党的二十大报告明确提出“加强个人信息保护”。个人信息权益是公民的基本权益,关系人民群众生活安宁、生命健康和财产安全。个人信息保护法施行以来,有关部门依法履职,加大对侵犯个人信息权益的违法犯罪行为查处力度,个人信息处理者也逐步提升个人信息保护合规能力和水平。但是,随着数字化的深入推进,个人信息的收集、流动、利用日益频繁,个人信息保护形势面临一些新问题、新挑战,需要进一步加强综合治理应对。
数字化生存时代,无信息不生活。个人信息主体在社会生活过程中被动留痕越来越多的信息,同时,出于监管和服务数字化的需求也要求个人主动提供越来越多的信息。一方面,网络服务提供者凭借其技术、信息、资源上的优势地位,可通过记录的各类数据对用户实施画像、大数据分析,并追溯、识别出特定个人。另一方面,在消费、金融、电子政务等与现实联动的服务场景中,用户不可能完全隐藏真实的自我而伪装一个虚拟的身份。“互联网上没有人知道你是谁”的现象已发生改变,如今许多个人信息处理者不仅可以知道“你”的身份信息,更可进一步获知“你”的生活轨迹、个人兴趣喜好,人们在网络上甚至比在现实中更加透明。
数据要素市场化背景下,个人信息价值日益凸显。个人信息作为数据资源的重要组成部分,可用于市场分析、精准营销、征信评级等用途,具备很高的商业和社会价值。由此,各类主体更有动力、更有动机获取和使用个人信息。数据交易、共享、开放等行为愈发频繁,个人信息流转节点、处理主体不断增多,增加了个人信息泄露或遭非法使用的风险。为追逐利润、获取竞争优势,一些个人信息处理者过度采集、违法采集、超范围使用个人信息的情况也屡见不鲜。
数字技术迭代发展过程中,个人信息处理者收集用户个人信息的成本更低,途径、场景日益多元。除通过提供服务采集个人信息外,个人信息处理者还可以通过爬虫软件爬取公开信息、参与数据交易流通等方式,扩充自身个人信息数据源。上述来源获取的数据可能存在个人信息处理授权瑕疵,且质量良莠不齐,真实性、时效性难以保障,一旦同其他途径采集的个人信息融合,经过多次加工、流转后将更不易追溯、辨别,削弱个人对其信息使用状况的知情程度和控制能力,并可能产生虚假信息等其他风险。
数字应用场景多样化,个人信息保护技术能力未能像个人信息处理活动那样广泛,未能同个人信息处理风险同步增强。个人信息保护的实效性遵循“短板效应”:从单一个人信息处理者角度来看,在个人信息处理全流程中,任一节点的个人信息保护出现纰漏将损害整个系统的防护水平。从个人信息流转过程来看,任一个人信息处理者未能依法履行个人信息保护义务,会同时给其他合作方带来不利影响。这意味着,每一次数字技术创新、数字经济业务拓展,都可能伴生新的个人信息处理风险。相比之下,目前可用于风险评估、事件监测、监管执法、应急处置等环节的技术工具虽有发展,但智能化、精准化、全时化程度不足,防护能力、合规效率尚不能完全满足实际需要。
面对各类违法违规行为,监管治理难、维权成本高。除服务提供者侵犯个人信息权益外,个人也有可能对他人个人信息实施窃取、泄露、非法提供等行为。由于网络的无边界性,维权、执法活动往往滞后于个人信息传播,个人信息受侵犯造成的负面影响难以弥补和挽回。诉讼、执法过程中还面临着电子数据固定取证难度高、成本投入与收效不成比例等问题。监管执法过程中,业务规模较大、个人信息持有较多的个人信息处理者会优先受到关注,规模小、隐蔽性强的违法行为不易被及时发现和查处。类似情形如未被发现、曝光,受害者就难以意识到自身个人信息已遭侵犯,更难以采取手段维护自身合法权益。
系列新变化为贯彻落实好个人信息保护法有关要求提供了新的启示。个人信息保护是一项长期工作,随着社会经济发展和技术进步,仍会面临更多更复杂的情形,遇到新问题和新挑战。完善个人信息保护,需要进一步加强综合治理:一是加强监管者与个人信息处理者间的沟通和协作,细化各项合规要求,提升个人信息处理者的合规意识与合规能力。二是审慎设计治理方案,在加强监管的同时也提供适当的激励政策,更好助推企业自律合规。三是提升治理的灵活性,研判技术创新趋势、经济发展趋势,更好更快回应前沿问题,满足发展需求。四是发展法律科技,推动引导监管工具、合规工具的应用,更好赋能监管与合规。五是推进多元治理,通过鼓励行业自治、发展第三方评估信托机构、增强个人维权意识能力等方式,形成个人信息保护更强合力。
来源:学习时报