隨著互聯(lián)網(wǎng)的高速發(fā)展及5G、人工智能等新興技術(shù)的快速崛起，個人隱私信息保護(hù)問題也迫在眉睫。從人臉識別被濫用到App過度收集用戶個人數(shù)據(jù)，如何有效抑制個人隱私信息泄露已被相關(guān)部門提上議程。近日，國家標(biāo)準(zhǔn)《信息安全技術(shù) 人臉識別數(shù)據(jù)安全要求》征求意見稿(以下簡稱國標(biāo))和《移動互聯(lián)網(wǎng)應(yīng)用程序個人信息保護(hù)管理暫行規(guī)定(征求意見稿)》(以下簡稱征求意見稿)相繼發(fā)布，進(jìn)一步強(qiáng)化個人信息安全監(jiān)管與治理。

“偷臉”亂象將被整治

人臉識別是近年來被熱議的話題，隨著該項(xiàng)技術(shù)的不斷發(fā)展，人臉識別應(yīng)遵循哪些管理規(guī)定、如何防止濫采或泄露、收集人臉信息后如何儲存和處理等問題層出不窮。

今年央視“3·15”晚會上，上海科勒衛(wèi)浴、寶馬等商家被發(fā)現(xiàn)在門店中裝有特別為人臉識別使用的攝像頭，用于消費(fèi)者管理。而顧客進(jìn)店后在完全不知情的情況下就被采集了人臉數(shù)據(jù)，這些信息一旦被泄露，將嚴(yán)重威脅個人的財(cái)產(chǎn)、隱私安全。

中國商報(bào)記者發(fā)現(xiàn)，國標(biāo)規(guī)定了人臉識別數(shù)據(jù)的基本安全要求、安全處理要求和安全管理要求，覆蓋了收集、儲存、使用、委托處理、共享等全流程。首先，國標(biāo)中提到了開展人臉驗(yàn)證或人臉辨識時(shí)應(yīng)滿足的要求，例如原則上不應(yīng)使用人臉識別方式對不滿十四周歲的未成年人進(jìn)行身份識別、應(yīng)提供安全措施保障數(shù)據(jù)主體的知情同意權(quán)、不應(yīng)用于除身份識別之外的其他目的等。

此外，國標(biāo)還對進(jìn)行人臉識別的開發(fā)商提出了技術(shù)資質(zhì)門檻，要求其具備相應(yīng)的數(shù)據(jù)安全防護(hù)和個人信息保護(hù)能力，以防范人臉識別被“活照片”等非法破解。

在收集方面，主體收集人臉識別數(shù)據(jù)時(shí)，應(yīng)向數(shù)據(jù)主體告知收集規(guī)則，包括但不限于收集目的、數(shù)據(jù)類型和數(shù)量、處理方式、存儲時(shí)間等，并征得數(shù)據(jù)主體明示同意;在儲存時(shí)，數(shù)據(jù)主體明示停止使用功能、服務(wù)，或撤回授權(quán)時(shí)應(yīng)刪除人臉識別數(shù)據(jù)或進(jìn)行匿名化處理，不應(yīng)存儲人臉圖像，經(jīng)數(shù)據(jù)主體單獨(dú)書面授權(quán)同意的除外;在使用時(shí)，應(yīng)在完成驗(yàn)證或辨識后立即刪除人臉圖像，生成可更新、不可逆、不可鏈接的人臉特征;同時(shí)不應(yīng)公開披露人臉識別數(shù)據(jù)，原則上不應(yīng)共享、轉(zhuǎn)讓人臉識別數(shù)據(jù)。

業(yè)內(nèi)人士認(rèn)為，國標(biāo)傳遞了對人臉識別進(jìn)行“強(qiáng)監(jiān)管”的鮮明信號。北京計(jì)算機(jī)學(xué)會數(shù)字經(jīng)濟(jì)專業(yè)委員會秘書長王娟對中國商報(bào)記者表示，人臉特征信息的泄露，會給社會對主體確認(rèn)識別帶來混亂，可能引致由身份偽造和盜用出現(xiàn)的一系列風(fēng)險(xiǎn)。同時(shí)，也將個人隱私完全置于高度暴露之下，給社交安全和社會秩序帶來極大危害。“歐盟此前已經(jīng)嚴(yán)格限制人臉識別及其他高風(fēng)險(xiǎn)的人工智能應(yīng)用，國標(biāo)的出臺也是與國際環(huán)境的一種匹配與接軌”。

