经济观察网 曹妍/文 “我们依据最新的监管要求更新了淘宝网《隐私权政策》。”
11月1日,用户下载淘宝App后,页面会弹出关于最新《隐私权政策》条款,涉及信息收集及使用、对外提供信息、信息的存储、未成年人保护等内容。
淘宝最新《隐私权政策》
上述政策调整是针对当天正式实施的《中华人民共和国个人信息保护法》(下称“《个人信息保护法》”)。法案经过三次审议,加强保障个人在信息收集、存储、使用、加工、传输、提供、公开、删除等环节的“告知-同意”原则。
伴随法案的公布及落地,互联网成为直接受到影响的行业。光大证券在研报中指出,《个人信息保护法》对标欧盟 GDPR(《通用数据保护条例》),其告知和同意原则、对于自动化推荐及互联网平台的相关要求,将一定程度改变互联网商业模式边界。
值得一提的是,《个人信息保护法》三审稿中首次增加个人信息可携带转移的规定,指出“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径”。
对此,北京瀛和律师事务所业务中心总监高楠告诉记者,许多大型互联网平台凭借早期积累的用户信息,获得了不可撼动的行业地位,甚至迫使用户接受不公平的隐私条款,而个人信息可携权可有效打破大型平台数据垄断的局面。
影响
光大证券研报认为,《个人信息保护法》对互联网商业模式的影响集中在个性化推荐和数字广告方面。具体表现在,法案明确平台通过自动化决策向个人进行信息推送、商业营销,应当提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
研报指出,用户拒绝提供非必需信息可能对短视频、新闻、推荐等基于用户个人信息的内容分发和推荐效率产生一定负面影响,使广告颗粒度下降。例如GDPR实施后,网站页面访问量下滑11.7%,电商收入下滑13.3%。
但与此同时,自动化决策等法律规定,反而帮助广告主筛选出长期且有价值的客户。根据光大证券引用美国国家经济研究局NBER测算,GDPR告知同意要求使得可追踪到用户 Cookies总数下降12.5%,但是选择同意追踪的用户的预测准确性将有所提高。
整体而言,浙江财经学院人文与体育学院陆斌教授认为,法案在经营收入方面对互联网公司影响程度有限,因为广告识别多是基于消费者特征的脱敏数据,用于商业营销的大数据抓取分析更多基于行为习惯,不需要精准还原某人的个人可识别性特征。
合规成本增加是《个人信息保护法》带来的直接影响。 高楠指出,法案要求互联网平台利用个人信息进行自动化决策时,应保证决策的透明度和结果公平、公正,对平台已有的算法进行调整或迭代,这或将带来经营成本的增加。
此外,法案对于违规行为的最高可处以5千万元以下或者上一年度营业额5%以下罚款。“最高5%的处罚力度,会对企业起到震慑作用,毕竟违法成本极高。”陆斌表示,阿里曾因“二选一”垄断被处以其2019年销售额4%的182.28亿元罚款。对企业而言,5%的处罚力度绝对是一条不敢冒犯的红线。
应对
从年初《个人信息保护法》推进以来,多家互联网公司陆续出台了相应措施。例如在隐私安全领域,法案规定个人信息处理者制定内部管理制度和操作规程,对个人信息实行分类管理,并且采取相应的加密、去标识化等安全技术措施。
对此,今年7月6日,淘宝开放平台发布了《依法加强消费者订单中敏感信息保护的公告》,要求入驻淘宝平台的第三方开发者和商家将订单中涉及消费者姓名、手机号码、身份证、地址等敏感信息进行脱敏处理。
7月9日,京东公布了《JD用户订单隐私安全方案》,表示将对订单中手机号和座机号进行脱敏。
7月20日,抖音电商运营团队宣布启动消费者隐私数据加密项目,8月1日起商家将无法获得订单收获信息中用户的手机号、姓名、收货地址等信息。
10月30日,Apple向用户发布“已为《个人信息保护法》做好准备”邮件,其中特别提到准备了一份隐私披露补充声明,来向中国大陆用户提供更多相关信息。
目前,《淘宝网隐私权政策》于11月1日生效;《京东隐私政策》于10月7日已生效;抖音、快手的隐私新政分别在10月27日、10月13日生效。
京东、抖音、快手隐私新政
对于广告等业务层面影响,某头部互联网平台相关负责人告诉记者,公司正在通过联邦学习的方式,在满足用户隐私保护、数据安全和政府法规的要求下,进行数据使用和机器学习建模,最大化保证广告投放效果。
“随着监管加强,互联网行业将出现替代产品,从基于个人定位的数据切换到基于群体定向的数据。” 上述负责人进一步表示,这就类似现在用煤发电,如果煤炭资源枯竭了,市场会改成风能或者氢能发电。只要需求端存在,供给端会做出相应补偿。
除了隐私保护,《个人信息保护法》还引入了针对大型互联网平台的特别义务,包括按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。
10月15日,腾讯官方宣布将于近期成立“个人信息保护外部监督委员会”。作为第三方独立监督机构,委员会的工作包括但不限于:结合相关法律法规要求,独立评议腾讯公司及各产品隐私保护相关工作、提出指导和修改意见等。
陆斌认为,设立第三方独立监督评估机构是非常必要的,机构能够参与到企业在个人信息保护工作中的评估和监管全过程,有助于加强对个人信息处理的合规性监控,进而提升个人信息保护的整体水平。
未来
2021年被称为中国的“数据安全元年”。今年以来,《数据安全法》《个人信息保护法》等法律法规密集出台,加之2017年实施的《网络安全法》,三法并行成为国内网络空间治理和数据保护的“三驾马车”。
高楠指出,近几年来,频发的数据泄露案和出现维权难等问题,暴露了个人信息保护分散立法已经不能满足公民需求。而网络科技的高速发展能够平衡个人信息的权益与合理利用,这是我国推进立法的主要原因之一。
从全球范围来看,多位法律人士将《个人信息保护法》类比为欧盟的GDPR。对此,高楠认为,《个人信息保护法》在信息处理的合法性基础、同意规则、数据本地化要求、数据出境安全评估、跨境证据调取等方面更为严格。
尤其是“数据可携带权”的引入,在一定程度上促进经营者公平竞争,解决数据平台的数据垄断问题。“欧盟可携带权的做法,非但没有促进竞争,反而让如脸书、谷歌等大型企业形成联盟。联盟内的企业数据格式统一,可互转移;但如果用户想将数据转至其他平台,则因无法兼容的接口而落空,最终加剧垄断。”高楠解释道。
另一方面,《个人信息保护法》的规定相对原则性、方向性,还需更多细则来解决实际操作层面的问题。例如在第三方机构监管方面,由于数据管理是一项海量工程,监管任务十分庞大,涉及到个人信息的存档、保管、处理以及应用、转移等。
陆斌指出,法案落地后,应该通过司法解释,将个人信息进行分类或者分级别管理,明确哪些部门、哪些行业采集的个人信息不能用于商业用途。同时,网信办等监管部门也要进一步加强对企业和第三方机构的系统培训及责权分工。
再如个人信息可携带权方面。目前,《个人信息保护法》并未明确数据可携带权的范围、权利实现方式。高楠表示,上述条款实现的前提为“符合国家网信部门规定条件”,具体施行仍有待网信部门出台细则,包括是否会对可携带权行使范围进行限缩、如何平衡数据可携带权与第三方权益影响等。
“企业如何在保障个人信息主体权利的基础上解决技术障碍、平衡合规成本,都将成为《个人信息保护法》出台之后值得持续观察、探讨的问题。”高楠补充道。