今天,个人信息保护法正式施行了。
虽然《个保法》只是个框架性的上位法,缺少具体执行条款,也许不会立即产生相关的诉讼,不过各大厂还是谨慎应对,比如微信,前几天就更新了iOS版本。
多了一个新的菜单(设置->隐私):
系统权限管理,把所有微信获取的权限列示其中。
个性化广告管理,更容易关闭了,看来这是针对之前那个隐藏的太好的关闭方法的彻底优化,因为《个保法》第二十四条明确指出:
“通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式”
其中“便捷的”是最后一稿增加的。
原来有媒体统计过,需要13个步骤,16次点击,而且有效期只有半年。
现在,通过个人信息与权限->个性化广告管理可以直接关闭。
当然,这不意味着你看不到广告,只是看到的广告不再是“精准”的。
除了广告外,搜索、看一看、视频号还有订阅号都增加了类似功能。
分别在看一看、搜一搜、视频号和订阅号的隐私设置中,可以方便的关闭。
最后个人信息浏览与导出,可以导出个人的基本信息,最有用的是历史登录设备,其他信息相对还比较简单。
根据之前有自媒体的测评,欧盟地区手机号注册的微信号,早就有了导出功能,而且可以导出个人账户、通讯录、朋友圈、收藏、位置与登录等较为丰富的数据。毕竟GDPR 罚起来真是狠。
这么看来,只要是业务做得够大,就很难避免GDPR找上门来:
反过来想,如果没被GDPR罚过,说明做得还不错,可以直接抄作业。
除了微信之外,其他大厂也有动作。
Apple 给大家群发了邮件:
刚刚被罚的富途:
前几天“跨境互联网券商被指“无证驾驶””,个人觉得,一方面是考虑跨境券商的业务特点,一方面也是考虑存在数据跨境的现象。
这不,29日,国家互联网信息办公室关于《数据出境安全评估办法(征求意见稿)》公开征求意见的通知就下发了。
之前《网络安全审查办法(修订草案征求意见稿)》是要求“掌握超过100万用户个人信息的运营者(关键信息基础设施运营者及数据处理者)赴国外上市的。”自行申请审查。
现在的《出境评估办法》则要求:
处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;
累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息;
都需要进行评估,可见范围逐渐收窄,执行愈加严格,在数据安全方面,金融行业应该是排头兵,之前整理了金融行业相关立法进程,供大家参考:
不过在普通用户隐私保护意识逐渐树立起来的今天,希望大家也能冷静判断,不要矫枉过正。
保护个人信息固然重要,不过,《个保法》的出台,更重要的是希望解决如何在大数据时代,“保证数据正常流通的前提下”更好的保障信息安全的问题。
因为,如果只是要保障信息安全,那么很简单,封闭一切数据即可。
即,个人不提供自己的数据,企业也不获取额外的数据,每个人都是匿名用户。
用户画像和标签无从生成,精准营销无的放矢,线上贷款两眼一抹黑,不敢提供任何授信,没有千人千面,更没有大数据杀熟,所有人看到的东西一模一样。
同时,没有用户信息,也就没有好友体系,没有积分体系,没有个性化设置,千人一面。
每次打车都要重复输入一个地址,每次购物要重新搜索上次那家还不错的店铺,每次看视频还得去找上次看了一半那个博主,每次背单词还得记住上次背到了哪……
可以看出,极端的保守和极端的开放,都是不合理的,现在的趋势,是有过度开放之嫌,但是我们首先要明确,不宜继续开放,但是也不宜完全封闭。
保障安全和隐私,也要保障数据流通,数据只有流通和交换起来,才能产生价值,这是整个互联网发展的基石。
因为目前的小贷公司和信用卡这块,都是默认逾期就爆你通讯录的,所以一旦不还钱,他们就会按照通讯录去打电话。
其实之前在一些通用法规都有规定个人隐私保护的条款,但是以前我们沿用的都是民法典、网络安全法的相关规定,而个人信息法这块首次明确要求了个人信息获取目的的正当性和合法性。
在这个法出来之前,其实我们是很头疼的。
因为我们是生产型行业……集团几万个工人,你能保证谁没欠个网贷,逾期个贷款?
结果就是公司前台电话被打爆,常年都是催债电话连环轰炸。
紧急联系人乱填,导致同事导师的电话被疯狂骚扰。
经常接催债电话的都知道,很多都是外包第三方甚至个体户,电话背景音里经常还有孩子的哭闹,有些就是生了孩子的接任务兼职。
她又没别的事,她一天和你耗着,你不还钱她让你全公司外面电话打不进来。
而在最新发布的个保法中有个很重要的基本原则:
在进行各种个人信息处理时,首先要遵守“告知-同意”原则。然后谈到企业可以不经个人信息主体同意收集和使用个人信息,但是也不能排除适用“告知-同意”原则,换句话说,就是你去借款,银行可以收集你的个人信息,但是你逾期了,也要遵守“告知-同意”原则去催收。
那么关键的地方来了,你授权了银行去获取你的个人信息,这个没问题的,但是你没有授权银行去使用这个第三人的信息,而且借款人也就是你也是没有权利授权银行去使用第三人的信息的权利!
