編輯導(dǎo)語(yǔ)：個(gè)人信息保護(hù)法實(shí)施了，針對(duì)個(gè)人信息安全問(wèn)題的復(fù)雜性和多樣性，結(jié)合實(shí)際情況，相關(guān)立法部門(mén)在個(gè)人信息保護(hù)法中首次賦予個(gè)人充分權(quán)利，并在國(guó)內(nèi)立法中首次出現(xiàn)“個(gè)人敏感信息”這個(gè)概念。在這個(gè)背景之下，互聯(lián)網(wǎng)平臺(tái)應(yīng)該如何做好自身工作？本文作者深入解析了相關(guān)規(guī)定，推薦各位互聯(lián)網(wǎng)人閱讀。

“有前款規(guī)定的違法行為，情節(jié)嚴(yán)重的，由省級(jí)以上履行個(gè)人信息保護(hù)職責(zé)的部門(mén)責(zé)令改正，沒(méi)收違法所得，并處5000萬(wàn)元以下或者上一年度營(yíng)業(yè)額5%以下罰款?！?/p>

相比數(shù)安法，個(gè)信法保護(hù)的個(gè)人信息一旦泄漏和被非法使用，極易導(dǎo)致自然人的人格尊嚴(yán)受到侵害，或者人身，財(cái)產(chǎn)安全受到危害，其中一些大型平臺(tái)的個(gè)人信息，因?yàn)橛脩?hù)量巨大，業(yè)務(wù)類(lèi)型復(fù)雜，被管制時(shí)缺乏競(jìng)爭(zhēng)對(duì)手，一旦發(fā)生信息泄露或?yàn)E用，可能導(dǎo)致嚴(yán)重后果，甚至關(guān)系到國(guó)家經(jīng)濟(jì)和國(guó)家安全。

因此，相比數(shù)安法，個(gè)信法對(duì)相關(guān)企業(yè)的處罰要重得多、波及的受眾要廣得多、治理起來(lái)的難度要復(fù)雜地多，可謂是全民關(guān)注的第一部信息安全法律。

然樹(shù)欲靜而風(fēng)不止，在個(gè)信法正式實(shí)施前的一個(gè)月里，大家忙于大考的關(guān)鍵月，不少互聯(lián)網(wǎng)平臺(tái)企業(yè)卻感受到了個(gè)人信息保護(hù)的“棘手”。

一、今天之前，風(fēng)雨暗藏

個(gè)信法正式實(shí)施前的一個(gè)月里，互聯(lián)網(wǎng)平臺(tái)圈并不太平。

10月8日，有網(wǎng)友開(kāi)啟iOS 15 的隱私新特性“記錄App活動(dòng)”時(shí)，發(fā)現(xiàn)微信、淘寶、QQ等多款國(guó)產(chǎn)App均存在后臺(tái)頻繁讀取用戶(hù)相冊(cè)的行為，次日騰訊發(fā)出了《微信「快捷發(fā)圖」功能到底發(fā)生了什么事》來(lái)技術(shù)解釋?zhuān)?/p>

10月10日，一網(wǎng)友在社交網(wǎng)絡(luò)上發(fā)布了一段視頻，視頻中顯示美團(tuán) App 從 10 月 6 日起便開(kāi)始獲取位置信息，頻率高達(dá)每 5 分鐘一次，24小時(shí)內(nèi)完全沒(méi)有間斷。次日美團(tuán)工程師雖就“頻繁定位”回應(yīng)稱(chēng)：建議謹(jǐn)慎下載某境外隱私軟件，常用App權(quán)限開(kāi)啟時(shí)檢測(cè)結(jié)果基本一致。

但我們看到，美團(tuán)雖然有所回應(yīng)，但是不了解視頻中定位行為背后原理的用戶(hù)依然沒(méi)有100%解開(kāi)自己心中的疑惑；美團(tuán)定位視頻的同一天，王思聰在微博發(fā)文，稱(chēng)自己的大眾點(diǎn)評(píng)被別人改綁手機(jī)號(hào)并質(zhì)問(wèn)：“這就是上萬(wàn)億市值公司的安全系統(tǒng)嗎？” ，次日，就有熱心網(wǎng)友發(fā)出技術(shù)文推理還原——《猜猜王思聰是怎么被盜號(hào)的》？

誠(chéng)然，大家可以看到，一些互聯(lián)網(wǎng)平臺(tái)已經(jīng)針對(duì)個(gè)人信息保護(hù)法的合規(guī)做了不少“能先做”的動(dòng)作，比如近期幾乎所有App都有更新的隱私條款，部分App剛剛上線(xiàn)的青少年模式，部分快遞平臺(tái)開(kāi)始隱匿一些明文個(gè)人郵寄的信息。

但，個(gè)人信息保護(hù)法作為一部直接針對(duì)個(gè)人的法律，因在其頒布前已經(jīng)有諸起大型互聯(lián)網(wǎng)平臺(tái)數(shù)據(jù)泄漏、數(shù)據(jù)濫用的大規(guī)模事件，其治理迫切程度已經(jīng)到了“不得不治”的地步。典型的事件，包括某快遞公司40W個(gè)人信息被內(nèi)鬼泄漏引發(fā)央視點(diǎn)名批評(píng)，某微博5億用戶(hù)數(shù)據(jù)在暗網(wǎng)售賣(mài)被媒體曝光，某酒店數(shù)億條酒店用戶(hù)信息泄漏涉及1.3億人身份及開(kāi)房信息數(shù)據(jù)。

