個人信息保護關系著每一個人的權益。3月3日的全國政協十三屆四次會議新聞發布會的消息顯示,《個人信息保護法》草案已經提請全國人大常委會審議。


《個人信息保護法》從最開始很多專家呼吁到推進到現在提請審議,可謂是“千呼萬喚始出來”,這也從側面說明了立法層面對個人信息保護的重要程度。那么,在個人信息保護方面哪些領域最需要通過立法解決?這幾年來我國信息安全領域發生了什么變化?對企業會產生何種影響?如何兼顧疫情防控民眾的知情權和民眾的個人隱私信息?人臉識別技術存在哪些風險以及如何理性應用?如何面對APP“偷窺”問題?3月7日晚間,新京報舉辦“2021兩會新京報經濟策之個人信息保護”論壇,邀請到了全國政協委員、北京金臺律師事務所主任皮劍龍,中國電子技術標準化研究院網安中心測評實驗室副主任何延哲,哈啰出行信息安全負責人、數據安全與合規專家薛勇,共同探討這一話題。 



何延哲:企業要綜合考慮多方面利益 提高民眾隱私保護素養


疫情防控突發事件,是對我們現有信息化建設的一場大考,同時也是對我國個人信息保護工作的一場大考,毋庸置疑我們做的總體上是好的。


從監管方面看,從2020年2月份開始,政府部門尤其是中央網信辦就出臺了一系列關于加強聯防聯控中個人信息保護的通知和要求,其實當時已經把隱私保護和我們的疫情防控工作同步推進。前幾年我們對個人信息保護的重視,包括政策、標準以及監管動作也有不斷加強。


從企業層面看,作為互聯網大國,健康碼可以說是我們的一個原創作品,這也體現了我們在應用創新方面的一些能力。健康碼通過不斷地更迭加強安全,也確實從技術層面把個人信息保護做得越來越好。而其中的幾次事件又透露出另外一個問題,就是民眾層面,我們在隱私保護的素養方面還需要加強,需要通過宣傳教育。這三個層面是相輔相成的。


人臉識別是近兩年比較火的新興技術,我們不應拒絕這種技術,但在個人信息保護意識覺醒的情況下,我們需要能夠兼顧安全和隱私保護,對人臉識別的技術在合理場景下逐步應用。人臉識別勢不可擋,但要讓這個技術在互聯網時代下長久、平穩地發展,希望有關部門給出明確的監管態度。如此一來,人臉識別可以走向一個真正的相對合理平衡發展的道路。


APP“偷聽”在技術上是可以實現的,但是偷聽這件事已經變成一個非常吃力不討好的事情,一旦被發現,法律成本非常高。而且偷聽行為既然在手機上發生,就不可能不留下任何證據。那為什么現在的廣告都這么精準呢?其實推送廣告已經是一個龐大的生態,依賴的是關聯分析的大數據。


我們要思考的是在大數據環境下,用戶如何對自己的數據有一定的掌控力。而這和企業的商業利益是矛盾的。企業應該開發什么樣的系統?需要企業把商業利益、社會效益以及用戶個人利益綜合起來考慮,否則類似偷聽、大數據殺熟的疑問會不斷地跳出來,去質疑你的商業模式,然后影響互聯網經濟的健康發展,影響著廣大網友的獲得感、安全感。


皮劍龍:兼顧疫情防控和個人隱私保護 應結合立法和網絡技術手段


目前我國關于公民個人信息保護的規定,分布于各類法律法規之中,過于繁雜、籠統,需要統一立法。針對個人信息保護的行政監管措施也有所缺位,沒有設立專門保護個人信息的機構,對個人信息受侵害的公民也缺乏完善的救濟機制,這些領域都需要立法來解決。


在技術進步背景下,有效開展疫情防控和保護個人隱私并不矛盾。疫情防護不是犧牲個人隱私的借口,保護患者隱私也是做好疫情防控工作、保護個人權利的一個重要任務。兼顧疫情防控和個人隱私保護應當結合立法和網絡技術等手段,在涉疫情信息的采集、保管,公布等各個環節加大監管力度,爭取每個步驟都能做到合法合規,有關部門也要樹牢法治意識。一旦發生信息泄露事件,應當依法徹查,嚴肅處理相關責任人,并及時向權利受到侵害的公民給予救濟。


