“照片被人乱传播说我得了新冠,这玩笑能随便开吗?”湖南女生小瑶因为个人隐私被泄露盗用,相当困扰。
12月8日,四川成都公布新增3名本土确诊病例轨迹,其中一名20岁病例赵某因曾踏足4间酒吧,引发了网络讨论。与赵某没有任何关系的小瑶,因为个人隐私被泄露盗用,无端卷入事件。一张身穿白裙、坐在车内的女性照片被传言系赵某,在多个视频平台传开。该照片当事人小瑶辟谣称,其不是成都人,网上被热传和盗用的照片实际上是她今年4月在三亚拍摄的艺术照。在发现个人照片被盗用后,12月8日中午,她在个人微博发布辟谣。
个人信息泄露、被滥用、盗用并不是新鲜话题,中国裁判文书网的检索数据显示,含关键词的“隐私权”的判例有1620篇,含关键词的“个人信息保护”和“个人信息安全”的判例分别有431篇和570篇,而引用2013年颁布的《电信和互联网用户个人信息保护规定》和2018年颁布的《信息安全技术个人信息安全规范》的判例分布有49篇和8篇。虽然与泄露个人隐私有关的判例和报道很多,但从数据可以看出,与互联网有关的个人信息保护法律法规的应用仍在起步阶段。
值得欣喜的是,今年出台的民法典,在过往经验的基础上,进一步丰富了个人信息保护的相关规则。民法典提供了原则性的保护规定,更具体的管理法规,其实也不遥远。根据全国人大消息,我国将制定个人信息保护法和数据安全法。
人脸识别技术引发个人隐私焦虑
上个月,济南一男子为躲避售楼处人脸识别系统而戴头盔看房的短视频在网上流传;几天前,东莞部分公厕推出的“人脸识别供纸机”,更是引发了广大网友对于人脸识别安全性的讨论。
视频截图。
央视报道截图。
连日来,有关个人隐私的新闻层出不穷,社会各界再度聚焦个人信息安全问题。一方面,随着现代科技的进步,互联网的发展为我们的生活带来了诸多便利。另一方面,频频被曝的信息泄露问题,也在不断地挑动大众的神经。
在近年来举行的各类高新技术展会上,人脸识别的应用一直是热门话题。
11月11日至15日举行的第22届高交会上,一家来自重庆的智能技术研究院推出基于人工辅助验证智慧安保系统的“机场全景智能系统”,人脸识别正是这套系统的核心技术之一。一脸查询、刷脸登记……借助“跨镜人像搜索”功能,这套系统可以动态监测人脸,做到精准匹配。
高交会现场展出的最新机场全景智能系统——人工辅助验证智慧安保系统。
而11月底在广州举行的2020世界5G大会上,同样有不少基于人脸识别技术的新产品亮相。一家科技企业便表示,“将人脸特征作为身份识别的依据,并以此为基础借助视频技术、大数据、深度学习技术等,实现人脸布控、人脸门禁、人脸消费、人脸访客、人脸考勤签到、人脸梯控,助力企事业单位日常管理的信息化和身份识别统一化。”
事实上,基于人脸识别的各类解决方案已经深度嵌入到人们的生活中:小区或公司门口的刷脸闸机、便利店的刷脸支付以及人们早已习惯的手机刷脸解锁……
业内人士介绍说,我国人脸识别技术在2017年至2018年进入普及阶段。
新技术在带来便利的同时,自然也有人质疑:隐私安全怎么办?
