公安部“新规”:刷脸也要有底线
2019-04-26 08:10

公安部“新规”:刷脸也要有底线

Photo by frederik danko on Unsplash,本文为燃财经(ID:rancaijing)原创,作者:蔡浩爽、刘素宏,编辑:赵力


你一定也曾经历过这样的情况:一款你从未用过的APP给你发来实名短信,称有好友邀请你试用某款APP;电话推销人员打来电话,能够准确叫出你的名字……这些情况多源于互联网产品过度获取用户个人信息后,对它们的不当保管和使用。


近日,针对这些现象,公安机关会同北京网络行业协会、公安部第三研究所等单位发布了《互联网个人信息安全保护指南》(下称《指南》),对个人信息保护予以规范。


这是首个由公安部牵头出台的、针对个人信息安全的文件,对互联网公司如何采集、保存、应用、转让、公开披露个人信息进行了具体规定。燃财经注意到,《指南》尤其对终身无法改变的人脸、声纹等个人生物特征数据的采集、保护进行了约束。对此,我们采访相关专家和业内人士进行解读。


这份《指南》说了什么?


详细阅读了这份近万字的《指南》后,燃财经摘录出以下要点:


在个人信息收集方面:


  • 个人信息收集前,应当遵循合法、正当、必要的原则向被收集的个人信息主体公开收集、使用规则,明示收集、使用信息的目的、方式和范围等信息;


  • 个人信息收集应获得个人信息主体的同意和授权,不应收集与其提供的服务无关的个人信息,不应通过捆绑产品或服务各项业务功能等方式强迫收集个人信息;


  • 个人生物识别信息应仅收集和使用摘要信息,避免收集其原始信息;


保存方面:


  • 在境内运营中收集和产生的个人信息应在境内存储,如需出境应遵循国家相关规定;


  • 应对保存的个人信息根据收集、使用目的、被收集人授权设置相应的保存时限;


  • 应对保存的个人信息在超出设置的时限后予以删除;


应用方面:


  • 对个人信息的应用,应符合与个人信息主体签署的相关协议和规定,不应超范围应用个人信息;


  • 完全依靠自动化处理的用户画像技术应用于精准营销、搜索结果排序、个性化推送新闻、定向投放广告等增值应用,可事先不经用户明确授权,但应确保用户有反对或者拒绝的权利;如应用于征信服务、行政司法决策等可能对用户带来法律后果的增值应用,或跨网络运营者使用,应经用户明确授权方可使用其数据。


可以看出,《指南》的规定其实比较宽松。公安三所的官方解读也表示,《指南》提出的要求是个人信息保护的最低要求。


互联网企业会受多大约束?


移动互联网时代,随着个人信息链条延长,侵犯个人信息行为频繁出现。


燃财经此前报道,就在今年3月底,简历数据库公司巧达科技核心员工被警方带走,多位业内人士和律师认为,巧达科技出事可能与其未经授权获取和使用简历、“贩卖”简历信息等涉嫌侵犯用户隐私权、侵犯公民个人信息的行为有关。其自称拥有超过8亿自然人的认知数据,超过57%的中国人的信息都在巧达科技的数据库里。


近年来,国内外发生过数起大型个人隐私泄露事件:2017年,亚马逊AWS云数据库47G 的医疗数据意外对公众开放,导致15万名患者的姓名、住址、病历记录、检查结果等重要数据外泄;2018年初,Facebook将5000万名用户信息提供给英国剑桥数据分析公司,这一事件上升到国际政治层面,扎克伯格为此多次出现在法庭。


不难发现,上述有关事件,大部分是因为对个人信息的收集、使用、保护不完善而导致的,《指南》中对这些情形做出了规范,那么,由公安部门牵头起草的《指南》对相关互联网公司的约束效力如何?


《指南》在引言中称,公安机关结合侦办侵犯公民个人信息网络犯罪案件和安全监督管理工作中掌握的情况,组织北京市网络行业协会和公安部第三研究所等单位相关专家,研究起草了该《指南》,供互联网服务单位在个人信息保护工作中参考借鉴。


在业内人士看来,这份指南是公安部《网络安全等级保护条例(征求意见稿)》和全国信息安全标准化技术委员会开展国家标准《信息安全技术个人信息安全规范(草案)》的融合,但从法律角度来讲,正在进行修改的《信息安全技术个人信息安全规范(草案)》,影响会更大。这份指南主要是给企业提供合规参考,并没有强制效力。


也就是说,从现在起,互联网公司在个人信息安全处理方面由过去的无序状态,变得有规范可依,为具体事例提供了指引。


从司法层面讲,《指南》虽没有强制效力,但北京金诚同达律师事务所高级合伙人陈曦律师告诉燃财经,公安部制定的文件属于部门规范性文件,虽然在法院判决中不能作为直接依据,但仍可以间接依据的方式,在法院判决中得到使用。


“该《指南》对于互联网公司具有一定的约束力,因为如果互联网公司存在违反该指南的行为,在相关事实中该指南就可能成为互联网公司违法的依据,进而可能承担相应的责任。”


