《个人信息保护法时代的隐私保卫战》系列报道②|“防不胜防”,身边的信息泄露无处不在
文/本刊首席记者 李天琪
来源:《民主与法制》周刊2022年第11期
编者按
数据被称为“信息时代的石油”,作为数据内容之一的个人信息,毫无疑问,因具有巨大的商业价值潜力而被广泛关注。
不可否认,数据的信息交流已经完全渗透并覆盖到当今社会人类日常生活中所涉及的各个领域。我国作为人口大国,数据产业带来的经济体量不容小觑,而大多数人可能不注意的是,平时我们在使用手机软件时留下的搜索记录、聊天信息、访问足迹等,都有可能成为用来牟利的信息资源。当下我国正处于全面数字化转型的高质量发展新阶段,在新技术新应用层出不穷的生态语境下,个人信息的处理已经成为社会进步和产业升级新的驱动力,而广大民众对于加大个人信息保护力度也有着空前的关切和期待。
2021年11月1日,《个人信息保护法》正式施行,标志着我国个人信息保护立法体系更上一个台阶。针对不得过度收集个人信息、“大数据杀熟”、对人脸信息等敏感个人信息的处理等问题作出规制,可以说,这部法律急民之所急,解民之所忧,充分回应了社会关切。
《个人信息保护法》实施四个多月来,侵害个人信息权益的违法行为频频发生在我们每一个人身边。进入2022年以来,工业和信息化部已经完成两批次134款App和SDK的200多个合规问题的通报。不可否认,保护个人信息,拥抱个人信息合法权益受保护、个人信息处理活动受规范、个人信息合理利用受促进的数字治理新时代,任重而道远。
由此可见,如何使用好这部法律,发挥其应有作用,还需我们共同努力。
《个人信息保护法时代的隐私保卫战》系列报道之二
“防不胜防”,身边的信息泄露无处不在
本刊首席记者 李天琪
往前追溯十年,很多人可能都还没预料到小小信息会如此“值钱”?
姨,填一个表,送您一盒鸡蛋⋯⋯
亲爱的,今天店里有活动,给我们留一个电话,简单登记一下,免费赠您一节体验课⋯⋯
真烦!给孩子拍完满月照没两天,各种推销婴幼儿产品、早教课程的电话就打了过来。
开着会,推销电话就贸然打进来。虽是陌生号,但你还不敢不接,别是什么重要事给耽搁了。
在信息时代,个人信息泄露在各个角落烦扰着每一个人,让人不堪其扰、深恶痛绝。即便《个人信息保护法》已实施4个多月,最直观能感受到的推销电话也不见少,更别提其他你我都不知道的信息泄露形式和途径了⋯⋯
各行各业爆出个人信息泄露事件显示,公众的焦虑情绪依旧。后个人信息保护法时代,如何有效监管收集与使用个人信息,防止信息泄露,在未来很长一段时间内,还将是社会各界关注的重点。
谁在“偷”我的脸
众所周知,“人脸识别”是基于人的脸部特征信息进行身份识别的一种生物识别技术。作为人工智能重要的应用领域,人脸识别技术已经渗透到人们生活的方方面面,大到城市建设、疫情防控,小到手机客户端登录解锁,都少了它的身影。
遗憾的是,近年来,因公共场所“人脸识别”监控图像的不当采集利用而侵犯个人隐私的案例屡见不鲜,引发舆论争议。
前年“3·15”晚会上,曾曝光多地装有人脸识别系统的商户在未告知或征得同意的情况下,偷偷获取客户的人脸识别信息,科勒卫浴专卖店、正通汽车100多家4S店、无锡宝马汽车4S店、港汇恒隆Max Mara专卖店等赫然在列。据悉,一旦顾客进入门店,人脸信息就会被捕捉并打上编号,这个顾客在这家店的各种信息都有可能被商家添加在人脸信息后,同步给所有同品牌门店。下一次该顾客再光顾该品牌门店,先前去过几次、去过哪家都会被商家知晓。该项技术的应用,不仅能实现精准营销,商家还可以手动添加各种标签,如职业打假人、记者。
让人头疼的是,商户利用人脸信息进行营销的案例屡见不鲜。此前,一段“男子戴头盔看房”的视频被推上了热搜,视频中一男子戴着头盔进售楼处看房,以防范人脸识别系统的抓拍。这种让人哭笑不得的做法,并非是小题大做。其实早在2019年,在广西贺州就已经有开发商在售楼处安装使用了人脸识别系统。为的是迅速区分客户类型,确定看房者是自然前往还是中介带看。
此前有新闻报道,浙江省宁波市杭州湾一女士原打算享受购房优惠,在通过中介机构分销购房时,却被告知因人脸识别记录而劝退。该女士认为,开发商这样做侵犯了她的肖像权和隐私权:“如果我的人脸信息被用在不正当的地方,我的利益肯定会受到侵害。这样的危害是未知的。不经过我的允许,他们怎么可以采集我的人脸信息?”
