信息來源：安全內(nèi)參

11月1日起，個人信息保護法正式施行。作為首部個人信息保護領(lǐng)域的專門性立法，個人信息的邊界如何明確？監(jiān)管對象是誰？互聯(lián)網(wǎng)大廠將受到哪些影響？

隱私的核心強調(diào)的是秘密和安寧不被外界打擾，不愿為他人知曉，而個人信息往往是社會生活交往中經(jīng)常會用到的信息，比如電子郵箱、電話。隱私和個人信息之間一個很大的差異在于隱私不能商業(yè)化利用，但個人信息很多時候處于一種商業(yè)服務(wù)場景之下。比如說，在設(shè)置登錄賬號時需要輸入個人信息綁定來獲取特定的服務(wù)。

個人信息保護法中的個人信息概念比民法典和網(wǎng)絡(luò)安全法都規(guī)定得更加寬泛，既是識別也是關(guān)聯(lián)，通俗來說，識別指的是哪些信息能把我從人群中識別出來，比如身份證號，或者畢業(yè)學(xué)校、工作單位、年齡等信息加在一起把我識別出來。當我這個人已經(jīng)被識別出來，跟我相關(guān)聯(lián)的其他信息也屬于個人信息。

筆者認為只要是有可能對個人產(chǎn)生傷害的，又和個人活動密切相關(guān)的信息都可以被當做個人信息來保護。但實操過程中，確實很多數(shù)據(jù)到底屬不屬于個人信息會產(chǎn)生一些爭議，比如手機的設(shè)備信息，雖然是個人的設(shè)備，但個人和設(shè)備之間的綁定可能會產(chǎn)生變化。

在應(yīng)用場景下，可以反過來看某一類信息被還原成個人的可能性，以及在共享和合作過程中，對方去把這條信息還原成個人的可能性。

涉及個人信息保護法的監(jiān)管對象，從前期的收集再到處理、刪除、存儲、共享信息，監(jiān)管對象包括了全生命周期中的個人信息處理者——一個普通人平時接觸到各個場景下涉及到的個人信息，不管是線下還是線上都會被納入法律的管理范疇中。

從對象來說的話，只要是處理個人信息的組織或者個人，尤其是掌握大量個人信息的企業(yè)都在法律的監(jiān)管范圍內(nèi)。

我認為在個人信息保護法推出以后，互聯(lián)網(wǎng)大廠想要再基于個人畫像做精準營銷，其實是有一些門檻。之前很多互聯(lián)網(wǎng)大廠手上掌握著大量的個人隱私數(shù)據(jù)，在過去他們可以通過用戶畫像來對用戶進行針對性商業(yè)營銷，但在個人信息保護法推出之后，已經(jīng)針對個人信息處理制定了非常精確的一些規(guī)則，比如App不能肆意地違規(guī)收集個人信息，更不能拿去銷售和交易。

“商業(yè)利益是有限的，個人受到的傷害是終生的”

App過度收集個人信息、不授權(quán)就不讓用等問題久遭用戶詬病。個人信息保護中的高額罰款以及舉證責(zé)任倒置等條款都給企業(yè)施加了保護個人信息的義務(wù)。

根據(jù)個人信息保護法，如果個人信息處理者違規(guī)處理個人信息，或者處理個人信息未履行個人信息保護義務(wù)，情節(jié)嚴重的，可由省級以上履行個人信息保護職責(zé)的部門處以五千萬以下或者上一年度營業(yè)額百分之五以下罰款。

企業(yè)在收集個人信息的時候，它就會判斷。收集的環(huán)節(jié)如果合法性不足，后面會有巨額處罰，它的壓力會大很多……其實企業(yè)未必有什么心想作惡，但是如果沒有法律的壓力，很多事情可做可不做（企業(yè)可能就不會去做），但現(xiàn)在是必須要做。

另外，對于敏感個人信息和一些特殊場景，個人信息保護法還規(guī)定了“取得個人單獨同意”的保護規(guī)則，對于“單獨同意”如何落地也是實務(wù)界非常關(guān)注的焦點。

個人信息保護法中設(shè)置單獨同意實則是組合拳中的“一招”。以往的概括性同意中用戶可能注意不到某一項敏感信息，而現(xiàn)在單獨同意，用戶往往會引起警覺，從而很有可能選擇拒絕授權(quán)，這也促使企業(yè)去評估收集敏感個人信息的必要性，并向用戶作出合理說明。

一方面，個人信息保護相關(guān)的法律法規(guī)頻頻出臺，另一方面針對電信詐騙的監(jiān)管和宣傳也在不斷發(fā)力，但令許多人不解的是，為何電信詐騙依然難以真正地解決？企業(yè)又能做些什么？

近幾年電信詐騙的對抗性和產(chǎn)業(yè)鏈條呈現(xiàn)體系化的特點，甚至很多電信詐騙者不在境內(nèi)。在詐騙產(chǎn)業(yè)鏈的前端已經(jīng)呈現(xiàn)出了很明確的分工，有專門的團伙通過惡意代碼嵌入到正常網(wǎng)站中等方法來盜取個人信息，當公眾被電話觸達之前，我們的個人信息可能已經(jīng)被詐騙者獲取到了。

單個點的防御很難突破詐騙體系化，還是需要從監(jiān)管到互聯(lián)網(wǎng)企業(yè)形成一套整體方案，更快速高壓地持續(xù)性打擊，來降低電信詐騙受害者的數(shù)量。

至于企業(yè)對減少電信詐騙能做些什么，企業(yè)的數(shù)據(jù)泄露很大一部分原因是從內(nèi)部泄露出的。企業(yè)尤其需要避免讓第三方運維人員、外包人員查到“裸數(shù)據(jù)”（明文數(shù)據(jù)），而應(yīng)讓他們看到脫敏數(shù)據(jù)。

即便是通過技術(shù)手段對個人數(shù)據(jù)脫敏，也無法保證百分之百不會數(shù)據(jù)泄露，但至少能做到泄露出來的脫敏數(shù)據(jù)不會成為精準詐騙的“原料”。