個人信息保護和網絡安全之思

數字時代的個人信息保護至關重要（圖/視覺中國）

工信部從2019年開始，對 App、網絡安全上的個人信息安全管得非常嚴格，去年陸續檢查和強制下架了不少App。本期邀請兩位律師，就個人隱私保護、互聯網的App技術以及生活數字化轉型過程中關于個人信息保護和網絡安全問題，以及未來一些法律上的彌補，談談想法。

現在各個消費場所的App算是面面俱到了，生活中給予我們很大的方便。甚至有些地方連手機都不用帶，有面部識別，購買東西或進行其他消費都非常方便。但是任何事物總有兩面性，相對應的一面就是它在這些消費場景中收集了消費者的個人信息，有些是必要的，有些是不必要的。而且在收集消費者信息過程中，它可能會強制性要求消費者選擇同意或不同意，當必須要進行某個消費的時候，消費者實際上沒有太大的空間去選擇不同意。在這種情況下，我們就會不情愿地被收集信息。從這兩年一些事件可以看到，有些不必要的信息被收集后，又通過其他途徑進行流轉，甚至被轉賣。App等程序在給我們帶來便利的同時，也給我們的生活造成了困擾，對個人隱私，甚至是家庭成員的隱私泄露和安全都造成隱患。所以對于個人隱私保護，我認為還是需要加強和細化，出臺一些更具有可操作性的制度。

我想從另一個角度談談關于消費市場各類App對生活的影響。消費市場App的出現，在培養消費者行為習慣、為生活提供便利的同時，也在更深的維度和廣度上改變了傳統的就業習慣，形成了新的社會群體，這種改變是顛覆性的。以外賣平臺為例，每一單交易完成的過程中，個人信息不僅沉淀在App平臺，平臺上提供服務的個體也是信息采集的端口，如何采取更加完善的信息監管方式，更加合理地界定App生態鏈中的各方責任邊界？如何建立更加完整的法律體系？這些都是我們應對未來個人信息安全問題的挑戰。

沒有App之前，我們的個人信息也有人不斷在收集，但效率不高，沒那么精準和廣泛。自從有了App，它的數據挖掘和算法，對原先的信息獲取方式和利用產生顛覆性。這樣的隱私策略如果成為主流，對原先很多靠著數據挖掘來生存的互聯網企業影響自然巨大。兩位有什么具體看法？

這個方面大家都非常關心，每個人都覺得整個人都是數字化的了，這些數字化的信息，提供給誰才安心、才放心？在這種存在較大未知的情況下，雖然信息已經流出很多，但是我希望還是盡量減少個人數據信息的流散。現在手機廠商對用戶信息的收集，趨向于從精準到模糊，如果收集的信息相對模糊，對于所謂熟客的推送，就不會很精準。比如模糊的個人信息只能識別到我的存在，但不知道我之前的消費習慣，可能會推送一些與我無關的東西，這是模糊推送，對于我還是會有負面的影響。另外一家做聊天工具的巨頭也有相應的嘗試，這家公司會提高信息收集的保護級別?，F在大的平臺性端口，就在屈指可數的幾家巨頭手里，平臺上中小型參與者全都要通過他們來鏈接客戶。那么對于接下來這些新進入平臺的企業，平臺對他們的經營會不會造成限制和影響？對于消費者是不是一件好事？還是說更多的資源都會控制在一些寡頭企業的手里，形成對客戶信息和交易鏈接權限的壟斷？