每每想到隨手一個(gè)大型互聯(lián)網(wǎng)平臺(tái)，積累了盈萬(wàn)累億的個(gè)人信息，其一舉一動(dòng)都可能對(duì)個(gè)人人身財(cái)產(chǎn)安全產(chǎn)生直接危害，對(duì)產(chǎn)業(yè)市場(chǎng)造成巨大沖擊，對(duì)國(guó)民經(jīng)濟(jì)和社會(huì)活動(dòng)產(chǎn)生深遠(yuǎn)影響，不管是個(gè)人還是國(guó)家，都沒(méi)辦法對(duì)這些事關(guān)國(guó)民經(jīng)濟(jì)安全，國(guó)家數(shù)據(jù)安全的平臺(tái)置若罔聞。

二、首次直面 “守門(mén)人”義務(wù)

針對(duì)上述實(shí)際情況，我們可以看到，針對(duì)個(gè)人信息安全問(wèn)題的復(fù)雜性和多樣性，相關(guān)立法部門(mén)在個(gè)信法中首次賦予個(gè)人充分權(quán)利，并在國(guó)內(nèi)立法中首次出現(xiàn)“個(gè)人敏感信息”這個(gè)概念。另外，相關(guān)立法部門(mén)，還在個(gè)信法第五十八條首創(chuàng)“守門(mén)人”義務(wù)——明言對(duì)于提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶(hù)數(shù)量巨大、業(yè)務(wù)類(lèi)型復(fù)雜的個(gè)人信息處理者，應(yīng)當(dāng)履行下列義務(wù)：

1. 按照國(guó)家規(guī)定建立健全個(gè)人信息保護(hù)合規(guī)制度體系，成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督；
2. 遵循公開(kāi)、公平、公正的原則，制定平臺(tái)規(guī)則，明確平臺(tái)內(nèi)產(chǎn)品或者服務(wù)提供者處理個(gè)人信息的規(guī)范和保護(hù)個(gè)人信息的義務(wù)；
3. 對(duì)嚴(yán)重違反法律、行政法規(guī)處理個(gè)人信息的平臺(tái)內(nèi)的產(chǎn)品或者服務(wù)提供者，停止提供服務(wù)；
4. 定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告，接受社會(huì)監(jiān)督。

上述4項(xiàng)“守門(mén)人”義務(wù)中，相關(guān)律所在解讀個(gè)信法時(shí)，都有著重提到“成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督” 、“定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告，接受社會(huì)監(jiān)督。” 這兩項(xiàng)，它們都是明言強(qiáng)調(diào)“借”用外部獨(dú)立機(jī)構(gòu)或者外部社會(huì)監(jiān)督力量來(lái)彰顯個(gè)人信息安全治理的決心，以及尋求最大力度地把個(gè)人信息保護(hù)拉回正軌的舉措。

三、它們遇到的難與痛

1. 互聯(lián)網(wǎng)平臺(tái) “守門(mén)人” 遇到的問(wèn)題一樣嗎？

據(jù)360大數(shù)據(jù)安全協(xié)同技術(shù)國(guó)家工程實(shí)驗(yàn)室專(zhuān)家童磊介紹，“從共性問(wèn)題來(lái)說(shuō)，所有的互聯(lián)網(wǎng)平臺(tái)都會(huì)收集個(gè)人信息包括姓名、電話(huà)、地址等，所以都需要按照‘個(gè)保法’的要求做好個(gè)人信息和敏感個(gè)人信息的治理和管理工作，并針對(duì)不同重要程度的信息進(jìn)行相應(yīng)的安全控制設(shè)計(jì)”。從差異性問(wèn)題來(lái)說(shuō)：

以社交網(wǎng)絡(luò)App舉例，“近期出現(xiàn)了很多社交網(wǎng)絡(luò)App違規(guī)收集個(gè)人信息的安全事件。針對(duì)社交軟件的使用場(chǎng)景，‘個(gè)保法’明確要求了的對(duì)個(gè)人信息和敏感個(gè)人信息管理要求，如最小收集原則，用戶(hù)同意授權(quán)等。一個(gè)社交網(wǎng)絡(luò)App在收集了大量個(gè)人信息后若不妥善保管用戶(hù)數(shù)據(jù)，可能會(huì)造成數(shù)據(jù)泄漏，造成的影響甚至可能會(huì)關(guān)系用戶(hù)主體的人身安全電商這邊，“會(huì)涉及到一些金融財(cái)務(wù)包括數(shù)據(jù)流轉(zhuǎn)相關(guān)的場(chǎng)景，偏向于金融安全和金融數(shù)據(jù)保護(hù)。

比如，一個(gè)手機(jī)App的互聯(lián)網(wǎng)金融產(chǎn)品，涉及到股票或者貸款保險(xiǎn)，只要涉及到金融屬性，就要在‘個(gè)保法’的基礎(chǔ)上遵從人行和銀保監(jiān)會(huì)相關(guān)的要求?！?所以，主要的考慮場(chǎng)景涉及到金額交易。

