個人信息安全有了“防火牆”

時間

——

評論

　　剛買了汽車，打開手機，保險類信息瞬間“刷屏”﹔通過網站購買機票，詐騙短信接踵而至，個人信息“裸奔”似乎成為常態，給個人信息加把“安全鎖”也成為人們最迫切關注的問題之一。
　　11月1日，《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》)正式實施。一部針對個人信息保護的專門性立法，對平台過度收集個人信息、大數據殺熟、強制收集人臉信息等困擾網民的敏感個人信息處理問題作出針對性規定，為個人信息保護筑起“防火牆”。

為人臉識別劃紅線

　　“去售樓處購買新房，被告知通過售樓處人臉識別系統發現不是初次來訪，無法享受相應的優惠政策。不少商家都安裝隱秘的攝像頭捕捉人臉數據，性別、年齡甚至情緒都能識別出來，還能進一步分析出消費心理和偏好，人臉安全令人擔憂。”說起人臉信息被過度收集的現象，呂梁市民程英頻頻“吐槽”。
　　從“人臉識別第一案”到媒體曝光多家企業違規收集人臉信息，從濟南看房者戴頭盔進入售樓處到5000多張人臉打包兜售，人臉信息強制採集甚至非法出售和濫用頻頻引發關注。在太原工作的李晉澤微博熱議話題中留言：“我們在信息時代‘裸奔’，不知何時丟‘臉’，更不知‘臉’用在何處。一旦人臉信息‘落入賊手’，合法權益極易遭受侵害。”
　　當人臉信息與身份、行為、位置、偏好等隱私相對接，就成為獲取個人隱私的一把鑰匙，因此人臉信息屬於生物識別信息，也屬於個人敏感信息。《個人信息保護法》首次確立了“敏感個人信息”的法律概念，即“包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿14周歲未成年人的個人信息”，規定隻有在具有特定目的和充分的必要性，並採取嚴格保護措施的情形下，個人信息處理者方可處理敏感個人信息。
　　針對“人臉”安全痛點，《個人信息保護法》也劃出“紅線”。第二十六條規定：“在公共場所安裝圖像採集、個人身份識別設備，應當為維護公共安全所必需，遵守國家有關規定，並設置顯著的提示標識﹔所收集的個人圖像、身份識別信息隻能用於維護公共安全的目的，不得用於其他目的﹔取得個人單獨同意的除外。”
　　山西財經大學法學院教授郭相宏表示，“為維護公共安全所必需”應當遵循其必要性，為實現特定公共目的之必要，不能超出維護公共安全目的。正如10月28日中消協發布的提示：小區物業、經營場所不能將人臉識別作為出入的唯一驗証方式。小區物業、經營場所將人臉識別作為出入的唯一驗証方式缺乏充分的必要性，也很難採取嚴格的保護措施，應當提供其他替代性的驗証方式供業主或者消費者自主選擇。此外，他認為應加強技術“紅線”，收集信息方應當對生物特征進行加密，提高掌握原始生物信息的門檻。

對大數據殺熟說不

　　在App上訂酒店，同一房型、同一時段，不同用戶看到的價格不一﹔網購同一商品，使用不同賬號付款，老客戶頁面價格更高……在線旅游、交通出行、在線票務、視頻網站、網絡購物等諸多領域，此類現象屢見不鮮。互聯網平台利用大數據和算法對用戶進行畫像分析，從而收取不同價格等行為，被稱為大數據“殺熟”。《個人信息保護法》的施行，用戶有底氣對大數據殺熟說不。
　　《個人信息保護法》規定，個人信息處理者利用個人信息進行自動化決策，應當保証決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。通過自動化決策方式向個人進行信息推送、商業營銷，應當同時提供不針對其個人特征的選項，或者向個人提供便捷的拒絕方式。
　　“也就是說，‘大數據殺熟’的操作將涉嫌違法。”北京市匯京律師事務所律師朱琴表示，《個人信息保護法》同時明確了法律后果，如果違反該規定，政府主管部門有權責令改正、給予警告、沒收違法所得、責令暫停或者終止提供服務、罰款、責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照，並可以對直接負責的主管人員和其他直接責任人員實施在一定期限內的禁業限制。
　　大數據分析師趙龍指出，“大數據殺熟”本質上指向“個性化推薦算法”，它是一把“雙刃劍”，用得好可以更好地為消費者服務。對掌握海量用戶數據的超大型互聯網平台，《個人信息保護法》要求成立主要由外部成員組成的獨立監管機構、定期進行合規審計等，這就是從源頭阻止個人信息被侵害的情形發生，引導“個性化推薦算法”為消費者服務，提升用戶體驗。

我的信息我做主

　　通訊錄、相冊、攝像頭、麥克風……下載一款App，要多次點擊“同意”“允許”，若“不同意”，則會被告知無法使用軟件。盡管用戶對此類收集個人信息的方式頗為擔憂，但面對“不同意即不可用”的困境，往往選擇妥協。個人信息被“任性”獲取，我的信息何時才能我做主。
　　“任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息”“處理個人信息應當具有明確、合理的目的，並應當與處理目的直接相關，採取對個人權益影響最小的方式”……朱琴認為，《個人信息保護法》細化完善個人信息處理規則，明確個人信息處理活動中的權利義務邊界，並將“告知-同意”作為個人信息處理核心規則。該法規定，基於個人同意處理個人信息的，該同意應當由個人在充分知情的前提下自願、明確作出﹔個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產品或者服務，這意味著，該法出台后，“強制同意”等過度收集用戶個人信息的行為將被限制。同時，《個人信息保護法》還賦予個人“撤回其同意”“請求刪除”的權利。比如，一些需要提供個人信息的業務，辦理完畢后除國家規定需要留存備案信息之外，應根據公民的要求刪除有關個人信息。
　　郭相宏表示，除個人信息處理者的義務以及監管部門所履行個人信息保護職責，《個人信息保護法》還明確個人權利。他建議，個人應積極行使個人信息保護法規定的查閱權、復制權、更正權、刪除權等一系列權利，及時了解、把握自己的個人信息收集和處理情況。

本報記者劉聰

(責編：李琳、劉洋)

今日熱點