核心閱讀
智能網(wǎng)聯(lián)汽車、智能家居��、AI攝像頭等智能設(shè)備走進人們?nèi)粘I睿趲肀憬莸耐瑫r��,也造成信息安全隱患�。促進智能產(chǎn)業(yè)健康發(fā)展,需要在數(shù)據(jù)利用和保護中找到平衡點��,廓清信息收集邊界�,增強用戶權(quán)益保護意識,營造良好數(shù)字生態(tài)�����。
打開某些智能音箱����,在用戶不知情的狀態(tài)下���,敏感信息被持續(xù)監(jiān)聽���;走進某些商鋪,智能攝像頭在未告知的情況下��,悄悄采集人臉信息……近年來�,智能設(shè)備日益普及��,在方便人們?nèi)粘I畹耐瑫r���,信息安全問題也日益凸顯。
智能設(shè)備采集個人信息越來越普遍
前段時間����,江蘇張家港市場監(jiān)管局對轄區(qū)內(nèi)商戶進行專項排查后,發(fā)現(xiàn)一些商家在未經(jīng)消費者同意的情況下���,擅自采集人臉信息用于營銷分析���,帶來了個人信息泄露的新風(fēng)險。依照《信息安全技術(shù) 個人信息安全規(guī)范》���,人臉信息屬于個人生物識別信息���,收集時應(yīng)獲得個人信息主體的授權(quán)同意。最終�����,執(zhí)法人員依法拔除人臉識別相機網(wǎng)絡(luò)數(shù)據(jù)傳輸接口線�,設(shè)備立即停止使用�����。
不僅是智能攝像頭���,近年來,智能設(shè)備遭遇入侵��、用戶隱私數(shù)據(jù)泄露等事件出現(xiàn)����,對智能產(chǎn)品的生態(tài)安全形成挑戰(zhàn)。中國信息通信研究院泰爾實驗室此前對多個智能音箱設(shè)備進行抽樣檢測和分析����,結(jié)果顯示,部分產(chǎn)品可基于獲取的權(quán)限通過不同方式對用戶進行竊聽��,存在安全風(fēng)險�。
“隨著移動互聯(lián)網(wǎng)的迅速發(fā)展�,智能終端產(chǎn)品不斷升級。一些智能設(shè)備收集了包括位置���、音頻等在內(nèi)的大量用戶信息������!敝袊畔⑼ㄐ叛芯吭禾枌嶒炇抑魅螌幦A介紹,從近年來出現(xiàn)的情況看���,主要存在以下安全風(fēng)險:
一方面��,在用戶不知情的情況下��,過度收集和使用個人信息�������!耙恍┲悄茉O(shè)備并未通過隱私政策或其他途徑明確告知用戶收集使用信息的目的�、方式�、范圍和頻次,也未向用戶提供明確的允許和拒絕的選項��������!睂幦A說����,這種累積性的權(quán)益侵害如果出現(xiàn)在日常生活中,將引發(fā)用戶擔(dān)憂��。
另一方面��,在收集處理個人信息時��,規(guī)則較為模糊���。寧華提出���,一些智能終端可同時接入更多設(shè)備,當(dāng)用戶和其中一款智能終端語音交互時����,倘若在其隱私聲明中,沒有明示聲紋���、指紋等敏感信息存儲、轉(zhuǎn)移和二次加工等方面的妥善處理方式����,一旦數(shù)據(jù)泄露���,會造成廣泛的惡劣影響。
信息處理行為應(yīng)遵循知情同意和最小必要原則
寧華分析��,智能設(shè)備與用戶緊密綁定��,設(shè)備上的數(shù)據(jù)密切反映了用戶的行為特征�,疊加與之配套的APP交叉驗證,呈現(xiàn)出較高的商業(yè)價值�����,不少商家鋌而走險�、違規(guī)使用。
“一些違規(guī)收集個人信息的行為存在技術(shù)復(fù)雜��、隱匿性強�、感知性弱等問題,難以追根溯源����,再加上很多人個人信息保護意識不夠,從而產(chǎn)生侵害用戶權(quán)益的問題��!敝袊嗣翊髮W(xué)公共管理學(xué)院教授馬亮說��。
