谁来保护我的个人信息?

《财经》记者 黄姝静/文 鲁伟/编辑  

2019年03月21日 18:40  

本文5297字,约8分钟

信息泄露与个人信息收集的不规范,是当前隐私保护领域的两大隐忧,除了对收集信息的公共机构与企业进行更有效的行政监管,立法的协调统一和企业自治都应当被给予更多的讨论和实践空间

《财经》记者 黄姝静 | 文  鲁伟 | 编辑

北京大学法学院教授张平发现,在一些酒店入住时,住客提供身份证之后还会被强制要求“刷脸”,酒店方没有出示任何法律依据,仅回应一句“有关部门的规定”,这令住客们无法拒绝。她注意到,最近“人脸识别”技术有过度应用的趋势,“刷脸”购物、登机、打卡等均被作为创新的商业模式在推广。

频频发生的隐私安全问题备受学者关注,公众则更是焦虑。仅在今年2月份,中国就发生了两起广受争议的隐私安全事件——京东金融涉嫌窃取用户敏感图片、采用人脸识别技术的深网视界科技有限公司(下称“深网视界”)被指泄露约256万人的信息数据。隐私安全事件不仅在中国时有发生,在全球范围内,这个问题同样处在高发期。

多位个人信息保护领域的研究者对《财经》记者表示,中国很多数据泄露事件多由内部人员所为或由黑客攻击引发,属于“比较初级的侵权”,但信息泄露可能导致的后果往往是“灾难性的”。

腾讯安全在1月发布的《信息泄露:2018企业信息安全头号威胁报告》指出,信息泄露催生了三大变现途径:精准诈骗、撞库攻击以及撒网式诈骗。

中国收集个人信息的主体包括公共机构与企业,目前多数头部互联网企业都在积极开展数据合规与隐私保护工作,但对于公共机构以及数量众多的小企业,如今仍缺乏有效监管。

2018年以来,在全球范围内,各国针对隐私保护密集出台了相关法律,中国也将《个人信息保护法》立法工作提上日程,该法的出台将结束当前立法分散、无专门法律保护隐私的历史。

信息泄露与收集失范

接连发生的个人信息安全事件不断唤起公众心中对于隐私安全的担忧。事件所涉企业、机构类型涵盖范围颇广,互联网企业、新型技术企业因其业务特点较多地收集、存储、使用大量数据,往往首当其冲。

2月16日,一位微博用户连发两条实测视频,质疑京东金融APP“窃取”用户隐私照片,引发轩然大波。

中国社科院大学互联网法治研究中心执行主任刘晓春告诉《财经》记者,若要采集涉及用户个人信息的图片,京东金融APP首先应当在其隐私政策中明确告知用户,并取得用户同意。倘若擅自收集,其行为就涉嫌违法。

京东金融客服在第一时间致歉并明确表示“未上传用户图片,也从未想过未经用户授权获取用户图片”,但由此引发的质疑与争论并未停止。

北京大学法学院副院长薛军指出,京东事件说明至少在技术层面上,貌似独立运行的APP之间也是能够“串门”抓取信息的。“这非常可怕,需要引起高度重视。”

几乎就在京东金融APP被质疑涉嫌窃取用户信息的同一时间,2月15日,深网视界被曝涉嫌大规模数据泄露,该公司被指存在安全漏洞,任何人都可不受限地访问其数据库,导致约256万人包括身份证、地址、行踪轨迹等在内的隐私信息遭到泄露。

因该公司主营业务与其基础技术的特殊性,事件引发了公众对于人脸识别技术应用及生物信息安全的担忧。刘晓春对《财经》记者表示,面部识别信息和指纹类似,几乎是目前最有效的身份认证方式,其认证的应用场景往往涉及公众的基本安全,一旦泄露,则面临被冒用的风险,造成的危害将远远超过一般的个人信息泄露。

