《个人信息保护法》自2021年11月1日实施起,已届满三年。三年来,个人信息保护取得了哪些进步?哪些新问题值得关注?面临哪些新挑战?普通消费者在哪些场景下最容易遭遇个人信息泄露?消费者如何通过简易途径确认个人信息受到侵害……

围绕着上述问题,澎湃新闻近日专访了上海市消保委副秘书长唐健盛。他指出,个人信息过度收集意味着商家可能过度掌握消费者个人信息,这些信息可能被用于合法的商业推广,也可能被用于非法目的。他强调,数字经济时代,个人信息的运用不能片面追求安全而忽视效率,也不能只注重效率而不顾安全。

精准推送背后隐藏了“大数据杀熟”和“信息茧房”现象

澎湃新闻:对于普通消费者而言,日常生活中哪些场景最容易遭遇个人信息泄露?当前个人信息安全面临哪些新挑战?

唐健盛:个人信息泄露的情形大致可分为两类,一为不法分子的行径,比如电信诈骗、短信网址钓鱼等手段。二是存在于正当商业活动的某些现实场景。这两类情形均与消费者的个人信息紧密相连。以消费者日常接收的短信为例,大量以106开头的短信起初多为垃圾短信,而如今已演变为有害短信,它们不再仅仅是骚扰性质,很多短信中包含网址链接,这类链接极易实施钓鱼行为,导致不少老年人在不知情的状况下被开通增值包。

从商业角度来看,由于当下流量成本日益增加,商家为了获取更为精准的用户画像,实现多平台数据的相互关联与整合,消费者浏览各类网站时,无论是微信还是其他健康类购物类服务类网站,都会收到依据个人信息精准推送的广告。这些广告的背后其实是企业收集大量消费者个人信息后,描绘出用户画像,进而开展精准营销。个人信息过度收集意味着商家可能过度掌握消费者信息,这些信息可能被用于商业推广,也可能被用于非法目的。

商家掌握过多消费者个人信息后,向消费者实施的所谓个性化推送可能会造成信息“孤岛”,消费者收到的都是定制化的片面信息,知情权与选择权被严重弱化。

澎湃新闻:个人信息保护法实施已经有三年,个人信息保护问题颇受社会重视。您认为当前个人信息保护哪些问题值得关注?

唐健盛:个人信息保护法实施三年来,整个社会对个人信息保护的重视程度持续攀升,无论是政府层面还是其他各方,个人信息保护的制度建设也有不同程度推进。

我认为,当前个人信息保护较为突出的问题集中在收集环节。正如那句广为人知的“没有买卖就没有伤害”宣传语,因为数据具备变现价值,变现能力越强越会在个人信息处理的前端产生更强的驱动力。许多企业收集信息后虽然会进行一些合规处理,比如对姓名、手机号等信息进行脱敏,但在实名制的用户信息库背景下,借助多种数据库穿透技术,能够在极短时间内将信息还原对应。

精准推送是目前商业运行的必然需求与趋势,然而它的背后却隐藏着因个人信息安全问题引发的大数据杀熟和信息茧房现象。近期,四部门联合发布《关于开展“清朗·网络平台算法典型问题治理”专项行动的通知》,重点针对同质化推送所营造的“信息茧房”、违规操纵干预榜单炒作热点、盲目追求利益侵害新就业形态劳动者权益、利用算法实施大数据“杀熟”、算法向上向善服务缺失侵害用户合法权益等关键问题展开整治。可见如何让算法技术向上向善,是所有人的共同期待,也是事关社会稳定、经济发展的重要课题。

“不能片面追求安全而忽视效率,也不能只注重效率而不顾安全”

澎湃新闻:当消费者怀疑个人信息受侵害时,有哪些简易途径可以初步判断和确认?

唐健盛:当消费者察觉到所接收的信息均是针对自身特征推送,或者接到陌生电话时,对方对自己的情况了如指掌,又或者遭遇跨平台关联的精准推送时,基本可以判定个人信息已经泄露。因此,很有必要加强相关宣传普及工作。

澎湃新闻:消保委在处理消费者个人信息受侵害的投诉中,发现哪类企业的问题最为突出?数字经济时代,个人信息应用场景持续扩大。您认为,目前还存在哪些突出问题待解?

唐健盛:回顾过往,上海市消保委2018年便开展手机App权限测试工作。智能手机现在已成为最为关键的消费入口,各类个人信息从收集、转化直至最终的应用落地,都是在智能手机这一载体上完成的。所以,上海市消保委将重点聚焦于以智能手机为入口的个人信息保护领域,在处理消费者个人信息受侵害的投诉中,也着重关注这一领域企业存在的问题。

数字经济时代,个人信息的运用确实能够提升经济运行效率以及消费者的关注效率,然而过度使用也会引发风险,这就如同双刃剑。因此需要从具体的消费场景以及数据使用的实际情况出发,在确保数据安全且能够有效使用的前提下,秉持积极的态度。不能片面地追求安全而忽视效率,也不能只注重效率而不顾安全。所以首先需要重点考量效率与风险的平衡问题;其次是个人数据与算法相结合过程中的规范问题。这两大问题是当前数字经济时代在个人信息保护方面需要着重关注并持续探索解决的关键所在。

要为“亮剑浦江”专项执法行动点赞

澎湃新闻:对滥用人脸识别说“不”是“亮剑浦江·2024”专项执法行动聚焦的重点应用场景,您对此如何看待?

唐健盛:对人脸识别技术的应用,上海秉持审慎态度,倡导非必要不使用。确需使用的,必须提前告知关系人并获得同意。实际上,通过研究我们可以发现,除极少数特殊场景外,绝大多数场景中的人脸识别可以由其他方式替代。

例如为防范“黄牛”倒票,使用身份证验证同样可以达到目的。再比如上海此前曝光的游泳池更衣室采用人脸识别开启更衣柜的案例,游泳馆为防止一卡多用采用人脸识别技术验证用户信息是否匹配,这一做法存在严重问题。主要表现为人脸识别的摄像头位于更衣室内部,除了拍摄面部信息外,还会涉及其他隐私。

澎湃新闻:基于上述问题,我们在消费者个人信息保护上有何优化路径和具体对策?您认为上海市网信办开展的专项执法行动有何积极意义?

唐健盛:“亮剑浦江·2024”专项执法行动继续秉持了“社会治理”理念,推进个人信息保护工作,并非单纯的政策执行,而是涉及网信办、相关政府部门、消保委、行业组织、企业以及消费者等多主体的系统性社会治理工程。

相较于单一的执法行动,这种社会治理模式优势显著。通过参与专项执法行动,我们深刻体会到执法行动更加注重落地成效和构建长效机制。

专项执法行动从长远视角来看是更为优化的解决方案,它借助社会治理模式对产业链与生态进行重塑与再造。在此过程中有诸多落地举措,例如这次专项执法行动即将首次推出“工具包”“服务包”“体检包”“护身包”。通过释法、指导、评估、保护四个层次,建立个人信息合规利用立体化、集约化管理框架与工具。相关举措的目的在于引导整个生态系统朝同一方向努力。