刷臉時(shí)代，收集面部信息的底線在哪？

????????警用裝備網(wǎng)訊：?你一定也曾經(jīng)歷過這樣的情況：一款你從未用過的APP給你發(fā)來實(shí)名短信，稱有好友邀請(qǐng)你試用某款A(yù)PP；電話推銷人員打來電話，能夠準(zhǔn)確叫出你的名字……這些情況多源于互聯(lián)網(wǎng)產(chǎn)品過度獲取用戶個(gè)人信息后，對(duì)它們的不當(dāng)保管和使用。

　　近日，針對(duì)這些現(xiàn)象，公安機(jī)關(guān)會(huì)同北京網(wǎng)絡(luò)行業(yè)協(xié)會(huì)、公安部第三研究所等單位發(fā)布了《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》（下稱《指南》），對(duì)個(gè)人信息保護(hù)予以規(guī)范。

　　這是首個(gè)由公安部牽頭出臺(tái)的、針對(duì)個(gè)人信息安全的文件，對(duì)互聯(lián)網(wǎng)公司如何采集、保存、應(yīng)用、轉(zhuǎn)讓、公開披露個(gè)人信息進(jìn)行了具體規(guī)定。燃財(cái)經(jīng)注意到，《指南》尤其對(duì)終身無法改變的人臉、聲紋等個(gè)人生物特征數(shù)據(jù)的采集、保護(hù)進(jìn)行了約束。對(duì)此，我們采訪相關(guān)專家和業(yè)內(nèi)人士進(jìn)行解讀。

　　這份《指南》說了什么？

　　詳細(xì)閱讀了這份近萬字的《指南》后，燃財(cái)經(jīng)摘錄出以下要點(diǎn)：

　　在個(gè)人信息收集方面：

　　個(gè)人信息收集前，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則向被收集的個(gè)人信息主體公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍等信息；

　　個(gè)人信息收集應(yīng)獲得個(gè)人信息主體的同意和授權(quán)，不應(yīng)收集與其提供的服務(wù)無關(guān)的個(gè)人信息，不應(yīng)通過捆綁產(chǎn)品或服務(wù)各項(xiàng)業(yè)務(wù)功能等方式強(qiáng)迫收集個(gè)人信息；

　　個(gè)人生物識(shí)別信息應(yīng)僅收集和使用摘要信息，避免收集其原始信息；

　　保存方面：

　　在境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息應(yīng)在境內(nèi)存儲(chǔ)，如需出境應(yīng)遵循國家相關(guān)規(guī)定；

　　應(yīng)對(duì)保存的個(gè)人信息根據(jù)收集、使用目的、被收集人授權(quán)設(shè)置相應(yīng)的保存時(shí)限；

　　應(yīng)對(duì)保存的個(gè)人信息在超出設(shè)置的時(shí)限后予以刪除；

　　應(yīng)用方面：

　　對(duì)個(gè)人信息的應(yīng)用，應(yīng)符合與個(gè)人信息主體簽署的相關(guān)協(xié)議和規(guī)定，不應(yīng)超范圍應(yīng)用個(gè)人信息；

　　完全依靠自動(dòng)化處理的用戶畫像技術(shù)應(yīng)用于精準(zhǔn)營銷、搜索結(jié)果排序、個(gè)性化推送新聞、定向投放廣告等增值應(yīng)用，可事先不經(jīng)用戶明確授權(quán)，但應(yīng)確保用戶有反對(duì)或者拒絕的權(quán)利；如應(yīng)用于征信服務(wù)、行政司法決策等可能對(duì)用戶帶來法律后果的增值應(yīng)用，或跨網(wǎng)絡(luò)運(yùn)營者使用，應(yīng)經(jīng)用戶明確授權(quán)方可使用其數(shù)據(jù)。