张平则对《财经》记者强调,面部识别信息是生物信息的一种,几乎是恒定不变的,倘若未来“刷脸”技术全面推广,应用在诸如住宅等重要场景后,此类信息泄露的后果不堪设想。

前述两起事件,集中体现了目前隐私保护领域的两大隐忧:数据收集的失范与数据泄露。进一步推之,被过度收集、未妥善保存的数据还可能面临着被滥用的风险。

据《财经》记者了解,目前针对隐私安全问题的行政处罚缺乏较高位阶的法律依据,频发的安全事件多以主管部门约谈、整改收场。比如2018年发生的“支付宝年度账单事件”——多数用户在不知情的情况下“被同意”接受《芝麻服务协议》,使得芝麻信用可以对用户的信息进行分析,并推送给合作机构。事发后,网信办约谈支付宝、芝麻信用有关负责人,网络安全协调局负责人指出,支付宝、芝麻信用收集、使用个人信息的方式,不符合《个人信息安全规范》国家标准的精神,应严格按照《网络安全法》的要求,加强对平台的全面排查,进行专项整顿。

华东政法大学数据法律中心研究主任高富平对《财经》记者表示,数据泄露一直是个人信息保护中最为公众关切的问题,因为一旦发生,就会演变成公共安全事件,不单是个人权益受到侵害,对整个社会都贻害颇深。

高富平介绍,大多数信息泄露与公司内部的人员及其管理有关。“企业的员工没管好,导致内部泄露。当然也不排除有一些黑客的攻击,就是企业本身的系统有漏洞,导致别人可以轻易攻击,盗取数据,造成泄露。”

据刘晓春观察,信息泄露之外,个人信息的过度收集在最近已经成为行政监管与执法的重中之重。中央网信办、工信部、公安部、市场监管总局此前宣布,自2019年1月至12月,要在全国范围组织开展APP违法违规收集使用个人信息专项治理。自此,涉及数据较多的公司都成了重点整治对象。

行政监管与企业自治

1月25日,在“APP违法违规收集使用个人信息专项治理”新闻发布会上,中央网信办网络安全协调局巡视员、副局长杨春艳介绍,将有1000款左右的APP接受评估。用户数量大、与民众生活密切相关的APP,都将被纳入评估范围。

事实上,2017年以来,相关部门、及第三方机构对多款APP的隐私政策、用户信息收集及使用情况作了多次测评,但多数结果都不尽如人意。

2018年11月,中国消费者协会发布的《100款App个人信息收集与隐私政策测评报告》显示,位置信息、通讯录信息和手机号码是最常被过度收集或使用的内容。用户的个人照片、个人财产信息、生物识别信息、工作信息、交易账号信息、交易记录、上网浏览记录以及短信信息等均存在被过度使用或收集的现象。

2018年12月,在工信部信息通信管理局部署下,中国互联网协会召开APP收集和使用用户个人信息情况专家评议会。据通报,14款热门APP疑似存在违规收集和使用用户个人信息的行为。

在前述测评中,头部互联网企业表现相对稳定,问题较少,在合规方面亦表现相对积极。高富平认为,个人信息保护的关键为企业自治,法律的贯彻需要将其转化为企业的规则和行为准则。

南都个人信息保护研究中心于2018年底发布了《2018年度常用APP隐私政策透明度观察报告》,该中心副主任蒋琳介绍,对1000款APP测评的结果显示,超七成APP透明度不及格,两极分化严重。

综合多位专家及相关报告提供的信息,大企业一般比较重视合规,不守规矩的小企业则数量庞大。

头部企业方面,腾讯在2018年底发布《腾讯隐私保护白皮书》,介绍公司在个人信息安全和隐私保护方面的具体实践。“我们强调的是如何加强数据保护,而不是打通数据和唯算法论”——腾讯董事局主席马化腾2018年底在微信朋友圈强调用户数据隐私保护至上。事实上,手握微信与QQ十多亿用户的腾讯,如何进行隐私保护备受外界关注。《腾讯隐私保护白皮书》对此进行了详细介绍。腾讯大数据法务合规中心总经理王小夏对《财经》记者称,腾讯倡导“科技向善,数据有度”的隐私保护理念。“用户·控制·数据”的方法论已经应用于腾讯各款产品的功能设计中,且有不同体现。以目前腾讯用户数最大的微信为例,用户在不同的设备登录微信账号时,需要验证访问;对于在其他设备上的登录,腾讯会通过弹窗形式提醒,确认是否为本人操作,若非本人操作,可以修改密码或冻结账号。

在张平看来,大公司在隐私保护上的努力,表明企业一定程度上的自律与善意的出发点,但她强调,几乎没有企业能做到完全的合法合规,就现状来讲,“多数企业仅仅能做到最低合规”。