游戲的問(wèn)題側(cè)重點(diǎn)，“則在未成年人。因?yàn)樵凇畟€(gè)保法’中一個(gè)重要的信息提到針對(duì)未成年人在收集和處理個(gè)人信息時(shí)，需要有單獨(dú)的考慮，重點(diǎn)要放在未成年人是否要達(dá)到14歲。” 如未達(dá)到14歲則需要獲得監(jiān)護(hù)人個(gè)人信息的授權(quán)和使用。

外賣(mài)這邊，“重點(diǎn)會(huì)涉及到這個(gè)人購(gòu)買(mǎi)食品的偏好，比如是否有精準(zhǔn)營(yíng)銷(xiāo)、客戶(hù)畫(huà)像、大數(shù)據(jù)殺熟，當(dāng)然殺熟這個(gè)場(chǎng)景在其他的情況下可能也會(huì)有，比如出行中也會(huì)有殺熟的問(wèn)題?！?這類(lèi)問(wèn)題主要考慮的是，如何保證數(shù)據(jù)的算法的公開(kāi)透明。

短視頻涉及到“個(gè)保法”的內(nèi)容和相關(guān)性比較有特點(diǎn)的，是在生物識(shí)別的個(gè)人信息?！笆紫人敲舾袀€(gè)人信息，在視頻播放的時(shí)候，其實(shí)不但要考慮到‘個(gè)保法’，還要考慮到廣電總局視頻播放的相關(guān)要求，包括視頻的主題?！?所以，在以往的項(xiàng)目或者視頻實(shí)施過(guò)程中，會(huì)體現(xiàn)需要結(jié)合實(shí)際應(yīng)用場(chǎng)景所涉及到的行業(yè)去遵從和設(shè)計(jì)相應(yīng)的個(gè)人信息保護(hù)的相關(guān)要求。

招聘求職也是一樣的，“一些大型招聘網(wǎng)站會(huì)涉及到一些比較敏感的行業(yè)特色的信息，這里面只說(shuō)差異性的。比如人員履歷還有相應(yīng)的薪酬，無(wú)論是企業(yè)角度包括個(gè)人角度，可能有人進(jìn)行客戶(hù)的畫(huà)像，比如它是一個(gè)高管，收入很高，則他的個(gè)人信息的敏感度和薪酬數(shù)據(jù)的屬性是要保護(hù)的。也有一些特殊行業(yè)是涉密的，招聘網(wǎng)站就需要對(duì)這些行業(yè)進(jìn)行涉及，這些都是在‘個(gè)保法’的管控原則里都有提到?！?/p>

網(wǎng)絡(luò)尖刀的創(chuàng)始人曲子龍則補(bǔ)充到，“據(jù)了解，一般相同的，都是圍繞數(shù)據(jù)授權(quán)、數(shù)據(jù)使用范圍進(jìn)行治理；相對(duì)不同的是不同類(lèi)型的平臺(tái)，所‘必須’的數(shù)據(jù)并不一樣，對(duì)治理的方案有一定的差異化，比如電商、外賣(mài)、快遞、出行相對(duì)來(lái)說(shuō)都是訂單數(shù)據(jù)及收件信息還有一定的位置數(shù)據(jù)；社交、直播、搜索則更偏向于廣告畫(huà)像?！?/p>

2. 此刻 “守門(mén)人” 最關(guān)注哪些難題？

根據(jù)中國(guó)信息通信研究院互聯(lián)網(wǎng)法律研究中心高級(jí)研究員楊婕表示，目前超級(jí)大型互聯(lián)網(wǎng)平臺(tái)在應(yīng)對(duì)個(gè)信法合規(guī)的過(guò)程中，系統(tǒng)性地在關(guān)注，可以概括為：

• 對(duì)外：接受外部獨(dú)立機(jī)構(gòu)監(jiān)督；定期發(fā)布社會(huì)責(zé)任報(bào)告。
• 對(duì)內(nèi)：按照國(guó)家規(guī)定，建立健全個(gè)人信息保護(hù)合規(guī)制度體系；制訂平臺(tái)規(guī)則，明確平臺(tái)內(nèi)部規(guī)范和義務(wù)；對(duì)平臺(tái)內(nèi)部產(chǎn)品或者服務(wù)提供者的監(jiān)督。

跟客戶(hù)數(shù)據(jù)接觸較多的明略科技高雅則表示，“從公司實(shí)際執(zhí)行方的角度，一般會(huì)先看企業(yè)中處理的數(shù)據(jù)是不是個(gè)人信息范疇，是不是屬于敏感個(gè)人信息范疇，這會(huì)影響后面數(shù)據(jù)的分類(lèi)分級(jí)和具體管理方式?！?/p>

