《信息安全保护法》生效后 个人信息“同意授权”需谨慎

11月1日，《个人信息保护法》正式实施，同此前的《数据安全法》、《网络安全法》共同组成数据保护领域的“三驾马车”，数据信息保护进入一个新的时代。

个人信息为什么时有泄露？

据《中国互联网络发展状况统计报告》的数据显示，截至今年6月，我国互联网用户已达10.11亿，互联网网站422万个，应用程序数量302万款。移动互联网的普及及使用，应用商店上架使用的APP数量变多，随之而来的是越来越多的违规收集使用个人信息。

《个人信息保护法》正式实施后的第二天，11月3日，工信部通报38款违规APP，涉及超范围索取权限、过度收集用户个人信息等问题，多家APP在列且被要求限时整改。

那么，什么样的信息属于个人信息？什么样的个人信息易被收集和交易？

根据《个人信息保护法》第四条规定，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

数字认证研究院院长夏鲁宁认为，有三类信息是属于易被交易的个人信息，第一类是可以联系到自然人的信息，比如手机号、社交账号等； 第二类是可以标定自然人的信息，比如身份证号码、住址等；第三类是对推销或诈骗有背景作用的信息，比如购物倾向、病史等。

对于个人信息保护的难点，夏鲁宁说道：“《个人信息保护法》规定：处理个人信息的目的、方式和信息种类，要显著、清晰易懂的告知用户并获取同意。但是在实践中，告知和同意是一件不易界定的事，比如用户很难举证自己在未知的情况下被后台自动标记为同意。此外，对于个人信息处理者执行处理行为的限制，在技术方面是很难的，例如在采集时没有告知会用于某种处理，但实际用于了。执法机关只能在事后发现了对违规的处理者进行处罚，但是事前事中很难控制其行为。”

另外，他还提出，“个人信息保护的技术和管理难易程度，取决于个人信息被合法利用的复杂程度。某个人信息处理者使用个人信息的用途越精细、越复杂，在保护个人信息和便于使用上就越难于均衡。”

对于个人信息易被泄露的问题，网宿科技副总裁、首席安全官吕士表表示，“个人信息与经济利益密切相连，因此个人信息泄露时有发生。且个人信息保护难点还有很多，比如利用个人信息推荐算法的透明度，合理性都还没有准确的界定方法。”

如何保证个人信息安全？

针对快递和外卖面单、APP和小程序等过度收集个人信息和人脸识别系统等个人信息保护中的热点难点问题，数牍科技副总裁姚雪洁表示，根据《个人信息保护法》，收集个人信息，应获得用户知情同意，并且限于实现处理目的最小范围，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，如果消费者不同意，应提供不针对其个人特征的选项或提供便捷的拒绝方式。

针对网络用户质疑的现实生活中“一揽子授权”“强制同意”等问题，个人信息保护法规定，不得以个人不同意为由拒绝提供产品或者服务，并赋予个人撤回同意的权利，在个人撤回同意后，个人信息处理者应当停止处理或及时删除其个人信息。

“原则上我们认为服务提供方会按照平台隐私保护协议条款的要求对我们的个人信息进行保护，但现实生活中平台数据泄露的例子时常发生，因此需要有专门的监管机构定期对服务平台进行合规审查，重点审查数据安全性。从技术上，可通过数据库审计、应用API接口监测与审计等手段进行合规审查。尤其应重点审查平台对外的数据接口是否符合安全性要求等。”姚雪洁说道。

针对个人信息保护，吕士表提出，个人信息保护应贯穿信息流动的全过程，包括风险识别、安全防护、检测评估、监测预警、事件处置等方面。相关技术手段有身份认证/识别、数据审计、防火墙、入侵检测、漏洞扫描、隐私计算、访问控制等。

随着数字经济的快速发展，数字生产要素在经济发展中的作用越来越突出，数据的流通和使用过程中与信息安全保护之间的矛盾也随着显现。

ISACA中国技术委员会主任蔡俊磊认为，“技术是解决这些矛盾的主要手段，但现阶段相关从事人才需求较大，人才紧缺。有了合规驱动的因素，有法律的要求，可以使得我们从事数据隐私安全保护的人有更多的理由去跟董事会和管理层沟通，投入更多的资源去开展数据保护的工作。”

夏鲁宁表示，“保护个人隐私信息是一件需要多方共同努力的事，除了加强技术手段和法制监管外，个人对信息保护的警惕意识、社会或商业组织对个人信息警戒意识也要同步加强。”

相关行业机遇和挑战在哪里？

随着《个人信息保护法》、《数据安全法》、《网络安全法》逐渐落地实施，数据保护领域的“三驾马车”已经展蹄，在数据信息安全保护上罩上“金钟罩”，相关行业面临新的挑战，与此同时，也催生了新的行业生机。

安恒信息高级副总裁、首席科学家刘博认为，“个人信息保护法的实施，对全行业来说都是利好，对于从业者来说，有法律划清红线，可以明确业务范围，在适当的规则内开展自身业务，更加有利于各行业的良性长久发展。”

个人信息保护法出台后，增加了个人信息买卖交易的违规成本，私下买卖个人信息的行为将会被尽可能的遏制，以保证相关行业中消费者的个人信息私密性，让消费者可以放心办理业务和消费。

在新的机遇方面，吕士表认为，法律法规的强监管之下，利好的行业主要是网络安全行业，其中涉及的产品或服务有安全评估、数据脱敏、数据防泄漏、数据库审计、堡垒机、数据库防火墙等产品。

夏鲁宁认为，“对于数据和信息安全的强监管，第一是利好涉及数据安全保护服务和数据安全技术等相关企业； 第二是从事新型数据保护技术（如隐私计算）研究与产业化的相关单位；第三将利好安全咨询业和相应的测评业，因为个人信息处理者对于数据和信息安全保护的意识逐渐提高，对于信息安全保护技术和风险评估、咨询等产品的需求就会加大。”

在挑战方面，刘博表示，企业根据规模大小、服务性质、技术水平等面临不同监管程度。《个人信息保护法》特殊规定，一是对于处理个人信息达到国家网信部门规定数量的个人信息处理者；二是对于境外个人信息处理者，要求在中国境内设立专门机构或者指定代表；三是特定情形下应当进行个人信息保护影响评估，主要是一些高风险情形，包括处理敏感个人信息、自动化决策、委托处理、向他人/境外提供、公开个人信息等；四是规定了“守门人”义务，对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者（可以理解为“守门人”或是大型互联网平台）还应当履行更高水平的义务，要求成立外部独立监督机构、制定平台规则、阻断违法活动、定期发布履责报告等。

“对于打车软件、运营商、电商平台、金融银行、学校教育机构、互联网平台、APP开发商、跨境电商、跨境公司和商家等等，这些个人信息数量巨大的行业将会面临更严格的监管。”刘博说道。