目录
2021 2.4
人脸识别——人面不知何处去?
大数据、算法、数据垄断——谁来拯救困在算法里的用户和骑手
应用分发平台——应用分发平台进入合规治理闭环
数据治理——数据治理的十字路口
疫情相关个人信息保护——屋漏偏逢连夜雨,疫情暴露后被人肉搜索
个人信息民事司法保护——扬帆起航开启新篇章
卷首语
2021 2.4
如果说2019年是数据和隐私保护扬帆起航的一年,那么2020年就是数据和隐私保护乘风破浪的一年,数据和隐私保护从立法立规走入了司法实践和人们日常生活关注之中。一方面,数据安全和个人信息保护立法强度持续加深,《个人信息保护法(草案)》和《数据安全法(草案)》重磅出台,掀起千帆浪。另一方面,人们的隐私保护期待大幅度上升,深入到人脸识别技术、数据治理和应用分发平台等过去人们尚未关注过深的层面,同时也开始在司法实践领域尝试对个人信息权益保护的积极探索。下面我们梳理了2020年隐私安全保护热点事件,希望能与各位一起回忆一下过去一年在隐私保护领域的“新鲜事”,世界在隐私保护的一浪又一浪中在塑形、在改变,期待未来的样子。
一、人脸识别——人面不知何处去?
在人脸识别技术不断发展的今天,中国人看中的“面子”被赋予了更多商业价值,相较于西方国家对于收集、使用人脸识别信息的谨慎态度,日常生活中,我们似乎已经习惯将自己的人脸信息用于解锁手机、支付、进站检票、住酒店、出入小区公园等各种场所等等目的,与此同时,商场特别是房地产售楼部也开始广泛使用摄像头检测人流量和商家热度,跟踪消费者轨迹。
造成人脸识别信息被高频使用在行业应用中的原因一个在于民众目前对于人脸识别信息敏感程度较低,大部分民众尚未意识到人脸识别信息被滥用的严重危害性。另一个原因在于人脸识别信息的“无感性”。相较于指纹、身份证等个人敏感信息,人们需要伸出手指或拿出身份证方可使其被采集和利用,人脸识别信息在采集和使用的环节都是强制且隐蔽的,也就是说,用户可能在没有意识到的情况下被采集和使用了其人脸识别信息。
人脸识别信息的唯一性和稀缺性远胜于其他个人信息,一经泄露或滥用可能产生的安全和隐私风险将对个人信息主体造成不可逆转的损害。虽然目前我国缺乏对于人脸识别信息收集和使用的特殊规定,但社会大众已经逐渐意识到人脸识别技术以牺牲安全和隐私为代价高速渗透人们日常生活的严重后果,先有来自浙江理工大学的郭兵教授与清华大学的劳东燕教授率先站出来,拒绝以“刷脸”的方式进入动物园和自家小区,打响国内个人面部特征信息保护的“第一枪”。后有“头盔哥”戴头盔看房,拒绝被房产售楼部“无感”刷脸以表示抗议。随着民众对于个人信息保护意识的觉醒,我们期待着人脸识别信息保护未来能在立法和实践层面得到落实和保障,企业对于人脸识别技术的应用必须让用户有知情权和选择权,并遵循最小必要的原则。不要让本应“人面桃花相映红”,利用人脸识别技术提升民众生活便利性和商业效率的双赢局面落为“人面不知何处去,仅剩桃花笑春风”的下场。
二、大数据、算法、数据垄断——谁来拯救困在算法里的用户和骑手
《人物》杂志在《外卖骑手,困在系统里》文中暴露出外卖平台后台算法系统给外卖员带来的压力引发舆论热议。无独有偶,12月17日一篇名为《我被美团会员割了韭菜》的文章刷屏,该文作者基于自己点外卖的经历发现,在美团上的同一家店铺,用同一个配送地址,在同样的时间点单,会员比非会员的配送费更高。算法对于我们打工人的影响不仅仅体现外卖上,在某些公司,也有被算法监控的打工人。杭州一家科技创业公司要求员工全体使用一款智能坐垫,通过坐垫监控员工的心率、呼吸、坐姿、疲劳度等数据,从而考察员工是否存在“上班摸鱼”现象,引发大量吐槽。
2020年5月,欧盟密集出台了《数字服务法(草案)》和《数字市场法(草案)》对网络服务提供者,特别是拥有实际规则制定权的大型在线平台作出了相对严苛地规定,要求其承担更多的透明度责任,以促进数字经济的协调发展。与此同时,我国市场监管总局也于11月发布《关于平台经济领域的反垄断指南(征求意见稿)》,聚焦数据杀熟、“二选一”等问题以监管平台算法设置的歧视性,加强平台间的互通互联和数据开放。算法和模型如何造福于人类,即将进入一个争鸣、冲突、发展的时代。
三、应用分发平台——应用分发平台进入合规治理闭环
2020年另一件值得关注是操作系统和软件分发应用平台加入隐私保护移动生态系统之中。2020年工信部《纵深推进APP侵害用户权益专项整治行动》监管部门开始关注应用商店、分发平台对于个人信息保护的责任,包括关注应用商店是否欺骗误导用户下载APP和提供个人信息,以及应用分发平台上的APP信息是否明示到位的问题。除了应用商店外,带有分发功能的APP,各大官网甚至微信小程序等分发来源也被监管机构通报整治。
除了应用分发平台外,操作系统也开始自发地净化其隐私生态系统。例如苹果将于新一代操作系统iOS14,要求软件开发者们在其应用商店中加入隐私营养标签,描述其可能向用户收集或读取的数据种类。此外,苹果还提出禁用过去允许广告主默认读取的IDFA权限,引入模糊定位、相册读取范围等隐私保护措施强化用户对其个人数据的控制权和使用权。12月28日,作为国内隐私保护先行者的小米,重磅出台MIUI12.5操作系统,聚焦安全与隐私,给予用户更加彻底的知情权和控制权,在MIUI12.5中将新增智能剪切板隐私保护、文件沙盒机制、网页浏览隐私保护、位置信息隐私保护四大功能,加大力度捍卫用户数据权利。
