个人信息保护和网络安全背后的法律思考

2021年第05期    作者:文字整理：许倩    阅读 2,735 次

主持人：田原 上海律协理事，律师执业考核委员会、申请律师执业人员实习管理考核委员会副主任、

互联网与信息技术业务研究委员会委员、上海誉嘉律师事务所主任

嘉宾： 金代文 上海律协互联网与信息技术业务研究委员会委员、北京炜衡（上海）律师事务所合伙人

陆少华 上海律协体育业务研究委员会委员、北京市隆安律师事务所上海分所律师

田原：欢迎大家来到《上海律师》第五期法律咖吧，我是本期咖吧的主持人田原律师，我们邀请到的嘉宾是金代文律师和陆少华律师。工信部从前年开始，对 APP、网络安全上的个人信息安全都管得非常严格，去年陆陆续续检查和强制下架了不少APP。今天请两位律师来，想就个人隐私保护、互联网的APP技术以及生活数字化转型过程中，对于个人信息保护和网络安全，以及未来一些法律上的弥补，谈谈想法。第一个话题是消费市场各类APP对生活的影响。

陆少华：现在各个消费场所的APP基本上已经面面俱到，确实在生活中给予了我们很大的方便。甚至有些地方连手机都不用带，有面部识别，直接可以消费，购买东西或进行其他消费都非常方便。但是任何事物总有两面性，相对应的一面就是它在这些消费场景中收集了客户的个人信息，有些是必要的，有些是不必要的。而且在收集消费者信息过程中间，它可能会强制性让客户选择同意或不同意，当必须要进行某个消费的时候，实际上没有太大的空间去选择不同意。在这种情况下，我们的信息就会被不情愿地收集过去。从这两年一些事件可以看到，有些不必要的信息收集后，相关信息又通过其他途径进行流转，甚至是转卖。APP等程序在给我们带来便利的同时，也给我们的生活、个人隐私，甚至是家庭成员的隐私和安全，都造成了困扰。所以对于个人隐私保护，我认为还是需要加强和细化，出台一些更具有可操作性的制度。

金代文：我上个月写了一篇社情民意，其中谈到有关外卖骑手群体的问题，我想从另一个角度谈谈关于消费市场各类APP对生活的影响。消费市场APP的出现，在培育消费者行为习惯、为生活提供便利的同时，也在更深的维度和广度上改变了传统的就业习惯，形成了新的社会群体，这种改变是颠覆性的。回到今天的话题，以外卖平台为例，每一单交易完成的过程中，个人信息不仅沉淀在APP平台，平台上提供服务的个体也是信息采集的端口，如何采取更加完善的信息监管方式，更加合理地界定APP生态链中的各方责任边界，如何建立更加完整的法律体系，这些都是我们应对未来个人信息安全问题的挑战。

田原：没有APP之前，我们的个人信息也有人不断在收集，但效率不高，没那么精准和广泛。自从有了APP，它的数据挖掘和算法，对原先的信息获取方式和利用产生颠覆性。但是数字化转型是必须做的，而且是社会发展方向。上海市政府的要求就是“1+3+x”，其中的“3”就是经济数字化、生活数字化和政府治理数字化。与我们关系最密切的是生活数字化，这些APP是我们未来生活的一部分，甚至已成为生活的一部分。我们最近看到一个刷屏广告，就是手机厂商改变了隐私策略，智能手机的隐私策略是完全基于客户的同意和授权，客户不同意不授权，APP根本就收集不到信息，广告画面里主人公打开手机原先占满他身边所有空间的各色人等，随着他拒绝授权，这些人“嘭”一下全都消失了。这样的隐私策略如果成为主流，对原先很多靠着数据挖掘来生存的互联网企业影响自然巨大。两位有什么具体看法？

陆少华：这个方面大家都非常关心，每个人都觉得自己整个人都是数字化的了，这些数字化的信息，提供给谁才安心、才放心？在这种存在较大未知的情况下，虽然信息已经流出很多，但是我希望还是尽量减少个人新数据信息的流散。有手机厂商改变这样一种策略，大家都觉得这应该是个好东西，能够在一定程度和深度、广度上面对着信息的收集会有所控制和约束。但是据了解，现在手机厂商对信息收集的精准和模糊度之间设置了一个差别，可能现在收集得相对比较模糊。那么之后对于所谓熟客的推送，可能会没有这么精准。以前我买的东西，会经常比较精准推送，但以后只要知道有我这个人存在，但不知道我之前的消费习惯，可能会推送一些跟我无关的东西，这个是模糊推送，对于我还是会有负面的影响。另外一家做聊天工具的巨头也有相应的尝试，去提高信息收集的保护级别。这样的尝试，除了主观上觉得大家是否都开始控制数据的获取，还是这些巨头到了这个层次后，通过一定程度的垄断，对于此后进入市场的，形成了一个数据信息获取的屏障。而且大的平台性端口，就在屈指可数的几家巨头手里，平台上中小型参与者全都要通过他们来链接客户。那么接下来这些新进入的，对他们的经营会不会造成限制和影响，对于消费者是不是一个好事？还是说更多的资源都会控制在这些巨头寡头企业的手里？