3. 實(shí)踐時(shí)，具體的業(yè)務(wù)和技術(shù)痛點(diǎn)在哪？

據(jù)網(wǎng)絡(luò)尖刀創(chuàng)始人曲子龍的觀(guān)察，“首先面臨最大的問(wèn)題是‘?dāng)?shù)據(jù)授權(quán)’問(wèn)題，尤其在電商、金融、廣告業(yè)表現(xiàn)最為明顯，原本多渠道聚合的數(shù)據(jù)已經(jīng)不能用了，自身也不能向自己生態(tài)的企業(yè)或服務(wù)商進(jìn)行‘?dāng)?shù)據(jù)轉(zhuǎn)授權(quán)’，行業(yè)里中下游企業(yè)已經(jīng)出現(xiàn)數(shù)據(jù)斷供問(wèn)題。另外就是原本需要一定的用戶(hù)敏感數(shù)據(jù)才能展開(kāi)的業(yè)務(wù)，接下來(lái)該如何開(kāi)展，也會(huì)成為企業(yè)最大的問(wèn)題，目前原有的數(shù)據(jù)授權(quán)體系可能并不能完全合規(guī)，急需實(shí)現(xiàn)數(shù)據(jù)可用而不可見(jiàn)的轉(zhuǎn)化，比如金融業(yè)?！?/p>

還有就是，淘寶、京東、抖音都陸續(xù)對(duì)訂單信息及消費(fèi)者信息采取脫敏加密，不再向商家、ISV提供消費(fèi)者敏感信息，“沒(méi)有了消費(fèi)者隱私數(shù)據(jù)后，下游企業(yè)如果不依托大廠(chǎng)商僅在廣告這件事兒上就已經(jīng)很難實(shí)現(xiàn)精準(zhǔn)投放，銷(xiāo)售成本自然就會(huì)跟著變高，掌握精準(zhǔn)數(shù)據(jù)的頭部企業(yè)，很可能通過(guò)數(shù)據(jù)壟斷形成更高的壁壘?！?/p>

360大數(shù)據(jù)安全協(xié)同技術(shù)國(guó)家工程實(shí)驗(yàn)室專(zhuān)家童磊則表示，近期大家非常關(guān)注數(shù)據(jù)安全合規(guī)的問(wèn)題，因?yàn)椋?strong>大多數(shù)平臺(tái)對(duì)自己平臺(tái)產(chǎn)品和相關(guān)供應(yīng)商產(chǎn)品很難做到有效的的管理和監(jiān)督。這其實(shí)也是一個(gè)行業(yè)痛點(diǎn)問(wèn)題，從目前的可行性方案來(lái)說(shuō)，業(yè)內(nèi)傾向于有技術(shù)積累優(yōu)勢(shì)的大平臺(tái)去統(tǒng)一管理，憑借自身平臺(tái)的研發(fā)能力，安全能力，能夠?qū)ζ髽I(yè)業(yè)務(wù)邊界、數(shù)據(jù)安全的邊界，做到更有效的管控。

比較通用的一個(gè)建議，是在管理制度職能上包括職責(zé)上需要更新相應(yīng)的服務(wù)條款，比如通過(guò)DPA（Data Protection Assessment）或者其它的條款，去進(jìn)行雙方關(guān)于個(gè)人信息保護(hù)重新的職能劃分，明確保護(hù)的義務(wù)，使用數(shù)據(jù)的場(chǎng)景，這樣至少于一些有意識(shí)或者想進(jìn)行更好服務(wù)的App廠(chǎng)商來(lái)說(shuō)，能更有自驅(qū)力去做好數(shù)據(jù)安全和個(gè)人信息保護(hù)的工作?！?/p>

最后，要準(zhǔn)備好在這個(gè)過(guò)程中，“不做投入可能就會(huì)面臨處罰，以及時(shí)間會(huì)淘汰一批沒(méi)有能力，或者意識(shí)上不想去做上述行動(dòng)的從業(yè)者?！?/p>

安恒信息上海總部首席科學(xué)家周亞超則表示，從一些廠(chǎng)商自己都沒(méi)意識(shí)到的角度來(lái)說(shuō)：“出于好奇，有時(shí)候我個(gè)人會(huì)使用一些信息隱私追蹤類(lèi)小工具測(cè)試，看看當(dāng)搜索引擎或者App內(nèi)的搜索功能拿了我們的數(shù)據(jù)之后，會(huì)用在哪里？

打開(kāi)這些工具時(shí)會(huì)發(fā)現(xiàn)，雖然用戶(hù)只是在搜索引擎中或者App內(nèi)的搜索功能中，輸入一個(gè)簡(jiǎn)單信息，但是這個(gè)信息會(huì)給到平臺(tái)當(dāng)中幾十甚至上百個(gè)關(guān)聯(lián)方。這可能是App的安全問(wèn)題，也可能是App沒(méi)有做到合規(guī)。如果是安全問(wèn)題，安恒安全需求分析與設(shè)計(jì)平臺(tái)就是針對(duì)App具體功能業(yè)務(wù)進(jìn)行安全需求與設(shè)計(jì)，在App成形前檢測(cè)可能存在的安全風(fēng)險(xiǎn)點(diǎn)，在開(kāi)發(fā)的同時(shí)提高App的安全保障能力?！?/p>

有些廠(chǎng)商可能都沒(méi)注意到隱私政策條款這些細(xì)節(jié)或者可能對(duì)這些問(wèn)題有模糊的認(rèn)知，但措施還不到位。另外，從她本人的實(shí)踐經(jīng)驗(yàn)看：

