文/ 赵易凡 关瑞玲 罗培
清华大学互联网产业研究院
数字经济时代,信息技术快速迭代驱动着数据存储量的扩大以及数据存储方式的创新与变革。然而,技术进步在带来便利的同时,也加剧了数据泄露的风险。一方面,随着大数据、云计算等技术的广泛应用,数据的收集、存储和传输变得更为便捷,但这也为数据泄露埋下了隐患。另一方面,数据存储载体不断更新换代,从传统的纸质文档到现代的光盘、硬盘,再到如今的手机、电脑等电子设备,再到越来越普遍的云端存储,数据的存储形式日益多样化复杂化,这也使得数据安全防护面临更加复杂多变的挑战。纸质文档可以通过物理销毁如碎纸机进行彻底处理,但光盘、硬盘以及电子设备中存储的数据无法被轻易地删除。如何确保个人数据在不再需要时能够被安全、彻底地销毁,成了一个亟待解决的问题。
在此需求激发下,数据安全销毁行业快速发展。据《中国数据安全销毁行业发展报告2021》数据显示,数据安全销毁市场从 2015 年的 250 亿市场规模迅速增长至 2021 年的 537 亿市场规模。
一、我国个人信息安全销毁产业发展机遇
01|政策机遇:国家高度重视数据产业发展和数据安全保护
我国是全球首个将数据列为生产要素的国家。党中央、国务院陆续出台多项政策措施,推动数据产业发展,加强数据安全保护。
2022 年 12 月,“数据二十条”对外发布,从数据产权、流通交易、收益分配、安全治理等方面构建数据基础制度,提出 20 条政策举措;2023 年 2 月,《数字中国建设整体布局规划》印发,明确数字中国建设按照“2522”的整体框架进行布局;2023 年 11 月,国家数据局挂牌成立,负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用;2023 年 12 月 31 日,国家数据局等 17 部门联合印发《“数据要素×”三年行动计划(2024—2026年)》,强调要加强数据安全保障,落实数据安全法规制度,丰富数据安全产品,培育数据安全服务。
近年来,我国陆续发布多项个人信息安全领域相关的政策标准,保护个人信息安全。同时,法律层面,也在加强对数据安全的监管和保护。
2021 年 8 月,我国十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》,这是第一部关于个人信息保护的专门立法,对个人信息及敏感个人信息做出定义并强调,任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。2021 年 9 月 1 日,《中华人民共和国数据安全法》正式实施(以下简称“《数据安全法》”),《数据安全法》从宏观的角度,规范了数据处理活动,确保个人信息的合法合规处理,防止数据泄露和滥用,维护公众的隐私权。2022 年 9 月 12 日,国家互联网信息办公室发布关于修改《中华人民共和国网络安全法》的决定(征求意见稿),进一步完善了个人信息保护规则,规范了个人信息的收集和使用,明确了非法获取和出售个人信息的法律责任。
作为数据安全的重要内容和数据产业的重要一环,个人信息安全销毁产业迎来了发展良机。
02|市场机遇:潜力巨大、需求涌现、市场空白
一是高存量电子产品待处理,个人信息销毁市场潜力巨大。据工信部数据显示,2023 年我国手机产量达到了 15.7 亿台,同比增长 6.9%,国内市场手机总体出货量也达到了 2.89 亿部。[1]这意味着每年都有大量的旧手机被淘汰下来,形成了一个庞大的废旧手机市场。这些废旧手机存储着大量的个人信息。因此,如何安全处理废旧手机,对于个人信息安全至关重要。据有关新闻报道,二手手机已经成为个人信息泄露的重要源头之一,这背后隐藏着一条相当成熟的灰色产业链条。通过二手手机非法获取的个人信息,极有可能被不法分子用于发送垃圾电话、短信,甚至进行电信诈骗等违法活动。[2]这一发现加剧了公众对于个人信息安全的担忧,也提醒用户在处理旧手机等敏感信息存储设备时需更加谨慎。数量如此庞大的废旧手机和电子设备,为个人信息安全销毁产业提供了巨大的发展潜力。
二是个人信息安全销毁场景需求逐步涌现。随着移动互联网的普及、电子设备种类的丰富,导致人们对于电子设备的依赖日益加剧,而不同的设备的使用场景、属性不同,其销毁处理的需求也不尽相同。因此,基于如手机、电脑、硬盘、U 盘、SD 卡等不同类型的电子设备,安全销毁场景需求也将是丰富多样的。
三是个人信息安全销毁服务产业市场空白。当前,我国的信息安全销毁服务主要聚焦于国家机关和涉密单位,个人信息安全销毁服务产业存在市场空白。这一市场空白为具备相关技术和经验的专业团队提供了巨大的商业机遇,特别是像金融、医疗、教育等特殊领域。根据中国循环经济协会估算,近五年我国年均产生废旧手机超过 4 亿部。这些废旧手机中,只有约 5% 能够进入专业的回收平台或通过“以旧换新”等新型回收渠道进行处理,而超过一半(约 54.2%)被消费者闲置在家中。[3]另据赛诺的一份报告,在对旧手机回收持保留意见的用户中,有 71% 的用户是因为旧手机的信息安全无法保证。[4]隐私泄露和信息安全问题已经成为制约废旧手机回收利用的主要痛点,对于安全彻底地销毁废弃的信息载体,存在巨大的市场潜力和迫切需求。通过有资质的服务商,对信息载体进行安全销毁,是解决这一痛点的有效途径。
二、我国个人信息安全销毁产业发展机遇
01|个人信息安全法律法规体系有待完善
