数字经济时代,随着个人信息价值的凸显,个人信息收集乱象突出,个人信息泄露事件频发,个人信息滥用程度严重。当前,我国个人信息安全逐步呈现“问题频出-监管打击-安全平稳期-问题再次出现”的态势,黑客攻击、内鬼窃取、App过度索权等成为个人信息保护的难题。
首先,App强制授权、过度索权等问题严重。在用户安装App时,“请求获取位置权限”“请求获取通信录内容”“请求获取设备信息”等获取权限的要求接连弹出,依次等待用户予以放权。若用户不同意勾选,就无法享受相应服务。App公开隐私政策,明示需获取的各种权限和信息,本是基于尊重用户知情权的考虑,然而,用户的现实体验却与设计初衷大相径庭,甚至南辕北辙。
其次,一些平台企业以牺牲用户权益为代价,通过数据贩卖进行商业牟利。以巧达科技为例,其通过爬虫技术垄断了所有公开简历信息,且在未经用户明确同意情况下,共享给第三方,严重侵害用户的个人隐私权益,给用户的人身、财产安全造成巨大威胁。
再次,人脸识别技术滥用侵犯个人隐私。当前,人脸识别技术被广泛应用于生活各个领域,引发了用户个人隐私信息被过度采集和滥用的风险。不同于传统的信息数据,人脸识别生物信息具有唯一性、永久性与不可替换性,一旦被泄露就会造成永久性的泄露和损失,为个人隐私安全埋下极大隐患。
加强个人信息保护刻不容缓。国家层面,应加快个人信息保护立法和监管。一是建立健全我国个人信息保护的法律法规体系。目前,数据安全法和个人信息保护法仍处在草案阶段,配套下位法缺失,部分问题处于模糊地带,需进一步出台配套法律法规,针对具体问题制定相应解决措施。二是加快研究制定个人信息安全保护的相关标准。完善个人信息收集、传输、存储等数据全生命周期管理规范,研究制定个人信息分级分类标准,区分可使用、可交易的商业数据信息和不可使用、不可交易的数据信息,明确相应级别的保护措施。三是加强个人信息保护监管。持续推进App违法违规收集使用个人信息专项治理,创新监管手段,引入第三方检测评估和认证监测机制。
企业层面,应规范个人信息安全管理。一是重视隐私条款政策的制定和规范性。以浅显易懂的表达方式,明确告知用户企业收集个人信息的类型、目的及使用范围;为用户删除数据、注销账户提供渠道;建立用户反馈投诉入口以及争议解决机制。二是夯实企业个人信息保护责任。将个人信息保护理念融入企业运营管理全流程,在产品及服务设计阶段进行风险检测,将必要的隐私设计纳入产品及服务的最初设计之中,并定期开展个人信息安全影响评估,根据评估结果采取适当措施,降低侵害个人隐私安全风险。三是管理和技术手段结合,保护用户个人信息。积极探索个人信息安全防护的新技术、新手段,进一步加强防攻击、防泄露、防窃取的监测、预警、控制和应急处置能力,以更好地应对云计算、人工智能等新技术新业务带来的个人信息保护挑战。
个人层面,应提升个人信息保护意识。了解隐私政策、关闭非必要权限、加强对个性化标签和定向推送的管理等,降低个人信息泄露风险。学习民法典、个人信息保护法、网络安全法等法律,在发现个人信息泄露或违法使用行为后,投诉举报个人信息违法违规行为,依法维护自身权益。(刘权)