“個(gè)人信息是很復(fù)雜的，大家暫時(shí)能夠解決的結(jié)構(gòu)化數(shù)據(jù)有一定規(guī)則，非結(jié)構(gòu)性的那些數(shù)據(jù)，它的隱患可能外部目前沒(méi)把它監(jiān)測(cè)出來(lái)，具體的非結(jié)構(gòu)性數(shù)據(jù)，需要具體的什么工具什么解決技術(shù)，這個(gè)需要長(zhǎng)期探索?！?/p>

另外，從其它一些廠(chǎng)商自己都沒(méi)注意到的角度來(lái)說(shuō)，上述涉及到相關(guān)信息會(huì)給到平臺(tái)當(dāng)中幾十甚至上百個(gè)關(guān)聯(lián)方這種情形，用戶(hù)如果遇到信息泄露很明顯的情況，各種排查找不出原因，可以回過(guò)頭仔細(xì)閱讀它的隱私政策條款，這些隱私條款可能還有可待商榷的地方，但用戶(hù)自己確實(shí)選擇了同意。

4. 守門(mén)人3類(lèi)分法，哪一類(lèi)根據(jù)個(gè)信法處理對(duì)應(yīng)需求，難度最大，任務(wù)最重？

個(gè)信法中提到“大型互聯(lián)網(wǎng)平臺(tái)判定條件有提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)，用戶(hù)數(shù)量巨大，業(yè)務(wù)類(lèi)型復(fù)雜”，關(guān)于“業(yè)務(wù)類(lèi)型復(fù)雜”，根據(jù)金杜律師事務(wù)所的分法，以下3類(lèi)模式可能被認(rèn)定為“業(yè)務(wù)類(lèi)型復(fù)雜”

• 超級(jí)App+小程序，第三方小程序可能存在大量個(gè)人信息收集，共享，處理活動(dòng)。
• 內(nèi)嵌多種業(yè)務(wù)的單一App，比如同時(shí)提供外賣(mài)，在線(xiàn)旅行，移動(dòng)出行，社區(qū)團(tuán)購(gòu)，金融服務(wù)等等。
• 通過(guò)多種渠道提供在線(xiàn)服務(wù)。不同服務(wù)之間可能出現(xiàn)交互，構(gòu)成體系性的復(fù)雜業(yè)務(wù)網(wǎng)絡(luò)。

「那哪一類(lèi)近期根據(jù)個(gè)人信息保護(hù)處理對(duì)應(yīng)需求，難度最大，任務(wù)最重？」

據(jù)360大數(shù)據(jù)安全協(xié)同技術(shù)國(guó)家工程實(shí)驗(yàn)室專(zhuān)家童磊的看法，按以上維度來(lái)分的話(huà)，“第三種跨實(shí)體的，并且跨品牌的最難，因?yàn)樯婕暗搅诉吔绻芸睾蛿?shù)據(jù)交換，因?yàn)橄嚓P(guān)方數(shù)量越多，場(chǎng)景就越復(fù)雜，數(shù)據(jù)安全風(fēng)險(xiǎn)就越大，整改成本也越大。”

網(wǎng)絡(luò)尖刀創(chuàng)始人曲子龍則認(rèn)為，看似不同的業(yè)務(wù)屬性，實(shí)際上從合規(guī)角度來(lái)講，“需要的都是從原始的一次性授權(quán)，轉(zhuǎn)向分批次授權(quán)的轉(zhuǎn)變，用到哪個(gè)業(yè)務(wù)時(shí)再申請(qǐng)哪個(gè)權(quán)限，用戶(hù)沒(méi)有使用就不需要對(duì)此授權(quán)，在自己的業(yè)務(wù)內(nèi)這樣重新定義權(quán)限的使用和獲取其實(shí)并不難，以微信小程序?yàn)槔?，小程序的開(kāi)發(fā)者本身就是需要向微信申請(qǐng)權(quán)限再使用的。

依托先申請(qǐng)授權(quán)再使用原則，其實(shí)能解決大部分隱私授權(quán)問(wèn)題，而被廣泛關(guān)注的‘大數(shù)據(jù)殺熟’、‘個(gè)人信息濫用’ 這些問(wèn)題本身就是違法違規(guī)的作惡?jiǎn)栴}，不存在怎么整改這一說(shuō)，本身就是必須立即停止不能做的事情。”

四、11月始，如何避免再次“踏雷”

從法律層面，除了市面上眾多律所根據(jù)《個(gè)人信息保護(hù)法》第五章個(gè)人信息處理者義務(wù)規(guī)定的九大義務(wù)：

1. 制定內(nèi)部管理制度和操作規(guī)程；
2. 對(duì)個(gè)人信息實(shí)行分類(lèi)管理；
3. 采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施；
4. 定期對(duì)從業(yè)人員進(jìn)行安全教育和培訓(xùn)；
5. 制定信息安全事件應(yīng)急預(yù)案；
6. 處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門(mén)規(guī)定數(shù)量的義務(wù)；
7. 處理境外（有境外業(yè)務(wù)）企業(yè)的特殊業(yè)務(wù)；
8. 定期合規(guī)審計(jì)；
9. 對(duì)特殊情形的個(gè)人信息處理活動(dòng)事前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估。