在馬亮看來�,種種侵害用戶權(quán)益行為不僅使個人信息面臨過度采集、濫用等問題�,增加了因信息泄露而危害人身財產(chǎn)安全的社會風(fēng)險。從長遠(yuǎn)看�,還將影響消費者對移動互聯(lián)網(wǎng)等應(yīng)用場景的信任,使數(shù)字經(jīng)濟發(fā)展面臨挑戰(zhàn)���。
應(yīng)該看到��,近年來隨著用戶權(quán)益保護意識不斷增強��,對智能設(shè)備的治理網(wǎng)絡(luò)也在越織越密����。
2013年4月��,工信部印發(fā)《規(guī)范互聯(lián)網(wǎng)信息服務(wù)市場秩序若干規(guī)定》�,明確提出生產(chǎn)企業(yè)不得在移動智能終端中預(yù)置未向用戶明示并經(jīng)用戶同意,擅自收集����、修改用戶個人信息的應(yīng)用軟件�����;2016年12月,《移動智能終端應(yīng)用軟件預(yù)置和分發(fā)管理暫行規(guī)定》出臺��,再次明確未經(jīng)明示且經(jīng)用戶同意���,不得實施收集使用用戶個人信息��、開啟應(yīng)用軟件等侵害用戶合法權(quán)益或危害網(wǎng)絡(luò)安全的行為�。
今年5月以來����,中央網(wǎng)信辦會同工信部、公安部���、市場監(jiān)管總局推進攝像頭偷窺等黑產(chǎn)集中治理工作��,對非法利用攝像頭偷窺個人隱私畫面���、交易隱私視頻、傳授偷窺偷拍技術(shù)等侵害公民個人隱私行為進行集中治理。
針對智能網(wǎng)聯(lián)汽車的網(wǎng)絡(luò)安全問題����,前不久,國家網(wǎng)信辦�����、國家發(fā)改委���、工信部等五部門發(fā)布《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》����,明確提出利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)開展汽車數(shù)據(jù)處理活動�,應(yīng)當(dāng)落實網(wǎng)絡(luò)安全等級保護等制度,加強汽車數(shù)據(jù)保護��,依法履行數(shù)據(jù)安全義務(wù)����。
“一系列法律法規(guī)明晰了智能設(shè)備等終端生產(chǎn)企業(yè)和互聯(lián)網(wǎng)信息服務(wù)提供者的信息處理行為應(yīng)遵循‘知情同意’和‘最小必要’兩項個人信息保護基本原則����!睂幦A說���,與此同時,智能設(shè)備系列行業(yè)標(biāo)準(zhǔn)結(jié)合具體應(yīng)用場景���,細(xì)化了“知情同意”“最小必要”的認(rèn)定標(biāo)準(zhǔn)���,進一步廓清了信息收集正當(dāng)與不正當(dāng)���、適當(dāng)與過度之間的邊界����。
既要利用好���,也要保護好����,促進智能產(chǎn)業(yè)健康發(fā)展
隨著人工智能�����、大數(shù)據(jù)等新一代信息技術(shù)的發(fā)展���,聲音�、人臉等生物特征信息相對唯一且不可變更,成為高度敏感的個人信息�����。如何在利用和保護中找到平衡點�����,成為促進智能產(chǎn)業(yè)可持續(xù)發(fā)展的關(guān)鍵�����。
“在使用人臉識別技術(shù)進行人臉驗證����、辨識或分析過程中,要充分保障用戶的知情權(quán)����!睂幦A解釋�����,一方面,智能設(shè)備提供者要公開處理聲音�、人臉信息的規(guī)則,明示處理的目的����、方式、范圍�,明示共享、轉(zhuǎn)讓的第三方��;另一方面����,對人臉等信息的處理�����,不能帶有任何強迫因素�,不應(yīng)以“與其他授權(quán)捆綁”“不點擊同意就不提供服務(wù)”等方式索取非服務(wù)所必需的生物信息。
