个人信息不再“裸奔”
2021-01-20 09:02 来源: 法人杂志 作者:银昕

法治日报-法人网 全媒体记者 银昕

从个人隐私权与信息权被列入民法典“人格权编”,到个人信息保护法(草案)出炉,从抖音与微信读书的侵犯用户信息权,到旷视科技等人脸识别公司被推至舆论焦点,再到“戴头盔看房”行为被推上热搜个人信息保护在2020年受到的关注和取得的进步,值得被我们深深记住。


个人信息侵权案频发

民法典从2021年1月1日正式生效,但其治理理念,已在2020年的一些个案中体现。

2020年7月30日,北京互联网法院宣判,抖音APP所属公司北京微播视界侵犯用户个人信息权,必须删除2019年2月9日之前通过抖音收集并存储的原告姓名和涉案手机号码等信息,以及未经原告同意,通过抖音收集并存储的地理位置信息。就在这一天,腾讯旗下手机APP“微信读书”也在一起侵权案件中败诉,北京互联网法院在判决中适用的概念同样是“侵犯个人信息权”。

案件中,抖音未经原告同意,将从其他用户手机中收集到的原告手机号码与原告进行了匹配,将原告的前女友当作“可能认识的人”推荐给原告;微信读书则将原告的读书记录开放给了其他用户。两公司都被判“侵犯个人信息权”。

这两个涉及知名互联网公司的判例,对今后业内其他公司采集和使用用户个人信息应把握什么尺度,有重要的参考意义。

紧接着,李开复也卷入了个人信息保护事件。2020年9月12日,身为创新工场创始人兼董事长的李开复在HICOOL全球创业者峰会上表示:“我们早期曾帮助旷视科技对接美图和蚂蚁金服等合作伙伴,让他们拿到了大量人脸数据。”此语一出,激起千层浪。

美图和蚂蚁金服均表示在人脸问题上并未与旷视科技有任何合作。旷视科技也否认李开复的发言,称“我们不掌握,也不会主动收集终端用户的任何个人信息”。李开复本人随后以“口误”为自己辩解。

一位知情的产业人士告诉记者:“在人工智能技术早期阶段,很多技术公司在人脸来源上肯定有漏洞,那时正是技术野蛮发展的阶段,保护个人信息的意识跟不上。”

事实上,旷视科技的确存在“不掌握人脸数据,只利用接口进入服务器与库中人脸进行比对”这一技术操作的可能性,但是,早期训练人工智能所需要的大量人脸在获取前是否已经被用户知晓并获得授权?能为旷视正名的,只有该公司自己。

形成个人信息保护法律体系

千呼万唤的个人信息保护法草案出炉,并于2020年10月13日提请十三届全国人大常委会第二十二次会议审议。该草案以“合法”“正当”为处理个人信息的总原则,还确立了以“告知-同意”为核心的一系列个人信息处理规则。

最引人瞩目的是域外管辖权和对企业及相关责任人的罚款上限额度。鉴于欧盟国家已经在2018年出台了被认为是“史上最严”的《通用数据保护条例》(GDPR),很多人将我国法律与国际其他法律进行对比,而最先对比的往往是对域外管辖权和罚款额度上限两个指标。

草案规定,以向境内自然人提供产品或者服务为目的,或者为分析、评估境内自然人的行为等发生在我国境外的个人信息处理活动,适用该法;草案还要求境外个人信息处理者在境内设立专门机构或者指定代表,负责个人信息保护相关事务。在罚款上,草案规定以人民币5000万元和上一年度营业额的5%二者中较高者为顶格处罚。

较之于以2000万欧元和上一年度营业额5%二者较高者为最高罚款额度的《通用数据保护条例》,中国个人信息保护法(草案)的要求并不算严苛。但鉴于中国目前人均收入水平和科技企业现有发展情况,5%或5000万元依然意味着“让渡隐私权换取便捷”的时代即将走进历史。

其实,在个人信息保护法缺席之时,信息安全领域已经有了一系列国家标准和司法解释,业内公司也在一些问题上形成了行业惯例。比如2017年开始实施的《个人信息安全规范》以及同一年“两高一部”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。而纵观个人信息保护法(草案),鲜有超出目前已经形成的行业标准和行业惯例的内容。于是,不少人认为,该草案与此前的期待有一定差距,新意欠奉。

然而,也有人认为,个人信息保护法的角色是行业“宪法”,不作具体规定,只规定框架性总体原则,“宪法”之后还会有各管理部门单独制定细则和法规,对具体情况进一步规定。也就是说,在个人信息保护领域,不是一部个人信息保护法就意味着万事大吉,而将形成一套法律体系。

“而且,就目前日新月异的技术发展速度来说,规定得太详细了也不好,将来变动会比较大。”中国政法大学传播法研究中心副主任朱巍说。

值得注意的是,但凡涉及新技术与新行业的立法工作,背后都伴随着各利益相关方的激烈博弈。2019年1月1日开始实施的电子商务法就是如此。在征求意见的过程中,电子商务企业与实体企业就收取电商税问题展开了激烈交锋,最终定稿规定电子商务企业“依法纳税,并依法享受税收优惠”。

针对人脸识别我们该怎么做?

2020年底,山东济南一则“戴头盔看房,以保护人脸信息不被售楼处提取”的事件引发了个人信息保护业界的强烈关注。

▲资料图片

《法人》记者了解到,售楼处收集看房者人脸信息的意图,是查清看房者第一次是通过何种渠道而来。如果是自然到访,第一次接待他的销售代表就是该看房者的销售顾问,直到交易完成;如果是渠道商(如房产中介)带领到访,看房者就是渠道客户。

然而,“是谁的客户”对最终成交价格的影响并不是特别大。“房屋中介也好,售楼处的销售顾问也好,都会尽可能地给自己的客户最划算的价格,以及规划最合理也最方便的户型,最终的差价不能说没有,但‘相差几十万元’的情况,我是从没听说过。”一位海淀区清河地区某楼盘售楼处的销售顾问如此说。

相比于售楼处“分清是谁的客户”的现实需求,常年暴露在外的人脸信息在事先毫无告知的情况下被肆意采集的现象,令人细思极恐。

与指纹相比,采集人脸不需要接触;与可随时更换的密码相比,人脸的关键点位信息一生之中都不会有较大变化。这些都使人脸信息被非法采集和使用的风险远高于其他形式的个人信息。

我们是否需要制定一套单独针对人脸信息的管理办法?对于这样的提问,记者听到最多的建议是,由公安部门出面对人脸信息的采集权和比对权建立准入制度。人脸识别的技术原理是,采集者将人脸信息采集后,与存在公安部门数据系统中的人脸库相比对,以确认该人脸是否是库中所对应的特定个人。解决问题的关键,在于不使“比对权”失控。

有研究者建议,今后公安部门应对从事人脸识别的机构或单位采取资格准入制度,售楼处、超市等公共场所若想从事人脸识别,不可擅自行事,而是必须与拥有该资质的机构建立合作关系,委托其采集人脸信息方可。只有将“比对权”管起来,才不会使人脸识别失控。

有关部门是否会出台人脸识别的针对性法规?这是留给2021年的又新课题。 

编辑:赵佳