数据应用与安全合规的平衡之道——“最小化原则”到底是什么？

专家解答

数据应用与安全合规的平衡之道——“最小化原则”到底是什么？

去年的3.15晚会，曝光了个人信息非法获取和714高炮，而近一年来，随着国家监管的力度不断加大，大数据行业雷声阵阵直到现在也未能消停，不断有爬虫业务的大数据公司被列入调查名单。

由于疫情的影响，今年的3.15晚会延期播出，是否依然存在数据领域问题的曝光暂未可知，但是，作为数据分析与应用领域的先驱企业，华策数科始终秉承着对行业的“守正”之心，数据的合法合规使用始终是我们非常重视的问题，数据应该如何合规的采集?个人信息保护是否有法可依？数据公司应该如何合规发展？

带着这些问题，我们请来了华策数科首席法律专家马强，为我们解答相关问题。

- Q1 -

提问

数据的价值众所周知，但数据却也是一把双刃剑，用得好可以让我们生活快捷方便 ，用不好则会让我们个人信息暴露、财产遭受损失。去年整治行业的乱象让整个行业都趋于冷静，重新思考数据应用过程中的合规性问题。

那么，在数据的收集和应用上，是否有相关法律法规可依？

专家解读

目前，国际上统一认定的数据法案主要是欧盟的GDPR即《通用数据保护条例（General Data Protection Regulations）》。我国《刑法》、《网络安全法》及两高的司法解释中有部分相关规定，但并没有完整的个人信息保护的法律法规，不过今年我国将制定《个人信息保护法》、《数据安全法》，通过对个人信息保护的共性问题和合法利用问题统一的顶层设计，完整、系统的将个人信息的保护与利用进行厘定，对个人信息的保护及数据的合法利用无疑具有突破性意义。

司法实践中，已经有些判例引用了国家质量监督检验检疫总局和国家标准化管理委员会联合发布的各种信息安全标准做为判案依据，为司法提供了良好的技术支持，对整个数据行业更加有指导价值。

国家以立法为基，行政为辅，技术先行，构建了具有中国特色的多方面个人信息保护机制，这是我们个人信息真正得以保护的基础。

- Q2 -

提问

在运用数据的过程中，应该坚守什么样的原则和底线？

专家解读

自从欧盟的GDPR正式实施起来，“最小化原则”被公认是个人信息采集和利用的底线。GDPR里有两处明确提及，将最小化原则定义为“充分、相关以及以该个人数据处理目的之必要为限度进行处理”。结合国内外的数据行业经验和我国立法现状和趋势，我们可以用“三最”来理解“最小化原则”：最明确的“用户同意”、最少化的信息要素采集、最安全的存储和传输。

- Q3-

提问

关于用户同意，有用户授权就可以了吗？怎么理解“最明确”，能否举例说明？

专家解读

用户同意在我国《最高人民法院 最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》以及即将颁布的《个人信息保护法》中都是个人信息采集、处理的合法基础。但这并不是简单授权即可，因为概括性的授权是不被监管认可的。

从2019年开始，中央网信办、工信部、公安部、市场监管总局联合披露和下架了多款APP，其中既有过度收集用户个人信息的问题，也有隐私条款内容不达标的情况，不少持牌的小贷、银行等金融机构被惩处。

根据《App违法违规收集使用个人信息行为认定方法》、《信息安全技术 个人信息安全规范》等规范性文件和国家标准，收集个人信息的时候一定要说明收集方式、范围；对用户身份证号、银行账号、行踪轨迹等敏感信息更要特别说明，这种说明应该以显著的形式确保用户知悉。各类以数据为核心的大型企业根据这些规定持续的更新隐私政策，中小型公司也应该引起重视，调整自己的个人信息收集和保护策略。

- Q4-

提问

信息要素采集的最少化怎么理解？企业应该怎么来执行？

专家解读

这也在GDPR和《App违法违规收集使用个人信息行为认定方法》以及国标规范中有所规定。在信息采集的关联度、必要性、频次都提出了原则性的要求,但并没有明确的操作指引。实际操作上，数据价值是会递减的，尤其在数据不全面、不及时的情况下，数据价值会大幅度降低，所以服务方总想尽可能多量、多次收集客户数据。