　　可以看出，《指南》的規(guī)定其實(shí)比較寬松。公安三所的官方解讀也表示，《指南》提出的要求是個(gè)人信息保護(hù)的最低要求。

　　互聯(lián)網(wǎng)企業(yè)會(huì)受多大約束？

　　移動(dòng)互聯(lián)網(wǎng)時(shí)代，隨著個(gè)人信息鏈條延長，侵犯個(gè)人信息行為頻繁出現(xiàn)。

　　燃財(cái)經(jīng)此前報(bào)道，就在今年3月底，簡歷數(shù)據(jù)庫公司巧達(dá)科技核心員工被警方帶走，多位業(yè)內(nèi)人士和律師認(rèn)為，巧達(dá)科技出事可能與其未經(jīng)授權(quán)獲取和使用簡歷、“販賣”簡歷信息等涉嫌侵犯用戶隱私權(quán)、侵犯公民個(gè)人信息的行為有關(guān)。其自稱擁有超過8億自然人的認(rèn)知數(shù)據(jù)，超過57%的中國人的信息都在巧達(dá)科技的數(shù)據(jù)庫里。

　　近年來，國內(nèi)外發(fā)生過數(shù)起大型個(gè)人隱私泄露事件：2017年，亞馬遜AWS云數(shù)據(jù)庫47G 的醫(yī)療數(shù)據(jù)意外對(duì)公眾開放，導(dǎo)致15萬名患者的姓名、住址、病歷記錄、檢查結(jié)果等重要數(shù)據(jù)外泄；2018年初，F(xiàn)acebook將5000萬名用戶信息提供給英國劍橋數(shù)據(jù)分析公司，這一事件上升到國際政治層面，扎克伯格為此多次出現(xiàn)在法庭。

　　不難發(fā)現(xiàn)，上述有關(guān)事件，大部分是因?yàn)閷?duì)個(gè)人信息的收集、使用、保護(hù)不完善而導(dǎo)致的，《指南》中對(duì)這些情形做出了規(guī)范，那么，由公安部門牽頭起草的《指南》對(duì)相關(guān)互聯(lián)網(wǎng)公司的約束效力如何？

　　《指南》在引言中稱，公安機(jī)關(guān)結(jié)合偵辦侵犯公民個(gè)人信息網(wǎng)絡(luò)犯罪案件和安全監(jiān)督管理工作中掌握的情況，組織北京市網(wǎng)絡(luò)行業(yè)協(xié)會(huì)和公安部第三研究所等單位相關(guān)專家，研究起草了該《指南》，供互聯(lián)網(wǎng)服務(wù)單位在個(gè)人信息保護(hù)工作中參考借鑒。

　　在業(yè)內(nèi)人士看來，這份指南是公安部《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例（征求意見稿）》和全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)開展國家標(biāo)準(zhǔn)《信息安全技術(shù)個(gè)人信息安全規(guī)范(草案)》的融合，但從法律角度來講，正在進(jìn)行修改的《信息安全技術(shù)個(gè)人信息安全規(guī)范(草案)》，影響會(huì)更大。這份指南主要是給企業(yè)提供合規(guī)參考，并沒有強(qiáng)制效力。

　　也就是說，從現(xiàn)在起，互聯(lián)網(wǎng)公司在個(gè)人信息安全處理方面由過去的無序狀態(tài)，變得有規(guī)范可依，為具體事例提供了指引。

　　從司法層面講，《指南》雖沒有強(qiáng)制效力，但北京金誠同達(dá)律師事務(wù)所高級(jí)合伙人陳曦律師告訴燃財(cái)經(jīng)，公安部制定的文件屬于部門規(guī)范性文件，雖然在法院判決中不能作為直接依據(jù)，但仍可以間接依據(jù)的方式，在法院判決中得到使用。

　　“該《指南》對(duì)于互聯(lián)網(wǎng)公司具有一定的約束力，因?yàn)槿绻ヂ?lián)網(wǎng)公司存在違反該指南的行為，在相關(guān)事實(shí)中該指南就可能成為互聯(lián)網(wǎng)公司違法的依據(jù)，進(jìn)而可能承擔(dān)相應(yīng)的責(zé)任?！?/p>

　　因此，互聯(lián)網(wǎng)公司一般會(huì)將《指南》此類文件作為合規(guī)性審查的重要依據(jù)嚴(yán)肅對(duì)待，未來，互聯(lián)網(wǎng)用戶的個(gè)人信息處理將有更明確的準(zhǔn)則。

　　刷臉時(shí)代的新挑戰(zhàn)