从我国整体信息安全的法律框架来看,已经构建了以《网络安全法》《数据安全法》和《个人信息保护法》这三大法律为支柱的数据安全法律体系。这些法律在保障数据安全方面起到了基础性的支撑作用,为数据的采集、传输、使用、共享以及销毁等各个环节提供了明确的法律指引。然而,在数据载体的全生命周期中,尤其是在数据载体完成正常使命后的安全处置环节,目前的法律法规还存在一定的空白,对数据生命周期的“销毁”环节并未提供明确的义务性条款。[5]自然人虽拥有要求数据处理者删除其个人信息的权利,但关于“删除个人信息的具体范畴”“哪些主体应负责履行删除义务,包括业务合作第三方吗”以及“删除个人信息应遵循哪些基本要求”等细节问题仍悬而未决。在“删除个人信息”的实际操作中,自然人难以确认信息收集者或信息处理者是否真正彻底删除了其个人信息,无法确保自身的信息安全。
因此,为了更好地保护数据安全,建立完整的法律体系,有必要加强对数据载体安全处置环节的监管和规范。这包括制定专门的法律法规,明确数据清理和载体处置的标准和流程,以及建立相应的监管机制和处罚措施,以确保个人信息在全生命周期内得到全面有效地保护。
02|个人信息安全标准体系有待建立
全球 IT 资产回收处置、电子废物回收和数据中心服务商 SIMS 公司,在其白皮书中给出了处置 IT 资产的五种方式,包括:验证数据擦除的彻底性、强化运输安全、完善设施与资产监控、再利用流程的道德与合规性验证和确保报废资产被安全销毁与有效回收。每一种方式都有其特定的技术要求和安全标准,以确保在整个处理过程中数据的安全性和设备的合规性。[6]
标准的缺失可能会增加数据泄露和设备不当处理的风险,对企业和个人造成潜在的损失。此外,缺乏统一的数据清理标准,不同企业或机构在进行数据销毁时往往采用不同的方法和流程,导致销毁效果参差不齐,仍存在信息泄露的风险,影响了产业的健康发展。
03|个人信息保护意识有待增强
2022 年 3 月,河南省消费者协会发布了个人信息保护现状专项调查报告。数据显示,尽管大部分消费者(88.5%)会关注互联网平台的安全隐私协议,但其中很多人(40%)只是粗略浏览,没有深入了解。真正认真阅读并理解内容的消费者仅占 35.5%,而 13% 的消费者虽然留意到了协议,却选择不阅读。[7]这些数据表明,消费者的个人信息保护意识有待进一步加强,以确保他们的权益得到更好地保障。
目前,许多国家和地区已经在通过开展隐私保护教育、宣传活动等方式,积极提升公众对个人信息保护的认识。例如,欧洲委员会将每年的 1 月 28 日定为“数据保护日”,[8]而美国和加拿大则自 2008 年起将这一天作为“数据隐私日”,旨在提高人们对隐私和个人信息保护重要性的认识。[9]这些活动不仅有效地帮助民众了解隐私泄露的风险和后果,还进一步加强了公众对信息安全的关注和重视,使信息安全真正渗透到人们的日常生活。
随着数字经济的不断发展,以及如人工智能等新兴技术的兴起,数据在社会运行和个人生活中将扮演更加重要的角色,为了更好地发挥其要素价值,数据安全保护将成为重要议题,个人信息安全销毁产业也将迎来巨大发展空间。
[1] 运行监测协调局. 2023年电子信息制造业运行情况[EB/OL]. 2024-01-30[2024-04-25]. https://www.miit.gov.cn/gxsj/tjfx/dzxx/art/2024/art_973024044030402ab5e742405126bc9e.html.
[2] 新华网. 怕泄露个人信息?处理旧手机应该这么做![EB/OL]. 2021-04-19[2024-03-25]. https://m.gmw.cn/baijia/2021-04/19/1302240716.html.
[3] 谷业凯.每年4亿部旧手机,都去哪了?[J].资源再生,2023(12):24-25.
[4] 陈婉.隐私安全成为手机回收的绊脚石[J].环境经济,2018(24):16-17.
[5] 赵精武.从保密到安全:数据销毁义务的理论逻辑与制度建构[J].交大法学, 2022(02):28-41.DOI:10.19375/j.cnki.31-2075/d.2022.02.003.
[6] SIMS.Five ways to protect your security during IT asset disposition (ITAD). https://sls-1.s3.amazonaws.com/five-ways-to-improve-itad.pdf
[7] 省消费者协会. 河南省消协发布个人信息保护现状专项调查报告[EB/OL]. 2022-03-14[2024-04-26]. https://scjg.henan.gov.cn/2022/03-14/2414056.html.
[8] The origins and purpose of Data Protection Privacy Day. International Association of Privacy Professionals. https://iapp.org/news/a/the-origins-and-purpose-of-data-protection-privacy-day/
[9] U.S. Department of Energy. Data Privacy Day. https://www.energy.gov/cio/data-privacy-day
