“互联网+”服务行业中个人信息保护工作的风险挑战

前面两期我们分享了“互联网+”服务行业的个人信息保护现状和个人信息保护相关法律政策，今天我们一起来了解“互联网+”服务行业在个人信息保护工作中面临的风险挑战。

 

 

“互联网+电子商务”行业

在网络购物环境整体向好的同时，个人信息保护仍面临着诸多挑战，例如网购信息泄露及相关电信诈骗事件时有发生；消费者风险防范和自我保护意识不强；电子商务灰黑产业链猖獗，严重危害网络购物环境。

 

1.电子商务个人信息流转链条长，数据保护难度大

 

电子商务活动参与方包括平台、卖家、买家、网约工、快递物流、第三方支付机构、第三方软件开发商、广告媒体等。数据链条越长，数据处理越复杂，保护难度越大。当前最容易发生数据泄露的是卖家订单管理和快递物流两个环节。

大量中小卖家，缺乏专门的安全管理制度、工具和流程，容易发生订单信息泄露的问题。

快递物流因涉及众多快递物流网点和快递员，安全管理水平参差不齐，缺乏必要的数据安全管理机制，快递人员流动性非常高，个人信息保护意识不强。

 

2.精准推送引发的隐私保护担忧备受关注

 

电子商务平台基于大数据、人工智能等技术手段，对海量数据进行深度挖掘，从而更加了解自己的用户以实现精准需求匹配。诸如“窃听用户聊天进行精准推送”、“根据用户私密文字聊天内容进行精准推送”、“大数据杀熟”等舆情持续出现，反映出众多消费者面对精准推送存在隐私保护担忧。

 

 

3.新零售深度收集、使用个人信息，全面保护面临挑战

 

新零售依托互联网、大数据、人工智能等数字技术实现线上服务、线下体验以及与现代物流的深度融合，其核心是以消费者为中心的会员、支付、库存、服务等方面数据的全面打通。新零售业态高度依赖对用户数据的深度收集和挖掘使用。

然而新零售也带来更复杂的个人信息保护挑战：一是指纹、声纹、人脸等生物识别特征信息在带来极简的购物体验的同时，也增加了个人敏感信息泄露风险。二是愈加智能便利的服务需要收集更全面、更高频的用户数据。如何在合理必要、知情同意的情况下收集、使用个人信息面临难题。

 

4.现行制度与产业长链条属性间存在差距

 

目前国内个人信息保护依赖于个人信息收集使用的告知同意原则，仅依赖告知同意原则，无法为个人信息主体提供充分的保护。如何确保用户的知情权和选择权，如何实现数据安全责任的合理分配，如何在保护个人信息的同时保障电子商务的便捷与效率，对个人信息保护制度设计提出更高要求。

 

此外，当下国内个人信息保护法律法规缺乏对个人信息委托处理的制度设计。大量的客服外包、第三方软件开发商（ISV）、快递物流以及提供数据服务的软件开发包（SDK）等受委托处理个人信息的主体的数据安全责任落实仍处于灰色地带。

 

“互联网+医疗健康”行业

 

1.医疗健康个人信息泄露事件频发

 

医疗健康个人信息具有高度的人身指向性和敏感性，商业利用和社会公共管理价值极高，因此也成为网络黑产的重要攻击对象。

 

2.医疗健康信息基础设施安全保障仍需不断提升

 

医疗信息基础设施具有很强的公共性， 且一旦破坏，对于公民个人、社会公共秩序甚至国家安全都会造成严重影响，属于《网络安全法》第三十一条规定的关键信息基础设施，是国家的重要战略资源，是网络安全和数据安全的重中之重。

但目前医院的信息化建设面临着数据备份不足、运营管理不规范、复合型信息人才紧缺、数据合规上的不确定性等问题，在网络安全等级保护以及数据安全管理层面尚需完善相关合规指引。

 

 

3.新型智能医疗设备和应用软件存在安全风险隐患

 

