不让“刷脸”变“丢脸” 个人信息安全如何守护?
购房后推销电话接连“轰炸”、同样的商品“熟客”却要付更高价、人脸识别摄像头泛滥带来信息安全隐忧……个人信息的采集、运用,正深刻影响我们的生活。
(资料图片)
2021年11月1日,《个人信息保护法》(以下简称“个保法”)正式实施,这是我国首部规范和加强个人信息保护的专门性法律,为破解个人信息保护中的热点难点问题,提供了坚实的法律保障。
如今,个保法实施已有一年,相关法律专家在接受采访时表示,社会对个人信息及隐私保护的意识显著提升,公益诉讼等条款也推动个人信息保护落地。但与此同时,技术的快速迭代带来了监管难题,如何理解运用个保法条款,实现法律的真正落地,也需要进一步出台实施细则。未来,法律应进一步规范平台企业的数据采集处理行为,实现“技术可留痕”,确保监管部门可通过技术手段取证、核查,更好地筑牢个人信息安全堤坝。
变化▶▶
公益诉讼降低维权难度
数字经济飞速发展为我们带来便捷的生活,与此同时,信息的随意收集、违法获取、过度使用、非法买卖,也成为日益突出的问题。
以广州市越秀区人民检察院为例,该院办理的相关刑事案件中,被泄露的公民个人信息涵盖面越来越广,从姓名、联系方式、住址等普通信息,到存款信息、房产信息等高敏信息,甚至出现利用身份证头像照片制作人脸识别视频等现象,严重危害公民个人信息安全。
个保法实行后,处理个人信息的活动更加规范,个人信息权益能得到更大程度的保障。在中国政法大学传播法研究中心副主任朱巍看来,个保法所确立的对权利人“最小伤害”“公开透明”“准确完整”“合理使用”“合理目的”等原则,是对先前相关法律关于个人信息使用“合法性、正当性、必要性”原则的扩展和补强。个保法还明确将个人信息保护纳入公益诉讼法定领域,各地司法机关加大了公益诉讼办案力度。
今年7月,广东首例向互联网法院提起的涉人脸识别公民个人信息保护民事公益诉讼案公开宣判,由越秀区人民检察院办理,在此前已被判接受刑事处罚的基础上,该案4名被告被广州互联网法院判决支付公益损害赔偿金、公开赔礼道歉并以志愿服务等方式消除不良影响。朱巍说,将个人信息保护纳入公益诉讼范围,能让受害者摆脱诉讼中的弱势地位,对维护公共利益意义重大。
困境▶▶
技术迭代带来监管难题
尽管个保法为个人信息保护带来了积极改变,但公众可感知的个人信息泄露问题依然难以杜绝。专家分析,其中很大原因在于技术的快速更新迭代给监管带来了困难,这在人脸识别、算法自动化决策方面尤为明显。
朱巍介绍,随着技术进步,人脸识别信息已直接关联用户其他敏感信息,比如个人身份信息、金融信息、行程轨迹等。
个保法将生物识别、宗教信仰等信息列为敏感个人信息,并规定只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
随着人脸识别的应用场景越来越广,信息泄露的危害更大,相关的监管也趋严。北京大成(杭州)律师事务所合伙人孙鹏程说,一方面,在很多应用场景下,企业没法与用户交互,也就没办法做到“告知—同意”。另外,尽管可能面临行政处罚,但企业使用相关技术的动机依旧很强,“比如商超要统计客流,售楼处要控制佣金成本,相比可能面临的处罚,企业的获益更大。”
在线消费蓬勃发展之下,大数据“杀熟”现象也被诟病已久。个保法首次对平台算法“自动化决策”亮起红灯,明确规定个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
“大数据‘杀熟’是一种隐性的侵权行为,技术性强、专业性高,消费者不易察觉,也很难做到有效监管。”朱巍谈到,即便法律已有明确规定,在平台企业的算法规则未公开的前提下,监管部门在技术上仍很难认定涉事企业的行为是否构成“杀熟”。他认为,在个人信息保护的执法层面,“技术对技术”成为趋势,这对技术监管水平提出了更高的要求。
建议▶▶
关注信息采集后端监管
个保法对个人信息权益的保障进行了较为全面的规定,但徒法不足以自行,如何更好地补齐短板,完善对个人信息的保护呢?
“在具体实践中,如何理解和运用个保法的条款,如何实现各项规定在互联网环境中的解释和适用,让个保法的真正落地,需要有进一步的实施细则来落实。”广州互联网法院综合审判一庭法官曹钰说。
不让“刷脸”变“丢脸”,具体到人脸识别中存在的问题,朱巍认为,由于技术责任主体和应用规范不够明晰,一系列问题都悬而未决,包括信息采集机构的资质、人脸信息处理准则、相关设备备案、市场准入规则、采集者和处理者关系的区分、信息泄露追责等问题,都亟待出台更多法律加以完善。同时,他建议,未来法律应进一步规范平台企业的数据采集处理行为,实现“技术可留痕”,确保监管部门可通过技术手段取证、核查。
针对大数据“杀熟”治理存在的问题,朱巍说:“对平台企业而言,在进行价格设定时应履行更广泛告知义务,比如明确告知消费者享受不同优惠力度人群的具体比例和分配规则,但由于相关细则尚未出台,这一点做得并不理想。”
“企业拿到数据之后有没有对外共享?会不会用于自动算法、训练人工智能呢?”孙鹏程认为,要重点监管个人信息收集后的存储和运用问题,堵住个人信息保护漏洞。
南方日报记者 吴晓娴 孟健 通讯员 刘梦薇 肖晓涵 梁艳华
统筹:祁雷
关键词: 个人信息