曹妍/文 “我們依據(jù)最新的監(jiān)管要求更新了淘寶網(wǎng)《隱私權政策》。”

11月1日，用戶下載淘寶App后，頁面會彈出關于最新《隱私權政策》條款，涉及信息收集及使用、對外提供信息、信息的存儲、未成年人保護等內容。

淘寶最新《隱私權政策》

上述政策調整是針對當天正式實施的《中華人民共和國個人信息保護法》（下稱“《個人信息保護法》”）。法案經(jīng)過三次審議，加強保障個人在信息收集、存儲、使用、加工、傳輸、提供、公開、刪除等環(huán)節(jié)的“告知-同意”原則。

伴隨法案的公布及落地，互聯(lián)網(wǎng)成為直接受到影響的行業(yè)。光大證券在研報中指出，《個人信息保護法》對標歐盟 GDPR（《通用數(shù)據(jù)保護條例》），其告知和同意原則、對于自動化推薦及互聯(lián)網(wǎng)平臺的相關要求，將一定程度改變互聯(lián)網(wǎng)商業(yè)模式邊界。

值得一提的是，《個人信息保護法》三審稿中首次增加個人信息可攜帶轉移的規(guī)定，指出“個人請求將個人信息轉移至其指定的個人信息處理者，符合國家網(wǎng)信部門規(guī)定條件的，個人信息處理者應當提供轉移的途徑”。

對此，北京瀛和律師事務所業(yè)務中心總監(jiān)高楠告訴記者，許多大型互聯(lián)網(wǎng)平臺憑借早期積累的用戶信息，獲得了不可撼動的行業(yè)地位，甚至迫使用戶接受不公平的隱私條款，而個人信息可攜權可有效打破大型平臺數(shù)據(jù)壟斷的局面。

影響

光大證券研報認為，《個人信息保護法》對互聯(lián)網(wǎng)商業(yè)模式的影響集中在個性化推薦和數(shù)字廣告方面。具體表現(xiàn)在，法案明確平臺通過自動化決策向個人進行信息推送、商業(yè)營銷，應當提供不針對其個人特征的選項，或者向個人提供便捷的拒絕方式。

研報指出，用戶拒絕提供非必需信息可能對短視頻、新聞、推薦等基于用戶個人信息的內容分發(fā)和推薦效率產生一定負面影響，使廣告顆粒度下降。例如GDPR實施后，網(wǎng)站頁面訪問量下滑11.7%，電商收入下滑13.3%。

但與此同時，自動化決策等法律規(guī)定，反而幫助廣告主篩選出長期且有價值的客戶。根據(jù)光大證券引用美國國家經(jīng)濟研究局NBER測算，GDPR告知同意要求使得可追蹤到用戶 Cookies總數(shù)下降12.5%，但是選擇同意追蹤的用戶的預測準確性將有所提高。

整體而言，浙江財經(jīng)學院人文與傳播學院陸斌教授認為，法案在經(jīng)營收入方面對互聯(lián)網(wǎng)公司影響程度有限，因為廣告識別多是基于消費者特征的脫敏數(shù)據(jù)，用于商業(yè)營銷的大數(shù)據(jù)抓取分析更多基于行為習慣，不需要精準還原某人的個人可識別性特征。

合規(guī)成本增加是《個人信息保護法》帶來的直接影響。 高楠指出，法案要求互聯(lián)網(wǎng)平臺利用個人信息進行自動化決策時，應保證決策的透明度和結果公平、公正，對平臺已有的算法進行調整或迭代，這或將帶來經(jīng)營成本的增加。

此外，法案對于違規(guī)行為的最高可處以5千萬元以下或者上一年度營業(yè)額5%以下罰款。“最高5%的處罰力度，會對企業(yè)起到震懾作用，畢竟違法成本極高。”陸斌表示，阿里曾因“二選一”壟斷被處以其2019年銷售額4%的182.28億元罰款。對企業(yè)而言，5%的處罰力度絕對是一條不敢冒犯的紅線。

應對

從年初《個人信息保護法》推進以來，多家互聯(lián)網(wǎng)公司陸續(xù)出臺了相應措施。例如在隱私安全領域，法案規(guī)定個人信息處理者制定內部管理制度和操作規(guī)程，對個人信息實行分類管理，并且采取相應的加密、去標識化等安全技術措施。

對此，今年7月6日，淘寶開放平臺發(fā)布了《依法加強消費者訂單中敏感信息保護的公告》，要求入駐淘寶平臺的第三方開發(fā)者和商家將訂單中涉及消費者姓名、手機號碼、身份證、地址等敏感信息進行脫敏處理。

