目前,中国网民的数字已经超过了10个亿。大家一方面享受着互联网给我们带来的便利和好处;但另一方面,个人信息随着手机,飘散到四面八方。如果个人信息不能得到很好保护,手机就变成了“手雷”——随时会炸响,给我们带来危险。这个问题大家讨论已久,焦虑已久。11月1日,《个人信息保护法》开始实施。包括过度收集个人信息、滥用人脸识别、大数据“杀熟”、个人敏感信息等等方面,法律都开始有了明文保护与制约。但是有了法,我们的个人信息保护就从此走在安全的大路上了吗?有了法,又如何更好地落地?《新闻周刊》本周视点关注:我的信息,我如何做主?
谁在擅动我的个人信息?!
一年一度的双十一购物节,在逐渐拉开序幕提前预热,不少用户把心仪的商品放入购物清单中,等待价格降到更低时再下单购买。然而借着网购平台方的活动机制,各商家更是一早就如火如荼地打起了自家算盘。
大学生 彭玲:我在“双11”的时候收到很多手机短信,一天可能收到好几条,我还以为是什么重要的信息,然后去看,是各种商家给我发的短信,其中有些商家我还没有买过,我也不知道他们为什么会知道我的电话号码。我不知道这个行为算不算犯法,但我只觉得,它是对我的生活造成了很大的困扰。
泛滥的短信营销早已打扰到消费者的日常生活,这一现象显现出“个人信息泄露”的隐忧。当智能手机成为我们连接世界的基础工具,提供信息传递便利的同时,更该时刻警惕信息的采集内容。例如,疫情期间的行程数据。这种信息的采集在于服务社会,服务于用户。但属于公众个体的更多信息是敏感且伴有隐私性的,它们需要的则是被保护。
中国社会科学院法学研究所副所长 周汉华:因为后台有无数的APP在采集你的信息、调取通讯录、读取照片、打开麦克风、精准定位你的位置等等,就是无所不在。所以这就是为什么要保护个人信息的原因。包括说你的生物识别信息、行踪信息、金融信息、特定身份。14岁以下的未成年人信息,在我们国家都属于敏感个人信息。就是如果侵犯这些个人信息,可能会对个人带来非常严重的社会后果。
11月1日起实行的《个人信息保护法》当中,对于平台应当如何使用用户个人信息,大型互联网平台的社会责任都做出了规定。也明确了平台不得过度收集个人信息、大数据“杀熟”。对于软件侵害用户权益这方面,工信部先后三次针对软件超范围收集用户个人信息进行检查,也于本周三,通报了38款软件存在问题需要整改。
中国社会科学院法学研究所副所长 周汉华:《个人信息保护法》明显体现一个原则——“最小必要原则”。就是APP程序、网站只应该采集为我提供服务所必需的信息,而不要采取不相关的信息。只有你的服务和这个信息相关,那么才能采集。
软件平台需要自律,但他律仍是起到把关重要作用。除去法律约束,承载和传递信息的主要介质——手机,也在为用户提供更加安全的使用环境。
荣耀终端公司隐私安全专家 殷高生:比如说这种导航类的APP,30多个权限里边,它申请了十几个。我们就根据这种类型APP的功能,结合到工信部场景的规范,就发现这个导航的应用,其实对于它来讲,这种位置信息是必要的权限。另外它申请录音,因为导航需要一些语音的输入,那其他的权限,其实在一开始使用导航是不必要的,我们是会给它一个默认的关闭状态。
这家手机研发公司重点针对生活中常用的软件,分别做了这样的下发前干预,从源头开始进行阻止访问。除此之外,手机平台方每周也会对软件申请不必要权限的访问次数进行跟踪监测,综合分析出有过度使用个人数据风险的项目,进行手机端的自主拦截。
荣耀终端公司隐私安全专家 殷高生:这就是我们系统来帮用户做的拦截,就是很多的应用,这个权限它并没有申请,但是尝试在后台去获取这个数据。这是我们通过这个系统,去认定这是一个非法的行为,我们系统就帮用户做一个拦截。你会看到这个手机里边,已经拦截了18000多次。
当手机对于生活的场景愈发重要,对用户存储的信息更为庞大时,更多手机研发者也在探索着安全领域的突破。但总的来说,个人信息安全还是需要个人在点滴中重视起来。如何辨别风险,又如何及时拦截,这都是在这个网络时代数字化生存中,必修的一门核心课程。
荣耀终端公司隐私安全专家 殷高生:每个人(用户)没有必要成为一个安全专家,那谁是安全专家呢?其实手机的厂商,更应该承担更多的社会责任。对于用户来讲,首先,尽可能是从正规的应用市场去下载应用,尽量少从浏览器上去下载,或者别人给你分享的链接去下载。 第二,应用在申请权限的时候,你就要去仔细看一下,不要稀里糊涂就为了方便,方便的同时就带来了很多的隐患。有时候,安全和你的体验上边,你是要做一点平衡的。
白岩松:在这部《个人信息保护法》当中,已经明确地为人脸识别和个人敏感信息画出了一条红线。这的确会增加大家的安全感,想想看,当你去逛商场,冷不丁被商场入口的摄像头抓取到了人脸信息,并瞬间给你本人自动完成商场的会员注册,你该做何感想?这可不是凭空的想象,而是现实中发生的事情。把这个人就当作是你,你准备怎么办?法律能保护我们吗?
