如何保护个人隐私?须政府、企业与个人合力
何延哲
皮剑龙
薛勇
个人信息保护关系着每一个人的权益。3月3日的全国政协十三届四次会议新闻发布会的消息显示,《个人信息保护法》草案已经提请全国人大常委会审议。
《个人信息保护法》从最开始很多专家呼吁到推进到现在提请审议,可谓是“千呼万唤始出来”,这也从侧面说明了立法层面对个人信息保护的重要程度。那么,在个人信息保护方面哪些领域最需要通过立法解决?这几年来我国信息安全领域发生了什么变化?对企业会产生何种影响?如何兼顾疫情防控民众的知情权和民众的个人隐私信息?人脸识别技术存在哪些风险以及如何理性应用?如何面对APP“偷窥”问题?3月7日晚间,新京报举办“2021两会新京报经济策之个人信息保护”论坛,邀请到了全国政协委员、北京金台律师事务所主任皮剑龙,中国电子技术标准化研究院网安中心测评实验室副主任何延哲,哈啰出行信息安全负责人、数据安全与合规专家薛勇,共同探讨这一话题。
企业要综合考虑多方面利益提高民众隐私保护素养
疫情防控突发事件,是对我们现有信息化建设的一场大考,同时也是对我国个人信息保护工作的一场大考,毋庸置疑我们做的总体上是好的。
从监管方面看,从2020年2月份开始,政府部门尤其是中央网信办就出台了一系列关于加强联防联控中个人信息保护的通知和要求,其实当时已经把隐私保护和我们的疫情防控工作同步推进。前几年我们对个人信息保护的重视,包括政策、标准以及监管动作也有不断加强。
从企业层面看,作为互联网大国,健康码可以说是我们的一个原创作品,这也体现了我们在应用创新方面的一些能力。健康码通过不断地更迭加强安全,也确实从技术层面把个人信息保护做得越来越好。而其中的几次事件又透露出另外一个问题,就是民众层面,我们在隐私保护的素养方面还需要加强,需要通过宣传教育。这三个层面是相辅相成的。
人脸识别是近两年比较火的新兴技术,我们不应拒绝这种技术,但在个人信息保护意识觉醒的情况下,我们需要能够兼顾安全和隐私保护,对人脸识别的技术在合理场景下逐步应用。人脸识别势不可挡,但要让这个技术在互联网时代下长久、平稳地发展,希望有关部门给出明确的监管态度。如此一来,人脸识别可以走向一个真正的相对合理平衡发展的道路。
APP“偷听”在技术上是可以实现的,但是偷听这件事已经变成一个非常吃力不讨好的事情,一旦被发现,法律成本非常高。而且偷听行为既然在手机上发生,就不可能不留下任何证据。那为什么现在的广告都这么精准呢?其实推送广告已经是一个庞大的生态,依赖的是关联分析的大数据。
我们要思考的是在大数据环境下,用户如何对自己的数据有一定的掌控力。而这和企业的商业利益是矛盾的。企业应该开发什么样的系统?需要企业把商业利益、社会效益以及用户个人利益综合起来考虑,否则类似偷听、大数据杀熟的疑问会不断地跳出来,去质疑你的商业模式,然后影响互联网经济的健康发展,影响着广大网友的获得感、安全感。
兼顾疫情防控和个人隐私保护应结合立法和网络技术手段
目前我国关于公民个人信息保护的规定,分布于各类法律法规之中,过于繁杂、笼统,需要统一立法。针对个人信息保护的行政监管措施也有所缺位,没有设立专门保护个人信息的机构,对个人信息受侵害的公民也缺乏完善的救济机制,这些领域都需要立法来解决。
在技术进步背景下,有效开展疫情防控和保护个人隐私并不矛盾。疫情防护不是牺牲个人隐私的借口,保护患者隐私也是做好疫情防控工作、保护个人权利的一个重要任务。兼顾疫情防控和个人隐私保护应当结合立法和网络技术等手段,在涉疫情信息的采集、保管,公布等各个环节加大监管力度,争取每个步骤都能做到合法合规,有关部门也要树牢法治意识。一旦发生信息泄露事件,应当依法彻查,严肃处理相关责任人,并及时向权利受到侵害的公民给予救济。
人脸识别技术是双刃剑,管理不好会带来隐患。人脸识别领域存在一些问题,包括人脸识别数据存储缺乏安全管理;人脸识别技术被滥用的趋势越来越严重;行政监管体制不健全等。
建议加快制定和完善有关人脸识别数据管理的专门法律,对人脸识别的数据采集、存储、使用加工等方面进行规范。应该遵循事前申请原则、数据监管原则、数据保密原则。此外,要强化行政监管机制,建立专门性的个人信息保护系统,自上而下形成一条从中央到地方相关政府机构对个人信息保护的网络。建议完善行业自律的监管机制,引导行业对人脸识别进行规范。
APP侵犯个人隐私的偷窥行为是属于违反民法典,违反消费者权益保护法的侵权行为,需要有关部门加以规制和约束。普通公民也应该提高自我信息保护的意识,从认识层面和行为层面,逐步建立起个人信息的自我保护系统,培养保护个人信息的习惯。具体来说,我们要养成不随意透露个人信息的意识,在使用搜索等功能时,也要树立安全意识,及时删除网站浏览记录。此外,在遇到侵犯个人信息情形时,及时通过投诉、举报、提起诉讼、报警等来寻求帮助。
信息安全团队升到一级部门企业内部算法和模型实时监控
去年年初疫情开始时候,作为出行企业,哈啰的很多业务难免会涉及人口流动,所以监管部门要拿到我们的用户信息去识别感染的用户或者潜在感染的用户。但是这个过程中,必须严格遵守法律规定,处理和保护好个人信息。后来哈啰就提出了一套数据对外输出合作解决方案。首先我们会核实身份,第二就是在对接方面,基本上我们是90%以上保证数据不落地,同时我们也采用了业界的一些加密技术手段。
此外,哈啰内部还会有一些实时监控,如果有人查询相关数据,哈啰会有相关的算法和模型第一时间去评判风险,如果有问题会第一时间上传到安全部门,然后采取相应的查验和沟通。
从行业业务发展的角度看,人脸识别要比传统输密码或者验证码便利。为什么人脸识别这么火,从长远来看,就是因为便利性,所以立法很重要。未来,我们是否可以从技术上考虑,把当前采集到的人脸信息进行相应保护,从密码功能转为账号功能,这样能快速识别账户,同时安全问题大大降低。
哈啰出行收集的人脸信息存在服务器里,所有图片都加密。用户查询时,身份不通过就查不到。图片链接都是加密,司机注册时,提供驾照、身份证图片,哈啰出行都加了水印,即使转发,也知道图片来源。这些保护措施都比较通用,一般大企业基本没有问题。
随着监管越来越严格,行业越来越规范,我们基本可以保证大部分企业或者说比较有品牌的这些企业App是比较规范的。前些年确实有些技术合作的第三方SDK不规范地去采集了用户在手机上的各种信息。2019年年终的时候,相关机构组织和编写了App及SDK采集用户信息的规范指南,明确提出了SDK方和App方负有同样责任和义务,这两年关于App和SDK的一些行业标准建设,哈啰也参与了进来。
除了立法和标准建设,监管单位以及行业内也逐步提供一些技术手段来检测App和SDK是否有违规采集行为。哈啰去年年底也引进了这一套合规的检测手段。现在我们可以保证,每次在App迭代发布之前,我们都要进行一套检测,如果存在违规,第一时间就会把风险暴露出来,整改完之后再发布上线,这是作为企业,我们在符合监管合规方面做到的事情。