　　隨著技術(shù)的發(fā)展，在物聯(lián)網(wǎng)時(shí)代個(gè)人信息安全必然面臨更多新的挑戰(zhàn)，其中，個(gè)人生物隱私數(shù)據(jù)可能面臨的泄露就是一個(gè)全新的課題。

　　據(jù)華為公司預(yù)測，到2025年，5G將實(shí)現(xiàn)1000億的聯(lián)接：100億人的聯(lián)接，900億物的聯(lián)接。聯(lián)接過程中，指紋、面部特征、行為信息等都將成為5G時(shí)代人的特征信息。

　　《指南》的起草組專家陳長松在接受南都記者采訪時(shí)表示，考慮到云計(jì)算、物聯(lián)網(wǎng)等特殊環(huán)境的一些細(xì)節(jié)可能會(huì)影響到個(gè)人信息安全，所以《指南》對(duì)個(gè)人信息持有者的技術(shù)措施提出了“擴(kuò)展要求”，比如：“應(yīng)確保個(gè)人信息在云計(jì)算平臺(tái)中存儲(chǔ)于中國境內(nèi)，如需出境應(yīng)遵循國家相關(guān)規(guī)定”；“物聯(lián)網(wǎng)感知節(jié)點(diǎn)設(shè)備采集信息回傳應(yīng)采用密碼技術(shù)保證通信過程中個(gè)人信息的保密性”等。

　　至于面部特征、虹膜特征、聲紋特征、指紋特征等個(gè)人生物隱私數(shù)據(jù)，由于它們終生無法改變的，一旦泄露，帶來的影響難以彌補(bǔ)。

　　隨著人工智能技術(shù)的發(fā)展，現(xiàn)實(shí)生活中，采集個(gè)人生物信息的場景越來越多：政府在一些公共場所推動(dòng)人臉識(shí)別閘機(jī)，國內(nèi)科技巨頭都在搶占的刷臉支付市場，一些AI視覺公司也在布局的社區(qū)、商場等場景應(yīng)用……

　　清華大學(xué)新聞學(xué)院教授、博士生導(dǎo)師沈陽曾告訴燃財(cái)經(jīng)，中國人平均每天要暴露在各種攝像頭下超過500次。

　　那么，在這些公共場景下，面對(duì)無處不在的攝像頭，《指南》中關(guān)于“個(gè)人信息收集應(yīng)獲得個(gè)人信息主體的同意和授權(quán)”一條，該如何實(shí)現(xiàn)？被收集后的個(gè)人生物信息又能如何得到保護(hù)？

　　陳曦律師認(rèn)為，個(gè)人信息的權(quán)益，還需要結(jié)合公共利益、社會(huì)治理等綜合考慮，政府安裝的監(jiān)控系統(tǒng)，涉及公益，個(gè)人信息權(quán)益的適當(dāng)讓渡是可以理解的。

　　“但如果在商店，我認(rèn)為未經(jīng)授權(quán)就有可能違反指南規(guī)定。所以在入店前應(yīng)該明示有錄像，告知用戶影像被收集、會(huì)如何被利用（比如僅用于店內(nèi)安全監(jiān)控目的，不會(huì)外傳，幾日內(nèi)銷毀），甚至有的錄像應(yīng)該還有可能構(gòu)成侵犯隱私，更需要明示有監(jiān)控?！?/p>

　　此次《指南》提出：個(gè)人生物識(shí)別信息應(yīng)僅收集和使用摘要信息，避免收集其原始信息。上海交通大學(xué)法學(xué)院副教授何淵告訴燃財(cái)經(jīng)，原始數(shù)據(jù)與摘要信息是從數(shù)據(jù)顆粒度來進(jìn)行區(qū)分的，原始數(shù)據(jù)是指完整數(shù)據(jù)，摘要信息只是核心內(nèi)容，區(qū)別在于能否識(shí)別出個(gè)人身份，這樣的規(guī)定在于保護(hù)個(gè)人隱私，這是對(duì)隱私侵犯的最小化處理。

