“选择信任一项产品或者是服务,仅仅是取决于我们是否可以相信这门技术吗?还是在于我们能否完全信任开发此类技术的公司和监管机构?……历史告诉我们,一旦一项技术变得无处不在,即使安全问题还没有得到充分解决,人们也开始学着去接受它。而这意味着,我们需要去更多关注“开发和部署人脸识别技术的公司和使用这项技术的商铺是否值得信任,而不是大众是否会因为隐私问题排斥或接受人脸识别技术”。
——虎嗅资讯
2020年1月6日,中国人脸数据刑事第一案宣判。被告人张某、余某等人以牟利为目的,利用非法获取的公民个人信息,通过软件将相关公民头像进行3D处理,进而通过某支付机构人脸识别认证,注册新账户,以获取红包奖励。根据判决书,案发后,公安机关从被告人张某处查扣公民个人信息近2千万条。
在第一刑事案件之前,中国人脸识别民事纠纷第一案也在一家杭州动物园上演。动物园将指纹入园认证改为人脸识别认证的举动,激怒了已办理年卡的游客郭先生。郭先生不明白,为何动物园未经游客允许,就默认游客已同意将面部信息提供给园方呢?
以上围绕着人脸识别发生的两个案件中,案例一,暂不论被告人获取个人信息的来源为何,软件合成的3D人像成功欺骗了人脸识别技术;案例二,我们又该如何信任以动物园为代表的市场盈利企业收集我们的人脸数据后,可以做到妥当安置。对此,技术问题我们交由安全工程师。本文谨就信息主体与信息收集企业间的信任关系分享如下内容:
内 容 提 要
一、企业如何收集个人信息?
二、企业如何存储个人信息?
三、企业如何利用个人信息?
企业如何收集个人信息?
《网络安全法》第四十一条规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意”。国家标准《信息安全技术 个人信息安全规范》(GB/T35273)再就信息收集中的“合法”、“必要”、“正当”原则予以释明。结合该规范最新发布于2019年10月22日的征求意见稿,我们将企业在信息收集中的注意事项列示如下:
1. 收集个人信息的合法原则要求个人信息控制者在收集信息主体信息时:
a) 不应以欺诈、诱骗、误导的方式收集个人信息;
b) 不应隐瞒产品或服务所具有的收集个人信息的业务功能;
c) 不应从非法渠道获取个人信息;
d) 不应收集法律法规明令禁止收集的个人信息;
e) 不应大规模收集我国公民的种族、民族、政治观点、宗教信仰等个人敏感信息。
2. 收集个人信息的必要性原则对个人信息控制者的要求包括:
a) 收集的个人信息的类型应与实现产品或服务的业务功能有直接关联;直接关联
是指没有上述个人信息的参与,产品或服务的业务功能无法实现;
b) 自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率;
c) 间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。
3. 收集个人信息的正当性性原则,也可称为不强迫信息主体接受多项业务功能。该原则对个人信息控制者的要求包括:
a) 不应通过捆绑产品或服务各项业务功能的方式,要求个人信息主体一次性接受并授权同意其未申请或使用的业务功能收集个人信息的请求。
b) 应把个人信息主体自主作出的肯定性动作,如主动点击、勾选、填写等,作为产品或服务的特定业务功能的开启条件。个人信息控制者应仅在个人信息主体开启该业务功能后,开始收集个人信息;
c) 关闭或退出业务功能的途径或方式应与个人信息主体选择使用业务功能的途径或方式同样方便。个人信息主体选择关闭或退出特定业务功能后,个人信息控制者应停止该业务功能的个人信息收集活动;
d) 个人信息主体不授权同意使用、关闭或退出特定业务功能的,不应频繁征求个人信息主体的授权同意;
e) 个人信息主体不授权同意使用、关闭或退出特定业务功能的,不应暂停个人信息主体自主选择使用的其他业务功能,或降低其他业务功能的服务质量;
f) 不应以改善服务质量、提升个人信息主体体验、研发新产品、增强安全性等为由,强迫要求个人信息主体同意收集个人信息。
需明确的是,以上为企业首次直接收集公民个人信息时需注意的原则与方式。当企业间进行数据共享、数据委托处理等其他通过数据源公司间接获取信息主体信息的,尚有其他需要特别遵照与遵守的注意事项。
企业如何存储个人信息?
《网络安全法》第四十二条规定,“网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”
《网络安全法》第二十一条就具体可采取的技术与必要措施予以明示。该条规定,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
1. 制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
2.采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
3.采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
4.采取数据分类、重要数据备份和加密等措施;
5.法律、行政法规规定的其他义务。
个人信息安全保障的方式方法中,技术的问题同样需由安全工程师解决,而技术保障应达到的标准则需遵照如下规范:
《信息安全等级保护管理办法》第七条规定,“信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。”
《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)第5.2条指出,“不同等级的保护对象应具备的基本安全保护能力如下:
第一级安全保护能力:能够防护免受来自个人的,拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的关键资源损害,在自身遭受损害后,能够恢复部分功能;
第二级安全保护能力:能够防护免受来自外部小型组织的,拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和处置安全事件,在自身遭受损害后,能够在一段时间内恢复部分功能。
第三级安全保护能力:能够在统一安全策略下,防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾害,以及其他相当危害程度的威胁所造成的主要资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭受损害后,能够较快恢复绝大部分功能;
第四级安全保护能力:能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾害,以及其他相当危害程度的威胁所造成的资源损害,能够及时发现、监测发现攻击行为和安全事件,在自身遭受损害后,能够迅速恢复所有功能。
第五级安全保护能力:略”。
对此,各企业需结合自身所收集数据的数量与数据内容,判断公司所应达到等保要求,并主动制定内部安全管理制度和操作规程;采取防范病毒和网络攻击、侵入等危害网络安全行为的技术措施;监测、记录网络运行状态;进行数据分类、备份和加密等。
企业如何利用个人信息?