人臉識別技術是雙刃劍,管理不好會帶來隱患。人臉識別領域存在一些問題,包括人臉識別數據存儲缺乏安全管理;人臉識別技術被濫用的趨勢越來越嚴重;行政監管體制不健全等。


建議加快制定和完善有關人臉識別數據管理的專門法律,對人臉識別的數據采集、存儲、使用加工等方面進行規范。應該遵循事前申請原則、數據監管原則、數據保密原則。此外,要強化行政監管機制,建立專門性的個人信息保護系統,自上而下形成一條從中央到地方相關政府機構對個人信息保護的網絡。建議完善行業自律的監管機制,引導行業對人臉識別進行規范。


APP侵犯個人隱私的偷窺行為是屬于違反民法典,違反消費者權益保護法的侵權行為,需要有關部門加以規制和約束。普通公民也應該提高自我信息保護的意識,從認識層面和行為層面,逐步建立起個人信息的自我保護系統,培養保護個人信息的習慣。具體來說,我們要養成不隨意透露個人信息的意識,在使用搜索等功能時,也要樹立安全意識,及時刪除網站瀏覽記錄。此外,在遇到侵犯個人信息情形時,及時通過投訴、舉報、提起訴訟、報警等來尋求幫助。


薛勇:信息安全團隊升到一級部門 企業內部算法和模型實時監控


去年年初疫情開始時候,作為出行企業,哈啰的很多業務難免會涉及人口流動,所以監管部門要拿到我們的用戶信息去識別感染的用戶或者潛在感染的用戶。但是這個過程中,必須嚴格遵守法律規定,處理和保護好個人信息。后來哈啰就提出了一套數據對外輸出合作解決方案。首先我們會核實身份,第二就是在對接方面,基本上我們是90%以上保證數據不落地,同時我們也采用了業界的一些加密技術手段。


此外,哈啰內部還會有一些實時監控,如果有人查詢相關數據,哈啰會有相關的算法和模型第一時間去評判風險,如果有問題會第一時間上傳到安全部門,然后采取相應的查驗和溝通。


從行業業務發展的角度看,人臉識別要比傳統輸密碼或者驗證碼便利。為什么人臉識別這么火,從長遠來看,就是因為便利性,所以立法很重要。未來,我們是否可以從技術上考慮,把當前采集到的人臉信息進行相應保護,從密碼功能轉為賬號功能,這樣能快速識別賬戶,同時安全問題大大降低。


哈啰出行收集的人臉信息存在服務器里,所有圖片都加密。用戶查詢時,身份不通過就查不到。圖片鏈接都是加密,司機注冊時,提供駕照、身份證圖片,哈啰出行都加了水印,即使轉發,也知道圖片來源。這些保護措施都比較通用,一般大企業基本沒有問題。


隨著監管越來越嚴格,行業越來越規范,我們基本可以保證大部分企業或者說比較有品牌的這些企業App是比較規范的。前些年確實有些技術合作的第三方SDK不規范地去采集了用戶在手機上的各種信息。2019年年終的時候,相關機構組織和編寫了App及SDK采集用戶信息的規范指南,明確提出了SDK方和App方負有同樣責任和義務,這兩年關于App和SDK的一些行業標準建設,哈啰也參與了進來。


除了立法和標準建設,監管單位以及行業內也逐步提供一些技術手段來檢測App和SDK是否有違規采集行為。哈啰去年年底也引進了這一套合規的檢測手段?,F在我們可以保證,每次在App迭代發布之前,我們都要進行一套檢測,如果存在違規,第一時間就會把風險暴露出來,整改完之后再發布上線,這是作為企業,我們在符合監管合規方面做到的事情。


新京報貝殼財經記者 孫文軒 陳維城 羅亦丹 編輯 陳莉