易的收益分成。
(二)滴滴上线新版本,必要与非必要个人信息分开同意
滴滴上线的新版本在个人信息保护方面有许多超出现有水位的新动作,而这些新动作大多在已出台或者未出台但正在制定的相关文件中能找寻到依据。根据目前已经监测到的实践,发现滴滴率先落实了网信办数据局正在制定的《规范APP个人信息处理活动若干规定》以及目前已经生效的常见类型移动互联网应用程序必要个人信息范围规定》(简称39类规定)、推荐性国家标准《信息安全技术 移动互联网应用程序(APP)收集个人信息基本要求(GB/T 41391-2022)》(以下简称GB/T 41391-2022)。
根据滴滴目前上线的版本来看,滴滴出行充分执行“39类规定”,依服务类型提供基本功能个人信息处理规则,例如,滴滴出行APP包含网约车、顺风车、代驾、公交、单车/电单车、加油、养车、充电、金融、货运、导航服务等业务类型,在触发不同业务类型时,就会弹出对应的隐私政策。
值得注意的是,此次滴滴出行的个人信息处理规则中对个性化推荐所用信息的披露,并不包含不可变更的唯一设备识别码。早在《信息安全技术 移动互联网应用程序(APP)收集个人信息基本要求(GB/T 41391-2022)》6.7中就有规定,“APP 收集个人信息还应满足以下要求:定向推送信息和用户画像场景采用唯一设备识別码标识用户时 ,应使用可变更的唯一设备识别码,且不应将其与用户身份信息或不可变更的唯一设备识别码关联”,此次滴滴出行遵循了这一规定。不仅如此,滴滴还会进行OAID的单独弹窗,而这样的水位超出现有行业水位。
(三)蚂蚁集团成立个人信息保护监督委员会
《个人信息保护法》要求大型互联网平台成立外部独立监督机构,2021年腾讯、携程发布隐私保护外部监督员招募通知,招募条件为年满十八周岁、有公益心、乐于研究互联网产品的个人信息保护等。同时,外部监督委员会的组成成员和企业没有雇佣关系,带有一些志愿和公益的性质,有点类似于“志愿者”,没有工资,可以兼职,不限地点。从2021年腾讯和携程公开发布招募通知到现在,没有公开消息显示两家的外部监督机构的工作情况。而在2022年9月,经蚂蚁集团董事会、董事会隐私保护及数据安全委员会批准,蚂蚁集团个人信息保护监督委员会正式设立。2023年3月,蚂蚁集团个人信息保护监督委员会2023年第一次会议在杭州召开,会上通过了个人信息保护监督委员会2023年工作建议。2023 年,监委会将从多个方面履职,包括:
委托第三方机构通过认证、技术测评、外部审计等对蚂蚁集团个人信息保护合规情况进行监督;
年内举办三次监委会会议,审议工作阶段性进展、研讨行业趋势;
审核蚂蚁集团个人信息保护社会责任报告,接受社会监督;
撰写个人信息保护监督报告,提请董事会审议。
撰稿 | 石玉珍,清华大学智能法治研究院
指导、修订 | 刘云
编辑 | 王欣辰
声明:本文来自清华大学智能法治研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