此后,浙江省慈溪市检察院就杭州湾新区部分售楼处人脸识别系统涉嫌侵犯不特定消费者人脸信息行政公益诉讼诉前程序案,召开检察听证会。听证会争议的焦点在于,房产企业是否能够收集消费者人脸信息、人脸信息存储在哪里、存储期限有多久、是否有泄露风险、是否会被用于非法目的等。最终,听证会达成共识,认为售楼处行为涉嫌侵害了不特定多数消费者合法权益。
《个人信息保护法》实施后,针对屡禁不止的“人脸信息”泄露问题,各地监管部门有法可依、适时亮剑。
2021年年底,上海小鹏汽车销售服务有限公司7家门店22台摄像设备,滥用“人脸识别”技术,6个月采集了43万人脸照片,被上海市徐汇区市场监督管理局罚款10万元。上海市市场监督管理局网站公开的行政处罚信息显示,上海小鹏汽车销售服务有限公司违法行为类型为“侵害消费者人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利”。
当然,“偷脸”重灾区不单出现在消费领域,从全国各大城市无数小区、公寓、写字办公楼门口竖着的人脸识别装置不断增多和普及的情况中,可见其普遍。一段时间里,“刷脸”进小区的质疑声此起彼伏——“小区门禁采用人脸识别是否有相应的法律依据?”“物业有权强制采集居民个人信息吗?”“收集到的个人生物信息是否得到了妥善保护?”
质疑声中较大的声音认为,相比国家层面的人脸信息收集及处理,小区大多通过购买第三方服务来实施,数据安全方面存在诸多风险。
在全国范围内,类似“不刷脸就不让进”的纠纷发生过不止一两起。2020年3月,因小区贴出安装人脸识别门禁系统的公告,要求业主提供人脸识别等信息,北京某大学法学院一教授向其所居住小区的物业公司和居委会寄送法律函列举风险,成功阻止门禁改造。同年10月,因被强制要求刷脸,浙江某大学一副教授将杭州野生动物世界告上法庭。终审判决杭州野生动物世界删除原告郭兵包括照片在内的面部特征信息和指纹识别信息。
虽然现在看来“不刷脸无法正常出入小区”问题已明显缓解,大部分小区基本配备了刷脸、刷卡、刷身份证、按开关等多种出入方式,但公众对使用刷脸出入的安全担忧并没减少。我们的个人信息安全是否有足够能力得到保障,用户心里普遍仍存有一个巨大的问号。
小小快递单里藏着大玄机?
