↑南都持续五年跟踪个人信息保护,2017年起每年发布个人信息保护年度报告。
个人信息是一个社会运行必不可少的东西,它是一个社会资源,而不是个人的资源。在保护个人权益的情况下,应该让个人信息更加有序、公平、合理地利用。 ——高富平
人脸信息和其他的信息结合之后,能够更深层次地透露消费者的消费习惯、收入情况,甚至可能精准匹配到其家庭情况等私密信息,存在侵犯公民基本权利的可能。 ——段莉琼
不久前,《中华人民共和国个人信息保护法》(下称“个保法”)获表决通过,自2021年11月1日起施行。这部专门性法律将如何为个人信息保护织起保护之网,备受关注。
9月10日,南都个人信息保护研究中心举办“南都数字经济治理论坛”第七期在线活动,主题聚焦“个人信息保护法解读与展望”。多位来自高校、法院、智库机构和企业的专家分享了他们的思考和观察。
报告聚焦摄像头偷拍等七大热点
会上,南都发布《个人信息保护法立法之媒体观察报告》。报告围绕隐私政策、信息泄露、身份冒用、过度索取、App窃听疑云、摄像头偷拍、未成年人隐私保护等七大热点话题,梳理其中争议焦点及南都测评发现,同时就现有法律对应的规制条款作了介绍。
自2017年开始,南都持续深耕隐私保护领域,下设“隐私护卫队”专门报道该领域的动态,并定期推出测评报告和主题论坛。“通过持续报道和观察,我们可以看到这些年来,中国个人信息保护领域的热点变迁、行业动向以及监管趋势。”南都个人信息保护研究中心研究员李玲在论坛上说。
以隐私政策为例。2017年3月,南都首次对50家网站和App隐私政策透明度进行测评,一些平台“只讲信息收集不说承担责任”的霸王条款引起关注;当年6月,南都在网络安全法出台当天推出《千家网站和App隐私政策透明度观察报告》。
此后,南都个人信息保护研究中心连续四年跟踪测评超过2000家平台的隐私政策。“在监管高度重视,企业积极回应的情况下,各家隐私政策透明度已有了大幅提升。”据李玲介绍,2020年与2017年相比,整体平均分从37.5分提升为77分,透明度高及较高的App占比也增加了60.1个百分点。
摄像头偷窥黑产已引起监管重视
另一个话题偷拍也屡屡引发舆论关注。南都个人信息保护研究中心曾于2019年统计发现,从2016年算起,至少有24个城市的35家酒店发现了摄像头偷拍事件。报告指出,有全国政协委员在网络商城和实体店调研时发现,不少针孔摄像头商家提供改装服务,将针孔摄像头装到如手机充电插头、路由器、钟表等多种日常用品上。
“为让公众提高警惕意识,我们曾推出一款H5游戏,用户可在地铁、卫生间、试衣间和房间等场景里找出隐藏的摄像头,有些地方真的让人意想不到,比如烟感器里面,或者试衣间的挂钩上,而这些都来自真实案例。”李玲说。
值得一提的是,摄像头偷窥黑产已引起监管重视。中央网信办、工业和信息化部、公安部、市场监管总局决定,自2021年5月至8月在全国范围组织开展集中治理,打击非法利用摄像头偷窥个人隐私画面、交易隐私视频、传授偷窥偷拍技术等问题。
焦点
华东政法大学教授、互联网法治研究院院长高富平: 冒用他人身份证 可以适用个保法吗?