7月9日，京東公布了《JD用戶訂單隱私安全方案》，表示將對訂單中手機號和座機號進行脫敏。

7月20日，抖音電商運營團隊宣布啟動消費者隱私數(shù)據(jù)加密項目，8月1日起商家將無法獲得訂單收獲信息中用戶的手機號、姓名、收貨地址等信息。

10月30日，Apple向用戶發(fā)布“已為《個人信息保護法》做好準備”郵件，其中特別提到準備了一份隱私披露補充聲明，來向中國大陸用戶提供更多相關信息。

目前，《淘寶網(wǎng)隱私權政策》于11月1日生效；《京東隱私政策》于10月7日已生效；抖音、快手的隱私新政分別在10月27日、10月13日生效。

京東、抖音、快手隱私新政

對于廣告等業(yè)務層面影響，某頭部互聯(lián)網(wǎng)平臺相關負責人告訴記者，公司正在通過聯(lián)邦學習的方式，在滿足用戶隱私保護、數(shù)據(jù)安全和政府法規(guī)的要求下，進行數(shù)據(jù)使用和機器學習建模，最大化保證廣告投放效果。

“隨著監(jiān)管加強，互聯(lián)網(wǎng)行業(yè)將出現(xiàn)替代產品，從基于個人定位的數(shù)據(jù)切換到基于群體定向的數(shù)據(jù)。” 上述負責人進一步表示，這就類似現(xiàn)在用煤發(fā)電，如果煤炭資源枯竭了，市場會改成風能或者氫能發(fā)電。只要需求端存在，供給端會做出相應補償。

除了隱私保護，《個人信息保護法》還引入了針對大型互聯(lián)網(wǎng)平臺的特別義務，包括按照國家規(guī)定建立健全個人信息保護合規(guī)制度體系，成立主要由外部成員組成的獨立機構對個人信息保護情況進行監(jiān)督。

10月15日，騰訊官方宣布將于近期成立“個人信息保護外部監(jiān)督委員會”。作為第三方獨立監(jiān)督機構，委員會的工作包括但不限于：結合相關法律法規(guī)要求，獨立評議騰訊公司及各產品隱私保護相關工作、提出指導和修改意見等。

陸斌認為，設立第三方獨立監(jiān)督評估機構是非常必要的，機構能夠參與到企業(yè)在個人信息保護工作中的評估和監(jiān)管全過程，有助于加強對個人信息處理的合規(guī)性監(jiān)控，進而提升個人信息保護的整體水平。

未來

2021年被稱為中國的“數(shù)據(jù)安全元年”。今年以來，《數(shù)據(jù)安全法》《個人信息保護法》等法律法規(guī)密集出臺，加之2017年實施的《網(wǎng)絡安全法》，三法并行成為國內網(wǎng)絡空間治理和數(shù)據(jù)保護的“三駕馬車”。

高楠指出，近幾年來，頻發(fā)的數(shù)據(jù)泄露案和出現(xiàn)維權難等問題，暴露了個人信息保護分散立法已經(jīng)不能滿足公民需求。而網(wǎng)絡科技的高速發(fā)展能夠平衡個人信息的權益與合理利用，這是我國推進立法的主要原因之一。

從全球范圍來看，多位法律人士將《個人信息保護法》類比為歐盟的GDPR。對此，高楠認為，《個人信息保護法》在信息處理的合法性基礎、同意規(guī)則、數(shù)據(jù)本地化要求、數(shù)據(jù)出境安全評估、跨境證據(jù)調取等方面更為嚴格。

尤其是“數(shù)據(jù)可攜帶權”的引入，在一定程度上促進經(jīng)營者公平競爭，解決數(shù)據(jù)平臺的數(shù)據(jù)壟斷問題。“歐盟可攜帶權的做法，非但沒有促進競爭，反而讓如臉書、谷歌等大型企業(yè)形成聯(lián)盟。聯(lián)盟內的企業(yè)數(shù)據(jù)格式統(tǒng)一，可互轉移；但如果用戶想將數(shù)據(jù)轉至其他平臺，則因無法兼容的接口而落空，最終加劇壟斷。”高楠解釋道。

另一方面，《個人信息保護法》的規(guī)定相對原則性、方向性，還需更多細則來解決實際操作層面的問題。例如在第三方機構監(jiān)管方面，由于數(shù)據(jù)管理是一項海量工程，監(jiān)管任務十分龐大，涉及到個人信息的存檔、保管、處理以及應用、轉移等。

陸斌指出，法案落地后，應該通過司法解釋，將個人信息進行分類或者分級別管理，明確哪些部門、哪些行業(yè)采集的個人信息不能用于商業(yè)用途。同時，網(wǎng)信辦等監(jiān)管部門也要進一步加強對企業(yè)和第三方機構的系統(tǒng)培訓及責權分工。

再如個人信息可攜帶權方面。目前，《個人信息保護法》并未明確數(shù)據(jù)可攜帶權的范圍、權利實現(xiàn)方式。高楠表示，上述條款實現(xiàn)的前提為“符合國家網(wǎng)信部門規(guī)定條件”，具體施行仍有待網(wǎng)信部門出臺細則，包括是否會對可攜帶權行使范圍進行限縮、如何平衡數(shù)據(jù)可攜帶權與第三方權益影響等。

“企業(yè)如何在保障個人信息主體權利的基礎上解決技術障礙、平衡合規(guī)成本，都將成為《個人信息保護法》出臺之后值得持續(xù)觀察、探討的問題。”高楠補充道。