个人信息的直接利用,被授权主体在用户的授权范围内展开即可。十分遗憾的是,就个人信息开发利用的中二次开发——数据共享、数据的委托处理等,截至目前,我国的立法尚没有就大数据时代,个人信息保护与信息数据利用之间的平衡找到清晰且合理的解决方案。
现有法律规范从保护个人信息保护的角度出发,注重个人权益保障。《民法总则》第一百一十一条规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得,并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息”《网络安全法》等法律法规、国家标准等文件对数据的直接和间接利用也基于“获得授权”原则进行严格规范。
《信息安全技术 个人信息安全规范(征求意见稿)》(该标准尚未正式颁行,其主要规范方向具有参考意义)进一步指出“收集个人信息时的授权同意对个人信息控制者的要求包括:
a) 收集个人信息,应向个人信息主体告知收集、使用个人信息的目的、方式和范围,并获得个人信息主体的授权同意;
b) 收集个人敏感信息前,应征得个人信息主体的明示同意,并应确保个人信息主体的明示同意是其在理解收集目的和相关处理规则的基础上自主给出的、具体的、清晰明确的意愿表示;
c) 收集年满14周岁未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意;
d) 间接获取个人信息时:
1) 应要求个人信息提供方说明个人信息来源,并对其个人信息来源的合法性进行确认;
2) 应了解个人信息提供方已获得的个人信息处理的授权同意范围,包括使用目的,个人信息主体是否授权同意转让、共享、公开披露、删除等;
3) 如开展业务所需进行的个人信息处理活动超出已获得的授权同意范围的,应在获取个人信息后的合理期限内或处理个人信息前,征得个人信息主体的明示同意,或通过个人信息提供方征得个人信息主体的明示同意。
也即,目前法律语境下,直接与间接的数据收集行为均需信息主体授权与同意的规定,有利于保障信息主体对自身数据的控制。可在实务操作中,如此获取授权方式,确也有实际困难。如企业间的合作存续、变更与业务拓展涉及数据共享与委托处理时,均需通知信息主体且获得信息主体同意,则企业负担与授权实现的可能性便大大弱化。信息主体是否愿意接收授权请求,产品或服务体验以及商业效率该如何保障?
个人信息规范需要平衡的社会利益其实不仅仅包括个人权利,还包括信息时代背景下,利用个人信息促进社会效率与经济效益最大的企业。而企业间的数据共享与数据委托处理等才是数据资源得以重新利用,并最大化挖掘数据资产价值不可或缺的重要路径。
我国著名民法学学者龙卫球先生提出,“传统法律架构无法适应当前数据经济利益关系合理调整的需求。在当前数据经济的环境下,面向个人信息和数据利益关系的法律建构,应与数据经济的结构本质、特别是其双向动态特点紧密结合,采取一种更加复杂的权利配置方式。从体系上说,应该在区分个人信息和数据资产的基础上,进行两个阶段的权利建构:首先对于用户,应在个人信息或者说初始数据的层面,同时配置人格权益和财产权益;其次对于数据经营者(企业),基于数据经营和利益驱动的机制需求,应分别配置数据经营权和数据资产权”。笔者认为龙教授的观点在平衡信息保护与信息利用层面上有独到之处,但经营权与资产权的具体运作等还需细化与考量。
王利明教授建议区分个人信息的不同类型,设计相应的数据共享规则,获取不同类型的个人信息,对信息主体同意的要求和形式也是不同的,不同类型的数据应当有不同的同意规则。具体而言:共享敏感个人信息应当征得信息主体的明示同意;共享敏感个人信息之外的个人信息,应当相对弱化信息主体的同意要求。在某些情形下,仅要求信息权利人默示同意即可。
美国教授Nissenbaum 则提出“情境脉络完整性”理论——个人信息原始收集时的具体语境应得到尊重,其后续传播及利用不得超出原初的情境脉络。场景导向路径,即认识到个人信息保护的合理程度要置于其所处的环境中具体审视,避免脱离场景做抽象式的预判。鉴于场景构成要素的多元性,对个人信息利用的合理性应综合多种因素进行 “程度性”判断。该理论的可简述为,个人信息保护的边界并非固定、僵化,而是主观动态的。个人信息合理使用的内涵外延,在不同的场合均不尽相同。于是以信息主体为中心、结果为导向,核心考察个人信息的处理行为给用户带来的后果及影响。如个人信息处理行为引发的影响能为用户所接受,或是否符合用户的 “合理预期”则为“合理使用” 。而该理论在GDPR 与 CPBR 条文均有一些体现。
必须承认,人工智能的发展,大数据的运用在便捷生活的同时,也意味着信息主体相应权利的让渡。法与时转则治。本文想要解决的企业与信息主体之间的信任问题,其本质是需要去探求个人信息的边界以及企业合规高效利用个人信息的方式方法,也只有数据权属以及数据流转方式明晰后,才可进一步确定行业法则。