个人信息保护法(以下简称“个保法”)中的同意是否意味着授权?冒用他人身份证的事件可以适用于个保法吗?如何理解个保法的适用边界?在“南都数字经济治理论坛”上,华东政法大学教授、互联网法治研究院院长高富平对上述问题分享了自己的看法。
单独同意不等于授权
高富平认为,从个人信息处理前的同意、处理过程中反对和拒绝的权利,再到处理后的停止、删除等救济权,个人意志实际上贯彻于个人信息处理活动的全过程。
个保法确立了以“告知-同意”为核心的一系列个人信息处理规则。“我认为将同意作为合法性基础仅仅意味着个人信息处理前的单一决定权。而个人信息处理者在有正当理由时,他们完全可以选择不征求个人同意。”高富平说。
个保法规定,为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需等情形下,个人信息处理者不需要取得个人同意。
而个保法中的同意也可以分为“一般性同意”和“单独同意”。高富平分析,一般同意相当于是“一揽子概括式同意”,构成要件为充分知情、针对处理方式、目的以及个人信息种类的内容确定、个人自愿作出并明确作出同意。单独同意则是针对特定事项的同意,如针对敏感个人信息的处理需要单独同意。
有观点认为,个人同意即是授权。但在高富平看来,无论是一般性同意还是单独同意都不能称之为授权。他表示,个人信息同时承载着个人利益、社会利益、公共利益,其使用不能单独由个人来决定。
“之所以这样说是因为个人信息权其实是个人的人格尊严和自由不受侵犯,属于人权的范畴。”高富平说,同意只是允许处理者依法合理使用个人信息,“我认为同意不需要承担授权的后果。”
在他看来,单独同意是为了改变一般性同意的弊端,强化个人自主权。
他认为,相较于一般性同意,单独同意才是真正的同意,相当于欧盟《通用数据保护条例》(GDPR)中的同意。而且单独同意可以自由撤回,仍然未放弃个人信息权益,仅作为个人信息处理的合法性基础。
个保法缺乏如何促进个人信息利用的内容
谈及个保法的落地施行,高富平认为,个保法的出台可能会带来一波“合规维权”热潮——企业要合规、个人要维权。
不过他认为,并不是所有涉及个人信息的问题都适用于个保法,还有大量的案例应该适用于民法中对隐私权、肖像权、名誉权的规定。司法界应对个保法的适用范围划出边界。
高富平以冒用他人身份证的事件为例,此类事件适用的法律是居民身份证法以及刑法。“如果把个保法的适用边界扩得很宽,反而不利于落地执行。”
另外,高富平也关注个保法中促进个人信息利用的内容。“个保法基本上以个人权益保护为主线,对于如何促进个人信息利用,并没有太多的内容,甚至可能都被忽略了。当然大家可能会说我们是通过保护来促进利用,我觉得这样的逻辑也是成立的,但我还是觉得应该为个人信息的社会化利用建立一套规则。”
他认为,个人信息是一个社会运行必不可少的东西,它是一个社会资源,而不是个人的资源。在保护个人权益的情况下,应该让个人信息更加有序、公平、合理地利用。
他以人脸识别的应用为例进一步阐释,“我认为超出公共安全的范畴使用人脸识别,尤其是对人进行分析是一件很危险的事情……我觉得超出安全范畴就不能用(人脸识别),才能达到保护个人信息权益的目的。”
高富平认为,找到切实保护个人权益的路径,同时促进个人信息的合理利用才是个保法完整的立法目的。~
广州互联网法院综合审判三庭庭长段莉琼:涉人脸信息诉讼可考虑引入惩罚性赔偿机制
在“南都数字经济治理论坛”上,广州互联网法院综合审判三庭庭长段莉琼围绕《中华人民共和国个人信息保护法》(下称“个人信息保护法”)中关于公共场所安装人脸识别设备的规定做了分享。段莉琼认为,随着人脸识别设备的普及,司法判定具体案例时应从收集、存储、使用三方面做出认定。她建议,在司法治理中,可以通过刑事附带民事公益诉讼和消费公益诉讼、举证责任倒置并引入惩罚性赔偿机制等方式促进个人维权。
门店人脸分析可能侵犯用户权益
个人信息保护法第二十六条规定,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
其中个人身份识别设备就包括人脸识别设备。段莉琼认为,人脸识别可分为三个场景:人脸验证、人脸辨识和人脸分析。
