為App過度索權(quán)劃出“紅線”，“偷臉”亂象將被整治

隨著互聯(lián)網(wǎng)的高速發(fā)展及5G、人工智能等新興技術(shù)的快速崛起，個人隱私信息保護問題也迫在眉睫。從人臉識別被濫用到App過度收集用戶個人數(shù)據(jù)，如何有效抑制個人隱私信息泄露已被相關(guān)部門提上議程。近日，國家標準《信息安全技術(shù) 人臉識別數(shù)據(jù)安全要求》征求意見稿(以下簡稱國標)和《移動互聯(lián)網(wǎng)應用程序個人信息保護管理暫行規(guī)定(征求意見稿)》(以下簡稱征求意見稿)相繼發(fā)布，進一步強化個人信息安全監(jiān)管與治理。

“偷臉”亂象將被整治

人臉識別是近年來被熱議的話題，隨著該項技術(shù)的不斷發(fā)展，人臉識別應遵循哪些管理規(guī)定、如何防止濫采或泄露、收集人臉信息后如何儲存和處理等問題層出不窮。

今年央視“3·15”晚會上，上?？评招l(wèi)浴、寶馬等商家被發(fā)現(xiàn)在門店中裝有特別為人臉識別使用的攝像頭，用于消費者管理。而顧客進店后在完全不知情的情況下就被采集了人臉數(shù)據(jù)，這些信息一旦被泄露，將嚴重威脅個人的財產(chǎn)、隱私安全。

中國商報記者發(fā)現(xiàn)，國標規(guī)定了人臉識別數(shù)據(jù)的基本安全要求、安全處理要求和安全管理要求，覆蓋了收集、儲存、使用、委托處理、共享等全流程。首先，國標中提到了開展人臉驗證或人臉辨識時應滿足的要求，例如原則上不應使用人臉識別方式對不滿十四周歲的未成年人進行身份識別、應提供安全措施保障數(shù)據(jù)主體的知情同意權(quán)、不應用于除身份識別之外的其他目的等。

此外，國標還對進行人臉識別的開發(fā)商提出了技術(shù)資質(zhì)門檻，要求其具備相應的數(shù)據(jù)安全防護和個人信息保護能力，以防范人臉識別被“活照片”等非法破解。

在收集方面，主體收集人臉識別數(shù)據(jù)時，應向數(shù)據(jù)主體告知收集規(guī)則，包括但不限于收集目的、數(shù)據(jù)類型和數(shù)量、處理方式、存儲時間等，并征得數(shù)據(jù)主體明示同意;在儲存時，數(shù)據(jù)主體明示停止使用功能、服務(wù)，或撤回授權(quán)時應刪除人臉識別數(shù)據(jù)或進行匿名化處理，不應存儲人臉圖像，經(jīng)數(shù)據(jù)主體單獨書面授權(quán)同意的除外;在使用時，應在完成驗證或辨識后立即刪除人臉圖像，生成可更新、不可逆、不可鏈接的人臉特征;同時不應公開披露人臉識別數(shù)據(jù)，原則上不應共享、轉(zhuǎn)讓人臉識別數(shù)據(jù)。

業(yè)內(nèi)人士認為，國標傳遞了對人臉識別進行“強監(jiān)管”的鮮明信號。北京計算機學會數(shù)字經(jīng)濟專業(yè)委員會秘書長王娟對中國商報記者表示，人臉特征信息的泄露，會給社會對主體確認識別帶來混亂，可能引致由身份偽造和盜用出現(xiàn)的一系列風險。同時，也將個人隱私完全置于高度暴露之下，給社交安全和社會秩序帶來極大危害。“歐盟此前已經(jīng)嚴格限制人臉識別及其他高風險的人工智能應用，國標的出臺也是與國際環(huán)境的一種匹配與接軌”。

王娟進一步補充道，對企業(yè)來說，如果獲得了人臉數(shù)據(jù)，不僅要有能力保護數(shù)據(jù)，也要尊重用戶意愿及時刪除數(shù)據(jù)。國標實際上是向企業(yè)再一次發(fā)出信號，告知企業(yè)強化個人隱私數(shù)據(jù)保護，這也對企業(yè)來說提出了更多要求。

為App過度索權(quán)劃出“紅線”

除了被泄露的人臉信息，手機App存在的強制授權(quán)、過度索權(quán)、超范圍收集個人信息等問題同樣不容忽視。

此次發(fā)布的征求意見稿由國家互聯(lián)網(wǎng)信息辦公室的統(tǒng)籌指導，工信部會同公安部、國家市場監(jiān)管總局共同起草，共計20條。