延續陸律師講的問題，整個電商系統的業態就是一個生態圈，或者是一條完整的生物鏈，每一個要素都在這個圈里或者在鏈條上扮演一個角色，他們的商業地位、盈利點不同。為什么手機廠商有能力去做這樣的嘗試？因為與提供內容的商家相比，手機廠商是分發端口，只要達到一定的市場份額，優勢地位就非常明顯。不管是IOS系統還是安卓系統的App，從技術層面講，都是可以通過嵌入帶有跟蹤器的代碼，通過讀取用戶的位置信息、支付信息等個人信息來形成用戶畫像，這個背后隱藏的商業利益主要是廣告商的精準推送需求。手機廠商改變隱私策略，關鍵詞有兩個：第一是去標識或者匿名化，第二是本地數據處理。這樣的隱私政策，從大方向來講，它的價值取向還是正向的，因為它可以最大限度實現用戶手機的本地化數據處理。當它沒有跟蹤器的時候，或者它盡量去屏蔽跟蹤器的時候，用戶的數據沒有個人標識，在手機里面只是一個無特征的代碼，可以最大限度降低被定向推送廣告、泄露個人敏感信息的風險。但是從另一個角度來講，手機廠商做這件事情，并不是完全忽視廣告商的需求，他是用另外一種技術手段讓廣告商也能看到廣告推送的實際效果，仍然可以量化評價，但不再通過嵌入跟蹤器代碼的方式。雖然目前的改變是否能提升用戶體驗，或者到底有多少用戶接受還是一個未知數，但慢慢形成這個習慣或者意識后，我相信其可能會引領一部分的行業規則。

作為一個用戶，比較關心隱私政策，確實有很多的信息不必告訴網絡的運營層。如果將來這成為主流，兩位覺得會對我們的生活產生多大的影響？

對個人也許是好事，我們可以遠離“楚門世界”。正如剛才陸律師所言，你可能瀏覽一個廣告，它會對你進行分析，包括瀏覽過的一些購物網站，隔段時間再用另一個搜索引擎去搜東西，都會跳出類似這種導向性的東西，這是個問題。但對于一些本身不創造現金流、對廣告收入比較敏感的電商業態，短期一定會受到影響，如何適應變化，對他們而言是比較有挑戰的。

作為法律人，手機廠家的隱私政策直接在社會上產生巨大的變化，甚至于它在創建自己產品使用規則的同時，我感覺有一種立法的意味，重建新秩序。像金律師和陸律師日常工作中，作為涉及這些數據或者個人信息的企業，尤其是互聯網企業的法律顧問，現在遇到哪些法律服務需求呢？

這個行業有存量市場，而且需求在不斷增加。但是我感覺，第一，數據合規、法律服務產品化還有很長一段路要走;第二，企業真正遭到監管處罰的不多，我們看到最近這種處罰都是很有代表性的，或者是大的商家，所以整個行業在這一方面的法律風險意識并不強。但是，我們在為電商企業提供日常法律服務的同時，還會涉及資本市場的相關業務。以投融資為例，只要做App的企業，都有電子商務的基因存在，多數企業都是依靠持續不斷地融資，不停地去做流量、做客戶，這個過程中如果出現了違規處罰，是會出現杠桿放大效應的。早期創業企業違法成本較小，整改成本也較小。當一家企業完成A輪、B輪融資，商業模式日益成熟，再整改的話成本會非常高，風險也會因為規模和體量而放大。另外，近期提交IPO申請的、涉及數據業務的企業，數據合規已經成為反饋的必答題。

所以，回到法律服務需求上，一方面，多數電商企業都有日常合規的需要，例如隱私政策、用戶協議等基礎文件中的個人信息保護條款的審閱、起草和修訂，特別是從事接觸個人敏感信息的大健康、在線教育等相關業態的互聯網企業。另一方面，我們需要考慮如何協助企業建立合規體系的問題。個人信息保護的合規管理，需要在企業形成完整的管理流程。以客服為例，在接到投訴后，如何第一時間做出合理的反饋，用怎樣的溝通方式解決問題，這些都需要培訓，這就是合規管理體系中的一部分。

