個(gè)人信息不再“裸奔”

◎ 文 《法人》全媒體記者 銀昕

資料圖片

從個(gè)人隱私權(quán)與信息權(quán)被列入民法典“人格權(quán)編”，到個(gè)人信息保護(hù)法（草案）出爐，從抖音與微信讀書的侵犯用戶信息權(quán)，到曠視科技等人臉識別公司被推至輿論焦點(diǎn)，再到“戴頭盔看房”行為被推上熱搜個(gè)人信息保護(hù)在2020年受到的關(guān)注和取得的進(jìn)步，值得被我們深深記住。

個(gè)人信息侵權(quán)案頻發(fā)

民法典從2021年1月1日正式生效，但其治理理念，已在2020年的一些個(gè)案中體現(xiàn)。

2020年7月30日，北京互聯(lián)網(wǎng)法院宣判，抖音APP所屬公司北京微播視界侵犯用戶個(gè)人信息權(quán)，必須刪除2019年2月9日之前通過抖音收集并存儲(chǔ)的原告姓名和涉案手機(jī)號碼等信息，以及未經(jīng)原告同意，通過抖音收集并存儲(chǔ)的地理位置信息。就在這一天，騰訊旗下手機(jī)APP“微信讀書”也在一起侵權(quán)案件中敗訴，北京互聯(lián)網(wǎng)法院在判決中適用的概念同樣是“侵犯個(gè)人信息權(quán)”。

案件中，抖音未經(jīng)原告同意，將從其他用戶手機(jī)中收集到的原告手機(jī)號碼與原告進(jìn)行了匹配，將原告的前女友當(dāng)作“可能認(rèn)識的人”推薦給原告；微信讀書則將原告的讀書記錄開放給了其他用戶。兩公司都被判“侵犯個(gè)人信息權(quán)”。

這兩個(gè)涉及知名互聯(lián)網(wǎng)公司的判例，對今后業(yè)內(nèi)其他公司采集和使用用戶個(gè)人信息應(yīng)把握什么尺度，有重要的參考意義。

緊接著，李開復(fù)也卷入了個(gè)人信息保護(hù)事件。2020年9月12日，身為創(chuàng)新工場創(chuàng)始人兼董事長的李開復(fù)在HICOOL全球創(chuàng)業(yè)者峰會(huì)上表示：“我們早期曾幫助曠視科技對接美圖和螞蟻金服等合作伙伴，讓他們拿到了大量人臉數(shù)據(jù)?！贝苏Z一出，激起千層浪。

美圖和螞蟻金服均表示在人臉問題上并未與曠視科技有任何合作。曠視科技也否認(rèn)李開復(fù)的發(fā)言，稱“我們不掌握，也不會(huì)主動(dòng)收集終端用戶的任何個(gè)人信息”。李開復(fù)本人隨后以“口誤”為自己辯解。

一位知情的產(chǎn)業(yè)人士告訴記者：“在人工智能技術(shù)早期階段，很多技術(shù)公司在人臉來源上肯定有漏洞，那時(shí)正是技術(shù)野蠻發(fā)展的階段，保護(hù)個(gè)人信息的意識跟不上?！?/p>

事實(shí)上，曠視科技的確存在“不掌握人臉數(shù)據(jù)，只利用接口進(jìn)入服務(wù)器與庫中人臉進(jìn)行比對”這一技術(shù)操作的可能性，但是，早期訓(xùn)練人工智能所需要的大量人臉在獲取前是否已經(jīng)被用戶知曉并獲得授權(quán)？能為曠視正名的，只有該公司自己。

形成個(gè)人信息保護(hù)法律體系

千呼萬喚的個(gè)人信息保護(hù)法草案出爐，并于2020年10月13日提請十三屆全國人大常委會(huì)第二十二次會(huì)議審議。該草案以“合法”“正當(dāng)”為處理個(gè)人信息的總原則，還確立了以“告知—同意”為核心的一系列個(gè)人信息處理規(guī)則。

最引人矚目的是域外管轄權(quán)和對企業(yè)及相關(guān)責(zé)任人的罰款上限額度。鑒于歐盟國家已經(jīng)在2018年出臺了被認(rèn)為是“史上最嚴(yán)”的《通用數(shù)據(jù)保護(hù)條例》(GDPR)，很多人將我國法律與國際其他法律進(jìn)行對比，而最先對比的往往是對域外管轄權(quán)和罰款額度上限兩個(gè)指標(biāo)。

草案規(guī)定，以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的,或者為分析、評估境內(nèi)自然人的行為等發(fā)生在我國境外的個(gè)人信息處理活動(dòng),適用該法；草案還要求境外個(gè)人信息處理者在境內(nèi)設(shè)立專門機(jī)構(gòu)或者指定代表，負(fù)責(zé)個(gè)人信息保護(hù)相關(guān)事務(wù)。在罰款上，草案規(guī)定以人民幣5000萬元和上一年度營業(yè)額的5%二者中較高者為頂格處罰。

