一些企业虽然口口声声称视用户个人信息安全为“生命线”,但却在行动上怠于履行自己的职责和义务。
今年的央视3·15晚会,对侵犯公民个人信息的热点、难点、痛点问题来了一次集中曝光:无论是科勒卫浴、宝马、MaxMara等企业安装人脸识别摄像头,无感偷拍、使用消费者的人脸信息,还是智联招聘、猎聘、前程无忧等招聘网站存在明显管理漏洞,导致求职者简历信息被随意买卖,源源不断流向黑市,都凸显了信息时代用户个人信息保护形势的严峻。
近几年来,随着互联网深入渗透人们的生产生活,无论是传统企业,还是互联网公司,都意识到了数据的价值,并试图通过各种方式、各个渠道获取用户更多的个人信息数据,进而从中谋取更多的商业利益。一些企业如果不能通过正常渠道获得用户授权,那么就暗地里动起手脚,侵犯用户个人信息的手段越来越智能,也越来越隐蔽。比如借助隐蔽的人脸识别设备,消费者一进商家的门,人脸数据就被收集而去。商家藉此分析分享消费者的消费习惯、价格接受能力等信息,从而为看脸“下菜碟”做准备。而在此过程中,消费者根本就不知情。
可识别性是用户个人信息的根本特性,用户在使用服务时提供必要的个人信息,可以获得更为便利的服务,但这也意味着作为收集者的企业必须做好保护工作,以确保用户的安全、安宁。否则用户信息一经泄露,轻者招致商业推销等骚扰,重则还会产生诸多安全隐患。尤其人脸信息,是公民独特的生物信息,与个人支付、安全验证等环节密切关联,且具有唯一性和不可更改性,更应予以高度重视。但令人遗憾的是,一些企业虽然口口声声称视用户个人信息安全为“生命线”,但却在行动上怠于履行自己的职责和义务。更为紧迫的是,当前无论是有关个人信息保护的法律法规,还是相关监管维权行动,都落在了侵权行为的后面,难以满足公众的个人信息保护需求。
目前,多部法律法规对个人信息保护均有涉及,但处于一种分散、模糊、止于原则的状态,所筑起的保护篱笆还不够密、不够坚固,制约保障措施也不到位。同时,个人信息保护的责任主体多元,责任不明确,存在多龙治水之弊,在个人信息保护的监管执法行动中还有不少漏洞短板。
去年,个人信息保护法草案首次提请审议,社会各界对这部法律寄予厚望,同时,不少人也产生了一定的立法依赖心理,期待这部法律一出就能药到病除。在这种心理驱使下,有些责任主体在个人信息保护的问题上也秉持了犹豫、观望和等待的态度,采取的有效动作有限,这也在一定程度上助长了侵权者的投机侥幸心理,影响了个人信息保护的效率和效果。
个人信息保护容不得任何观望和等待,只能在不断完善法律的同时,立足实际,积极作为,用足用好用强各项保护措施。笔者认为,遏制用户个人信息“窃贼”应当分两步走。
第一步是在个人信息保护法出台前,梳理整合现行法律法规规定,瞄准侵权问题,给出可行的治理措施。实际上,现行法律体系中也有不少个人信息保护的依据。比如,民法典在“人格权编”中明确提出,自然人的个人信息受法律保护,处理个人信息应当遵循合法、正当、必要原则。网络安全法和消费者权益保护法也有类似规定,要求经营者收集用户(消费者)个人信息时,应当公开收集、使用规则,明示收集使用信息的目的、方式和范围,并需经被收集者同意。新修订的《信息安全技术个人信息安全规范》还特别规定,人脸信息属于个人敏感信息。一些地方或部门在整治违规收集人脸信息过程中也积累了不少有益经验。如去年底,江苏南京要求商品房销售现场禁止使用人脸识别系统;杭州市在物业管理条例中拟规定不得强制业主通过指纹、人脸识别等生物信息方式使用共用设施设备;天津等地区亦相继出台新规,整治违规人脸识别系统。这些做法都有现实针对性和可行性,是加强个人信息保护的探索措施,可为当下推进个人信息保护治理工作提供有益参考和借鉴。
第二步是立法部门广泛收集有关个人信息侵权的案例,归纳吸收有关个人信息保护的措施、经验、机制,充分听取民众的意见,在此基础上,对个人信息保护作出前瞻性、全面性、专门性规定,明确个人信息使用的条件、路径、方式、禁区、侵权的法律后果,同时,针对个人信息侵权,明确维权救济路径以及监管部门和监管制约手段等,并推进法律全面落地,把个人信息保护全面引入法治轨道。