个人信息保护法自下个月起正式施行。10月15日，中国网络安全产业联盟（CCIA）数据安全工作委员会主办的 “个人信息安全有法可依”专家对话直播活动在2021国家网络安全宣传周期间于线上召开。

会上，专家探讨了个人信息保护法会对互联网大厂产生哪些影响，企业如何落实“单独同意”以及如何减少电信诈骗受害者等问题。有专家表示，个人信息保护法施行后，互联网大厂想要再基于个人画像做精准营销，“其实是有一些门槛”。

11月1日起，个人信息保护法正式施行。作为首部个人信息保护领域的专门性立法，个人信息的边界如何明确？监管对象是谁？互联网大厂将受到哪些影响？

首先，世辉律师事务所合伙人王新锐介绍了个人信息和隐私之间的区别：隐私的核心强调的是秘密和安宁不被外界打扰，不愿为他人知晓，而个人信息往往是社会生活交往中经常会用到的信息，比如电子邮箱、电话。

“隐私和个人信息之间一个很大的差异在于隐私不能商业化利用，但个人信息很多时候处于一种商业服务场景之下。”王新锐表示，个人信息保护法中的个人信息概念比民法典和网络安全法都规定得更加宽泛，“既是识别也是关联，通俗来说，识别指的是哪些信息能把我从人群中识别出来，比如身份证号，或者毕业学校、工作单位、年龄等信息加在一起把我识别出来。当我这个人已经被识别出来，跟我相关联的其他信息也属于个人信息。”

中国电子技术标准化研究院网络安全研究中心测评实验室副主任何延哲分享了他在参与国家标准制定时思考过的个人信息定义问题。

“当时我自己的一个理解是只要是有可能对个人产生伤害的，又和个人活动密切相关的信息都可以被当做个人信息来保护，尽量预防伤害。但实操过程中，确实很多数据到底属不属于个人信息会产生一些争议，比如手机的设备信息，虽然是个人的设备，但个人和设备之间的绑定可能会产生变化。”他说。

百度资深数据安全及隐私保护专家孙硕从企业的视角分享他们对个人信息的判断标准：在应用场景下，他们一般会反过来看某一类信息被还原成个人的可能性，以及在共享和合作过程中，对方去把这条信息还原成个人的可能性。

谈及个人信息保护法的监管对象，王新锐认为，从前期的收集再到处理、删除、存储、共享信息，监管对象包括了全生命周期中的个人信息处理者——一个普通人平时接触到各个场景下涉及到的个人信息，不管是线下还是线上都会被纳入法律的管理范畴中。

何延哲总结，从对象来说的话，只要是处理个人信息的组织或者个人，尤其是掌握大量个人信息的企业都在法律的监管范围内。

“我认为在个人信息保护法推出以后，互联网大厂想要再基于个人画像做精准营销，其实是有一些门槛。”安恒信息数据安全解决方案专家唐雷直言。

他进一步阐释，之前很多互联网大厂手上掌握着大量的个人隐私数据，在过去他们可以通过用户画像来对用户进行针对性商业营销，但在个人信息保护法推出之后，已经针对个人信息处理制定了非常精确的一些规则，比如App不能肆意地违规收集个人信息，更不能拿去销售和交易。

App过度收集个人信息、不授权就不让用等问题久遭用户诟病。王新锐认为，个人信息保护中的高额罚款以及举证责任倒置等条款都给企业施加了保护个人信息的义务。

根据个人信息保护法，如果个人信息处理者违规处理个人信息，或者处理个人信息未履行个人信息保护义务，情节严重的，可由省级以上履行个人信息保护职责的部门处以五千万以下或者上一年度营业额百分之五以下罚款。

“企业在收集个人信息的时候，它就会判断。收集的环节如果合法性不足，后面会有巨额处罚，它的压力会大很多……其实企业未必有什么心想作恶，但是如果没有法律的压力，很多事情可做可不做（企业可能就不会去做），但现在是必须要做。”王新锐说道。

另外，对于敏感个人信息和一些特殊场景，个人信息保护法还规定了“取得个人单独同意”的保护规则，对于“单独同意”如何落地也是实务界非常关注的焦点。

王新锐认为，个人信息保护法中设置单独同意实则是组合拳中的“一招”。以往的概括性同意中用户可能注意不到某一项敏感信息，而现在单独同意，用户往往会引起警觉，从而很有可能选择拒绝授权，这也促使企业去评估收集敏感个人信息的必要性，并向用户作出合理说明。

“一些情况下企业知难而退，因为他觉得个人不可能同意，那如果他没有收集敏感信息特别强的正当理由，可能就不去收集了……所以产业界说单独同意在一些情况下没办法落地，我觉得这恰恰是我们立法者刻意而为之的目标，就是让你在一些情况下不要去收集。因为你（企业）收集获得的利益是一些有限的商业利益，而（一旦数据泄露后）个人受到的伤害的终生的。”他说。

一方面，个人信息保护相关的法律法规频频出台，另一方面针对电信诈骗的监管和宣传也在不断发力，但令许多人不解的是，为何电信诈骗依然难以真正地解决？企业又能做些什么？

孙硕分析认为，近几年电信诈骗的对抗性和产业链条呈现体系化的特点，甚至很多电信诈骗者不在境内。在诈骗产业链的前端已经呈现出了很明确的分工，有专门的团伙通过恶意代码嵌入到正常网站中等方法来盗取个人信息，当公众被电话触达之前，我们的个人信息可能已经被诈骗者获取到了。

他认为，单个点的防御很难突破诈骗体系化，还是需要从监管到互联网企业形成一套整体方案，更快速高压地持续性打击，来降低电信诈骗受害者的数量。

至于企业对减少电信诈骗能做些什么，唐雷分析，企业的数据泄露很大一部分原因是从内部泄露出的。企业尤其需要避免让第三方运维人员、外包人员查到“裸数据”（明文数据），而应让他们看到脱敏数据。

何延哲分析，即便是通过技术手段对个人数据脱敏，也无法保证百分之百不会数据泄露，但至少能做到泄露出来的脱敏数据不会成为精准诈骗的“原料”。

采写：南都记者 孙朝

编辑：蒋琳

对这篇文章有想法？跟我聊聊吧

蒋琳5.01亿

南方都市报记者