别只图方便不顾安全
必要时还要维权
高钰涛,在浙江理工大学念法学,这让她对人脸识别应用极为警惕,曾劝同学若非必要,少用人脸信息,却被认为大惊小怪。她偶然得知,消费者只要到某商场,就会自动被抓拍人脸并注册会员。她便有目的的去调研。
浙江理工大学学生 高钰涛:那边的工作人员对这种人脸识别都不是很清楚。我们就去看那些摄像头,但是有些摄像头高,然后又看不清楚。就不能确定它到底是内部用的,还是说连接了一些人脸识别的系统。现在我没有办法去判断,我是不是里面的会员,当时它那个系统的披露,是说可以自动成为里面的会员。
高钰涛检索AI社区发现,2018年,该商场就利用某互联网平台研发的人脸识别技术,实现入场即会员,即为新顾客开通无短信通知的虚拟会员。她认为造访次数多了,自然就成了精准营销对象。而老会员被认出,被进一步培养忠实度。新老顾客被分为散客、常客、忠实顾客。
浙江理工大学特聘副教授 郭兵:有一些它仅仅就只收集你的人脸信息。比方说,它没有你的姓名,没有你的手机号,也没有你的身份证号,这种风险相对小一些。但是这种风险小,并不意味着它没有风险 。因为比方说精准营销的这种场景下,它知道你天天去这个店,知道你喜欢什么品牌,掌握了你的行踪之后,它再进一步收集你的信息。这个时候,如果其他的商家,掌握了你的其他个人信息,然后你又有无感知的人脸信息的时候,它可以很容易通过一些认证的场景。这种时候违法犯罪的分子,他拿去干什么你就不知道了。
郭兵,是高钰涛的老师,注重学生法律知识的实践性。曾把收集他的人脸信息作为入园条件的某动物园告上法庭,被称为全国“人脸识别第一案”。学生觉得商场严重损害了其个人和公众合法权益,向法院提起诉讼,10月29日正式受理。她在郭兵的建议下第二次进商场,稍稍摘下口罩,正式取证。
浙江理工大学特聘副教授 郭兵:因为这些证据其实学生取不到的,只有互联网平台自己在网络平台上面公开披露整个过程,那我们消费者才知道。而且这也是作为学生这次起诉的一个非常重要的证据。我了解到,这个证据现在已经被删除了。
今年“315晚会”曝光了抓取人脸数据的多个线下门店,它们分析顾客到店频次、性别、年龄,甚至心情好坏。更多时候是无感知无意识被抓拍,有意识时却并不知道是否真被标记。面对如今依然大行其道的人脸识别商用解决方案,郭兵感慨,常规手段难以举证。
浙江理工大学特聘副教授 郭兵:我们现在的立法包括司法解释,它确定了一个举证责任倒置的规则。你不可能让所有的消费者,来举证你收集了他的人脸信息。所以法律上,也是回应了这样一个常理,就是让个人信息处理者,也就是让商家来证明,我没有侵害消费者的个人信息权。
《个人信息保护法》对无感知信息利用作出规定:即个体意愿居于首位,且应当取得个人单独同意,确立以告知—同意为核心的一系列规则;同时相对于倡导性法规,个保法对个人信息处理者设立专章法定义务,如对重要的互联网平台,要“定期发布个人信息保护社会责任报告,接受社会监督”。
中国社会科学院法学研究所副所长 周汉华:我们说叫“守门人条款”,就是对着超级平台来适用的。所以说就体现了一个“抓大放小”这个原则。第二个方面就是这条规定,好几项包括我们说加强合规制度的建设,建立主要由外部人员组成的独立机构,以及每年向社会发布 监督责任的年终报告等等相关的措施。这些措施一个共同的特点,都是要调动这些平台积极主动守法。
浙江理工大学特聘 副教授 郭兵:个保法出台之前,为什么没有长出“牙齿”呢?是因为它没有一个严厉的法则。我们以前虽然有网络安全法,往往是以警告为主,就是责令你改正为主。个保法是大幅度增加了违法的成本,我们最高的罚款甚至能达到你上一年度营业额的5%,这个比欧盟的通用数据保护条例GDPR 处罚的力度都大。但是执法部门能不能够严格去落实这样的处罚,肯定我们还是需要后面继续观察。
面对形形色色的个人信息泄露,郭兵希望公众不要只图方便不顾安全,必要时要维权。至于维权成本,他更多鼓励法学学生去诉讼,而《个人信息保护法》更适合公众,公益诉讼,向有关部门投诉等,将以更省时省力的方式成为维护自身权益的常规武器。
白岩松:就在《个人信息保护法》正式实施的11月1日,杭州互联网法院一天判了两起涉及个人信息安全的案件。有法可依,个人信息保护是不是就真走上了治本之路?但与此同时,一组数据告诉我们,一切都没那么简单。目前,我国网站数量422万个,市场上监测到的APP数量为302万款,如此海量的平台,怎样把保护咱们的个人信息保护真的落地?