在適用范圍方面，征求意見稿明確，在中華人民共和國境內(nèi)開展的App個人信息處理活動，應當遵守本規(guī)定。法律、行政法規(guī)對個人信息處理活動另有規(guī)定的，從其規(guī)定。在監(jiān)管主體方面，征求意見稿明確了App個人信息保護的聯(lián)合工作機制，國家互聯(lián)網(wǎng)信息辦公室會同工信部、公安部、國家市場監(jiān)管總局健全完善App個人信息保護監(jiān)督管理聯(lián)合工作機制。

征求意見稿明確了“知情同意”“最小必要”兩項重要原則。“知情同意”規(guī)定，從事App個人信息處理活動的，應當以清晰易懂的語言告知用戶個人信息處理規(guī)則，由用戶在充分知情的前提下，作出自愿、明確的意思表示，并明確了“六項應當”要求。“最小必要”規(guī)定，從事App個人信息處理活動的，應當具有明確、合理的目的，并遵循最小必要原則，不得從事超出用戶同意范圍或者與服務(wù)場景無關(guān)的個人信息處理活動，并提出了“六項不得”要求。

征求意見稿對App治理的全鏈條、全主體、全流程予以規(guī)范，規(guī)定了App開發(fā)運營者、App分發(fā)平臺、App第三方服務(wù)提供者、移動智能終端生產(chǎn)企業(yè)和網(wǎng)絡(luò)接入服務(wù)提供者在App個人信息保護方面的具體義務(wù)。除此之外，文件還細化了違規(guī)處置流程和具體措施，其中特別提出，對未按要求完成整改或反復出現(xiàn)問題、采取技術(shù)對抗等違規(guī)情節(jié)嚴重的App，將對其進行直接下架;且下架后的App在40個工作日內(nèi)不得通過任何渠道再次上架的管理要求。

此外，征求意見稿還提出了投訴舉報、監(jiān)督檢查、處置措施、風險提示四方面規(guī)范要求。

賽迪顧問大數(shù)據(jù)產(chǎn)業(yè)研究中心分析師姚學超對記者表示，征求意見稿明確提出了“六項應當”如何做和“六項不得”做什么的具體要求，細化了App開發(fā)運營者和管理者從事App個人信息處理活動的邊界和權(quán)限、底線和“紅線”，能夠有效規(guī)范互聯(lián)網(wǎng)企業(yè)對App個人信息的處理活動，為用戶信息和權(quán)益保護提供了可靠的制度保障。

中鋼經(jīng)濟研究院首席研究員胡麒牧對記者表示，征求意見稿的亮點在于明確了“知情同意”“最小必要”兩項重要原則、規(guī)范關(guān)鍵環(huán)節(jié)主體責任義務(wù)、細化違規(guī)處置流程和具體措施。由于文件明確了責任，細化了處理流程和措施，操作性強，所以應該可以有效遏制個人信息過度收集。

中央財經(jīng)大學新聞系副主任、中經(jīng)數(shù)字經(jīng)濟研究中心執(zhí)行主任陳端對記者表示，征求意見稿是以“依法治理、源頭治理、系統(tǒng)治理、綜合治理”為方法論，以“知情同意”和“最小必要”兩項保護原則為綱領(lǐng)，以App開發(fā)運營者、App分發(fā)平臺、App第三方服務(wù)提供者、移動智能終端生產(chǎn)企業(yè)以及網(wǎng)絡(luò)接入服務(wù)提供者五類監(jiān)管對象為重點，以標準制定、自律評估、投訴舉報以及處置措施作為監(jiān)管抓手，縱深推進App個人信息保護治理工作，向違法違規(guī)處理App用戶個人信息的行為深化精準監(jiān)管的政策行為。

陳端還表示，征求意見稿明確了“專項整治和長效治理相結(jié)合”的監(jiān)管模式，從“局部監(jiān)管、突出問題”轉(zhuǎn)為“全流程、全鏈條、全主體”監(jiān)管，完善多元主體參與機制，體現(xiàn)了網(wǎng)絡(luò)治理的精細化、精準化和法治化，對未來互聯(lián)網(wǎng)領(lǐng)域的創(chuàng)新具有導向上的引領(lǐng)作用。

個人信息安全受國家各部門重視

如今，互聯(lián)網(wǎng)數(shù)據(jù)生態(tài)治理在數(shù)字化時代已成為一項長期而重要的工程，記者梳理發(fā)現(xiàn)，國家各部門已經(jīng)連續(xù)出臺多條政策保護個人信息安全、優(yōu)化網(wǎng)絡(luò)環(huán)境。

2020年7月，中央網(wǎng)信辦、工信部、公安部、國家市場監(jiān)管總局四部門啟動2020年App違法違規(guī)收集使用個人信息治理工作。工信部的App侵害用戶權(quán)益專項整治行動縱深推進，截至2020年12月，四部門已對52萬款App進行了技術(shù)檢測工作，責令1571款違規(guī)App進行整改，公開通報了500款App，下架120款整改不到位及拒不整改的App。

