出品|虎嗅科技组
作者|张雪
封面|CFP
11月1日,《个人信息保护法》开始正式实施,这是我国首部专门针对个人信息保护的系统性、综合性法律,这部法律直面了大众长期关注的个人信息收集、使用等问题,并明确:不得过度收集个人信息、滥用人脸识别技术、大数据杀熟等。
值得一提的是,首次明确了个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,一般包括姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
巧合的是,这部法律实施的第一天也是今年双十一开始的日子,这是否意味着在法律保护下,消费者可以免去大数据杀熟、个人信息被贩卖等困扰了?或许现在下结论还太早。
因为就在当天,我身边的朋友还因为购物车里的东西涨价而向我吐槽,无独有偶,随后还有两则同样涉及个人隐私保护的新闻登上热搜。
两相对比,好不讽刺。
不过,从另一个角度来讲,这样的热议程度也证明了《个人信息保护法》颁布后,普通消费者的个人信息保护意识在增强,走在了积极的方向。
查阅资料可以发现,《个人信息保护法》全文有9000多字,分为八章74条,框定了个人信息保护的法律边界。而本文将主要聚焦与消费者最密切的条款以及大数据杀熟、人脸识别相关。
两条关键
作为非法律专业人士,相信很多人跟我一样,面对这么多的条款,并不能快速知道哪些是与自己密切相关。
正是如此,我们请教了上海申伦律师事务所的夏海龙律师,除了后续会详谈的大数据杀熟和人脸识别外,在他看来,还有两条尤为值得关注。
个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
根据这条规定,各类APP将不能以不向用户提供相关服务的方式强制用户提供个人信息。
这让我想起两年前,在做一个关于安全选题时,一位安全专家谈到:“除了使用软件必须获取的基本信息,我通常会阅读完所有的用户须知,基本不会授权额外的内容,而且我手机上的APP很少”。
他可能是我目前为止遇到的用APP数最少,且最注重个人隐私的人,也因此让我印象深刻。
不过,他也谈到,即使在网络生活中严谨如他,也会有被大数据杀熟,被打骚扰电话的困扰,不知道《个人信息保护法》实施后,能否让他放下一些担忧。
与此同时,我们看到一些主流的软件对个人信息保护条款进行了更新,让人惊讶的是,据21财经报道,20款社交资讯类APP:小红书、QQ空间等10款无法应用内撤回同意,脉脉、世纪佳缘无法关闭个性化广告。看来在个人信息获取的管控上,仍然任重而道远。
此外,夏海龙律师还谈到了一个可能被大家忽视的条款。
第七十条 个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。
他进一步解释称:“这意味着遭遇个人信息被侵害的情况下,消费者个人也多了一种更强有力的维权方式——公益诉讼,通过公益诉讼制度,消费者的维权难度、成本都会大大降低。”
此前,一个资深的律师曾谈到,“要想把个人信息保护真的落到实处,相关部门应该多组织公益诉讼,让普通消费者敢于维权,现在这种诉讼案件真的太少了。”
我们知道,在《个人信息保护法》颁布之前,事关个人隐私的案件就时有发生,这两年315晚会更是每年都有相关内容,比如2019年曝光的 “探针盒子”,它通过靠近手机而获取用户信息,再比如今年售卖简历的案例——“7元一份售卖求职者简历” ,此后售卖人脸信息,售卖快递单信息的情况也屡次登上新闻。
相比于个人隐私侵权案例的高频发生次数,能够真正为自己维权的消费者却是少之又少,一方面是由于相关法律的缺失,另一方面更重要的原因在于,个人维权成本太高,包括时间成本和金钱成本,所以大家除了舆论上的谴责外,基本会在法律维权上选择沉默。
而公益诉讼制度,有望增强大家的维权意识,真正让《个人信息保护法》落到实处。
尚不能根除“杀熟”旧疾
