信息來(lái)源：安全內(nèi)參

11月1日起，個(gè)人信息保護(hù)法正式施行。作為首部個(gè)人信息保護(hù)領(lǐng)域的專門性立法，個(gè)人信息的邊界如何明確？監(jiān)管對(duì)象是誰(shuí)？互聯(lián)網(wǎng)大廠將受到哪些影響？

隱私的核心強(qiáng)調(diào)的是秘密和安寧不被外界打擾，不愿為他人知曉，而個(gè)人信息往往是社會(huì)生活交往中經(jīng)常會(huì)用到的信息，比如電子郵箱、電話。隱私和個(gè)人信息之間一個(gè)很大的差異在于隱私不能商業(yè)化利用，但個(gè)人信息很多時(shí)候處于一種商業(yè)服務(wù)場(chǎng)景之下。比如說(shuō)，在設(shè)置登錄賬號(hào)時(shí)需要輸入個(gè)人信息綁定來(lái)獲取特定的服務(wù)。

個(gè)人信息保護(hù)法中的個(gè)人信息概念比民法典和網(wǎng)絡(luò)安全法都規(guī)定得更加寬泛，既是識(shí)別也是關(guān)聯(lián)，通俗來(lái)說(shuō)，識(shí)別指的是哪些信息能把我從人群中識(shí)別出來(lái)，比如身份證號(hào)，或者畢業(yè)學(xué)校、工作單位、年齡等信息加在一起把我識(shí)別出來(lái)。當(dāng)我這個(gè)人已經(jīng)被識(shí)別出來(lái)，跟我相關(guān)聯(lián)的其他信息也屬于個(gè)人信息。

筆者認(rèn)為只要是有可能對(duì)個(gè)人產(chǎn)生傷害的，又和個(gè)人活動(dòng)密切相關(guān)的信息都可以被當(dāng)做個(gè)人信息來(lái)保護(hù)。但實(shí)操過(guò)程中，確實(shí)很多數(shù)據(jù)到底屬不屬于個(gè)人信息會(huì)產(chǎn)生一些爭(zhēng)議，比如手機(jī)的設(shè)備信息，雖然是個(gè)人的設(shè)備，但個(gè)人和設(shè)備之間的綁定可能會(huì)產(chǎn)生變化。

在應(yīng)用場(chǎng)景下，可以反過(guò)來(lái)看某一類信息被還原成個(gè)人的可能性，以及在共享和合作過(guò)程中，對(duì)方去把這條信息還原成個(gè)人的可能性。

涉及個(gè)人信息保護(hù)法的監(jiān)管對(duì)象，從前期的收集再到處理、刪除、存儲(chǔ)、共享信息，監(jiān)管對(duì)象包括了全生命周期中的個(gè)人信息處理者——一個(gè)普通人平時(shí)接觸到各個(gè)場(chǎng)景下涉及到的個(gè)人信息，不管是線下還是線上都會(huì)被納入法律的管理范疇中。

從對(duì)象來(lái)說(shuō)的話，只要是處理個(gè)人信息的組織或者個(gè)人，尤其是掌握大量個(gè)人信息的企業(yè)都在法律的監(jiān)管范圍內(nèi)。

我認(rèn)為在個(gè)人信息保護(hù)法推出以后，互聯(lián)網(wǎng)大廠想要再基于個(gè)人畫像做精準(zhǔn)營(yíng)銷，其實(shí)是有一些門檻。之前很多互聯(lián)網(wǎng)大廠手上掌握著大量的個(gè)人隱私數(shù)據(jù)，在過(guò)去他們可以通過(guò)用戶畫像來(lái)對(duì)用戶進(jìn)行針對(duì)性商業(yè)營(yíng)銷，但在個(gè)人信息保護(hù)法推出之后，已經(jīng)針對(duì)個(gè)人信息處理制定了非常精確的一些規(guī)則，比如App不能肆意地違規(guī)收集個(gè)人信息，更不能拿去銷售和交易。

“商業(yè)利益是有限的，個(gè)人受到的傷害是終生的”

