“照片被人亂傳播說我得了新冠,這玩笑能隨便開嗎?”湖南女生小瑤因為個人隱私被洩露盜用,相當困擾。
12月8日,四川成都公布新增3名本土確診病例軌跡,其中一名20歲病例趙某因曾踏足4間酒吧,引發了網絡討論。與趙某沒有任何關係的小瑤,因為個人隱私被洩露盜用,無端卷入事件。一張身穿白裙、坐在車內的女性照片被傳言系趙某,在多個視頻平台傳開。該照片當事人小瑤辟謠稱,其不是成都人,網上被熱傳和盜用的照片實際上是她今年4月在三亞拍攝的藝術照。在發現個人照片被盜用後,12月8日中午,她在個人微博發布辟謠。
個人信息洩露、被濫用、盜用並不是新鮮話題,中國裁判文書網的檢索數據顯示,含關鍵詞的“隱私權”的判例有1620篇,含關鍵詞的“個人信息保護”和“個人信息安全”的判例分別有431篇和570篇,而引用2013年頒布的《電信和互聯網用戶個人信息保護規定》和2018年頒布的《信息安全技術個人信息安全規範》的判例分布有49篇和8篇。雖然與洩露個人隱私有關的判例和報導很多,但從數據可以看出,與互聯網有關的個人信息保護法律法規的應用仍在起步階段。
值得欣喜的是,今年頒布的民法典,在過往經驗的基礎上,進一步豐富了個人信息保護的相關規則。民法典提供了原則性的保護規定,更具體的管理法規,其實也不遙遠。根據全國人大消息,我國將制定個人信息保護法和數據安全法。
人臉識別技術引發個人隱私焦慮
上個月,濟南一男子為躲避售樓處人臉識別系統而戴頭盔看房的短視頻在網上流傳;幾天前,東莞部分公廁推出的“人臉識別供紙機”,更是引發了廣大網友對於人臉識別安全性的討論。
連日來,有關個人隱私的新聞層出不窮,社會各界再度聚焦個人信息安全問題。一方面,隨著現代科技的進步,互聯網的發展為我們的生活帶來了諸多便利。另一方面,頻頻被曝的信息洩露問題,也在不斷地挑動大眾的神經。
在近年來舉行的各類高新技術展會上,人臉識別的應用一直是熱門話題。
11月11日至15日舉行的第22屆高交會上,一家來自重慶的智能技術研究院推出基於人工輔助驗證智慧安保系統的“機場全景智能系統”,人臉識別正是這套系統的核心技術之一。一臉查詢、刷臉登記……借助“跨鏡人像搜索”功能,這套系統可以動態監測人臉,做到精準匹配。
而11月底在廣州舉行的2020世界5G大會上,同樣有不少基於人臉識別技術的新產品亮相。一家科技企業便表示,“將人臉特徵作為身份識別的依據,並以此為基礎借助視頻技術、大數據、深度學習技術等,實現人臉布控、人臉門禁、人臉消費、人臉訪客、人臉考勤簽到、人臉梯控,助力企事業部門日常管理的信息化和身份識別統一化。”
事實上,基於人臉識別的各類解決方案已經深度嵌入到人們的生活中:小區或公司門口的刷臉閘機、便利店的刷臉支付以及人們早已習慣的手機刷臉解鎖……
業內人士介紹說,我國人臉識別技術在2017年至2018年進入普及階段。
新技術在帶來便利的同時,自然也有人質疑:隱私安全怎麽辦?
以上述“機場全景智能系統”為例,在高交會現場,該研究院有關工作人員就透露,利用一“臉”查詢,後台可對旅客的表情、年齡、性別、停留時長等屬性進行分析和統計,為機場商業體的業態分析、精準行銷、廣告投放等提供數據支持。
也就是說,通過人臉識別系統獲取的個人隱私信息將被用於商業行為,而旅客極有可能對此並不知情。
作為不可複製替換的個人信息元素,面部信息一旦被竊取或洩露,其風險不言而喻,而這種弊端正日益凸顯:2020年7月,“人臉信息五毛一份在電商平台打包出售”被曝光,不少網絡黑產從業者以此批量倒賣非法獲取的人臉等身份信息,從事虛假注冊、電信網絡詐騙等違法犯罪活動。
究其原因,當這一技術成本降低,日漸普及,不少組織機構無論是否正當、有無必要,一味追求成本低廉和采集便利,無限制使用人臉識別身份認證;數據公司為拓展業務和增收盈利,不斷推廣普及采集技術,也為人臉信息安全埋下了隱患。而他們在享受“技術紅利”的同時,卻並不都具備相關風險抵禦能力,或者對可能存在的隱私風險置若罔聞。
國內已通報300多款APP隱私處理不當
事實上,近年來,有不少企業因為用戶隱私處理不當而被相關部門處以重罰,其中又以APP侵權最為常見。
早在2018年,小紅書就因涉嫌侵犯用戶個人隱私權,被上海市嘉定區市場監督管理局判處罰款人民幣5萬元。
自2018年三季度開始,工信部發布的季度電信服務質量報告新增了互聯網企業用戶個人信息保護檢查結果,未公示用戶個人信息收集使用規則、未告知查詢更新信息的渠道、未提供账號注銷服務等問題都在工信部通報內,APP隱私治理也被納入監管範圍,截至今年11月底,工信部已完成44萬款APP的技術檢測工作,責令1336款違規APP進行整改,公開通報377款整改不到位的APP,下架94款拒不整改的APP。在最新的通報中,工信部還表示將推動個人信息保護行業標準、國家標準的建立以及《電信和互聯網用戶個人信息保護規定》的修訂工作。
除了互聯網領域,一些金融、保險機構也因違規使用個人信息而受罰。