除了上述两条,在《个人信息保护法》制定之初,大数据杀熟和人脸识别就与这部法律紧紧地绑在了一起,大众对这两项有着很高的期待。不过,北京公衡律师事务所安屹东律师告诉我们,我国《个人信息保护法》更多是制定了一个大框架,还有许多细节需要完善和丰富,消费者也要需要保持合理的期望。
第二十四条 个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
据悉,该条即规制大数据杀熟的条款,用户不仅有权拒绝各类自动推送,而且有权要求APP对相关推送规则、机制进行说明,享有更充分的知情权。也就是说用户既可以要求相关企业公开算法、数据处理的规则和机制,也可以彻底拒绝此类自动推送服务。
众所周知,在互联网企业中,其算法机制可以称得上是商业机密。所以很多企业在被质疑大数据杀熟时,经常把算法机制出错拿来当背锅的说辞。
虽然《个人信息保护法》实施后,我们也几乎不能知道互联网企业详细的推送机制,但至少,企业推荐机制对我们来说,不再是一个看不见的黑盒。
正如文章开头所说,大数据杀熟情况在现实中还在持续发生着,没有任何一部法律会带来立竿见影的效果,《个人信息保护法》也是如此。
人脸识别,谁在妥协
如果说个人信息的获取和使用更大程度是与互联网企业相关,那么单独到人脸识别这方面,除了互联网公司,又涉及到了很多技术公司,他们同样是需要积极配合《个人信息保护法》执行的关键一环。
近年来,作为人工智能最先落地的技术之一,计算机视觉有不少创业公司,据IT桔子不完全统计,现存的计算机视觉创业公司多达759家,其中也诞生了多家独角兽公司,其中商汤、旷视、云从和依图还被并称为“CV(计算机视觉)四小龙”。
夏海龙律师告诉我们,《个人信息保护法》中第二十六条以及第二十八条至第三十二条都是与人脸识别相关的内容,其中:
第28条第1款对“敏感个人信息”的内涵作出界定,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等,我们熟知的人脸信息就属于生物识别信息。
综合这些规定,公共场合采集人脸信息应当设置显著的提示标识,且原则上只能用于维护公共安全目的。
关于《个人信息保护法》,我们也问了“CV四小龙”的看法,但他们似乎都避之不及,还有公司摆出冷脸说,自己并不采集人脸信息。
不过,商汤在招股书中明确提到了对数据隐私和个人信息保护的相关内容,涉及到了数据的授权存取及使用 ,独立数据库及安全服务器系统,全面的数据及个人资料安全及管理政策和定期审核及应急计划等方面。
那么《个人信息保护法》对企业究竟有何影响?
中关村科金AI安全攻防实验室总监冯月认为,《个人信息保护法》的出台对于AI生物识别技术而言,是一把达摩克利斯之剑,一方面部分企业或采取一刀切的取消相关技术使用以避免违规,另一方面部分企业或继续使用相关技术。这其中差异就在于不同企业对AI技术的综合运用能力不同,而综合运用能力中最核心的就是保护生物信息的防伪识别能力和防篡改防泄露能力。
此外,一位计算机视觉相关从业者告诉我们,政务市场客户一般是要等保验收的,无需担心,另外一些大企业客户,在个人信息保护技术方面也很舍得花钱,所以,作为消费者真正需要担心的是,自己在家里或者在小区或者一些小商店被获取的人脸信息,因为这些一般存在公有云上,有一定的风险。
而这让我联想到,最近在看附近的一些新楼盘时,还有人在把“人脸识别”进小区当做是一个卖点,而他们宣传栏里是完全不知名的供应商,这不免让人担忧在让自己更安全的同时,也将自己的信息置入了更危险的境地,孰轻孰重?于是,我转身就出了售楼处。
或许,在这部法律的推进下,这种担忧会越来越少了。不可否认,《个人信息保护法》为我们的信息安全罩了一个保护罩,但真正能保护的有几分,我们还需合理期待,且行且看。
我是本文作者张雪,关注5G、云计算、企业服务,微信:zhangxue-0929,欢迎行业人士聊天爆料(加微信备注身份)