也就是说,如果严格执行法律的话,当你逾期了,银行去联系紧急联系人或者通讯录里的人那就是属于违法行为。
当然这里面肯定是存在具体执行博弈的,只是说以前这块敞开打,现在肯定要三思你这笔钱值不值。
如果违反《个人信息保护法》的条款,将会承担以下的几项后果:
第六十二条:责令改正,没收违法所得,给予警告。警告后,绝 不改正的,处法一百万以下罚款;情节严重的,处五千万以下或者上年度营业额百分之五以下罚款,并责令暂停相关业务,停业整顿,通报有关主管部门吊销许可或者吊销营业执照。对直接负责的主管人员或其他直接责任人处十万以上一百万以下罚款。
第六十七条 违反本法规定,构成违反治安管理行为,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
顺带一提,今天前台没有接到任何催债电话,观察一段时间看是不是真的如此丝滑。
总的来说,是好的开始,希望能严格执行吧。
感谢提问者的邀请。恰好今天回答的一个问题与之相关,顺手再来答一下。
现如今,个人信息的泄漏已经成为常态,几乎每个拥有电话的人都接到过如下的骚扰电话:
但是我们好像又不能拿他们怎么样,你感觉自己被侵权了吧,但是又有一种维权无门的感觉。
《个人信息保护法》的出台,个人维权还是存在诸多困难:比如无法确定损失、损失金额过小维权意愿不强烈等等,但是本法的意义在于对信息管理的平台/管理者以警示作用,也表明了法律对于打击违规收集、存储、使用、加工、传输、提供、公开个人信息活动的决心。
正如本法第一条所言
第一条 为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。
《个人信息保护法》 | 《民法典》 | 《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》 | |
---|---|---|---|
姓名 | √ | √ | √ |
出生日期 | √ | √ | √ |
身份证号码 | √ | √ | √ |
住址 | √ | √ | √ |
电话号码 | √ | √ | √ |
电子邮箱 | √ | √ | √ |
健康(生理)信息 | √ | √ | |
行踪信息 | √ | ||
行踪轨迹 | √ | ||
通信内容 | √ | ||
账号密码 | √ | ||
财产信息 | √ | ||
交易信息 | √ | ||
住宿信息 | √ | ||
生物识别 | √ | ||
宗教信仰 | √ | ||
医疗健康 | √ | ||
金融账户 | √ | ||
不满十四周岁未成年人的个人信息 | √ |
正如《中华人民共和国个人信息保护法(草案)》的说明中所描述的一样,
对于个人信息的保护虽然已在逐步建立,但尚未形成体系,很难适应信息化快速发展的现实情况。
所以,我认为专门法(即《个人信息保护法》)的出台,重要意义之一就在于:串联各相关法、明确针对性、落实可操作性。
我认为最大的影响在于,本法细化了各职能部门的责任。据个人信息保护工作实际,明确国家网信部门负责个人信息保护工作的统筹协调,发挥其统筹协调作用;同时规定:国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作。同时,规定了相应的法律责任。
如:
第六十八条 国家机关不履行本法规定的个人信息保护义务的,由其上级机关或者履行个人信息保护职责的部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。
履行个人信息保护职责的部门的工作人员玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予处分。
这其实就要求相关机关要主动出击,审查信息管理的平台/管理者。唯有如此,也才能真正从根源上决解个人信息泄漏等相关问题。
以上,
我是 @孟三宝 ,坐标成都,一个追求把法律说的有趣的法律人。
关注我,不迷路。
隐私的历史是噪声与沉默的结合体。多数评论认为,“9·11”之前的数十年对于隐私而言无疑是中世纪,而在互联网诞生之前的几个世纪里,隐私更是湮没在了时间的迷雾中。 —— 《隐私简史》
在我出生的前三十年产生的技术都是理所当然的,我年轻的这三十年技术的发展都是创新,我老了的三十年的技术都是落后的。事实上,个人隐私保护的权利并非自古以来就有。在独裁和自由民主的划时代对抗中,隐私成了双方衡量进步与自身缺位的标准。隐私的权利,是独处的权利,是分割于传统公共管辖事务的一种定义。
对隐私的重视正是时代发展带来的进步。
古代,全家吃同一锅饭睡同一个炕,房间里几乎总有旁人,想要和某人单独谈话成为奢侈,个人与家庭的分界线还不明显,仅剩的私密活动也因为在新婚之夜后婆婆偷看换下的床单而告终;