现如今,网购商品、收取快递早已成为国人离不开的生活方式之一,“双11”也不再是一年之中唯一一次的电商狂欢盛会,日常“买买买”让“剁手人”“尾款人”和“收件人”沉浸其中、不可自拔。方便之余,因快递信息泄露而引发的诈骗事件也开始频发,快递隐私安全问题再次受到关注。
2021年9月20日,B站音乐区UP主“@杨可爱Ukulele”发布了一则视频,详细描述了自己被电信诈骗16万元的经历。和绝大多数人一样,杨小姐从未想到这样的事会发生在自己身上。
“您好,您的一个快递丢了,现在需要给您双倍赔偿。”在对方准确报出自己姓名、快递单号后,杨小姐对这位自称是某快递公司的客服人员深信不疑。“客服人员”表示将支付180元的赔偿费用,但需要她在手机上进行操作。虽然是语音交流,但对方全程可以通过会议App看到杨小姐手机屏幕上的一切。
经过“客服人员”的一步步引导,操作从寻找所谓的“快递理赔”,演变成“因你操作失误导致了借贷关系,三年内要向支付宝转入72000元”。一通操作之后,借贷关系仍未解除,利用杨小姐的焦急心理,“客服人员”提出:“用账户余额来进行信用担保。”
紧接着,“客服人员”让杨小姐在支付宝上买了一个“银行卡保险”,表示“银行卡里余额出现了1分1毫的偏差,就能获得50万元赔偿。”如此一来,杨小姐便陆续将16万元转到了诈骗人员的账户里。至此,贪婪的对方还不打算收手,要求杨小姐开通支付宝里的借贷和微信的微利贷,并提出钱不够就去向朋友借。不幸中的万幸,杨小姐求助的朋友此前有过被骗的经历,识破骗术后果断带她去公安局报案。
从怀疑到被说服再到钱财被骗,整个过程仅用时30分钟。
原来,小小一张快递单,不仅用来记录发件人、收件人以及货物种类等相关信息,其中还包含收件人的姓名、电话、家庭住址等隐私信息,这就给一些居心不良之人留下了可乘之机。快递面单在网上被明码标价批量售卖,情况猖獗。据悉,不法分子在获取个人快递信息后,通常会冒充“电商客服”或“快递员”,主要以电话、短信方式,通过“快递丢失损坏理赔、退货”等理由定向精准下套,杨小姐就是着了这个“道”。
数月前,浙江宁波警方侦破一个非法获取、倒卖快递面单信息的犯罪团伙,抓获犯罪嫌疑人9名,查获快递面单照片两万余张。此前有外贸公司曾报警称,公司陆续收到消费者的投诉电话,称大量个人信息泄露,已经有客户被诈骗。接到报警后,宁波警方立即展开侦查,通过实地走访,很快获取线索。
据警方了解,此犯罪团伙为了获取快递包含的个人信息进行非法牟利,成员通过临时应聘的方式进入快递公司,再利用整理快递包裹之便利,偷拍快递面单照片,汇总整理后在网上倒卖。
信息“裸奔”何时休?
其实,快递面单信息安全问题并非是新问题。早在2017年,各大快递企业相继推出了隐私面单。即在隐私面单上,个人信息被加密处理,隐去姓名、住址的部分文字以及电话号码的部分数字。快递员派件时,通过App扫码,以“虚拟电话”联系收件人,快递签收后,号码对应关系随即失效。
此举不仅减少了纸张的使用,更低碳环保,还为个人信息上了保护锁。但事与愿违,其推广过程并不顺利,被快递员嫌弃的理由是——“效率低”。除了增加快递员配送负担,对于无法投递到户、选择把快递存放在门卫、收发室或快递架上的用户来说,隐私面单同样不能让其快速找到目标快递,降低用户体验感。
毫无疑问,快递面单上列载的信息属于个人隐私,根据前不久刚实施的《个人信息保护法》,个人信息处理者应当对包括姓名、电话在内的个人信息进行相关操作,比如加密、去标识化等,这是最基本的安全技术保障措施。
中南财经政法大学数字经济研究院执行院长盘和林教授此前撰文表示,作为消费者信息的使用者和处理者,快递企业不应将消费者的隐私安全寄托在快递员等服务人员的道德自觉上,而应当积极承担信息保护主体的责任。
