2021年8月20日,第十三届全国人大常委会第三十次会议审议通过了《中华人民共和国个人信息保护法》,2021年11月1日起,《中华人民共和国个人信息保护法》正式施行(以下简称为《个人信息保护法》)。承袭《民法典》、《网络安全法》,作为我国首部完整规定个人信息处理规则的法律,《个人信息保护法》进一步明确了个人信息处理者在个人信息处理活动中需要遵守的处理规则及履行的保护义务,互联网企业、手机生产商、金融机构及汽车厂商等都在进行积极响应。 在《个人信息保护法》第四条中,定义了何为“个人信息”,即“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”《个人信息保护法》第二十八条,定义“敏感个人信息”为“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息”,并在第七十三条中明确了去标识化、匿名化及自动化决策等相关技术处理行为的基本概念。
(手机生产商、互联网企业积极响应《个人信息保护法》)
同时《个人信息保护法》从不得过度收集个人信息、大数据杀熟、对敏感个人信息的处理等细节原则做出规制,为用户个人信息保护的举报投诉提供了法律保障。从《个人信息保护法》施行开始,企业对用户的个人信息采集和处理活动有了更明确的法律依据,但同时也对企业的个人信息的合规保护提出了新的挑战。
本次数字联盟将基于七年的数据安全行业从业经验,从三点对《个人信息保护法》进行深入的解读。
一、个人信息、敏感个人信息和隐私安全
在11月1日正式施行的《个人信息保护法》中,定义并强调了个人信息、敏感个人信息的基本概念,但并不代表企业对这些信息的采集和处理都会危害到用户的隐私安全。
《个人信息保护法》里的个人信息、敏感个人信息属于两个概念。个人信息,强调APP在采集个人信息时,敏感的信息要严格保护并限制相关权限,比如人脸数据、银行账户数据等等,个人信息包含了敏感个人信息在内;同时APP在处理个人信息时,要把个人信息去标识化、匿名化,简单地来讲,就是通过技术处理让APP只能分析数据,但不能再通过数据信息直接锁定到单个用户。
企业对用户信息的采集、处理只要合规并保护得当,就不会危害到用户的隐私安全。
APP在采集个人信息的时候,只要能够符合 ‘最小影响、最小范围、最短时间’的规则,以APP提供服务合理、直接的目的出发,选择对用户隐私影响最小的方式,不过度收集用户信息,并做到公开透明、积极响应个人信息相关权利(删除、查阅等)的请求,
举个例子,某出行类APP,出于优化叫车服务、缩短等待时长的服务目的,在跟用户进行说明告知后,请求用户授予位置使用权限,并且用户可以选择仅使用期间允许,在采集到地址和行程信息进行数据分析后,就对采集到的原始数据尽快删除,那么并不会损害用户的隐私安全。
(新华社报道《个人信息保护法》)
二、《个人信息保护法》正式施行的影响分析
《个人信息保护法》的正式出台,无疑给互联网产业发展带来了深刻影响。
其实最直观的,就是打乱了APP原本的广告变现体制。原本的APP主要是通过采集用户手机号、所在地址等信息进行精准广告推送的,在《个人信息保护法》正式施行后,这种过去的广告推送方式过度锁定用户个人,有很高的隐私泄露风险。
同时,APP追踪广告投放的效果主要依靠IDFA、IMEI、MAC标识,但是在隐私政策收紧的当下,也被手机开发商限制了获取,这就导致APP通过各个渠道投放的广告不知道对应到了哪个用户,也不知道用户从哪个渠道而来,APP就像失去了流量瞄准镜,和渠道结算的时候没了衡量的标准。
三、技术方案
数字联盟作为国内领先的第三方商用 ID,深耕数据安全行业七年,在为客户提供可行性数据方案的同时,客户与终端用户的隐私一直是我们率先考虑的事情。事实上,数字联盟在隐私领域一直走在行业前端,早在《个人信息保护法》相关更新之前,我们全部的SDK已经完成更新,采用最新的加密技术,来确保用户的隐私安全。除此之外,可信ID 的SDK多年来一直符合GDPR的标准,通过了ISO27701 和 ISO 27001的认证,兼顾数据精准与隐私安全。
可信ID是第三方统一下发给用户手机设备的ID体系,通过收集不含有个人信息特征的120多个维度的设备层面信息,包括手机型号、电量、服务商等,在精密算法的支持下给每一台手机设备生成唯一的设备ID,并对该ID进行定期更新重置,在最大保护用户隐私的情况下确保业务的实现。通过可信ID能够在不收集具备关联和识别个人的信息如手机号、App内操作行为及个人账号信息等的同时,帮助APP在隐私合规的前提下实现广告变现。
(数字联盟:可信ID 数据方案全操作流程)
同时,针对IDFA、IMEI、MAC标识数据限制收集的问题,基于可信ID 90%以上的设备覆盖率,APP可以发起查询,可信ID会把单个可信ID对应的IDFA、IMEI、MAC号逐个重新返还给APP,让APP能够在广告投放后进行有效的数据检验,更好的追踪广告费用的流向。
《个人信息保护法》已经成为了个人信息保护的基本法,也意味着个人信息保护将明确确立为企业的一项基本义务,同时个人对个人信息处理活动中所享有的权利也将得到国家强制力保障。用户隐私保护日益成为企业数据安全和业务安全的关键内容。如何做好合规举措善用合规技术,平衡企业商业行为与个人信息权益保护两者之间的关系,是互联网产业持续发展必须面对的命题。