互聯(lián)網(wǎng)平臺(tái)守門(mén)人要額外謹(jǐn)記上述針對(duì)互聯(lián)網(wǎng)平臺(tái)“守門(mén)人”的特殊對(duì)外，對(duì)內(nèi)5小義務(wù)：

• 對(duì)外：接受外部獨(dú)立機(jī)構(gòu)監(jiān)督；定期發(fā)布社會(huì)責(zé)任報(bào)告。
• 對(duì)內(nèi)：按照國(guó)家規(guī)定，建立健全個(gè)人信息保護(hù)合規(guī)制度體系；制訂平臺(tái)規(guī)則，明確平臺(tái)內(nèi)部規(guī)范和義務(wù)；對(duì)平臺(tái)內(nèi)部產(chǎn)品或者服務(wù)提供者的監(jiān)督。

從企業(yè)層面，據(jù)網(wǎng)絡(luò)安全廠(chǎng)商反饋，360大數(shù)據(jù)安全協(xié)同技術(shù)國(guó)家工程實(shí)驗(yàn)室專(zhuān)家童磊基于自己上述所提的多數(shù)平臺(tái)對(duì)自己平臺(tái)內(nèi)部產(chǎn)品或者服務(wù)提供者的監(jiān)督治理這個(gè)問(wèn)題，表示360已經(jīng)有一些成熟的方案和產(chǎn)品實(shí)驗(yàn)室憑借多年在行業(yè)、企業(yè)的實(shí)踐積累與國(guó)家監(jiān)管機(jī)構(gòu)，包括與網(wǎng)信辦，工信部，公安部相關(guān)部門(mén)開(kāi)展合作，建立了多個(gè)大數(shù)據(jù)安全技術(shù)技術(shù)平臺(tái)，可以解決大部分行業(yè)痛點(diǎn)難點(diǎn)問(wèn)題。

而從整個(gè)行業(yè)視角看，要避免再次踏雷 ：

“從業(yè)務(wù)視角來(lái)說(shuō)，第一個(gè)要做企業(yè)業(yè)務(wù)個(gè)人信息資產(chǎn)盤(pán)點(diǎn)。在11月1號(hào)之前，企業(yè)至少心里有底，若真的出現(xiàn)問(wèn)題，我們能夠達(dá)到一個(gè)心理預(yù)期和心理準(zhǔn)備，知道某一個(gè)App某個(gè)業(yè)務(wù)開(kāi)發(fā)團(tuán)隊(duì)沒(méi)有做這塊內(nèi)容，所以才泄露了，比如手機(jī)驗(yàn)證隨便修改，大家要快速下線(xiàn)或整改這個(gè)業(yè)務(wù)。

第二個(gè)對(duì)管理層，盤(pán)點(diǎn)之后要進(jìn)行整個(gè)企業(yè)業(yè)務(wù)發(fā)展方向的一個(gè)重新的設(shè)計(jì)，在現(xiàn)有的企業(yè)戰(zhàn)略規(guī)劃中加入個(gè)人信息的相關(guān)內(nèi)容，最快最簡(jiǎn)單的就是在企業(yè)內(nèi)部，把相應(yīng)的人找到，管理者找到，比如CIO或者CISO，去承擔(dān)這塊的業(yè)務(wù)。其一是讓大家現(xiàn)在做一個(gè)查漏補(bǔ)缺快速自查，其二就是委托職能部門(mén)或者高管推行或者承擔(dān)這件事情，要持續(xù)投入人員精力或者需要一個(gè)部門(mén)。

第三個(gè)在相應(yīng)的其他單位，比如審計(jì)或者第三方監(jiān)管機(jī)制，需要有人去做承擔(dān)和執(zhí)行。執(zhí)行的方式，有兩點(diǎn)建議，一是要有專(zhuān)業(yè)的人，專(zhuān)業(yè)的機(jī)構(gòu)去做，律所，或者我們這種專(zhuān)業(yè)機(jī)構(gòu)，售賣(mài)產(chǎn)品的廠(chǎng)商，籍由專(zhuān)業(yè)咨詢(xún)機(jī)構(gòu)或者有咨詢(xún)服務(wù)能力的團(tuán)隊(duì)或者找現(xiàn)有的供應(yīng)商廠(chǎng)商，要求它在合同里去進(jìn)行這方面的產(chǎn)品輸入，并在下一年的IT規(guī)劃和整個(gè)戰(zhàn)略規(guī)劃里要去同步。

第四個(gè)要做數(shù)據(jù)安全委員會(huì)出發(fā)的應(yīng)急響應(yīng)機(jī)制，把企業(yè)的法務(wù)部門(mén)、內(nèi)控部門(mén)、公關(guān)部門(mén)、政府關(guān)系部門(mén)拉攏去規(guī)避突發(fā)事件，因?yàn)榘踩袠I(yè)永遠(yuǎn)不變的主題就是永遠(yuǎn)會(huì)有事件。”