《个保法》很严很好
能真的落地才是真的好
本周一,杭州互联网法院,开庭审理两起涉及个人信息保护纠纷案。分别涉及:买卖公民信息和上报不良征信的案件。涉及被告人刘某的这起,是其去年9月至10月期间,将买到的身份证号码等个人信息,网络售卖超过3万多条,获利1万多元的事件。在《个人信息保护法》实施第一天,法院对其作出开篇时的判罚。
杭州互联网法院互联网审判第一庭法官 沈堃:《个保法》是今年11月1日施行的,行为如果发生在这之后的话,当然是优先使用《个保法》的规定。刘某的行为当时,《个保法》是没有施行的。所以说只能适用,处在当时行为发生时的法律来进行相应判定。
用今天的规定约束昨天的行为,不符合法治原则。由此法官采用的是,2020年10月前后,行为发生当时适用的《民法总则》等规定,进行相应裁决。而该案中,杭州市拱墅区人民检察院作为公益起诉人,替代了该案众多的信息受害民众参与庭审。这又符合《个人信息保护法》第七十条中涉及公益诉讼的立法精神。实际上,在《个人信息保护法》出台后,公益诉讼很可能在未来会被重点适用于解决相关纠纷。
中国社会科学院法学研究所副所长 周汉华:不同的救济机制,按照我们现在《个保法》规定,一种方式当然是消费者可以自己来维护自己权利;第二种方式,其实是可以通过这种向履行个人信息保护职责的部门,来投诉举报,要求相关的行政机关来依法履职;第三个途径,就是我们现在《个人信息保护法》里面也规定了公益诉讼的机制,对于这种侵犯众多消费者合法权益的行为,让个人去维权往往成本很高,但是收益很低。我们说消协、人民检察院以及网信部门认定的机构,可以来提出相应的公益诉讼。
不适用新法裁定该案,但使用公益诉讼的机制参与该案,是法院在新法出台这个时间节点多方考量后的办法。而实际上,除了该案适用的《民法总则》,在《个人信息保护法》之前,还有不少法律对涉及个人信息保护的内容也做出过规定。
杭州互联网法院互联网审判第一庭法官 沈堃:《个保法》出台背景里面其实有一个问题在于,《个保法》出来之前,是有大量零散的相关规定。举个例子, 包括《民法典》上面有规定,包括《民法总则》,之前有《民法通则》都有关于个人信息保护的问题。另外还有包括《电子商务法》,以及《网络安全法》,如果涉及到未成年人信息,涉及到《未成年人保护法》。
中国社会科学院法学研究所副所长 周汉华:立法都是一个循序渐进的过程,我们的法治体系也在不断发展和完善过程中。所以最开始,是针对突出的问题及时予以回应。之前的法律过于零散,不系统,但是现在,把它制定成统一的《个人信息保护法》有现在的必要性。
根据《中国互联网络发展状况统计报告》显示,截至今年6月,我国网民规模已经超过十亿人,网站数量、 APP 数量均达到数百万个。第三季度,相关机构在对全国移动应用进行的相关抽样检测中,接近六成的应用 “违规收集个人信息”。一方面,互联网上已经存在着相当庞大的个人信息;另一方面,大量违规收集、使用海量个人信息的各种社会主体,已经到了亟待被规范的时刻。
中国社会科学院法学研究所副所长 周汉华:信息越来越有价值,在这种时间节点上来制订《个人信息保护法》,应该说是非常必要。《个保法》正好是系统确立了,个人信息保护从源头的采集到使用,到安全保护,到共享,到我们说的境外提供。以及我们说的跨境转移,以及最后的整个销毁等等。它把一个全生命周期,就是整个处理活动都进行了规范。
当下的《个人信息保护法》中,没有隐私、私密信息等概念,只要是个人信息都属于被保护范围。该法的体系健全、覆盖广泛,体现当下数字时代的,对信息保护的迫切需求。它是之前相关法条的进化版。此外,该法律继《反垄断法》后,是我国第二部用营业额百分比来对极端侵犯个人信息的企业、平台等主体进行行政处罚的法律,更全更严。一方面,不少人评价,这是一部长出“獠牙”的法律,但事实上它又面临着和过去相关法律共同的困境。
中国社会科学院法学研究所副所长 周汉华:在某种程度上《个保法》在管理体制上还是延续了过去做法,它其实还是维持了一个多部门执法的执法体制。如果在实践当中处理不好,有可能会形成“九龙治水”等等这种后果。需要通过不断的制度完善,最后能够达到设立一个独立权威的,专门的个人信息保护的执法部门。
白岩松:近几年来,我们一直呼吁,一定要真正的用法律,开展对个人信息的保护。而这样的法律想要保护我们,通俗地讲,就必须“长牙”。是管用的!比如这次《个人信息保护法》当中,就对极端的侵犯个人信息的企业、平台最高罚款额,能到上一年度营业额的5%,这个比例甚至高于欧盟的标准。一切都看上去很严很好,但毕竟真的落地才会真的很好。有法可依,只是一个开始。