“目前對相關(guān)企業(yè)的監(jiān)管仍以事后懲戒為主�,加強事前審批和事中監(jiān)管,將更好推動企業(yè)合規(guī)運營���,促進形成個人信息保護的社會氛圍�。”馬亮說��,要明確智能終端在采集數(shù)據(jù)時應(yīng)盡的義務(wù)和需要承擔(dān)的法律責(zé)任�。政府部門可以委托第三方機構(gòu)對智能終端采集個人信息的資質(zhì)和保護個人信息的能力進行評估和審查,設(shè)立進入門檻并定期評估���,一旦違規(guī)就應(yīng)禁止采集��。同時���,要求企業(yè)明確個人信息的使用去向和范圍,強化非必要不采集���、最小化采集��、采集即負(fù)責(zé)等基本原則����,對濫用個人信息的企業(yè)進行重罰����。
據(jù)了解,為切實保障消費者權(quán)益�,工業(yè)和信息化部通過進網(wǎng)檢測�、專項整治��、抽測抽查等方式�,已對接入公用電信網(wǎng)的智能設(shè)備開展事前、事中����、事后的閉環(huán)監(jiān)管,同時指導(dǎo)相關(guān)協(xié)會深入開展技術(shù)研究�、標(biāo)準(zhǔn)制定和行業(yè)自律工作,為行業(yè)提供規(guī)范參考����。專家表示,相較于手機APP���,智能設(shè)備違規(guī)收集個人信息的現(xiàn)象更加復(fù)雜、更為隱蔽�����,在哪里是合理邊界�����、違規(guī)如何界定等方面都還需進一步探索,深入開展研究���,形成行業(yè)共識�����。
工信部要求
建立個人信息保護“雙清單”(鏈接)
本報北京11月1日電 (記者韓鑫)工業(yè)和信息化部近日印發(fā)通知�����,部署開展信息通信服務(wù)感知提升行動����,將聚焦影響用戶感知的信息通信服務(wù)環(huán)節(jié)����,同時建立個人信息保護清單。
通知提出��,在隱私政策和權(quán)限調(diào)用方面�,互聯(lián)網(wǎng)企業(yè)應(yīng)以簡潔、清晰�����、易懂的方式,向用戶提供APP產(chǎn)品隱私政策摘要�����;涉及調(diào)用用戶終端中相冊����、通訊錄、位置等敏感權(quán)限的��,還應(yīng)當(dāng)以適當(dāng)方式告知用戶調(diào)用該權(quán)限的目的�����。
按照通知���,即日起將建立個人信息保護“雙清單”�����。各相關(guān)企業(yè)應(yīng)建立已收集個人信息清單和與第三方共享個人信息清單,并在APP二級菜單中展示���,方便用戶查詢�����。與第三方共享個人信息清單應(yīng)簡潔�、清晰列出APP與第三方共享的用戶個人信息基本情況。
在個人信息保護法實施之際��,中國互聯(lián)網(wǎng)協(xié)會向互聯(lián)網(wǎng)業(yè)界發(fā)出五項倡議����。倡議提出,互聯(lián)網(wǎng)企業(yè)應(yīng)嚴(yán)格遵守法律規(guī)定��,貫徹落實法律要求���。處理個人信息應(yīng)堅持合法�、正當(dāng)�、必要和誠信原則,遵循個人信息處理規(guī)則及個人信息跨境提供規(guī)則��。其次����,建立健全管理制度��,承擔(dān)信息保護責(zé)任�����。制定處理個人信息的內(nèi)部管理制度和操作規(guī)程����,組織實施個人信息安全事件應(yīng)急預(yù)案�,保障個人信息安全,維護個人權(quán)利��。
《 人民日報 》( 2021年11月02日 13 版)