安恒信息上?？偛渴紫茖W(xué)家周亞超則鼓勵(lì)大家從態(tài)度層面正視：“隨著法律的正式實(shí)施肯定還會(huì)有一波熱點(diǎn)，這些問(wèn)題暴露出來(lái)，其實(shí)是一件好事。我們這兩年來(lái)圍繞App的治理行動(dòng)，包括圍繞違規(guī)行為，對(duì)于保障用戶(hù)權(quán)益的個(gè)人信息治理典范，其實(shí)是一個(gè)很好的合作者管理體系。整個(gè)大的治理體系，光靠用戶(hù)，運(yùn)營(yíng)商，監(jiān)管機(jī)構(gòu)可能也不太夠，實(shí)際過(guò)程中可能需要一個(gè)推動(dòng)政府、企業(yè)以及社會(huì)公眾共同參與共治的過(guò)程，以及明確在這個(gè)過(guò)程中，大家各自的角色以及在相關(guān)問(wèn)題上，各自的主體責(zé)任的邊界?！?/p>

另外，在正式實(shí)施的“熱點(diǎn)”來(lái)臨之前，“其實(shí)企業(yè)內(nèi)部通過(guò)一些風(fēng)險(xiǎn)評(píng)估的工作，也能夠及時(shí)規(guī)避掉不少這類(lèi)內(nèi)部風(fēng)險(xiǎn)。我覺(jué)得這個(gè)可能不是方法而是需求驅(qū)動(dòng)的，比如一些熱點(diǎn)行業(yè)屬于監(jiān)管的重點(diǎn)領(lǐng)域，企業(yè)可能會(huì)有抱團(tuán)意識(shí)，形成行業(yè)內(nèi)部的監(jiān)管協(xié)會(huì)。以人工智能為例，圍繞生物特征、生物信息等領(lǐng)域，它自身存在較大需求，就會(huì)推動(dòng)一個(gè)參與共治的機(jī)構(gòu)或是機(jī)制來(lái)做這方面的加強(qiáng)。”

從實(shí)操層面，明略科技高雅也反饋，“首先需要做內(nèi)部的管理制度和操作規(guī)程的要求。如果搜集了個(gè)人信息，對(duì)于一些敏感程度比較高的，要做單獨(dú)的處理和管理。技術(shù)方面，需要采用更嚴(yán)密的加密或者去標(biāo)識(shí)化，安全的措施。規(guī)定、處理這些接觸個(gè)人信息的人，有操作權(quán)限的限制和安全教育培訓(xùn)，另外可能有一些應(yīng)急預(yù)案?！?/p>

從第三方監(jiān)督層面，相關(guān)專(zhuān)家表示：

“首先，目前法律規(guī)定的確有模糊的地方，這對(duì)企業(yè)合規(guī)帶來(lái)了挑戰(zhàn)。因此企業(yè)需要密切關(guān)注下一步的細(xì)則文件出臺(tái)。

其次，目前很多企業(yè)都在按照個(gè)保法的要求進(jìn)行整改，但這種整改是自發(fā)的，事實(shí)上在很多企業(yè)內(nèi)部也存在著法務(wù)部們和業(yè)務(wù)部門(mén)“角力”的情況，因此，出現(xiàn)一些整改不徹底甚至沒(méi)有整改的空間，這是正常的。當(dāng)出現(xiàn)‘角力’ 的時(shí)候，業(yè)務(wù)部分要需要充分尊重法務(wù)意見(jiàn)，因?yàn)楹弦?guī)是生命線(xiàn)。而法務(wù)部門(mén)也要深刻、正確理解法律條文的含義，不是機(jī)械照搬。

另外，關(guān)于最近用戶(hù)維權(quán)意識(shí)的覺(jué)醒的問(wèn)題，這是好事，是一個(gè)社會(huì)形成健康的數(shù)據(jù)安全文化的前提條件。以前，用戶(hù)不是不重視自己的權(quán)益保護(hù)，但重視了也沒(méi)用，訴求得不到滿(mǎn)足，甚至被置之不理。在法律威懾下，現(xiàn)在企業(yè)的態(tài)度改變了，用戶(hù)因此增強(qiáng)了維權(quán)意愿。但對(duì)企業(yè)而言，有時(shí)候也會(huì)遇到濫訴，這不可避免，但總體的影響是正面的。

最后要注意的是，企業(yè)層面，除了上述提到的個(gè)人信息保護(hù)法相關(guān)個(gè)人信息處理者的直接義務(wù)，另外還要注意確保個(gè)人信息處理規(guī)則合規(guī)，并有效保護(hù)用戶(hù)個(gè)人信息信息權(quán)的行使也是企業(yè)要重視的‘必然義務(wù)’ ?！?中國(guó)信息安全研究院副院長(zhǎng)左曉棟建議到。

信通院云大所副所長(zhǎng)魏凱則補(bǔ)充總結(jié)：“要注意個(gè)人信息保護(hù)合規(guī)審計(jì)是個(gè)保法的要求，在企業(yè)在進(jìn)行風(fēng)險(xiǎn)治理的工作時(shí)，除了內(nèi)部具體實(shí)施者從業(yè)務(wù)層面和操作層面落實(shí)一道防線(xiàn)；企業(yè)管理者從法務(wù)，安全合規(guī)，內(nèi)控等角度落實(shí)管理的二道防線(xiàn)；還應(yīng)該積極接受外部監(jiān)督者的審計(jì)第三道防線(xiàn)。”

