麻辣财经：事关数据安全，这个地方立法了！(2)

保护隐私和个人信息，除了地方立法外，人们期待中的专门针对个人信息保护的立法——《个人信息保护法》草案已提请全国人大常委会审议。这一法律的颁布和实施，将对保护个人信息安全发挥重要的作用。

近年来，我国在规范数据处理上做了一系列探索。2017年6月1日正式施行的《网络安全法》，在信息收集使用、网络运营者应尽的保护义务等方面提出了明确要求。此后，针对公众反映突出的App违法违规收集使用个人信息问题， 2019年开始，中央网信办、工信部等四部门连续两年开展了专项治理行动。今年3月，上述四部门联合发布通知，明确了移动App必要个人信息范围。比如，地图导航类应用，必要个人信息包括位置信息、出发地、到达地。超出部分则属于违法违规范围。

该通知明确规定，App运营者不得因用户不同意收集非必要个人信息，而拒绝用户使用App基本功能服务。今年4月，工信部又打了一个“补丁”，其发布的征求意见稿要求，App处理个人信息，应遵循“知情同意”“最小必要”两项重要原则，还规定不可默认勾选、更改用户设置等。这些强力措施出台后，App违规收集、使用个人信息的情况得到一定改观。

但是，保护个人信息可能比想象复杂。“从法律层面看，个人信息与非个人信息的界限并非如想象的那样清晰。收集行为是否合法等，也就不那么容易判断。”中国人民大学法学院副教授丁晓东说。

通常，企业在收集了用户浏览网页、搜索记录等信息后，一般会将此类信息做匿名化处理。丁晓东表示，这些匿名化处理后的信息，是否属于个人信息，是否纳入个人信息的范畴来管理，学界并没有定论。而且支持者、反对者都有很充足的理由。

从现行法律看，我国也没有完全明确此类数据是否属于个人信息。此外，个人信息的范围因时代而改变，不宜做简单的二元划分。从法律角度看，这要求我们在设计相关法律与制度时，应分清个人信息的类型，采取不同的管理方式。

专家分析，此次颁布的《条例》以个人数据作为规范对象，仍然有些问题需继续探索。《条例》界定，个人数据是指载有可识别特定自然人信息的数据，不包括匿名化处理后的数据。数据处理者向他人提供其处理的个人数据，应当对个人数据进行去标识化处理。法律、法规规定或者自然人与数据处理者约定应当匿名化的，数据处理者应当依照法律、法规规定或者双方约定进行匿名化处理。

物联网设备安全防护能力弱，尤需警惕信息泄露风险

数字时代数据收集无处不在，随着物联网的应用，万物互联下一些新隐患，尤其值得警惕。

不同于PC端、手机端通常有较为成熟的安全防护体系，一些智能设备厂商，为了让产品在价格上更有优势，往往弱化了安全保护功能。更大的安全隐患则在于，虚拟世界通过物联网与物理世界紧密连接，黑客针对物联网的攻击，影响的不仅仅是虚拟空间，也会真实地危害到物理世界。比如，工业互联网上的一些应用被攻击，就可能造成生产线停产等严重后果。

事实上，这些物联网攻击行为已经引起了监管部门重视。今年6月，中央网信办、工业和信息化部、公安部、市场监管总局发布《关于开展摄像头偷窥等黑产集中治理的公告》，自5月至8月，在全国范围组织开展摄像头偷窥黑产集中治理。

安恒信息安全专家王聪建议，为了保护用户的隐私，物联网设备提供商理应提供更高等级的安全防护。此外，针对物联网的大部分网络攻击背后，都有一套成熟的黑色产业链，网络安全攻击、犯罪行为呈现出组织化、专业化、产业化的趋势。