金代文：延续陆律师讲的问题，我想跟大家一起思考，整个电商系统的业态就是一个生态圈，或者是一条完整的生物链，每一个要素都在这个圈里或者在链条上扮演一个角色，他们的商业地位、盈利点不同。为什么手机厂商有能力去做这样的尝试？因为与提供内容的商家相比，手机厂商是分发端口，只要达到一定的市场份额，优势地位就非常明显。不管是IOS还是安卓系统上的 APP，从技术层面讲，都是可以通过嵌入带有跟踪器的代码，通过读取用户的位置信息、支付信息等个人信息，来形成用户画像，这个背后隐藏的商业利益主要是广告商的精准推送需求。手机厂商改变隐私策略，关键词有两个：第一是去标识或者匿名化，第二是本地数据处理。这样的隐私政策大方向来讲，它的价值取向还是正向的，因为它可以最大限度实现用户手机的本地化数据处理。当它没有跟踪器的时候，或者它尽量去屏蔽跟踪器的时候，用户的数据没有个人标识，在手机里面只是一个无特征的代码，可以最大限度降低被定向推送广告、泄露个人敏感信息的风险。但是从另一个角度来讲，手机厂商做这件事情，并不是完全忽视广告商的需求，他是用另外一种技术手段让广告商也能看到广告推送的实际效果，仍然可以量化评价，但不再通过嵌入跟踪器代码的方式。虽然目前的改变是否能提升用户体验，或者到底有多少用户接受还是一个未知数，但慢慢形成这个习惯或者意识之后，我相信其可能会引领一部分的行业规则。

田原：作为一个用户，比较关心隐私政策，确实有很多的信息不必告诉网络的运营层。如果将来这成为主流，两位觉得会对我们的生活会有多大的影响？

金代文：对个人也许是好事，我们可以远离“楚门世界”。正如刚才陆律师所言，你可能浏览一个广告，它会对你进行分析，包括浏览过的一些购物网站，隔段时间再用另一个搜索引擎去搜东西，都会跳出类似这种导向性的东西，这是个问题。但对于一些本身不创造现金流、对广告收入比较敏感的电商业态，短期一定会受到影响，如何适应变化，对他们而言，是比较有挑战的。

田原：我们作为法律人，现在看起来，这个手机厂家的隐私政策直接在社会上产生巨大的变化，甚至于它在创建自己产品使用规则的同时，我感觉有一种立法的意味，重建新秩序。像金律师和陆律师日常工作中，作为涉及这些数据或者个人信息的企业，尤其是互联网企业的法律顾问，现在遇到哪些法律服务需求呢？

金代文：今年4月，上海律协互联网与信息化专业委员会做了一次数据合规的专题论坛，请了一些有代表性的企业参会，共同交流和分享。这次活动结束后，有企业家与我们联系，希望聘请律师事务所提供这方面的专业服务。这个行业有存量市场，而且需求在不断增加。但是我感觉，第一，数据合规法律服务产品化还有很长一段路要走；第二，企业真正遭到监管处罚的不多，我们看到最近这种处罚都是很有代表性的，或者是大的商家，所以整体法律风险意识并不高。

但从另一个角度来看，我们在为电商企业提供日常法律服务的同时，还会涉及资本市场的相关业务。以投融资为例，只要做APP的企业，都有电子商务的基因存在，多数企业都是依靠持续不断地融资，不停地去做流量、做客户，这个过程当中如果出现了违规处罚，是会出现杠杆放大效应的。早期创业企业违法成本较小，整改成本也较小，当一家企业完成A轮、B轮融资，商业模式日臻成熟，再整改成本非常高，风险也会因为规模和体量而放大。另外，近期提交IPO申请的、涉及数据题材的企业，数据合规已经成为反馈的必答题。

所以，回到法律服务需求上，一方面，多数电商企业都有日常合规的需要，例如隐私政策、用户协议等基础文件中的个人信息保护条款的审阅、起草和修订，特别是从事接触个人敏感信息的大健康、在线教育等相关业态的互联网企业。另一方面，我们需要考虑如何协助企业建立合规体系的问题。个人信息保护的合规管理，需要在企业形成完整的管理流程。以客服为例，在接到投诉后，如何第一时间做出合理的反馈，用怎样的沟通方式解决问题，这些都需要培训，这就是合规管理体系中的一部分。