一位就职于知名互联网公司的法律专家对《财经》记者表示,个人信息安全和数据保护的工作永无止境,“现在越是合规的头部企业,责任越大,背负的监管压力也就越大”。但对于一些公共机构和小企业的监管相对缺失。

张平也表示,现在谈到隐私保护大多聚焦于企业,对收集信息的公共机构如何监管的讨论较少。“公共部门,包括一些事业单位也在大量收集公民信息,但是缺乏监管,公众无法得知其隐私保护政策,无从得知其是否能保证个人信息的安全。”

多位法学专家寄望于正在制定的数据安全和个人信息保护的专门性法律,以推动隐私安全问题的解决。

法律规制如何突围

根据中国电子技术标准化研究院信息安全研究中心主任刘贤刚提供的数据,目前全球107个国家已经制定了数据安全和隐私保护的法律。在这一领域,欧美国家大幅领先于其他国家和地区,亚洲和非洲比例相当,只有不到40%的国家有相关法律。

事实上,2018年是各国数据安全和隐私保护法律密集出台的一年。2018年2月5日,新加坡议会通过《网络安全法》;2018年5月,欧盟《通用数据保护条例》(GDPR)正式实施;2018年7月1日,澳大利亚联邦议会完成了对1988年《联邦隐私法》的修订;2018年7月27日,印度高级别委员会正式发布了《2018年个人数据保护法草案》;2018年8月14日,巴西《通用数据保护法》正式通过。

2018年9月,中国将《个人信息保护法》和《数据安全法》列入全国人大一类立法计划。“意味着这两部法律的出台优先级都在第一梯队,目前各方都在积极推进立法。”张平告诉《财经》记者。

当前,中国对于隐私保护无专门性立法,对个人信息的保护条款散见于《网络安全法》、《消费者权益保护法》、《刑法修正案七》、《刑法修正案九》及两高的相关司法解释中。

多位法学专家认为,已经制定的法律规定很多,但是也暴露出不少问题。当公众隐私因企业或机构的信息泄露、信息的过度收集和滥用而受到伤害时,有哪些可能的规制手段?刑事规制往往指向大案要案,民事诉讼经济成本、时间成本高昂,各界更多地将此类涉及公共安全的一般案件的规制焦点放在了行政监管上。

在张平看来,当前的行政执法还比较薄弱。主要问题包括:规范不统一,多个部门均有不同程度的执法权但未能有效协调,抽查性执法,缺乏常态化监管。

另一方面,在疾速发展的技术和不断迭代创新的商业模式面前,立法探索常常显得“有心无力”。“知情同意原则”的不可实施就是其中的一个典型例证。2017年施行的《网络安全法》规定,网络运营者要收集、使用他人的信息,必须事先通知并征得信息主体的同意。然而,在很多情况下,上述原则是“不可实施”的。张平向《财经》记者举例称,部分网站的“一揽子”授权同意条款、对于自动抓取(Cookie)、追踪与精准广告的推送、“刷脸”技术的推广及公共摄像头的普遍应用等三种情境在不同环节上印证了“通知用户、用户知情、获得用户同意”链条实施的困难。

她认为,“第一种情境下,网站往往在隐私政策中规定‘若接受网站服务则视为用户同意其所有条款’,网站并未就用户的每一个具体网络行为给予通知和征求同意;第二种情境下,网站在将用户信息转用至其他目的、向用户推送广告时并未发给用户额外的通知、征得用户同意,这种模式备受争议,但是事实上是普遍的操作;第三种情境则是新兴技术带来的新问题,公共场所的摄像信息、广州等地的酒店的‘刷脸’入住要求,也并未建立起统一的规则,普通用户往往是不得不同意。”

高富平甚至直言,前述原则在现实中的不可实施性,使得法律失去了其经济理性,“白白增加了行业的制度成本”。

针对隐私保护的立法现状与问题,有法学专家建议,第一,建立专门机构统一负责个人信息保护方面的行政执法,建立常态化的监管机制;第二,针对新兴技术和商业模式带来的新问题,以及现有部分规定的缺陷,进一步细化法律解释,确立“无害传播”的善意原则,给予司法裁判足够的空间;第三,立法工作应当注重多部法律之间的周延性和自恰性,避免从立法上产生权利和责任的冲突。尤其要注意正在制定之中的《个人信息保护法》、《数据安全法》与之前的《网络安全法》、《电子商务法》协调。

(本文首刊于2019年3月4日出版的《财经》杂志)