之所以要重視審計(jì)的價(jià)值，是因?yàn)閷徲?jì)能夠幫助企業(yè)了解個(gè)人信息保護(hù)合規(guī)的現(xiàn)狀和不足，完善閉環(huán)管理機(jī)制，實(shí)現(xiàn)個(gè)人信息保護(hù)合規(guī)的持續(xù)改進(jìn)。其具體作用體現(xiàn)在：

• 發(fā)現(xiàn)問(wèn)題：以獨(dú)立視角監(jiān)督個(gè)人信息保護(hù)體系合規(guī)性，審計(jì)發(fā)現(xiàn)合規(guī)問(wèn)題。
• 提出改進(jìn)建議：針對(duì)合規(guī)問(wèn)題，提出專(zhuān)業(yè)合規(guī)改進(jìn)建議，實(shí)現(xiàn)閉環(huán)管理機(jī)制。
• 持續(xù)評(píng)價(jià)：針對(duì)審計(jì)整改結(jié)果持續(xù)評(píng)價(jià)，實(shí)現(xiàn)個(gè)人信息保護(hù)合規(guī)的持續(xù)改進(jìn)?！?/li>

另外當(dāng)雷鋒網(wǎng)咨詢(xún)相關(guān)部門(mén)負(fù)責(zé)本領(lǐng)域的數(shù)據(jù)安全個(gè)人信息安全的監(jiān)管職責(zé)的負(fù)責(zé)人會(huì)不會(huì)覺(jué)得監(jiān)督技術(shù)門(mén)檻比較高，魏凱對(duì)此表示，“工信部或者銀行或者其它監(jiān)督部門(mén)技術(shù)能力其實(shí)是很強(qiáng)的，銀行管網(wǎng)絡(luò)金融行業(yè)，電信管電信行業(yè)，工業(yè)管工業(yè)行業(yè)，幾十年一直在管，互聯(lián)網(wǎng)監(jiān)管實(shí)際上就是這個(gè)方式。這些年這么多這么長(zhǎng)時(shí)間，他們的監(jiān)管技術(shù)是不斷提升的，大家不用擔(dān)心監(jiān)督技術(shù)問(wèn)題以及抱太多僥幸心理?！?/p>

五、總結(jié)

對(duì)于11月1日正式實(shí)施的個(gè)人信息保護(hù)法，不用等到那天也可以預(yù)見(jiàn)，在接下來(lái)的幾個(gè)月，緣于個(gè)人用戶(hù)的監(jiān)督，外部機(jī)構(gòu)的監(jiān)督，相關(guān)手機(jī)廠(chǎng)商推出的各種追蹤小工具，一定會(huì)讓整個(gè)市場(chǎng)“熱鬧”非凡——相較于小心翼翼地祈禱企業(yè)平臺(tái)自身不要再次“踏雷”，更靠譜的方法，反而如上述專(zhuān)家們所言，把它看作是一個(gè)“好事”的愚公心態(tài)反而更能安全，具體怎么防止再次踏雷，結(jié)合上述多方專(zhuān)家意見(jiàn)的綜合，我們應(yīng)該力所能及的：

其一，法律義務(wù)層面，互聯(lián)網(wǎng)平臺(tái)要系統(tǒng)做好上述十大直接義務(wù)，還要做好確保個(gè)人信息處理規(guī)則合規(guī)和有效保護(hù)用戶(hù)個(gè)人信息信息權(quán)的行使的二大應(yīng)當(dāng)義務(wù)。

具體措施側(cè)層面：

其二，對(duì)于個(gè)信法第五章規(guī)定的直接義務(wù)，積極整改并主動(dòng)向大眾同步動(dòng)作和進(jìn)度。

其三，對(duì)于來(lái)自個(gè)人用戶(hù)和第三方追蹤工具體驗(yàn)者的投訴和監(jiān)督，大膽接受用戶(hù)指正，并可以對(duì)一些追蹤工具采取“師夷長(zhǎng)技以律己”的小妙招，利用這些小App進(jìn)一步督促自己，當(dāng)然也可以利用網(wǎng)絡(luò)安全廠(chǎng)商的各種專(zhuān)業(yè)工具和平臺(tái)啟動(dòng)更高維度的自我監(jiān)督。

其四，對(duì)于其它不確定的風(fēng)險(xiǎn)盲區(qū)提前做個(gè)人風(fēng)險(xiǎn)評(píng)估，特別危害是涉及國(guó)家安全層面高度的。

其五，制定短期防踏雷措施和長(zhǎng)期防踏雷措施。

其六，要想徹底長(zhǎng)治久安，注意借助審計(jì)很重要。

作者：李宗仁；公眾號(hào)：雷鋒網(wǎng)

原文鏈接：https://mp.weixin.qq.com/s/VGgsHUnGFy142MiS5c4chQ

本文由 @雷鋒網(wǎng) 授權(quán)發(fā)布于人人都是產(chǎn)品經(jīng)理。未經(jīng)許可，禁止轉(zhuǎn)載。

題圖來(lái)自 Pixabay，基于CC0協(xié)議。