近代,入室行窃被列为重罪,门的存在不仅具有物理意义,同时也具备着象征意义,门内所有,是我的隐私,门外是公共区域,这也是大家都讨厌父母不经允许进入自己卧室的原因;
现代,除开原本现实存在的事物,增加了更多虚拟资产的隐私,个人信用、犯罪记录、行为轨迹通过数字化的方式记录下来,而这些内容会给用户带来海量的麻烦。
每个人能够获取的信息和自身暴露的信息都在成倍增加,而涉及的用户对其几乎无从感知。在我们享有大数据便易的强大功效时,我们也向它输出着我们的反馈。
大众在战略上重视隐私,对所有使用的技术都要求隐私保密,不断夸赞着苹果、小米等设备的隐私保护性能好,但又在战术上对隐私十分轻视。
前段时间大火的交友配对箱,每个人都付费将自己的个人信息和联系方式投入配对箱中,等待另一位有缘人前来抽取,看似很合理的商业行为被不法分子拿来做为隐私窃取的手段。
一个木桶能装多少水,并不取决于最长那块木板,而取决于最短的那块木板,想装得更满,必须补最短的木板。
木桶原理解释了体系最薄弱的地方决定了整个系统的最下限,而现代用户很少建立起相关隐私保护的意识,导致无论反诈宣传再高明,骗子也会通过各种途径套取个人信息。隐私保护一环都不能掉链子。
我们的隐私比北极冰川消融得更快,技术的侵蚀速度超过了法律体系的保护能力。
我们认为隐私权包含两个主要方面:一是自身、住所、家庭与人际关系不受窥探的自由;二是信息的隐私,以及自由决定将那些自身信息与他人进行交流的权利。
但事实上对于第一方面几乎早已沦陷,自身、住所、家庭信息在发达的外卖、快递、打车业务中早已无所遁形,服务的终点即为家庭信息,包括个人电话、消费记录、家庭地址被几乎每家商店所获取。
为什么每天能接到不同商家的推销短信?
打开看看淘宝领券的时候关注商铺注册会员是不是需要个人资料授权。
为什么附近商铺去吃过一顿饭它也能给我打推销电话?
点单时小程序支付要调用个人手机号和微信授权。
至于人际关系,发达的社交体系与网络聊天交友软件更是琳琅满目。
一个群能关联几百人,一个人的好友关系能再关联几百人,点赞/评论信息能够关联两者的亲密度...... 基于关系的图谱能连接整个人际关系,甚至比自己还了解自己的交友情况。
无论时欢迎还是抗拒,历史的演进正在侵蚀着隐私,在任何时代、任何阶层中,个体隐私都要与其他欲望相权衡,结果往往输多赢少。
自印刷术发明以来,每一次通信革命都会产生过度的期许与恐惧。电话的普及用了一个世纪,而邮政系统从中世纪晚期就开始发展。纸质文件和卡片索引是从19世纪的装订式分类账目演化而来,是一种可以追溯到文明早期的数据存储和提取技术,而另一方面,大型计算机则预示着信息操作与存储方式的无法逆转的突变。在计算机公司的狂热气氛下,历史被遗忘,而未来被误读。
《个人信息保护法》的影响:
聊完隐私的背景,现在回归这条法规的具体内容。
有人说正式实施后就不会存在大数据杀熟等方式,其实也并非如此。
第四条:个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
《个人信息法》划定了个人信息的方面,其中并不包括匿名化处理后的信息。然而在现在深度学习模型中,算法往往是学会对整体特征进行归纳和训练,而并非是对单独的人指定策略。
抖音最近很火的就是去淘宝搜电饭煲,如果给你前三个推荐的是500+以上的产品,证明你就是淘宝认定的优质客户,其实这就是一种分类推荐的方法,针对每个类别提出相应的推荐策略,因此可以将数据匿名后集体训练,给这些数据打上不同的标签类别,当你的行为符合某种数据模式,就给你推荐对应标签的产品。
这篇 《Federated Graph Neural Network for Privacy-Preserving Recommendation》就在研究如何在不侵犯用户隐私的前提下对其进行推荐,其使用包含所有局部用户的 local user-item graph 信息。
每个人的局部图汇聚起来就能拼凑出整个 Global GNN,意味着并非需要完全的授权即可进行个性化推荐,因此匿名化后,个人信息依旧可以被企业照常使用。
信息泄露难溯源,隐私泄露成为常态,这位答主 @Serendipity 的回答其实展示了现代隐私计算技术发展的进展。
“绿水青山就是金山银山”,而个人隐私数据则是网络空间里的绿水青山。
小米的照明弹功能揭开了APP擅自访问、存储用户数据的黑手;IOS 也在最新版本提供了更完善的隐私追踪功能。
曾经粗放开发增长的数据时代已然过去,我们需要期盼更实用更有效的数据保护技术。
lokinko/Federated-Learning 整理过隐私计算中联邦学习方向的论文梳理,现在已经有200star了,希望这份list能够方便大家进行更深入的了解。
如果对隐私计算、数据安全感兴趣的小朋友麻烦点个关注 @lokinko,我会在专栏文章中更新一些专业文章的解读~专栏目前收录 58 篇文章,2200+点赞~
入门联邦学习教程: