曲子龙:简单解读一下今天的《个人信息保护法》。

业界 作者:阿鳅 2021-08-20 16:07:02

个人信息保护法颁发后,一些创业的兄弟们对这块合规存在一些疑虑,从我个人角度给大家做一下简单的解答,完全是我基于这十多年的复杂工作经验给出个人理解,非官方答案,供大家参考。

不得过度收集个人信息

首先先明确一下,什么是个人信息?其实用户在互联网平台里的一切围绕:

姓名、出生年月日(年龄星座)、身体数据(身高体重三围)、身份证、地址(公司或家庭各种收货地址)、手机号、账户密码、邮箱等都是个人信息。

这句话的重点不是“不得”而是在于“过度”,颁布了法律后对于企业正常的用户信息收集仍然是可以收集和使用的,但是相比原来野蛮发展期,肯定要多了一系列的标准,可以收集哪些?怎么样使用?

正常的业务里大家都懂,如果超出这个范围,那对于企业最好的合规方式就是应当去建立一个“用户个人信息使用”相关的告知书,告知书中应该明确标注以下几点:

1.平台收集了哪些个人信息;
2.对应收集到的这些个人信息的目的、用途以及使用范围(会否提供给第三方); 
3.如果禁止这些个人信息的收集和使用,对应会产生的后果; 
4.最好还要补充一下平台是如何保护这些个人信息的举措;
5.要明确提供出修改、禁止、禁用授权的相关入口及解决方法;

建议把这些信息在经营平台明显处主动公示,同时把它作为“用户许可协议”的附件,添加到用户须知的流程

不得非法买卖提供公开他人个人信息

收集都很慎重了,不能买卖肯定是自然的,不用说都知道买卖他人信息从始至终都是违法的,只是以前这个应该归属到《刑法》中 :

“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”(2009年颁布)后面改为“侵犯公民个人信息罪”(2015年颁布)范畴。

原“非法获取公民个人信息罪”规定:
《中华人民共和国刑法修正案(七)》:第二百五十三条规定“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。” 

“侵犯公民个人信息罪”规定:
《中华人民共和国刑法修正案(九)》:十七、将刑法第二百五十三条之一修改为:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
“违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
“窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
“单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”

而现在这个直接归类到了《个人信息保护法》。

不得进行大数据杀熟

大数据杀熟并不是一项法律标准,而是“个人隐私”信息滥用的其中一个场景,10块钱的东西不管卖给谁都应该10块,而不能通过滥用个人信息,算出来这个人比较“有钱”经常出入高档场所,所以卖给他20块!(不能自动化决策,也不能在价格上区别对待)

没立法之前只能骂这个企业太损了、没有道德,现在是以法律来保护公民权益,其实本质还是对个人信息保护的场景延伸!

这个延伸不止于此,基于大数据画像的精准广告推荐、短视频平台的基于兴趣的内容推荐,其实也都会存在“大数据自动化决策”这个边界区,如果有这样的业务也一定要特别获取一次授权。

公共场所安装图像采集等设备应设置显著提示标识

以前说人脸的使用 ,可能大家想到的场景都是公共场所在大街上拍照是否构成侵犯“肖像权”的问题。

未经本人同意,不得以营利为目的使用公民的肖像,这里来界定“肖像权”,互联网快速发展,只通过记录数据但是没有直接盈利是否侵犯呢?这块一直存疑的。

今年315的时候我们也跟着媒体曝光商家利用人脸识别来分析客户的这条不正当的商业链条,这个问题也是无法对应法律来处理的,《个人信息保护法》的推出,其实把这里会更明确了:

公共场所安装图像采集、个人身份识别设备必须放置明显“标识”告知你在收集人脸信息,同时收集的个人图像、身份识别信息只能用于维护公共安全的目的,不能用作其它用途!

其它问题

除了上述我们提及到的“人脸”加入了《个人信息保护法》外,其实围绕这个用户的相关信息可不只如此,个人的生物指纹、就医的医疗档案、银行卡账户、数字货币账户、个人的出行数据(打车飞机酒店)应该都纳入了个人信息范畴。

所以以后不管怎么做产品,按照我说的流程,基础的个人信息内容通过平台“隐私许可条款”进行公示,让用户主动勾选许可条款进行授权的获取。

非常规的数据、涉及到过于敏感的,建议在业务使用之前单独再提示一次需要获取XX数据、用于XXX用途才能完成这项业务的使用,让用户主动授权并选择是否继续使用,一定会成为一个标准流程。

除了这些,用户的“被遗忘权”也要提起重视。

按法律法规要求互联网平台必须要提供“注销”账户的入口及流程,按正常的情况很多企业没注意到可能是通过“逻辑删除”的方式删除,数据库里还存着客户资料,这块如果真的细究肯定还是违规的!

那很多人想到的可能就是那我“物理删除”是不是就合规了?其实也不是!因为这个还关联了网安相关法规要求,你要留存日志的,如果一个人在你平台犯罪完跑了,还注销了账户 ,那你一样不合规。

所以最好的方式有两种,用户注销时逻辑删除半年后再物理删除,还有一个办法就是用户注销时先创建一个用户删除账户的日志,把用户的账户逻辑删除,但是用户的敏感操作日志作为日志数据留存。

但不管哪一种也都要告知日志会存储X年,用于XXX用途。

个人如何保护自己的隐私

之前就给好几个媒体的采访上表达过:


  1. 建议广大网民尽可能少地在第三方平台提供自己的隐私信息;
  2. 如果某些APP只是临时使用,建议用完后删除或卸载APP应用之前,先在平台注销自己的账号;
  3. 安卓用户尽量从大一点的应用市场来安装APP,不要安装第三方不明来源的APP;
  4. 对于长期使用的APP,要有好的密码习惯,定期对常用APP的密码进行更改;尽量不要在公共网络使用不明来源的wifi;


其它的就真的要靠法治来维护了,对于这之外的问题欢迎留言探讨,有问必答,对于有完整安全合规诉求的企业,也可以通过选择我们KNOWSAFE的服务,我们可以为你量身建立完整的安全方案。


关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接