王娟進(jìn)一步補(bǔ)充道，對企業(yè)來說，如果獲得了人臉數(shù)據(jù)，不僅要有能力保護(hù)數(shù)據(jù)，也要尊重用戶意愿及時(shí)刪除數(shù)據(jù)。國標(biāo)實(shí)際上是向企業(yè)再一次發(fā)出信號，告知企業(yè)強(qiáng)化個人隱私數(shù)據(jù)保護(hù)，這也對企業(yè)來說提出了更多要求。

為App過度索權(quán)劃出“紅線”

除了被泄露的人臉信息，手機(jī)App存在的強(qiáng)制授權(quán)、過度索權(quán)、超范圍收集個人信息等問題同樣不容忽視。

此次發(fā)布的征求意見稿由國家互聯(lián)網(wǎng)信息辦公室的統(tǒng)籌指導(dǎo)，工信部會同公安部、國家市場監(jiān)管總局共同起草，共計(jì)20條。

在適用范圍方面，征求意見稿明確，在中華人民共和國境內(nèi)開展的App個人信息處理活動，應(yīng)當(dāng)遵守本規(guī)定。法律、行政法規(guī)對個人信息處理活動另有規(guī)定的，從其規(guī)定。在監(jiān)管主體方面，征求意見稿明確了App個人信息保護(hù)的聯(lián)合工作機(jī)制，國家互聯(lián)網(wǎng)信息辦公室會同工信部、公安部、國家市場監(jiān)管總局健全完善App個人信息保護(hù)監(jiān)督管理聯(lián)合工作機(jī)制。

征求意見稿明確了“知情同意”“最小必要”兩項(xiàng)重要原則。“知情同意”規(guī)定，從事App個人信息處理活動的，應(yīng)當(dāng)以清晰易懂的語言告知用戶個人信息處理規(guī)則，由用戶在充分知情的前提下，作出自愿、明確的意思表示，并明確了“六項(xiàng)應(yīng)當(dāng)”要求。“最小必要”規(guī)定，從事App個人信息處理活動的，應(yīng)當(dāng)具有明確、合理的目的，并遵循最小必要原則，不得從事超出用戶同意范圍或者與服務(wù)場景無關(guān)的個人信息處理活動，并提出了“六項(xiàng)不得”要求。

征求意見稿對App治理的全鏈條、全主體、全流程予以規(guī)范，規(guī)定了App開發(fā)運(yùn)營者、App分發(fā)平臺、App第三方服務(wù)提供者、移動智能終端生產(chǎn)企業(yè)和網(wǎng)絡(luò)接入服務(wù)提供者在App個人信息保護(hù)方面的具體義務(wù)。除此之外，文件還細(xì)化了違規(guī)處置流程和具體措施，其中特別提出，對未按要求完成整改或反復(fù)出現(xiàn)問題、采取技術(shù)對抗等違規(guī)情節(jié)嚴(yán)重的App，將對其進(jìn)行直接下架;且下架后的App在40個工作日內(nèi)不得通過任何渠道再次上架的管理要求。

此外，征求意見稿還提出了投訴舉報(bào)、監(jiān)督檢查、處置措施、風(fēng)險(xiǎn)提示四方面規(guī)范要求。

賽迪顧問大數(shù)據(jù)產(chǎn)業(yè)研究中心分析師姚學(xué)超對記者表示，征求意見稿明確提出了“六項(xiàng)應(yīng)當(dāng)”如何做和“六項(xiàng)不得”做什么的具體要求，細(xì)化了App開發(fā)運(yùn)營者和管理者從事App個人信息處理活動的邊界和權(quán)限、底線和“紅線”，能夠有效規(guī)范互聯(lián)網(wǎng)企業(yè)對App個人信息的處理活動，為用戶信息和權(quán)益保護(hù)提供了可靠的制度保障。