以上述“机场全景智能系统”为例,在高交会现场,该研究院有关工作人员就透露,利用一“脸”查询,后台可对旅客的表情、年龄、性别、停留时长等属性进行分析和统计,为机场商业体的业态分析、精准营销、广告投放等提供数据支持。
也就是说,通过人脸识别系统获取的个人隐私信息将被用于商业行为,而旅客极有可能对此并不知情。
作为不可复制替换的个人信息元素,面部信息一旦被窃取或泄露,其风险不言而喻,而这种弊端正日益凸显:2020年7月,“人脸信息五毛一份在电商平台打包出售”被曝光,不少网络黑产从业者以此批量倒卖非法获取的人脸等身份信息,从事虚假注册、电信网络诈骗等违法犯罪活动。
究其原因,当这一技术成本降低,日渐普及,不少组织机构无论是否正当、有无必要,一味追求成本低廉和采集便利,无限制使用人脸识别身份认证;数据公司为拓展业务和增收盈利,不断推广普及采集技术,也为人脸信息安全埋下了隐患。而他们在享受“技术红利”的同时,却并不都具备相关风险抵御能力,或者对可能存在的隐私风险置若罔闻。
国内已通报300多款APP隐私处理不当
事实上,近年来,有不少企业因为用户隐私处理不当而被相关部门处以重罚,其中又以APP侵权最为常见。
早在2018年,小红书就因涉嫌侵犯用户个人隐私权,被上海市嘉定区市场监督管理局判处罚款人民币5万元。
自2018年三季度开始,工信部发布的季度电信服务质量报告新增了互联网企业用户个人信息保护检查结果,未公示用户个人信息收集使用规则、未告知查询更新信息的渠道、未提供账号注销服务等问题都在工信部通报内,APP隐私治理也被纳入监管范围,截至今年11月底,工信部已完成44万款APP的技术检测工作,责令1336款违规APP进行整改,公开通报377款整改不到位的APP,下架94款拒不整改的APP。在最新的通报中,工信部还表示将推动个人信息保护行业标准、国家标准的建立以及《电信和互联网用户个人信息保护规定》的修订工作。
除了互联网领域,一些金融、保险机构也因违规使用个人信息而受罚。
今年8月,交通银行信用卡中心、招商银行信用卡中心分别被上海银保监局处以100万元的罚款,其中一项重要原因为违规泄露客户个人信息。
欧美重罚,知名企业未能幸免
放眼全球,一些世界知名企业亦未能幸免。
2015年,美国伊利诺伊州的一起集体诉讼案指控Facebook在未经许可的情况下,利用用户的照片获取面部数据,用于“标签建议”功能,最终以Facebook支付6.5亿美元(约43亿元人民币)和解金告终。
2019年,法国数据保护监管机构对谷歌处以5000万欧元(约合5700万美元)的巨额罚款,原因是谷歌违反了欧盟《通用数据保护条例》,在用户个人数据的收集和使用上存在非法行为。
2018年,万豪国际酒店集团旗下喜达屋酒店3.39亿客人信息泄露事件曾引发轰动。由于未能采取有效措施保护个人数据,2020年11月,英国信息专员办公室ICO对万豪开出1840万英镑(约合人民币1.6亿元)的罚款。
我国对于隐私权的法律保护起步较晚
法律要追求的目标之一是社会稳定,让公众形成合理的预期,因此,当在制定某个法律的时候,立法者能预测的情况总是有限的。
隐私泄露问题的日益严重,与互联网、大数据等技术的发展密不可分。受限于立法时的客观情况,整体来看,我国对于隐私权的法律保护起步较晚。
比如,我国在制定《民法通则》时,并没明确规定“隐私权”保护,仅对公民的人身权、财产权提供保护。
直到2001年3月10日起施行的《关于确定民事侵权精神损害赔偿责任若干问题的解释》的第一条规定,违反社会公共利益、社会公德侵害他人隐私或者其他人格利益,起诉要求赔偿的,法院应当依法受理,才第一次明确肯定了在违反公共利益的前提下,法律对隐私权的保护。
而关于个人信息保护的条款,则散见于消费者权益保护法、网络安全法、刑法等法律中,没有形成体系。
《民法典》已有规定未来更细化
值得欣喜的是,今年出台的民法典,在过往经验的基础上,进一步丰富了个人信息保护的相关规则。
民法典中的人格权篇,不仅单独成章规定了隐私权和个人信息保护,还对隐私和个人信息作出了明确区分。
其中,隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
民法典还指出,处理个人信息,要征得该自然人或者其监护人同意。虽然民法典只提供了原则性的保护规定,但更具体的管理法规,其实也不遥远。根据全国人大消息,我国将制定个人信息保护法和数据安全法。
这两部法律的出台,将进一步完善我国隐私和个人信息保护的法律体系。同时,司法实践中,“人脸识别第一案”等司法判例的涌现,也将不断明确个人信息保护的边界,回应新时代的司法需求。
立法是不断完善的过程。个人隐私泄露、人脸识别等法律关系复杂的新技术的管理,大数据下个人信息的有效保护等问题,未来有望在这两部法律中得到进一步解决。
涉隐私权典型判例
1
收集利用上网信息:默示即同意?