較之于以2000萬歐元和上一年度營業(yè)額5%二者較高者為最高罰款額度的《通用數(shù)據(jù)保護(hù)條例》，中國個(gè)人信息保護(hù)法（草案）的要求并不算嚴(yán)苛。但鑒于中國目前人均收入水平和科技企業(yè)現(xiàn)有發(fā)展情況，5%或5000萬元依然意味著“讓渡隱私權(quán)換取便捷”的時(shí)代即將走進(jìn)歷史。

其實(shí)，在個(gè)人信息保護(hù)法缺席之時(shí)，信息安全領(lǐng)域已經(jīng)有了一系列國家標(biāo)準(zhǔn)和司法解釋，業(yè)內(nèi)公司也在一些問題上形成了行業(yè)慣例。比如2017年開始實(shí)施的《個(gè)人信息安全規(guī)范》以及同一年“兩高一部”《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》。而縱觀個(gè)人信息保護(hù)法（草案），鮮有超出目前已經(jīng)形成的行業(yè)標(biāo)準(zhǔn)和行業(yè)慣例的內(nèi)容。于是，不少人認(rèn)為，該草案與此前的期待有一定差距，新意欠奉。

然而，也有人認(rèn)為，個(gè)人信息保護(hù)法的角色是行業(yè)“憲法”，不作具體規(guī)定，只規(guī)定框架性總體原則，“憲法”之后還會(huì)有各管理部門單獨(dú)制定細(xì)則和法規(guī)，對具體情況進(jìn)一步規(guī)定。也就是說，在個(gè)人信息保護(hù)領(lǐng)域，不是一部個(gè)人信息保護(hù)法就意味著萬事大吉，而將形成一套法律體系。

資料圖片

“而且，就目前日新月異的技術(shù)發(fā)展速度來說，規(guī)定得太詳細(xì)了也不好，將來變動(dòng)會(huì)比較大?！敝袊ù髮W(xué)傳播法研究中心副主任朱巍說。

值得注意的是，但凡涉及新技術(shù)與新行業(yè)的立法工作，背后都伴隨著各利益相關(guān)方的激烈博弈。2019年1月1日開始實(shí)施的電子商務(wù)法就是如此。在征求意見的過程中，電子商務(wù)企業(yè)與實(shí)體企業(yè)就收取電商稅問題展開了激烈交鋒，最終定稿規(guī)定電子商務(wù)企業(yè)“依法納稅，并依法享受稅收優(yōu)惠”。

針對人臉識別我們該怎么做？

2020年底，山東濟(jì)南一則“戴頭盔看房，以保護(hù)人臉信息不被售樓處提取”的事件引發(fā)了個(gè)人信息保護(hù)業(yè)界的強(qiáng)烈關(guān)注。

《法人》記者了解到，售樓處收集看房者人臉信息的意圖，是查清看房者第一次是通過何種渠道而來。如果是自然到訪，第一次接待他的銷售代表就是該看房者的銷售顧問，直到交易完成；如果是渠道商（如房產(chǎn)中介）帶領(lǐng)到訪，看房者就是渠道客戶。

然而，“是誰的客戶”對最終成交價(jià)格的影響并不是特別大。“房屋中介也好，售樓處的銷售顧問也好，都會(huì)盡可能地給自己的客戶最劃算的價(jià)格，以及規(guī)劃最合理也最方便的戶型，最終的差價(jià)不能說沒有，但‘相差幾十萬元’的情況，我是從沒聽說過。”一位海淀區(qū)清河地區(qū)某樓盤售樓處的銷售顧問如此說。

相比于售樓處“分清是誰的客戶”的現(xiàn)實(shí)需求，常年暴露在外的人臉信息在事先毫無告知的情況下被肆意采集的現(xiàn)象，令人細(xì)思極恐。

與指紋相比，采集人臉不需要接觸；與可隨時(shí)更換的密碼相比，人臉的關(guān)鍵點(diǎn)位信息一生之中都不會(huì)有較大變化。這些都使人臉信息被非法采集和使用的風(fēng)險(xiǎn)遠(yuǎn)高于其他形式的個(gè)人信息。

我們是否需要制定一套單獨(dú)針對人臉信息的管理辦法？對于這樣的提問，記者聽到最多的建議是，由公安部門出面對人臉信息的采集權(quán)和比對權(quán)建立準(zhǔn)入制度。人臉識別的技術(shù)原理是，采集者將人臉信息采集后，與存在公安部門數(shù)據(jù)系統(tǒng)中的人臉庫相比對，以確認(rèn)該人臉是否是庫中所對應(yīng)的特定個(gè)人。解決問題的關(guān)鍵，在于不使“比對權(quán)”失控。

有研究者建議，今后公安部門應(yīng)對從事人臉識別的機(jī)構(gòu)或單位采取資格準(zhǔn)入制度，售樓處、超市等公共場所若想從事人臉識別，不可擅自行事，而是必須與擁有該資質(zhì)的機(jī)構(gòu)建立合作關(guān)系，委托其采集人臉信息方可。只有將“比對權(quán)”管起來，才不會(huì)使人臉識別失控。

有關(guān)部門是否會(huì)出臺人臉識別的針對性法規(guī)？這是留給2021年的又新課題。