中鋼經(jīng)濟(jì)研究院首席研究員胡麒牧對記者表示，征求意見稿的亮點(diǎn)在于明確了“知情同意”“最小必要”兩項(xiàng)重要原則、規(guī)范關(guān)鍵環(huán)節(jié)主體責(zé)任義務(wù)、細(xì)化違規(guī)處置流程和具體措施。由于文件明確了責(zé)任，細(xì)化了處理流程和措施，操作性強(qiáng)，所以應(yīng)該可以有效遏制個人信息過度收集。

中央財(cái)經(jīng)大學(xué)新聞系副主任、中經(jīng)數(shù)字經(jīng)濟(jì)研究中心執(zhí)行主任陳端對記者表示，征求意見稿是以“依法治理、源頭治理、系統(tǒng)治理、綜合治理”為方法論，以“知情同意”和“最小必要”兩項(xiàng)保護(hù)原則為綱領(lǐng)，以App開發(fā)運(yùn)營者、App分發(fā)平臺、App第三方服務(wù)提供者、移動智能終端生產(chǎn)企業(yè)以及網(wǎng)絡(luò)接入服務(wù)提供者五類監(jiān)管對象為重點(diǎn)，以標(biāo)準(zhǔn)制定、自律評估、投訴舉報(bào)以及處置措施作為監(jiān)管抓手，縱深推進(jìn)App個人信息保護(hù)治理工作，向違法違規(guī)處理App用戶個人信息的行為深化精準(zhǔn)監(jiān)管的政策行為。

陳端還表示，征求意見稿明確了“專項(xiàng)整治和長效治理相結(jié)合”的監(jiān)管模式，從“局部監(jiān)管、突出問題”轉(zhuǎn)為“全流程、全鏈條、全主體”監(jiān)管，完善多元主體參與機(jī)制，體現(xiàn)了網(wǎng)絡(luò)治理的精細(xì)化、精準(zhǔn)化和法治化，對未來互聯(lián)網(wǎng)領(lǐng)域的創(chuàng)新具有導(dǎo)向上的引領(lǐng)作用。

個人信息安全受國家各部門重視

如今，互聯(lián)網(wǎng)數(shù)據(jù)生態(tài)治理在數(shù)字化時(shí)代已成為一項(xiàng)長期而重要的工程，記者梳理發(fā)現(xiàn)，國家各部門已經(jīng)連續(xù)出臺多條政策保護(hù)個人信息安全、優(yōu)化網(wǎng)絡(luò)環(huán)境。

2020年7月，中央網(wǎng)信辦、工信部、公安部、國家市場監(jiān)管總局四部門啟動2020年App違法違規(guī)收集使用個人信息治理工作。工信部的App侵害用戶權(quán)益專項(xiàng)整治行動縱深推進(jìn)，截至2020年12月，四部門已對52萬款A(yù)pp進(jìn)行了技術(shù)檢測工作，責(zé)令1571款違規(guī)App進(jìn)行整改，公開通報(bào)了500款A(yù)pp，下架120款整改不到位及拒不整改的App。

今年1月1日起實(shí)施的《中華人民共和國民法典》將人格權(quán)獨(dú)立成編，以“隱私權(quán)和個人信息保護(hù)”專章方式，對隱私權(quán)和個人信息的定義、保護(hù)原則、法律責(zé)任、主體權(quán)利、信息處理等問題作出規(guī)定。

國家市場監(jiān)管總局發(fā)布的《信息安全技術(shù)個人信息安全規(guī)范》明確規(guī)定，在收集個人生物識別信息前，需單獨(dú)向用戶告知收集、使用個人生物識別信息的目的、方式和范圍以及存儲時(shí)間等規(guī)則，并征得用戶的明示同意;個人生物識別信息要與個人身份信息分開存儲，原則上不應(yīng)存儲原始個人生物識別信息。

除此之外，日前提請全國人大常委會審議的《中華人民共和國個人信息保護(hù)法(草案)》從立法的角度對數(shù)字時(shí)代的突出問題進(jìn)行了規(guī)制，有效回應(yīng)了實(shí)踐中個人信息保護(hù)面臨的重點(diǎn)和難點(diǎn)問題，平衡了個人信息保護(hù)、個人信息利用與流轉(zhuǎn)、國家安全和社會公眾利益等多方面利益。

