11月1日,《个人信息保护法》正式实施。对个人信息的收集范围、处理方式等作出了严格限制,完善个人信息保护投诉、举报工作机制等,对过度收集个人信息、大数据杀熟,对人脸信息等敏感个人信息的处理作出规制,为破解个人信息保护中的热点难点问题提供了强有力的法律保障。
《个人信息保护法》共8章74条,在有关法律的基础上,进一步细化、完善个人信息保护应遵循的原则和个人信息处理规则。
《个人信息保护法》的四个关键点
进一步明确“个人信息”
《个人信息保护法》第四条对“个人信息”的范围进行了明确定义:个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。同时,第七十三条第四款对匿名化进行了解释:匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。
今年1月实施的《民法典》第一千零三十四条对“个人信息”有更详细解释:个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。
定义“敏感个人信息”
敏感个人信息和非敏感个人信息是规范个人信息处理行为的一种重要分类,有针对性地提高处理者在处理敏感个人信息时的法定义务,更加充分地保护个人信息权益。
《个人信息保护法》第二十八条给出了“敏感个人信息”的范畴,并列举泄露和非法使用的危害,并特别将不满十四周岁未成年人的个人信息纳入敏感个人信息范畴:敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。”
第二十九条对“敏感个人信息”的处理提出具体要求:处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
敏感个人信息,一旦泄露容易对个人的人身和财产安全造成极大危害。这就要求平台和企业不得过度收集消费者个人信息,并且使用个人信息应当具有明确、合理的目的。
收集处理个人信息需遵循“告知—同意”的规则
《个人信息保护法》对于个人信息的收集、处理和使用有严格的要求,要求个人信息处理者必须提前告知个人,并在充分知情的前提下才能自愿、明确地作出决定。
第十三条规定:符合下列情形之一的,个人信息处理者方可处理个人信息:(一)取得个人的同意;(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(三)为履行法定职责或者法定义务所必需;(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;(七)法律、行政法规规定的其他情形。
同时,第二十二条和第二十三条要求,个人信息处理者如果需对个人信息进行转移或提交给其他个人信息处理者,需要提前告知个人并获得同意。
禁止利用个人信息进行“大数据杀熟”
《个人信息保护法》对个人信息处理者利用个人信息提出具体要求,需要保证决策的透明、公正、公平,不得基于个人信息给予差别待遇,也就是俗话说的“大数据杀熟”。这就要求平台和企业调整此前的大数据应用模式,取消歧视性的差别待遇,进行更加精细化的运营。
第二十四条规定:个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
四方面做调整,满足合规要求
《个人信息保护法》实施,无论是拥有庞大个人信息的平台和政务部门,还是涉及到个人信息收集处理的普通企业,都需要系统规划个人信息的收集、处理和安全保障体系。承载的个人信息越多,其责任也就越大。
平台和企业主要在以下四个方面及时进行更新和改进,以满足监管合规要求及自身安全保障需要。
及时更新用户注册协议
基于“告知—同意”规则,平台和企业需要及时更新用户注册协议。在收集、处理用户个人信息前,明示收集处理个人信息的目的、方式和范围,并征得用户同意,以满足《个人信息保护法》合规性标准。
能够及时对未注册用户进行风险预判
《个人信息保护法》第十六条规定:个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
不得拒绝向未提供个人信息的用户提供服务,且能良好保障的平台和企业的合法权益,这就需要平台和企业拥有能够基于非个人信息的风险分析与感知判定能力。
顶象设备指纹基于设备、软件、网络环境以及操作行为等进行智能分析,有效侦测模拟器、刷机改机、团伙作弊等风险欺诈手段,及时发现设备上的各类异常操作和风险行为,帮助平台和企业防范潜在恶意群体。
提升营销活动的反欺诈能力
通过各种优惠促销活动吸引注册用户是平台和企业主要的拓客手段。如果不能够有效安全手段防范那些职业的“羊毛党”,原本属于新用户的合法权益很容易被“薅羊毛。不仅破坏了正常的营销规则,白白消耗大量活动资金,更无法保障新注册用户的精准性,导致营销活动效果功亏一篑。所以,反欺诈是保障营销效果的重要前提。
顶象营销反欺诈方案能够实时判断注册登录用户的是真人还是机器,及时发现并拦截程序化的批量注册、恶意登录等欺诈风险,将“羊毛党”挡在外面,让营销结果更加精准有效。
该方案中包含顶象无感验证产品。作为第四代验证码,顶象无感验证集设备指纹、行为校验、操作校验、地理位置校验等多项功能与一身,能够实时判断注册登录账户的是否为真人,有效防范程序化的批量注册、恶意登录、网络非法爬取等欺诈风险,进一步提升自动化脚步和机器攻击账号的能力。
进一步保障老用户的个人信息安全
个人信息是平台和企业的重要资产。不法团伙利用撞库、暴力破解等手段破解用户账号密码;同时,不法团伙会利用网络爬虫等手段大批量爬取个人信息。这些风险不仅造成用户隐私信息泄露,更会带来其他安全风险,给平台和企业带来直接的经济损失和品牌形象,严重影响平台和企业的健康发展。
顶象数据反爬解决方案提供了动态策略的纵深防护,通过多维度防御,有效拦截各种恶意爬虫风险,阻挡恶意爬虫盗用、盗取数据行为,防止个人信息泄露,且不影响正常用户体验。同时,顶象账户安全解决方案,基于全链路的安全防护体系,能够有效防范暴力破解、仿冒登录等风险,保障平台和企业账户安全。
两个方案中均包含包含顶象全平台端安全产品。顶象全平台端安全基于虚机源码保护专利技术,能够为安卓、iOS等平台客户端提供全方位的加固保护,内嵌一机一密功能,保护App的代码、资源文件、用户数据,同时有效侦测模拟器、刷机改机、调试破解等欺诈行为,结合白盒加密SDK,可以实现客户端到服务端的全链路保护。
作为国内领先的业务安全公司,顶象自主研发了全链路的风控中台产品矩阵体系,包括设备指纹、无感验证、实时决策平台、端加固、数据采集保护、工业硬件保护、模型平台、关联网络平台、知识图谱等风控、安全和人工智能产品,有效保障了企业的业务应用和基础设施安全。截止2021年,顶象已为10多个行业、2000多家企业提供专业服务。