人脸验证主要应用于线上场景和App,如账号身份认证、特定人物甄别、手机刷脸解锁、移动支付等等。她指出,在这些场景下,一些机构在进行人脸检测时仍在使用技术含量较低的算法,使用者信息可能会被不法分子冒用,达到以假乱真的效果。
此前,广州互联网法院刚审结的一个案件就是受害者在身份证丢失的情况下,“被刷脸”后背上了万元贷款。最后法院判决认为,银行未能举证证明系受害者本人“刷脸”申办借记卡并申请贷款,受害人无需还款。“(银行)除了以人脸识别技术为主之外,应该建立一个更加全面的身份识别系统,才能够对交易双方的真实性进行交叉核验。”段莉琼说。
人脸辨识主要用于公共空间的出入管理,如小区、公司、学校、商场等。“(这些场景)大部分属于线下的采集告知,在这些情况下哪些会构成侵权,需要区分不同的场景具体问题具体分析。”段莉琼表示。
人脸分析这类无感式采集则常发生于大型商场等购物场所,用于统计人流,构建客户群体画像,以便进行精准营销等。段莉琼提到,这类场景可能产生的法律问题是如何将出于公共利益需要而进行的正当收集行为和商业化的人脸识别收集分析行为进行相应的区分。
今年3·15晚会中,就有卫浴、汽车4S店因门口安装人脸识别设备而被点名曝光,这些设备通过客户进出门店的次数、表情和时间等信息来推断其购买意愿,从而进行精准营销,甚至是价格歧视。
“在门店进行分析之后,人脸信息不再是单独的个人生物信息,和其他的信息结合之后,能够更深层次地透露消费者的消费习惯、收入情况,甚至是可能精准匹配到其家庭情况等私密信息,存在侵犯公民基本权利的可能。”段莉琼说。
应从收集、存储、使用评估风险
段莉琼认为,此后在具体案例中应当综合考虑收集、存储、使用三个方面——如果在这三个过程中出现了滥用人脸识别信息的行为,就应当被认定为侵害自然人的人格权益。首先,在收集的过程中,信息处理者应遵循告知-同意原则,向信息主体告知收集的规则,包括目的、数量以及方式,并取得信息主体的同意。其次,在存储的过程中,应经过信息主体的单独书面授权,如果信息主体明示停用服务、撤回服务时,信息处理者应当删除或脱敏处理其相应数据。最后,在使用的过程中,信息处理者应当在完成验证或辨别行为后立刻删除人脸数据,避免意外泄露或挪为他用的风险。
段莉琼还表示,公益诉讼的诉讼主体可能在获取第一手侵权证据时面对着相当大的难度,尤其是无法精准举证信息转运、存储、使用过程中,哪个环节发生了信息泄露。或许可以实行举证责任倒置,削弱涉嫌侵权方享有的数据特权。
她还建议,在涉人脸识别信息侵权纠纷案件中探索适用惩罚性赔偿机制。“目前,立法只规定了环境污染、食品安全、知识产权三种适用情形,但是在公民个人信息被大量侵害的过程中,侵权的恶性和获利往往不是说通过普通的民事赔偿就能够达到一个惩罚性的标准”。
热议
在判断处理个人信息的“合理”范围时,应考虑个人信息被公开时的用途、个人的隐私期待、使用公开信息对个人权益的影响等因素,具体标准仍有待监管执法与司法裁判明确。
——全国人大代表,江苏省律师协会副会长车捷多年来建议加快个人信息保护法的立法进程
个保法重点解决了信息滥用及泄露两大问题,其中在应对个人信息泄露方面已形成一个闭环管理机制,即通过履行个人信息安全保障义务防范个人信息泄露源头,同时设立个人信息泄露通知制度对末端进行控制。
——中国信息通信研究院互联网法律研究中心高级研究员杨婕
《信息安全技术 个人信息告知同意指南》从如何告知、如何获得同意以及如何适用不同场景三方面提出了具体要求,目前正在送审阶段。
——中国信通院数据安全研究所研究员葛鑫关注企业如何将个保法确立的“告知-同意”核心规则落地
当务之急是推动定期开展个人信息保护影响评估工作的落地,识别业务活动处理的个人信息和个人敏感信息范围,判断我们处理用户个人信息的基于数据全生命周期的行为是否符合个保法的要求。
——中国电信翼支付安全总监焦伟则从企业角度提出
A04-07版 出品:南都个人信息保护研究中心 采写:南都记者蒋琳 孙朝 尤一炜 见习记者 胡耕硕 南都个人信息保护课题组研究员 樊文扬 图片:受访者提供
