当大数据遇上个人隐私去年12月

文章图片

文章图片
去年12月，一位“头盔哥”在网上一夜爆红——为避免自己被售楼处的人脸识别系统采集到、受到电话推销的“轰炸” ，他索性戴上头盔，把脸挡个严严实实。
现实中，让人无奈的却是，即便用头盔把脸挡住，却依旧挡不住个人信息被手机里无数个App厂商自在地采集和流通，在数字经济大潮下，许多人都在被迫“裸泳” 。
为保护个人信息安全， 8月20日，全国人大常委会会议表决通过了《中华人民共和国个人信息保护法》，该法将于今年11月1日起正式实施。这部维护个人信息安全的专门法律，明确了“不得过度收集个人信息”“禁止大数据杀熟”“保护人脸信息等敏感个人信息”等内容，为个人信息罩上了“金钟罩” 。
而对于快消、零售、医疗健康、金融、互联网、物流等处理大量个人信息的行业而言，当“隐私”遇上“大数据” ，如何平衡商业利益和用户隐私保护的关系，成为企业亟须解决的问题
■本报采访人员张天弛
数字合规不含糊
怎样勾选用户协议才有效
当下，手机App过度收集个人信息使用似乎已成了一种“常态” 。工信部一则公开数据显示，今年上半年，工信部审查了76万款手机App ，其中，通报批评748款、下架245款，预计今年将完成180万款App的合规检查目标。
对违规违法的企业，《个人信息保护法》也明确规定了其法律责任：第一次责令整改；拒不改正的，并处一百万元以下罚款；再不整改的，情节严重者并处五千万元以下或者上一年度营业额百分之五以下罚款，甚至可吊销营业执照。
这一前所未有的高额罚款力度，对企业威慑力巨大，有力地推动企业加速数字合规转型。
什么是数字合规？数字合规是企业合规治理的一部分。在安永网络安全与隐私保护团队高级经理王伯铮看来，手机App在个人信息保护的合规风险点主要出现在以下四方面：一是违规处理用户个人信息；二是频繁、过度骚扰用户，获取过多的用户信息；三是欺骗诱导用户下载或获取信息；四是应用分发平台责任落实不到位，没有对App获取用户个人信息进行明确的提示。
那么，企业如何收集和使用用户个人信息才合规呢？王伯铮认为： “企业必须公开、明示收集和使用个人信息的目的、方式和使用范围，并且不过度收集信息。”
他进一步解释道，首先，一款App应该在官网、应用商店和App内展示其隐私政策，告诉用户其收集个人信息的目的、方式和使用范围。他举例说道，此前某快递App在收集用户的电话和邮箱信息时，只附上一行小字“若订单出现问题，我们将通过手机或邮箱方式联络您” ，“这就是典型的违反个人信息保护法的行为” ，王伯铮表示，这行提示小字不能替代隐私政策存在。还有一点需要注意的是，现在绝大多数App都会使用SDK（第三方软件开发工具包）， App内要将SDK对用户信息的收集和使用情况引渡至App的隐私政策里公示出来，否则也是不合规的。“例如，某App为用户提供的服务并不需要访问用户的手机相册，但其SDK需要相册信息，最终该App因未在隐私政策中提及需访问用户手机相册信息而被处罚。”
提起“勾选用户使用协议” ，市民萧先生就满腹牢骚，“有的协议用词太专业拗口，一般人如果不是静下心来一字一句抠，很难理解；有的协议则是冗长繁琐，根本没有耐心读完，但不勾选同意就不能下载或继续使用App 。”不少专业机构的调查也显示，大部分用户在下载App时，都没有真正阅读用户协议并理解协议内容是什么。王伯铮提醒，在申请收集个人信息权限时， App要以明显、清晰、突出的显示方式提示给用户，“不能缩小字体，用与底色相近的字体颜色，或用遮盖、调整透明度等方式，去模糊隐私政策。”他还特别指出，一些App登录默认勾选隐私政策的方式，也是违反规定的。