因此,互联网公司一般会将《指南》此类文件作为合规性审查的重要依据严肃对待,未来,互联网用户的个人信息处理将有更明确的准则。


刷脸时代的新挑战


随着技术的发展,在物联网时代个人信息安全必然面临更多新的挑战,其中,个人生物隐私数据可能面临的泄露就是一个全新的课题。


据华为公司预测,到2025年,5G将实现1000亿的联接:100亿人的联接,900亿物的联接。联接过程中,指纹、面部特征、行为信息等都将成为5G时代人的特征信息。


《指南》的起草组专家陈长松在接受南都记者采访时表示,考虑到云计算、物联网等特殊环境的一些细节可能会影响到个人信息安全,所以《指南》对个人信息持有者的技术措施提出了“扩展要求”,比如:“应确保个人信息在云计算平台中存储于中国境内,如需出境应遵循国家相关规定”;“物联网感知节点设备采集信息回传应采用密码技术保证通信过程中个人信息的保密性”等。


至于面部特征、虹膜特征、声纹特征、指纹特征等个人生物隐私数据,由于它们终生无法改变的,一旦泄露,带来的影响难以弥补。


随着人工智能技术的发展,现实生活中,采集个人生物信息的场景越来越多:政府在一些公共场所推动人脸识别闸机,国内科技巨头都在抢占的刷脸支付市场,一些AI视觉公司也在布局的社区、商场等场景应用……


清华大学新闻学院教授、博士生导师沈阳曾告诉燃财经,中国人平均每天要暴露在各种摄像头下超过500次。


那么,在这些公共场景下,面对无处不在的摄像头,《指南》中关于“个人信息收集应获得个人信息主体的同意和授权”一条,该如何实现?被收集后的个人生物信息又能如何得到保护?


陈曦律师认为,个人信息的权益,还需要结合公共利益、社会治理等综合考虑,政府安装的监控系统,涉及公益,个人信息权益的适当让渡是可以理解的。


“但如果在商店,我认为未经授权就有可能违反指南规定。所以在入店前应该明示有录像,告知用户影像被收集、会如何被利用(比如仅用于店内安全监控目的,不会外传,几日内销毁),甚至有的录像应该还有可能构成侵犯隐私,更需要明示有监控。”


此次《指南》提出:个人生物识别信息应仅收集和使用摘要信息,避免收集其原始信息。上海交通大学法学院副教授何渊告诉燃财经,原始数据与摘要信息是从数据颗粒度来进行区分的,原始数据是指完整数据,摘要信息只是核心内容,区别在于能否识别出个人身份,这样的规定在于保护个人隐私,这是对隐私侵犯的最小化处理。


另外,陈曦律师介绍,今年两会期间,全国人大代表、北京科学研究中心副主任伊彤提交了一份《关于开展公民个人生物信息保护立法的建议》。“这(个人生物隐私数据保护)方面也在有所进步,有关组织和个人都在积极推动相关立法。”


欧盟的隐私保护:外延更广、规定更细


在全球范围内,个人数据保护方面,欧、美有两种不同的典型保护模式。陈曦介绍,美国早在1974年就制定了《隐私法》,欧盟也早在1995年出台的《数据保护指令》,为个人信息提供保护。因此,实际上欧美国家很早就开始在个人信息及数据方面搭建法律保护的框架。


相对而言,欧盟采取政府主导下的严格立法和统一监管,最为严格,GDRP(《一般数据保护条例》,已取代《数据保护指令》)将保护范围的外延扩展到医疗健康、生物标识等;在个人权利上,引入了被遗忘权、可携带权、删除权等新型权利;在隐私政策制定上,企业必须确保隐私设计原则贯穿到整个数据处理过程中。



陈曦介绍,GDPR中规定的数据可携带权,令用户在一定条件下有权转移其某一数据控制者下的个人信息至第三方手中,平台不得阻碍,这一规定实际上也有助于打破大企业对数据的垄断,在一定程度上加强用户对个人数据的控制权,增强市场的竞争活力。“这也是值得我们从市场竞争维度去参照考量的一个规定。”


总的来看,GDRP赋予用户充分的个人信息自决权,而企业及其他掌握数据资源的主体必须承担更多的义务。


美国采取行业驱动与规则塑造下的多方博弈,个人数据保护并不那么严格,联邦层面没有统一立法,由各州自行规定。“美国最值得借鉴的是,注重数据保护和数据流通的平衡,既要保护个人数据,也要兼顾经济的发展。”


4月16日,旧金山通过了对《停止秘密监视》条例所作的一些修订,离成为美国第一个禁止使用人脸识别软件的城市更近了一步。修订的理由是,人脸识别技术侵害公民权利和公民自由的可能性大大超过了其声称的好处;这项技术将加剧种族不公正,并且威胁到我们的生活不受政府持续监视的能力。


(部分图片来源于网络。)

本内容为作者独立观点,不代表虎嗅立场。未经允许不得转载,授权事宜请联系hezuo@huxiu.com
如对本稿件有异议或投诉,请联系tougao@huxiu.com
正在改变与想要改变世界的人,都在 虎嗅APP
赞赏
关闭赞赏 开启赞赏

支持一下   修改

确定