2014年,朱女士状告百度利用cookie收集个人信息用于投放广告,被称为“cookie隐私第一案”。cookie技术的原理是通过对浏览记录的分析,提供个性化推荐。在此案中,南京市中级人民法院引用2012年发布的国家标准化指导性技术文件《信息安全技术公共及商用服务信息系统个人信息保护指南》为参考,认为对于非个人敏感信息,在完成说明义务、提供退出机制的前提下,允许默示的知情同意模式。2018年,百度董事长兼CEO李彦宏在中国发展高层论坛上的发言称“中国用户对隐私问题没有那么敏感”,愿以隐私换效率——这一言论就在社会舆论中引发轩然大波。
今年不久前公开征求意见的《个人信息保护法草案》对敏感个人信息的界定为:“敏感个人信息是一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。”此前,在我国民法中有私密信息与非私密信息的区分,但浏览记录、社交关系、地理位置等信息如何界定在司法实践中仍存在争议,社会公众的认知、对自然人财产权益、人格尊严的影响都在考量内。
2
信息遭公开:责令删除并赔偿
2016年,徐航程发现奇虎公司的好搜、360网页快照服务网站,及法易公司的法易网收录了其家庭住址、居民身份号码等信息登载在网站后,要求法易公司、奇虎公司删除相关信息,法易公司、奇虎公司已分别根据徐航程的要求,将相应链接及时予以删除。法院判决指出,酌情确定法易公司支付徐航程损失1000元。但不足以认定造成严重的后果,不予支持精神损害赔偿。
中国裁判文书网于2015年发布的一项判决书显示,中国太平洋保险公司曾因非法获取个人信息进行商业推销,而被要求向受害人赔礼道歉并支付精神损失费,这是为数不多的支持精神损失费的判决。
3
公开信息也不能随意转载
2017年,贝尔塔公司将中国裁判文书网上发布民事判决书和法院送达判决的公告文书,转载至启信宝网站,伊某系上述文书的案件当事人,上述法律文书分别记述了伊某涉及的四起纠纷情况。贝尔塔公司转载上述文书时,未获得中国裁判文书网和人民法院公告网主办单位的授权,亦未征询伊某的意见。鉴于贝尔塔公司侵权行为涉及的是原已合法公开的信息,法院判决贝尔塔公司向伊某赔偿人民币8000元并承担主要讼费。
4
信息泄露遭诈骗:举证困难,还须自身警惕
电信诈骗屡见报端,那遭遇电信诈骗,能否起诉平台的信息泄露责任呢?
在某些情况下是可以的,如周某诉广东某电子商务有限公司一案中,由于该公司将个人信息一并打包给供应商、快递公司等第三方,导致周某遭遇“售后退款”类型的诈骗,法院判决该公司承担责任,但同时,周某作为消费者没有起到小心谨慎的注意义务,将收到的动态密码发送给“售后”,以至于账户内的金额被转走,其自身也存在过错,判决中减轻了电子商务公司的承担。
更多的判决,则存在原告无法举证电子商务公司责任的问题,在谢某与某商务有限公司网络侵权责任纠纷一案中,法院判决称,该案公安机关尚未侦破,因此无法查明诈骗犯罪人通过何种途径获得原告在被告网络平台购物所留的个人信息,虽然原告主张被告网络平台存在漏洞,但无有效证据证明该事实,没有支持原告的诉求。
5
违规出售个人信息公诉入刑
2016年6月至2017年6月,苏州某公司非法出售赶集网的求职者简历信息共计5万余条,违法所得5万余元,非法出售简历账号130余个,对应的简历信息为75余万条,违法所得15万余元。公司涉案人员获刑。
资料来源:中国裁判文书网、工信部网站、封面新闻、红星新闻、21世纪经济报道、央视新闻
【记者】辜继漫 卞德龙 尚黎阳 实习生刘宇荣
【本期策划】王勇幸