陆少华：不管是互联网还是这些靠数字数据的企业，整体发展是非常繁荣的。在没有太明确规则的情况下，大家的做法多少有些问题。现在规则越来越明确化、明细化、可操作性更强，有些事情肯定不能做。在这种情况下，企业对于法律服务的需求可能会更显著地显现，因为他意识到原来违法也有成本，但是很模糊，实际上违法成本可能很低。发展到现在，不管是普通的消费者，还是这个行业内的从业者，或者是已在某些领域形成了几家头部企业的这种行业，大家都想把这个规则定下来。在这个情况下，对于法律服务的需求应该会凸显出来。这里对于一些我们能够接触到的一开始可能也不是大企业，有些特别大的企业，他们这一套制度应该是比较完整的，专业的法律团队和律师团队应该也很完备。对于这些新进入的，我认为现在可能缺少对这方面法律知识的辅导或普法，有些法律这两年才刚制定出来。有些行业刚进入，不太会去关心。即使看到，也会觉得规定跟其无关。从整个律师服务的角度来讲，是否可能组织更多这样的活动，去普法告知，点醒这些行业的从业人员、企业，现在的制度已经明细化，规则制度都很稳定。某些动作、某些行为，绝对不能做了。首先让他们觉得在法律服务方面有需求，意识到风险，这样他们的需求增多，可能我们提供的法律服务就不是去追着某个人。如果我们律师能够跟他们讲这些，他们也有相应的行业协会或者说比较集中的地方，能够有更多地联系，更多地研讨，这些企业主、老板的圈子里形成了大家了解法律，愿意遵守法律，也希望有律师服务的加入，能够帮他们把控风险的氛围。我觉得在整体上，这块的法律服务可能会兴旺起来。

金代文：田律师刚才讲到的数字化转型，去年确实有做传统制造业的厂商想聘请律师事务所提供相关的法律服务，这是产业转型中的一种典型需求，市场很巨大。但从另一个角度也需要看到，行业机会背后意味着抢占市场和重新洗牌。数字化转型相关的法律服务对专业度要求很高，我们要把握这样的机会，把业务做深做扎实，既要有非讼的精细，也要有诉讼的实战。

田原：所以对于数字化服务的合规体系，一是要管住APP的所有者，因为它是在这个平台上提供服务的。二是要管住做APP的人，因为他是让APP做好、做强还是做烂、“作恶”的顶层设计者。所以两位律师对于这个合规体系有什么建议？

金代文： 这个问题有点难。合规体系无非是法律、制度和人，从法律层面来讲，现在还是处于60%到80%的状态。《数据安全法》最近刚在人大正式通过，《网络安全法》实行也只有两年的时间，未来还会有《个人信息保护法》，这三部法律维度不同，《网络安全法》专门针对网络。我们今天聊的个人信息这块，实际上无论《个人信息保护法》还是《数据安全法》，都不仅仅限于网络。所以从法律上面来讲，我认为，这三部法律如果全部落地，再加上《民法典》，可以覆盖整个法律外围的框架。在这个生态系统里，再去谈合规体系，主持人问的这个问题有点大，扩大到整个合规体系，我还停留在企业维度。

田原：金律师可以先谈谈企业这个维度，个人觉得，可能跟律师更紧密。他有需求，我们作为法律顾问，会遇到的痛点和难点是什么？

金代文：第一，电商企业在这方面愿意花的成本不高，企业预算普遍低。第二，从个人的从业体验来讲，多数有电子商务基因的企业，从业人员去理解合规问题、执行到业务端，并不像法律人想的那么简单。因为电商是快打快的，很多时候它永远冲在法律的边缘，否则会被站在边缘的人直接甩掉。多数电商业态，是微利追逐薄利，靠速度去赢得空间。所以在这个状态下，从个人亲身服务体验来讲，我看到的痛点就是电商企业是不是有人，能够把合规管理落地执行。换句话讲，我可以帮合规体系建立很完整的制度，但是当它出现风险点时，是否按照我给它设定的路径一步一步走下来？所以落实到企业，第一点，人是挺重要的。哪怕是兼职，企业里也要找到一个可以跟律师进行互动和沟通的人，而且跟外部律师无障碍沟通，要设这样的岗位，福利待遇不能省，因为这是关注这个企业未来两三年发展的东西。建议好的企业建立团队，特别像《个人信息保护法》的征求意见稿里面提到的达到一定经营规模的大型电商企业。

田原：所以，在数字化转型浪潮当中，催生了新合规市场，很有意思。将来可以考虑发挥我们上海律协互联网与信息技术业务研究委员会的专长，团结更多的律师，大家共同往这个方向走，把这片蓝海做起来。当然，这也是在数字化转型浪潮中我们律师法律服务暴露的短板或是现在网络、数据领域法律的短板和痛点，每个律师、事务所在开拓这块业务时也都在摸着石头过河，期待着今后有更多律师来到法律咖吧，就这个领域从业务到市场到学理，进行更多更广泛地讨论。谢谢今天的嘉宾。

（本文内容根据录音整理，系嘉宾个人观点，整理时间 ：2021年6月24日）