可穿戴医疗设备产业迎来爆发式增长，具有其操作简单、成本低廉等优势。但线上医疗、健康管理等智能终端APP存在过度索权、超范围收集使用个人信息、未经同意向第三方转移、过度推荐精准医疗定向广告等问题。部分企业尚未建立完善的个人信息保护机制，容易受到黑客等非法攻击。

 

4.医疗健康个人数据流通尚需完善规范指引

 

医疗健康信息的共享流通对于医学研究以及医疗服务的精准化、个性化具有重要意义。调查显示，70%以上的医院实现了医疗信息化，但仅有不到 3%的医院实现了数据互通，医疗大数据比较分散。医疗健康信息作为高度敏感的个人信息，在多主体流转过程中面临巨大安全风险。

 

“互联网+智能家居”行业

1.部分类型智能家居设备存在隐蔽收集个人信息风险 

 

众多智能家居设备均配备了语音助手，为用户提供基于语音控制的个性化服务，然而在实现语音唤醒的过程中，也存在着误触发泄露隐私的安全风险。智能摄像头也存在着被误打开进而泄露个人信息的风险。

 

2.智能家居设备全面符合个人信息保护原则存在难题

 

按照现行国内个人信息保护法律规定，收集、使用个人信息前，产品需要公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。然而在智能家居领域，设备多种多样，众多设备并没有屏幕，亦没有语音交互功能，只能通过纸质实体说明书等方式对用户进行告知，难以获得用户的明示同意。

 

虽然部分标准文件明确提出当数据的收集范围、使用目的等有变化的时候，需要告知用户并重新获得同意， 但是智能家居设备在不断迭代开发的过程中可能出现很多新的功能，则其数据收集范围将发生变化。在此情况下当收集、使用范围发生变化时如何再告知用户同意将存在困难。

 

 

3.智能家居设备和系统安全保障面临攻击风险

 

智能家居设备在终端信息采集、网络信息传输以及云平台存储等各环节都面临着安全攻击风险，如果安全保障存在漏洞，极有可能发生数据泄露，甚至智能家居设备被第三方控制，威胁用户的隐私保护和人身财产安全。

 

4.儿童个人信息保护需要加强关注

 

2019年5月，亚马逊智能音箱Echo被指不恰当地记录和保存了年轻用户的对话，侵犯儿童隐私。儿童对其个人信息保护的理解往往并不充分，对敏感个人信息的范围以及个人信息共享的风险后果难以建立有效认知。因此，在收集儿童个人信息之前，应当获得其父母或监护人的同意。然而现阶段智能家居设备在收集、处理儿童个人信息方面尚未建立有效保护机制，大部分产品尚未考虑如何获得父母或监护人的同意，以及区别对待儿童个人信息的收集和使用。

 

“互联网+出行服务”行业

1.网约车功能丰富，增量个人信息保护面临挑战

 

目前网约车服务除了能够提供专车、快车、出租车服务外， 还能够提供租车、代驾、豪华车、贷款、保险、办理手机号码、汽车维修、金融理财等多样化的服务，用户在使用这些服务的过程中提供了大量个人信息，包括身份和鉴权信息、财产信息、位置信息等。

 

2.个人信息保护和人身安全保障难以平衡

 

保障乘车过程中的人身财产和行车安全是网约车服务的关键前提。近两年，网约车除了必须信息外，还需行车录音、视频记录等安防措施，在保障安全的同时，也收集了更多司乘个人信息。乘客一方面担心因过多提供个人信息而导致信息泄露，另一方面顾虑因为不提供身份信息、乘车记录信息等个人信息而难以实现乘车过程的安全保障。

 

 

3.网约车个人信息保护跨行业合规面临挑战

 

网约车作为利用互联网平台技术实现运载服务的新业态，在管理中涉及到交通、公安、工信、网信等主管部门，在国家法律和各主管部门法律法规中很多涉及到个人信息保护内容，如何达到跨行业协同全面的监管合规面临挑战。