今年1月1日起實施的《中華人民共和國民法典》將人格權(quán)獨立成編，以“隱私權(quán)和個人信息保護”專章方式，對隱私權(quán)和個人信息的定義、保護原則、法律責任、主體權(quán)利、信息處理等問題作出規(guī)定。

國家市場監(jiān)管總局發(fā)布的《信息安全技術(shù)個人信息安全規(guī)范》明確規(guī)定，在收集個人生物識別信息前，需單獨向用戶告知收集、使用個人生物識別信息的目的、方式和范圍以及存儲時間等規(guī)則，并征得用戶的明示同意;個人生物識別信息要與個人身份信息分開存儲，原則上不應存儲原始個人生物識別信息。

除此之外，日前提請全國人大常委會審議的《中華人民共和國個人信息保護法(草案)》從立法的角度對數(shù)字時代的突出問題進行了規(guī)制，有效回應了實踐中個人信息保護面臨的重點和難點問題，平衡了個人信息保護、個人信息利用與流轉(zhuǎn)、國家安全和社會公眾利益等多方面利益。

今年3月，國家網(wǎng)信辦、工信部、公安部、國家市場監(jiān)管總局四部門聯(lián)合發(fā)布《常見類型移動互聯(lián)網(wǎng)應用程序必要個人信息范圍規(guī)定》，明確了地圖導航、網(wǎng)絡(luò)約車等39類常見類型移動應用程序必要個人信息范圍，瞄準超范圍收集用戶個人信息等過度索權(quán)問題。

胡麒牧表示，從近年來國內(nèi)外有關(guān)互聯(lián)網(wǎng)個人信息安全的事件來看，監(jiān)管導向已經(jīng)不僅僅是對微觀主體權(quán)益的維護了，個人信息安全實際上已經(jīng)被上升到國家安全的高度。由于個人信息安全事件往往都是群體信息安全事件，所以監(jiān)管層未來會從國家信息安全保護的角度來進一步完善相關(guān)法律法規(guī)。

大數(shù)據(jù)時代企業(yè)應擔起更多責任

保護個人信息安全并非是一朝一夕之事，需要政府、企業(yè)、用戶等多方的共同努力。除了政府的監(jiān)管，在大量用戶數(shù)據(jù)反哺作用下成長起來的互聯(lián)網(wǎng)巨頭也應承擔起更多責任。

姚學超表示，一方面用戶信息安全和個人隱私保護已成為社會高度關(guān)注的問題之一;另一方面互聯(lián)網(wǎng)企業(yè)仍存在利用用戶數(shù)據(jù)進行“大數(shù)據(jù)殺熟”、基于數(shù)據(jù)誘導用戶沖動消費、通過數(shù)據(jù)壟斷限制商業(yè)競爭等數(shù)據(jù)濫用問題。因此，如何平衡合理保護個人信息和合法合規(guī)采集、應用數(shù)據(jù)之間的關(guān)系成為數(shù)字時代發(fā)展過程中亟需解決的問題。

“作為擁有海量用戶數(shù)據(jù)的互聯(lián)網(wǎng)巨頭，除了利用數(shù)據(jù)資源進行商業(yè)變現(xiàn)，更應該利用數(shù)據(jù)要素進行科技創(chuàng)新，為整個社會創(chuàng)造價值。如利用數(shù)據(jù)優(yōu)化算法、算力等技術(shù)能力、發(fā)展第三方大數(shù)據(jù)服務(wù)產(chǎn)業(yè)。”姚學超補充道。

胡麒牧也表示，數(shù)據(jù)已成為生產(chǎn)要素，所以互聯(lián)網(wǎng)平臺作為數(shù)據(jù)的使用者，在利用數(shù)據(jù)創(chuàng)造價值的同時要愛護數(shù)據(jù)的產(chǎn)生者。維護良好的數(shù)據(jù)安全生態(tài)，既有利于互聯(lián)網(wǎng)平臺進一步做強，也有利于消費者體驗的提升，這是關(guān)系到互聯(lián)網(wǎng)平臺切身利益和可持續(xù)發(fā)展的重要工作，需要以更大的自覺性主動作為，保護用戶信息安全。否則無論是從行業(yè)監(jiān)管的角度還是從用戶用腳投票的角度，損害個人信息安全的平臺都將會被市場淘汰。

陳端表示，近期對互聯(lián)網(wǎng)企業(yè)的整肅力度加大，涵蓋了信息采集、市場壟斷、內(nèi)容監(jiān)管、資本擴張等方面，對互聯(lián)網(wǎng)企業(yè)而言，需要把握新發(fā)展階段、新發(fā)展格局下政策底層邏輯和價值導向，強化社會責任意識，把自身技術(shù)能力和積累優(yōu)勢與國家戰(zhàn)略導向更好地結(jié)合起來。(記者 祖爽)

關(guān)鍵詞： APP過度索權(quán) 偷臉亂象