　　另外，陳曦律師介紹，今年兩會(huì)期間，全國人大代表、北京科學(xué)研究中心副主任伊彤提交了一份《關(guān)于開展公民個(gè)人生物信息保護(hù)立法的建議》。“這（個(gè)人生物隱私數(shù)據(jù)保護(hù)）方面也在有所進(jìn)步，有關(guān)組織和個(gè)人都在積極推動(dòng)相關(guān)立法?！?/p>

　　歐盟的隱私保護(hù)：外延更廣、規(guī)定更細(xì)

　　在全球范圍內(nèi)，個(gè)人數(shù)據(jù)保護(hù)方面，歐、美有兩種不同的典型保護(hù)模式。陳曦介紹，美國早在1974年就制定了《隱私法》，歐盟也早在1995年出臺(tái)的《數(shù)據(jù)保護(hù)指令》，為個(gè)人信息提供保護(hù)。因此，實(shí)際上歐美國家很早就開始在個(gè)人信息及數(shù)據(jù)方面搭建法律保護(hù)的框架。

　　相對(duì)而言，歐盟采取政府主導(dǎo)下的嚴(yán)格立法和統(tǒng)一監(jiān)管，最為嚴(yán)格，GDRP（《一般數(shù)據(jù)保護(hù)條例》，已取代《數(shù)據(jù)保護(hù)指令》）將保護(hù)范圍的外延擴(kuò)展到醫(yī)療健康、生物標(biāo)識(shí)等；在個(gè)人權(quán)利上，引入了被遺忘權(quán)、可攜帶權(quán)、刪除權(quán)等新型權(quán)利；在隱私政策制定上，企業(yè)必須確保隱私設(shè)計(jì)原則貫穿到整個(gè)數(shù)據(jù)處理過程中。

　　陳曦介紹，GDPR中規(guī)定的數(shù)據(jù)可攜帶權(quán)，令用戶在一定條件下有權(quán)轉(zhuǎn)移其某一數(shù)據(jù)控制者下的個(gè)人信息至第三方手中，平臺(tái)不得阻礙，這一規(guī)定實(shí)際上也有助于打破大企業(yè)對(duì)數(shù)據(jù)的壟斷，在一定程度上加強(qiáng)用戶對(duì)個(gè)人數(shù)據(jù)的控制權(quán)，增強(qiáng)市場的競爭活力。“這也是值得我們從市場競爭維度去參照考量的一個(gè)規(guī)定。”

　　總的來看，GDRP賦予用戶充分的個(gè)人信息自決權(quán)，而企業(yè)及其他掌握數(shù)據(jù)資源的主體必須承擔(dān)更多的義務(wù)。

　　美國采取行業(yè)驅(qū)動(dòng)與規(guī)則塑造下的多方博弈，個(gè)人數(shù)據(jù)保護(hù)并不那么嚴(yán)格，聯(lián)邦層面沒有統(tǒng)一立法，由各州自行規(guī)定?！懊绹钪档媒梃b的是，注重?cái)?shù)據(jù)保護(hù)和數(shù)據(jù)流通的平衡，既要保護(hù)個(gè)人數(shù)據(jù)，也要兼顧經(jīng)濟(jì)的發(fā)展?！?/p>

　　4月16日，舊金山通過了對(duì)《停止秘密監(jiān)視》條例所作的一些修訂，離成為美國第一個(gè)禁止使用人臉識(shí)別軟件的城市更近了一步。修訂的理由是，人臉識(shí)別技術(shù)侵害公民權(quán)利和公民自由的可能性大大超過了其聲稱的好處；這項(xiàng)技術(shù)將加劇種族不公正，并且威脅到我們的生活不受政府持續(xù)監(jiān)視的能力。

  新聞稿件歡迎直接聯(lián)系：QQ 34004818 微信公眾號(hào)：cpsjyzb

相關(guān)閱讀

• 筑牢人工智能安全防火墻
• 美軍補(bǔ)給無人機(jī)簡述
• 楊金才：低空經(jīng)濟(jì)萬億市場開啟，無
• 情緒識(shí)別，安檢的下一個(gè)風(fēng)口？
• 無人裝備朝著主戰(zhàn)化加速演進(jìn)
• 俄烏沖突中的反無人機(jī)作戰(zhàn)方式

0 條評(píng)論

• 還沒有人評(píng)論過，趕快搶沙發(fā)吧！