一些企業(yè)雖然口口聲聲稱視用戶個人信息安全為“生命線”,但卻在行動上怠于履行自己的職責(zé)和義務(wù)。
今年的央視3·15晚會,對侵犯公民個人信息的熱點(diǎn)、難點(diǎn)、痛點(diǎn)問題來了一次集中曝光:無論是科勒衛(wèi)浴、寶馬、MaxMara等企業(yè)安裝人臉識別攝像頭,無感偷拍、使用消費(fèi)者的人臉信息,還是智聯(lián)招聘、獵聘、前程無憂等招聘網(wǎng)站存在明顯管理漏洞,導(dǎo)致求職者簡歷信息被隨意買賣,源源不斷流向黑市,都凸顯了信息時代用戶個人信息保護(hù)形勢的嚴(yán)峻。
近幾年來,隨著互聯(lián)網(wǎng)深入滲透人們的生產(chǎn)生活,無論是傳統(tǒng)企業(yè),還是互聯(lián)網(wǎng)公司,都意識到了數(shù)據(jù)的價值,并試圖通過各種方式、各個渠道獲取用戶更多的個人信息數(shù)據(jù),進(jìn)而從中謀取更多的商業(yè)利益。一些企業(yè)如果不能通過正常渠道獲得用戶授權(quán),那么就暗地里動起手腳,侵犯用戶個人信息的手段越來越智能,也越來越隱蔽。比如借助隱蔽的人臉識別設(shè)備,消費(fèi)者一進(jìn)商家的門,人臉數(shù)據(jù)就被收集而去。商家藉此分析分享消費(fèi)者的消費(fèi)習(xí)慣、價格接受能力等信息,從而為看臉“下菜碟”做準(zhǔn)備。而在此過程中,消費(fèi)者根本就不知情。
可識別性是用戶個人信息的根本特性,用戶在使用服務(wù)時提供必要的個人信息,可以獲得更為便利的服務(wù),但這也意味著作為收集者的企業(yè)必須做好保護(hù)工作,以確保用戶的安全、安寧。否則用戶信息一經(jīng)泄露,輕者招致商業(yè)推銷等騷擾,重則還會產(chǎn)生諸多安全隱患。尤其人臉信息,是公民獨(dú)特的生物信息,與個人支付、安全驗證等環(huán)節(jié)密切關(guān)聯(lián),且具有唯一性和不可更改性,更應(yīng)予以高度重視。但令人遺憾的是,一些企業(yè)雖然口口聲聲稱視用戶個人信息安全為“生命線”,但卻在行動上怠于履行自己的職責(zé)和義務(wù)。更為緊迫的是,當(dāng)前無論是有關(guān)個人信息保護(hù)的法律法規(guī),還是相關(guān)監(jiān)管維權(quán)行動,都落在了侵權(quán)行為的后面,難以滿足公眾的個人信息保護(hù)需求。
目前,多部法律法規(guī)對個人信息保護(hù)均有涉及,但處于一種分散、模糊、止于原則的狀態(tài),所筑起的保護(hù)籬笆還不夠密、不夠堅固,制約保障措施也不到位。同時,個人信息保護(hù)的責(zé)任主體多元,責(zé)任不明確,存在多龍治水之弊,在個人信息保護(hù)的監(jiān)管執(zhí)法行動中還有不少漏洞短板。
去年,個人信息保護(hù)法草案首次提請審議,社會各界對這部法律寄予厚望,同時,不少人也產(chǎn)生了一定的立法依賴心理,期待這部法律一出就能藥到病除。在這種心理驅(qū)使下,有些責(zé)任主體在個人信息保護(hù)的問題上也秉持了猶豫、觀望和等待的態(tài)度,采取的有效動作有限,這也在一定程度上助長了侵權(quán)者的投機(jī)僥幸心理,影響了個人信息保護(hù)的效率和效果。
個人信息保護(hù)容不得任何觀望和等待,只能在不斷完善法律的同時,立足實際,積極作為,用足用好用強(qiáng)各項保護(hù)措施。筆者認(rèn)為,遏制用戶個人信息“竊賊”應(yīng)當(dāng)分兩步走。
第一步是在個人信息保護(hù)法出臺前,梳理整合現(xiàn)行法律法規(guī)規(guī)定,瞄準(zhǔn)侵權(quán)問題,給出可行的治理措施。實際上,現(xiàn)行法律體系中也有不少個人信息保護(hù)的依據(jù)。比如,民法典在“人格權(quán)編”中明確提出,自然人的個人信息受法律保護(hù),處理個人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則。網(wǎng)絡(luò)安全法和消費(fèi)者權(quán)益保護(hù)法也有類似規(guī)定,要求經(jīng)營者收集用戶(消費(fèi)者)個人信息時,應(yīng)當(dāng)公開收集、使用規(guī)則,明示收集使用信息的目的、方式和范圍,并需經(jīng)被收集者同意。新修訂的《信息安全技術(shù)個人信息安全規(guī)范》還特別規(guī)定,人臉信息屬于個人敏感信息。一些地方或部門在整治違規(guī)收集人臉信息過程中也積累了不少有益經(jīng)驗。如去年底,江蘇南京要求商品房銷售現(xiàn)場禁止使用人臉識別系統(tǒng);杭州市在物業(yè)管理條例中擬規(guī)定不得強(qiáng)制業(yè)主通過指紋、人臉識別等生物信息方式使用共用設(shè)施設(shè)備;天津等地區(qū)亦相繼出臺新規(guī),整治違規(guī)人臉識別系統(tǒng)。這些做法都有現(xiàn)實針對性和可行性,是加強(qiáng)個人信息保護(hù)的探索措施,可為當(dāng)下推進(jìn)個人信息保護(hù)治理工作提供有益參考和借鑒。
第二步是立法部門廣泛收集有關(guān)個人信息侵權(quán)的案例,歸納吸收有關(guān)個人信息保護(hù)的措施、經(jīng)驗、機(jī)制,充分聽取民眾的意見,在此基礎(chǔ)上,對個人信息保護(hù)作出前瞻性、全面性、專門性規(guī)定,明確個人信息使用的條件、路徑、方式、禁區(qū)、侵權(quán)的法律后果,同時,針對個人信息侵權(quán),明確維權(quán)救濟(jì)路徑以及監(jiān)管部門和監(jiān)管制約手段等,并推進(jìn)法律全面落地,把個人信息保護(hù)全面引入法治軌道。