为个人信息安全装上“保护锁”
“我很想问:你一个天气预报APP,访问我通讯录干嘛?”
一网友发了这条微博后,引来吐槽一片——外卖APP要求访问手机相册,打车APP获取手机IMEI,那些APP在怎样监视我们的生活啊?APP泄露个人信息,被那些别有用心者拿去诈骗了……
个人信息使用领域乱象丛生,让公众对将于11月1日起实施的个人信息保护法充满期待,希望该法能终结“信息裸奔”乱象,为社会公众提供规范、系统、有效的个人信息法律保护。
不填信息就闪退?APP再不能这么霸道
这样的情景,或许你我都曾遇见:
在注册某APP过程中,界面出现用户信息填写页面,要求用户填写其年龄、手机号、职业等信息,不填写上述信息,则无法完成注册过程。随后,《隐私条款》同意勾选界面跳出来,需点击同意整个条款内容才能最终完成注册。用户虽不满APP对年龄、手机号、职业等信息进行收集,且不同意《隐私条款》中发送广告短信等内容,但为使用该APP,只好填写了相关个人信息内容并勾选同意《隐私条款》。
对此,北京互联网法院综合审判一庭副庭长颜君接受本报记者专访时表示,APP收集用户信息,是目前互联网业态中处理个人信息最为常见的应用场景。APP通过用户手机使用痕迹可获取大量用户信息,其对个人信息的过度采集和处理引发广大群众对APP泄露个人隐私的强烈关注和担忧。
针对APP通过格式条款强迫用户同意、过度收集个人信息的情况,个人信息保护法第十四条明确规定,“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出”;第十六条规定:“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。”
颜君认为,这意味着APP通过注册界面强制用户填写个人信息或同意授权条款等方式,获取当事人明示或默示关于处理个人信息的同意,均有可能构成无效同意,APP不得据此主张其存在处理相关个人信息的合法性基础。
中国人民大学法学院教授、博士生导师张新宝表示,由于个人信息保护法作出了明确的法律规定,大多数处理个人信息的企业会依法合规处理个人信息,遵循告知同意的规定,不会强迫索取个人信息。如果有少数企业恣意而为,相关个人可以进行投诉,主管部门将予以严厉处罚。所以,这些规定能在源头上治理企业强迫索取个人信息的违法侵权乱象。
记者注意到,该法第六十六条规定了多种行政处罚责任,包括对违法处理者(企业)的处罚和对其负责人的处罚;既包括责令改正、警告、没收违法所得、责令暂停或者终止服务,也包括罚款。
“罚款有针对个人的,也有针对企业的。”张新宝表示,情节严重的,分不同规模的企业,罚款上限分别为5000万元人民币和上一年度营业额5%以下的罚款。对个人的罚款则是10至100万元。“这个处罚力度是比较大的。”
看房还要先“刷脸”?除非为了公共安全
小陈由中介带去开发商售楼处看房,发现进门处安装有人脸识别系统,可抓取其人脸信息。对此,小陈感到疑惑,为何看房还需要“刷脸”呢?
中介告诉他,开发商收集来访客户的面部信息,上传至统一系统进行比对甄别,是用以区分自访客户和渠道拜访客户。渠道拜访客户是由中介带到售楼处的客户,此类客户如果成交,开发商需付给中介分销佣金。为防止开发商与中介在确定客户来访渠道和进行佣金结算过程中引发争议,开发商使用人脸识别技术对客户来访渠道进行留痕。虽然“刷脸”的理由听起来并无恶意,但小陈还是感觉很不舒服。
人脸识别技术作为一种常见的身份验证方式,具有便捷、防伪度高、无接触等优势,近年来被广泛运用于各种商业场景。颜君提到,对于人脸识别技术的滥用,特别是公众场所无感式人脸识别技术的使用,一度引发了人们的不适与恐慌。
对此,个人信息保护法第二十六条专门规定,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
颜君提到,人脸信息带有自然人的面部特征信息,作为生物识别信息的一类,属于敏感个人信息,此类信息一经泄露或非法使用更易引发严重危害。法律对敏感信息的处理具有更为严格的要求,一般需征得权利人的单独同意。而公共场所使用无感式人脸识别技术,相关信息处理者显然未履行告知并征得同意的义务。经过此次立法的明确规定,此种行为在未来将得以有效规制。
“对人脸信息的处理和滥用,社会十分关注,前不久最高人民法院出台了专门的司法解释。”张新宝表示,法律设专门条文保护个人身份识别信息,规范公共场所的图像采集和个人身份识别设备行为,强调必须遵守国家的有关规定且仅用于公共安全目的,这样的法律规定落地后必将对保护个人身份识别信息起到积极作用。
将别人家孩子的视频传上网?先要监护人同意
6岁小女孩李某因不愿上学而哭闹,父母对其进行教育。此时,路人魏某使用手机拍摄了上述过程,并将该视频上传至网上,引发大量网友观看评论。该视频中小女孩的面部特征清晰,还露出了内衣内裤。李某的父母认为,魏某未经同意,将含有李某清晰面部图像的视频传至网上,侵犯其肖像权、名誉权和隐私权。
颜君表示,魏某虽并非严格意义上的个人信息处理者,但作为一般公民,在使用他人信息,特别是在网上公开发布涉未成年人信息时,亦应当审慎。个人信息保护法强化对未成年人个人信息的特别保护,将未满十四周岁未成年人的个人信息纳入敏感信息处理规则范围。该法第三十一条规定,个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。
这意味着近年来盛行的在线教育、在线游戏将不能随意收集不满十四周岁未成年人身份证号码、学校、住址、联系方式等个人信息,而应先取得未成年人的父母或者其他监护人的同意。
记者注意到,个人信息保护法还强调,个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。
张新宝表示,这一专门的规则,应当符合法律的规定,符合国家个人信息保护主管部门等颁布的规定,获得有关机构(有些为独立机构)的监督认可。
全国人大代表、山东鸢都英合律师事务所主任高明芹一直高度关注个人信息保护与国家信息化建设。她表示,在信息化时代,个人信息保护已成为广大人民群众最关心的问题之一。个人信息保护法贯彻以人民为中心的法治理念,聚焦个人信息保护领域的突出问题和人民群众的关注关切,采取预先防范的原则设置规则,努力将人民群众网络空间合法权益维护好、保障好、发展好,使人民群众在数字经济发展中有更多获得感、幸福感和安全感。同时,个人信息保护法实施后,也必将促进国家信息化建设行稳致远。