【CMIC讯】数字经济时代，随着个人信息价值的凸显，个人信息收集乱象突出，个人信息泄露事件频发，个人信息滥用程度严重，我国个人信息安全面临着严峻的挑战。监管执法部门已通过开展一系列联合专项行动，严厉打击侵害公民个人信息的违法违规行为。然而，当前个人信息安全逐步呈现出“问题频出-监管打击-安全平稳期-问题再次复现”的往复循环的态势，黑客攻击、内鬼窃取、APP过度索权等均成为了个人信息保护的难题。
　　
　　App强制授权、过度索权等问题严重。当前，在用户安装App时，“请求获取位置权限”“请求获取通信录内容”“请求获取设备信息”等获取权限的要求接连弹出，依次等待用户予以放权。若用户不同意勾选，就无法享受相应服务。此外，有网络安全机构对某App进行检测时发现，用户在初次安装使用该 App 时仅有存储、电话、通信录和位置信息4项权限提示，但随后App 还要获取其他数十项子权限。若用户点击不同意，则应用自动退出。App 公开隐私政策，明示需获取的各种权限和信息，本是基于尊重用户知情权的考虑，然而，用户的现实体验却与设计初衷大相径庭，甚至南辕北辙。过度索权和强制授权等问题已成为用户安装使用App的常态，用户个人信息自主权丧失。
　　
　　平台企业利用数据垄断优势贩卖个人信息。个人信息是平台企业发展的重要战略资产，平台企业以牺牲消费者权益为代价，通过数据贩卖最大化进行商业谋利。以巧达科技为例，其通过爬虫技术垄断了所有公开简历信息，而且在未经用户明确同意情况下，共享给第三方，通过简历数据进行价值变现。在未经用户的同意下，利用垄断优势进行个人信息的贩卖交易活动，严重侵害了用户的个人隐私权益，为用户的人身、财产安全造成了巨大威胁。
　　
　　人脸识别技术滥用侵犯个人隐私。当前，随着人工智能应用的成熟，人脸识别技术被广泛应用于生活各个领域，在为生活提供便利的同时，也引发了用户个人隐私信息被过度采集和滥用的风险，进一步引了大众对“十步一刷脸”等个人生物信息采集现状的隐忧。2021年315晚会上，人脸识别成为首个被关注的话题。据报道，一些商家会在线下门店安装人脸识别设备，并在未提前告知用户、没有取得用户同意的前提下，大量抓取用户的脸部信息。商家据此得到用户的年龄、性别、面部特征甚至是心情状态，并可在人脸信息上进行标记，用来实施营销推广。不同于传统的信息数据，人脸识别生物信息具有唯一性、永久性与不可替换性，一旦被泄露就会造成永久性的泄露和损失，为个人隐私安全埋下极大隐患。
　　
　　加强个人信息保护刻不容缓。面对个人信息安全乱象丛生且屡禁不止的问题，在借鉴欧盟、美国等国家和地区个人信息保护先进经验的基础上，结合我国实际，提出强化个人信息保护的几点建议。
　　
　　国家层面，加快个人信息保护立法和监管。一是建立健全我国个人信息保护的法律法规体系。目前我国针对数据及个人信息保护的两部法案《数据安全法》和《个人信息保护法》仍处在草案阶段，配套下位法缺失，部分问题处于模糊地带，需进一步出台配套法律法规，针对具体问题制定相应解决措施。例如，规范数据权属关系及用户知情同意的具体方式，完善个人信息收集使用规则，明确数据产业链条上各方权益和责任。二是加快研究制定个人信息安全保护的相关标准。完善个人信息收集、传输、存储等数据全生命周期管理规范，研究制定个人信息分级分类标准，区分可使用、可交易的商业数据信息和不可使用、不可交易的数据信息，明确相应级别的保护措施。三是加强个人信息保护监管。持续推进App违法违规收集使用个人信息专项治理，创新监管手段，引入第三方检测评估和认证监测机制。
　　
　　企业层面，规范个人信息安全管理。一是重视隐私条款政策的制定和规范性。使用浅显易懂的表达方式，明确告知用户企业收集个人信息的类型、目的及使用范围；为用户删除数据、注销账户提供渠道；建立用户反馈投诉入口，以及争议解决机制。二是夯实企业个人信息保护责任。企业应将个人信息保护理念融入企业运营管理全流程，在产品及服务设计阶段进行风险检测，将必要的隐私设计纳入产品及服务的最初设计之中，并通过定期开展个人信息安全影响评估，根据评估结果采取适当措施，降低侵害个人隐私安全风险。三是管理和技术手段结合保护用户个人信息。积极探索个人信息安全防护的新技术、新手段，进一步加强防攻击、防泄漏、防窃取的监测、预警、控制和应急处置能力，以更好的应对云计算、人工智能等新技术新业务带来的个人信息保护挑战。
　　
　　个人层面，提升个人信息保护意识。一方面，要不断加强自我保护意识和提升保护技能。通过了解隐私政策、关闭非必要权限、加强对个性化标签和定向推送的管理等方式，降低个人信息泄露风险。另一方面，学习了解民典法、个人信息保护法、网络安全法等相关法律，做到知法懂法守法用法；应在发现个人信息泄露或违法使用的行为之后，通过监管渠道投诉举报个人信息违法违规行为，依法维护自身权益。

责任编辑：言笑晏晏