例如，餐饮机构逐步复工后，为疫情防控需要登记就餐人员姓名、电话等个人信息，但有个别餐饮机构甚至登记身份证号码，先不说这是否违法，这个行为首先就违反了最小化收集的原则。反过来说，既然能实现公交二维码申报出行轨迹，是不是有可能更进一步建立一个统一的政府平台来申报个人活动轨迹？这样既避免了无权限收集数据后可能被滥用的风险，又能保证疫情的监控。

对服务企业来说，采集信息时需要服务方区分基础性服务和非必要服务，进而区分制定隐私政策和用户告知方式，合法收集用户信息用于自身业务。

- Q5-

提问

最安全的存储和传输应该怎么来理解？

专家解读

目前，对数据的存储和处理并不像数据收集那样在法律、规章、监管上重点关注，只有少量的提及或者专家探讨。严格来说，这也并不完全算最小化原则的内涵范围，但数据采集后，如何确保数据的安全利用是数据行业面临的普遍性问题。加密、去标识化、同一信息主体的数据分开存储等方式是行业发展的必然要求。更为重要的是，在数据合法共享过程中，如何减少数据的传输次数，尤其是避免明文数据的传输，在数据应用过程中，综合调用多个数据源，分别满足不同的协议或者法律要求，对数据类型企业提出了更高的合规要求。

- Q6-

提问

作为数据分析与应用公司的法律专家，您怎么看数据最小化原则？数据企业应如何合理运用最小化原则？

专家解读

最小化原则成为数据采集和利用的基础原则，但又限制了大数据行业的发展，毕竟现代生活中，我们每天都在产生数据，也离不开数据，尤其在这场疫情中，无接触支付、无解除配送等更被大家认可和接受。所以更好的开发和利用数据可以带来社会效率的整体提升，并且国家也将数据做为一种新型生产要素写入文件，数据已经成为我国经济发展的重要基础之一。那么如何平衡个人信息安全与社会效率提升，不但对立法和监管提出了更高的要求，也对整个数据行业提出了挑战。

大数据企业是信息安全利用的第一责任人，国家将会持续性的大力打击大数据企业对数据的采集行为，目前对大数据的存储和处理打击力度还不强，一方面对此立法上还比较薄弱，另一方面采集行为就像是黑产的原料，切断了原料来源，数据黑产就难以为继，执法效果会更好。这就要求大数据企业重视合规运营，取得信息主体的充分、明确的授权，坚持“最小化”原则，充分保障信息主体的权利，在数据保护和开发利用中找到平衡点。

数据类型企业如何更新算法，用不同的维度、多层次的去挖掘数据背后的意义，把同一份数据玩出不同的花样来，更符合自身业务和用户需求，也更具有市场意义。

- Q7-

提问

您刚刚提到在疫情期间涉及很多数据泄露的问题，作为个人，我们应该怎样保护自己的信息？

专家解读

回顾2020年的新冠疫情，大数据贯穿了整个”抗疫”过程。从精准科学研判分析疫情到全民足不出户居家隔离，疫情之下呈现出的无接触配送服务，大数据展示出巨大的价值。在全民抗疫期间也发生了一些违法事件，比如有违法分子以“采购防护物资”“献爱心”等进行诈骗；青岛市胶州中心医院发生了6000余人信息遭泄露，造成不良社会影响。

我们做为信息的所有人要提高自我保护意识。当需要我们提供个人信息时，不管是对机器、程序还是对机构、人员，多看下相关的协议，多想下有无必要提供。大多数情况下，在“同意”按钮下的“隐私保护协议”，就包含了收集您个人信息的范围，信息是否会被分析和利用，是否会提供给第三方等等。只有我们强化了信息主体的权利意识，信息保护才更具有现实意义。

随着数据技术的不断革新，具有核心价值的个人信息在成为信息社会建设的要素和网络产业发展战略的趋势中不断得到强化。用户个人数据开发和保护看似矛盾,实则相辅相成。数据利用过程中,企业获得了收益，用户也获得了便利。个人信息保护也应该开发性保护和保护性开发齐头并进，相得益彰。

发布于 2020-05