四、数据治理——数据治理的十字路口
2020年年末,银保监会一口气开出8张针对银行监管标准化数据(EAST)系统数据质量及数据报送违法违规行为的罚单,国有六大行纷纷中招,加上两家股份行,八家银行共计被罚1770万元。虽然这是我国第一张因为数据治理质量不到位而作出的罚单,但数据治理在我国并不是一个新鲜的概念,早在2018年,中国银监会就发布了《银行业金融机构数据治理指引(征求意见稿)》,就相关数据治理问题,向全社会公开征求意见。2021年1月15日,银保监印发《中国银保监会监管数据安全管理办法(试行)》正式施行,至此银行业金融机构全面数据治理的大幕拉开。
2020年,《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》中正式将数据纳入生产要素范围,意见要求要充分发挥数据对其他要素效率的倍增作用,加强数据安全保护,为构建以数据为关键要素的数字经济保驾护航。一个科学的数据治理规范,不仅是安全隐私合规保护的制度保障,也是促进企业数据高效利用发挥数据价值或不可缺的前提条件。数据治理应当被纳入公司治理环节,将公司数据资产整合,从数据的收集、使用到删除的整个链条进行严格治理,从而从制度设计上成为实现数据价值利用和安全隐私合规的基石。
五、疫情相关个人信息保护——屋漏偏逢连夜雨,疫情暴露后被人肉搜索
2020年,新冠疫情成为了全世界最大的黑天鹅事件,这个世界措手不及,包括公共卫生事件有关的个人信息保护。因此,在疫情早期甚至到了2020年年末,疫情有关人员的个人信息及隐私还在被大量泄露、曝光及传播,严重侵害了相关人员的合法利益,造成了极其恶劣的社会影响。
稍微欣慰的是,监管、执法部门已经意识到疫情防控中个人信息保护的重要性。国家网信办在疫情防控初期即发布了《关于做好个人信息保护利用大数据支撑联防联控工作的通知》,四川等地近期也发布了相应的地方政策;此外,山东、上海、成都等地还启动了有关个人信息及隐私泄露案件的调查及处罚程序,但是案件透明度、精准性、处罚力度等方面,还是不尽如人意,没有起到很好的威慑作用,这也是导致类似事件频发的一个重要原因之一。
为了回应疫情防控与公民隐私保护期待之间的失衡,2021年1月24日,北京、上海等地已经开始在流调报告中“只提轨迹不提人”,不仅能让公众对涉及区域和场所一目了然,又不给“隐私变谈资”留可乘之机,避免了信息溢出可能招致的网络暴力和人身攻击。
此外,立法及标准制定部门也在总结本次疫情防控过程中的个人信息保护经验,逐步完善公共卫生事件应对中的个人信息保护规则,在《生物安全法》、《个人信息保护法(草案)》、《网络数据处理安全规范(征求意见稿)》、《信息安全技术个人信息告知同意指南(征求意见稿)》等均有体现。
来源:汇业特刊 | 中国网络与数据立法、执法之年度回顾与展望(2020-2021)
六、个人信息民事司法保护——扬帆起航开启新篇章
2020年通过的《民法典》和公布的《个人信息保护法(草案)》通过一系列规定强化了公民隐私权和个人信息的保护力度,将个人信息保护推向了一个新的高度,在此背景下,2020年涌现了一批又一批具有典型意义的个人信息保护案例。
2020年7月,北京互联网法院作出一审审判,认定抖音、微信读书两款APP均存在侵害用户个人信息的情形,将姓名、手机号码、社交关系、地理位置和微信好友关系以及未公开的读书记录认定为个人信息的范畴,在未经个人信息主体同意的情况下,收集、储存和使用主体个人信息构成侵权。这两案成为继《民法典》颁布后,首批体现民法典保护互联网公民个人信息的典型案件。2021年1月,天津一中院也发布了民事制裁非法商业行为促进公民个人信息保护的典型案例,在成都某实业公司与天津某科技公司买卖合同纠纷案中,涉案合同标的物为一款可以不经用户同意收集其手机MAC地址的“探针盒子”。根据个人信息保护的相关法律规定,不经自然人同意收集其个人信息违反法律规定,因此法院认定该涉案产品应被认定为违法产品,双方当事人买卖非法获取不特定人个人信息的产品,违反了法律的强制性规定,被认定为侵犯公民个人信息的违法行为,遂判决确认涉案合同均无效,并对原被告因出售涉案产品所取得的收入和库存产品予以收缴。除此之外,杭州互联网法院也进行了首例援引《民法典》为依据进行个人信息保护民事公益诉讼的宣判。
随着公民个人信息保护意识的增强,越来越多有关个人信息权益保护的案件在出现在司法视野中,虽然在过去的案例中,法院对于个人信息权益保护援引的法条仍为《网络安全法》或隐私权保护的相关法律。但随着今年1月1日《民法典》的正式生效,最高法及时增加了“个人信息保护纠纷”案由,并表示将尽快出台关于个人信息保护的司法解释。相信未来会有更多的个人信息维权事件发生,个人信息将能从立法、执法、司法的角度得到多维有效的保护。
另类盘点:2020年世界因隐私保护而发生了什么?
作者:李絁芩来源:那一片数据星辰

目录 2021 2.4 人脸识别——人面不知何处去?