在其看来,规范用工体系、加强对快递员的教育和培训,是题中应有之义。对于出现信息泄露等违规行为的快递员应追究相应的法律责任,并列入行业黑名单,情节严重的终身禁入快递领域,从而提高违法违规成本,强化企业用工监督。当然,对于个人信息的保护,我们不能全部寄希望于企业的自省自查,国家层面的立法政策“撑腰”也绝不能缺席,同时也要加强监管力度,建立完善的配套保护机制。过去几年,大到《网络安全法》《数据安全法》《个人信息保护法》组成的数字社会生态三大法治基石的建立,小到各地颁布的规范性文件,我们看到了强化个人信息保护的决心。
《民法典》颁布后,最高人民法院对《民事案件案由规定》进行了修正,新增了个人信息保护纠纷案由。据悉,《民法典》施行以来,截至2021年6月30日,各级人民法院正式以个人信息保护纠纷案由立案的一审案件192件,审结103件,筑起保卫人民群众个人信息权益的坚强司法屏障。
遇到个人信息被非法采集、窃取、转卖,怎么办?相比于前述法学专家的主动维权,我们身边的绝大多数人往往选择沉默不作为。究其原因,一是违法行为隐蔽性较强,二是维权途径不明朗或者维权成本太高。
《中国经济时报》曾开展为期一周的《个人信息保护网络问卷调查》,调查对象涵盖从在校生到退休人员各个年龄层,涉及公司职员、公务员、在校学生、农民、工人、个体户等多类别群体,共收回有效问卷283份。调查结果显示,在“当个人信息资料被侵犯而未进行维权的原因”选项中,42.4%的受访者选择“不知道维权途径”,而选择“资金等个人利益没有损失”以及“维权程序太复杂成本高”的受访者占比分别为32.16%和25.44%。
正所谓:民之所望,政之所向。2021年7月28日,最高人民法院发布《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,其中第14条对涉人脸信息民事公益诉讼予以明确规定,积极倡导民事公益诉讼。“由于实践中受害者分散、个人维权成本高、举证能力有限等因素,个人提起诉讼维权的情况相对较少,而公益诉讼制度能够有效弥补这一不足。”最高人民法院副院长杨万明在当日新闻发布会上表示。
接收到国家政府释放的强烈信号,加以信息处理者重责,在此基础上,公民应自觉适应新的经济发展形势,加强对个人信息数据的保护意识。但记者发现,打破过去个人信息使用习惯并不容易。在全社会个人信息安全意识逐步提高的大背景下,广大人民群众对个人信息保护虽然一直保持较高的关注热情,却普遍缺乏相关的科学知识和法律知识。由此看来,把《个人信息保护法》从纸面的条文变为手中维权的利器,并非一蹴而就。
就拿小区物业人脸信息采集来说,从以往新闻报道及纠纷事例来看,九成以上的业主并未表明反对或者质疑,未对小区物业公司的信息保管能力进行考察,而事实上,这种担心并非杞人忧天。钥匙丢了,我们能换把锁;银行卡、支付App密码泄露,我们能更改密码,及时挽回损失。但是人脸信息一旦被窃取,将导致不可逆转的泄密状态。
以良法促善治。对于个人来说,一旦发现违法行为,不要被动接受而应主动监督举报,形成全民抵制违法行为的良好氛围。对于个人信息的使用,平时亦应小心谨慎,天上不会掉馅饼,“赠送”“免费”的小伎俩不过是捡了芝麻丢了西瓜的骗局罢了。
提高公民个人信息保密意识不能仅仅停于嘴边。不要在超市等公共场所随意给人留下联系方式;不在金融、房屋买卖、教育等中介机构登记过多的个人信息;谨慎处理自己更换下来的智能设备以及个人信息的数据备份;不在社交软件上过多登记个人信息或添加不熟悉好友;收受电子票据时及时销毁相关个人信息⋯⋯小心谨慎的同时,增加对相关法律法规的了解,提高维权意识,如果遭遇个人信息泄露事件,要学会使用法律手段维护自身合法权益。
截稿当天,记者路经北京市崇文门地铁旁,看到一男一女拉着过往的行人,指着地上塞满牛角面包的纸壳箱,正在吆喝:“扫描二维码,注册用户,免费领面包!”短短五分钟,引来十余人驻足扫码⋯⋯看来个人信息保护意识的觉醒与提升,还有很长一段路要走。
编辑:康齐贤 芦佳琪
推荐阅读:
最新消息|最高检:加大公益诉讼办案力度,推动个人信息保护法落地落实
立法故事|个人信息保护法出台记:历十八载,执法“九龙治水”争议多年
立法信息|《个人信息保护法》草案被宪法和法律委员会认为已比较成熟,建议本次常委会会议审议通过!