今年3月，國家網(wǎng)信辦、工信部、公安部、國家市場監(jiān)管總局四部門聯(lián)合發(fā)布《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》，明確了地圖導(dǎo)航、網(wǎng)絡(luò)約車等39類常見類型移動應(yīng)用程序必要個人信息范圍，瞄準(zhǔn)超范圍收集用戶個人信息等過度索權(quán)問題。

胡麒牧表示，從近年來國內(nèi)外有關(guān)互聯(lián)網(wǎng)個人信息安全的事件來看，監(jiān)管導(dǎo)向已經(jīng)不僅僅是對微觀主體權(quán)益的維護(hù)了，個人信息安全實(shí)際上已經(jīng)被上升到國家安全的高度。由于個人信息安全事件往往都是群體信息安全事件，所以監(jiān)管層未來會從國家信息安全保護(hù)的角度來進(jìn)一步完善相關(guān)法律法規(guī)。

大數(shù)據(jù)時(shí)代企業(yè)應(yīng)擔(dān)起更多責(zé)任

保護(hù)個人信息安全并非是一朝一夕之事，需要政府、企業(yè)、用戶等多方的共同努力。除了政府的監(jiān)管，在大量用戶數(shù)據(jù)反哺作用下成長起來的互聯(lián)網(wǎng)巨頭也應(yīng)承擔(dān)起更多責(zé)任。

姚學(xué)超表示，一方面用戶信息安全和個人隱私保護(hù)已成為社會高度關(guān)注的問題之一;另一方面互聯(lián)網(wǎng)企業(yè)仍存在利用用戶數(shù)據(jù)進(jìn)行“大數(shù)據(jù)殺熟”、基于數(shù)據(jù)誘導(dǎo)用戶沖動消費(fèi)、通過數(shù)據(jù)壟斷限制商業(yè)競爭等數(shù)據(jù)濫用問題。因此，如何平衡合理保護(hù)個人信息和合法合規(guī)采集、應(yīng)用數(shù)據(jù)之間的關(guān)系成為數(shù)字時(shí)代發(fā)展過程中亟需解決的問題。

“作為擁有海量用戶數(shù)據(jù)的互聯(lián)網(wǎng)巨頭，除了利用數(shù)據(jù)資源進(jìn)行商業(yè)變現(xiàn)，更應(yīng)該利用數(shù)據(jù)要素進(jìn)行科技創(chuàng)新，為整個社會創(chuàng)造價(jià)值。如利用數(shù)據(jù)優(yōu)化算法、算力等技術(shù)能力、發(fā)展第三方大數(shù)據(jù)服務(wù)產(chǎn)業(yè)。”姚學(xué)超補(bǔ)充道。

胡麒牧也表示，數(shù)據(jù)已成為生產(chǎn)要素，所以互聯(lián)網(wǎng)平臺作為數(shù)據(jù)的使用者，在利用數(shù)據(jù)創(chuàng)造價(jià)值的同時(shí)要愛護(hù)數(shù)據(jù)的產(chǎn)生者。維護(hù)良好的數(shù)據(jù)安全生態(tài)，既有利于互聯(lián)網(wǎng)平臺進(jìn)一步做強(qiáng)，也有利于消費(fèi)者體驗(yàn)的提升，這是關(guān)系到互聯(lián)網(wǎng)平臺切身利益和可持續(xù)發(fā)展的重要工作，需要以更大的自覺性主動作為，保護(hù)用戶信息安全。否則無論是從行業(yè)監(jiān)管的角度還是從用戶用腳投票的角度，損害個人信息安全的平臺都將會被市場淘汰。

陳端表示，近期對互聯(lián)網(wǎng)企業(yè)的整肅力度加大，涵蓋了信息采集、市場壟斷、內(nèi)容監(jiān)管、資本擴(kuò)張等方面，對互聯(lián)網(wǎng)企業(yè)而言，需要把握新發(fā)展階段、新發(fā)展格局下政策底層邏輯和價(jià)值導(dǎo)向，強(qiáng)化社會責(zé)任意識，把自身技術(shù)能力和積累優(yōu)勢與國家戰(zhàn)略導(dǎo)向更好地結(jié)合起來。(記者 祖爽)

關(guān)鍵詞： APP過度索權(quán) 偷臉亂象