App過(guò)度收集個(gè)人信息、不授權(quán)就不讓用等問(wèn)題久遭用戶詬病。個(gè)人信息保護(hù)中的高額罰款以及舉證責(zé)任倒置等條款都給企業(yè)施加了保護(hù)個(gè)人信息的義務(wù)。

根據(jù)個(gè)人信息保護(hù)法，如果個(gè)人信息處理者違規(guī)處理個(gè)人信息，或者處理個(gè)人信息未履行個(gè)人信息保護(hù)義務(wù)，情節(jié)嚴(yán)重的，可由省級(jí)以上履行個(gè)人信息保護(hù)職責(zé)的部門處以五千萬(wàn)以下或者上一年度營(yíng)業(yè)額百分之五以下罰款。

企業(yè)在收集個(gè)人信息的時(shí)候，它就會(huì)判斷。收集的環(huán)節(jié)如果合法性不足，后面會(huì)有巨額處罰，它的壓力會(huì)大很多……其實(shí)企業(yè)未必有什么心想作惡，但是如果沒(méi)有法律的壓力，很多事情可做可不做（企業(yè)可能就不會(huì)去做），但現(xiàn)在是必須要做。

另外，對(duì)于敏感個(gè)人信息和一些特殊場(chǎng)景，個(gè)人信息保護(hù)法還規(guī)定了“取得個(gè)人單獨(dú)同意”的保護(hù)規(guī)則，對(duì)于“單獨(dú)同意”如何落地也是實(shí)務(wù)界非常關(guān)注的焦點(diǎn)。

個(gè)人信息保護(hù)法中設(shè)置單獨(dú)同意實(shí)則是組合拳中的“一招”。以往的概括性同意中用戶可能注意不到某一項(xiàng)敏感信息，而現(xiàn)在單獨(dú)同意，用戶往往會(huì)引起警覺(jué)，從而很有可能選擇拒絕授權(quán)，這也促使企業(yè)去評(píng)估收集敏感個(gè)人信息的必要性，并向用戶作出合理說(shuō)明。

一方面，個(gè)人信息保護(hù)相關(guān)的法律法規(guī)頻頻出臺(tái)，另一方面針對(duì)電信詐騙的監(jiān)管和宣傳也在不斷發(fā)力，但令許多人不解的是，為何電信詐騙依然難以真正地解決？企業(yè)又能做些什么？

近幾年電信詐騙的對(duì)抗性和產(chǎn)業(yè)鏈條呈現(xiàn)體系化的特點(diǎn)，甚至很多電信詐騙者不在境內(nèi)。在詐騙產(chǎn)業(yè)鏈的前端已經(jīng)呈現(xiàn)出了很明確的分工，有專門的團(tuán)伙通過(guò)惡意代碼嵌入到正常網(wǎng)站中等方法來(lái)盜取個(gè)人信息，當(dāng)公眾被電話觸達(dá)之前，我們的個(gè)人信息可能已經(jīng)被詐騙者獲取到了。

單個(gè)點(diǎn)的防御很難突破詐騙體系化，還是需要從監(jiān)管到互聯(lián)網(wǎng)企業(yè)形成一套整體方案，更快速高壓地持續(xù)性打擊，來(lái)降低電信詐騙受害者的數(shù)量。

至于企業(yè)對(duì)減少電信詐騙能做些什么，企業(yè)的數(shù)據(jù)泄露很大一部分原因是從內(nèi)部泄露出的。企業(yè)尤其需要避免讓第三方運(yùn)維人員、外包人員查到“裸數(shù)據(jù)”（明文數(shù)據(jù)），而應(yīng)讓他們看到脫敏數(shù)據(jù)。

即便是通過(guò)技術(shù)手段對(duì)個(gè)人數(shù)據(jù)脫敏，也無(wú)法保證百分之百不會(huì)數(shù)據(jù)泄露，但至少能做到泄露出來(lái)的脫敏數(shù)據(jù)不會(huì)成為精準(zhǔn)詐騙的“原料”。