不管是互聯網還是這些靠數字、數據的企業，整體發展是非常繁榮的。之前，在沒有太明確規則的情況下，大家的做法多少有些問題。現在規則越來越明確化、明細化、可操作性更強，有些事情肯定不能再做了。在這種情況下，企業對于法律服務的需求可能會顯著地顯現，因為原先他意識到違法也有成本和風險，但是很模糊，而現在違法成本和風險被清晰地展現了?；ヂ摼W和相關行業發展到現在，不管是普通的消費者，還是這個行業內的從業者，或者是已在某些領域形成了幾家頭部企業的這種行業，大家都想把這個規則定下來，期待一個合理穩定的預期。在這種情況下，對于法律服務的需求應該會凸顯出來。對于這些新進入市場的企業而言，我認為可能缺少對這方面法律知識的輔導，畢竟有些法律這兩年才剛制定出來，這些“新人”即使看到了，也會錯誤地覺得法律規定主要是約束大企業的，與其初創的小微企業關系不大。從整個律師服務的角度來講，可以組織更多的普法活動，通過活動點醒這些行業的從業人員、企業，告訴他們現在的制度已經明細化，規則制度都很穩定，某些動作、某些行為，絕對不能做了，否則后果很嚴重。

田律師剛才講到的數字化轉型，去年確實有做傳統制造業的廠商想聘請律師提供相關的法律服務，這是產業轉型中的一種典型需求，市場很巨大。但行業機會背后意味著搶占市場和重新洗牌。數字化轉型相關的法律服務對專業度要求很高，我們要把握這樣的機會，把業務做深做扎實，既要有非訟的精細，也要有訴訟的實戰。

所以對于數字化服務的合規體系，一是要管住App的所有者，因為它是在這個平臺上提供服務的。二是要管住做App的人，因為他是可以讓App做好、做強，或者做差、“作惡”的頂層設計者。所以兩位律師對于這個合規體系有什么建議？

這個問題有點難。合規體系無非是法律、制度和人。從法律層面來講，2021年6月，第十三屆全國人民代表大會常務委員會第二十九次會議通過《中華人民共和國數據安全法》（以下簡稱《數據安全法》），《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）實行也只有三年多的時間，2021年11月1日起，《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）也正式施行。這三部法律維度不同，《網絡安全法》專門針對網絡。我們今天聊的個人信息這塊，實際上無論是《個人信息保護法》還是《數據安全法》，都不僅限于網絡。所以我認為，這三部法律如果全部落地，再加上《民法典》，可以覆蓋整個法律外圍的框架。主持人問的這個問題有點大，擴大到整個合規體系，我還停留在企業維度。

金律師可以先談談企業這個維度，個人覺得，可能跟律師更緊密。企業有需求，我們作為法律顧問，會遇到的痛點和難點是什么？

第一，電商企業在這方面愿意花的成本不高，企業預算普遍低。第二，從個人的從業體驗來講，多數有電子商務基因的企業，從業人員去理解合規問題、執行到業務端，并不像法律人想的那么簡單。多數電商業態，是微利追逐薄利，靠速度去贏得空間。所以在這個狀態下，從個人親身服務體驗來講，我看到的痛點就是電商企業是不是有人，能夠把合規管理落地執行。換句話說，我可以幫合規體系建立完整的制度，但是當它出現風險點時，是否能按照我給它設定的路徑一步一步走下來？所以落實到企業，第一點，人是挺重要的。哪怕是兼職，企業里也要找到一個可以與律師進行互動和溝通的人，而且要與外部律師無障礙溝通，要設這樣的崗位，福利待遇不能省，因為這關乎企業未來兩三年的發展。

所以，在數字化轉型浪潮中，催生了新合規市場，很有意思。將來可以考慮團結更多的律師，大家共同往這個方向走，把這片藍海做起來。當然，這也是在數字化轉型浪潮中我們法律服務暴露的短板或是現在網絡、數據領域法律的短板和痛點，每個律師、事務所在開拓這塊業務時也都在摸著石頭過河。期待今后有更多律師參與交流分享，就這個領域從業務到市場到學理，進行更多更廣泛的交流。

（本文系嘉賓個人觀點。本文未經許可嚴禁轉載）

錄音整理：許倩

編輯：夏春暉? 386753207@qq.com