今年8月,交通銀行信用卡中心、招商銀行信用卡中心分別被上海銀保監局處以100萬元的罰款,其中一項重要原因為違規洩露客戶個人信息。
歐美重罰,知名企業未能幸免
放眼全球,一些世界知名企業亦未能幸免。
2015年,美國伊利諾伊州的一起集體訴訟案指控Facebook在未經許可的情況下,利用用戶的照片獲取面部數據,用於“標簽建議”功能,最終以Facebook支付6.5億美元(約43億元人民幣)和解金告終。
2019年,法國數據保護監管機構對谷歌處以5000萬歐元(大約5700萬美元)的巨額罰款,原因是谷歌違反了歐盟《通用數據保護條例》,在用戶個人數據的收集和使用上存在非法行為。
2018年,萬豪國際酒店集團旗下喜達屋酒店3.39億客人信息洩露事件曾引發轟動。由於未能采取有效措施保護個人數據,2020年11月,英國信息專員辦公室ICO對萬豪開出1840萬英鎊(大約人民幣1.6億元)的罰款。
我國對於隱私權的法律保護起步較晚
法律要追求的目標之一是社會穩定,讓公眾形成合理的預期,因此,當在制定某個法律的時候,立法者能預測的情況總是有限的。
隱私洩露問題的日益嚴重,與互聯網、大數據等技術的發展indivisible。受限於立法時的客觀情況,整體來看,我國對於隱私權的法律保護起步較晚。
比如,我國在制定《民法通則》時,並沒明確規定“隱私權”保護,僅對公民的人身權、財產權提供保護。
直到2001年3月10日起施行的《關於確定民事侵權精神損害賠償責任若乾問題的解釋》的第一條規定,違反社會公共利益、社會公德侵害他人隱私或者其他人格利益,起訴要求賠償的,法院應當依法受理,才第一次明確肯定了在違反公共利益的前提下,法律對隱私權的保護。
而關於個人信息保護的條款,則散見於消費者權益保護法、網絡安全法、刑法等法律中,沒有形成體系。
《民法典》已有規定未來更細化
值得欣喜的是,今年頒布的民法典,在過往經驗的基礎上,進一步豐富了個人信息保護的相關規則。
民法典中的人格權篇,不僅單獨成章規定了隱私權和個人信息保護,還對隱私和個人信息作出了明確區分。
其中,隱私是自然人的私人生活安寧和不願為他人知曉的私密空間、私密活動、私密信息。個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。
民法典還指出,處理個人信息,要征得該自然人或者其監護人同意。雖然民法典隻提供了原則性的保護規定,但更具體的管理法規,其實也不遙遠。根據全國人大消息,我國將制定個人信息保護法和數據安全法。
這兩部法律的頒布,將進一步完善我國隱私和個人信息保護的法律體系。同時,司法實踐中,“人臉識別第一案”等司法判例的湧現,也將不斷明確個人信息保護的邊界,回應新時代的司法需求。
立法是不斷完善的過程。個人隱私洩露、人臉識別等法律關係複雜的新技術的管理,大數據下個人信息的有效保護等問題,未來有望在這兩部法律中得到進一步解決。
涉隱私權典型判例
1
收集利用上網信息:默示即同意?
2014年,朱女士狀告百度利用cookie收集個人信息用於投放廣告,被稱為“cookie隱私第一案”。cookie技術的原理是通過對瀏覽記錄的分析,提供個性化推薦。在此案中,南京市中級人民法院引用2012年發布的國家標準化指導性技術文件《信息安全技術公共及商用服務信息系統個人信息保護指南》為參考,認為對於非個人敏感信息,在完成說明義務、提供退出機制的前提下,允許默示的知情同意模式。2018年,百度董事長兼CEO李彥宏在中國發展高層論壇上的發言稱“中國用戶對隱私問題沒有那麽敏感”,願以隱私換效率——這一言論就在社會輿論中引發軒然大波。
今年不久前公開征求意見的《個人信息保護法草案》對敏感個人信息的界定為:“敏感個人信息是一旦洩露或者非法使用,可能導致個人受到歧視或者人身、財產安全受到嚴重危害的個人信息,包括種族、民族、宗教信仰、個人生物特徵、醫療健康、金融账戶、個人行蹤等信息。”此前,在我國民法中有私密信息與非私密信息的區分,但瀏覽記錄、社交關係、地理位置等信息如何界定在司法實踐中仍存在爭議,社會公眾的認知、對自然人財產權益、人格尊嚴的影響都在考量內。
2
信息遭公開:責令刪除並賠償
2016年,徐航程發現奇虎公司的好搜、360網頁快照服務網站,及法易公司的法易網收錄了其家庭住址、居民身份號碼等信息登載在網站後,要求法易公司、奇虎公司刪除相關信息,法易公司、奇虎公司已分別根據徐航程的要求,將相應鏈接及時予以刪除。法院判決指出,酌情確定法易公司支付徐航程損失1000元。但不足以認定造成嚴重的後果,不予支持精神損害賠償。
中國裁判文書網於2015年發布的一項判決書顯示,中國太平洋保險公司曾因非法獲取個人信息進行商業推銷,而被要求向受害人賠禮道歉並支付精神損失費,這是為數不多的支持精神損失費的判決。
3
公開信息也不能隨意轉載
2017年,貝爾塔公司將中國裁判文書網上發布民事判決書和法院送達判決的公告文書,轉載至啟信寶網站,伊某系上述文書的案件當事人,上述法律文書分別記述了伊某涉及的四起糾紛情況。貝爾塔公司轉載上述文書時,未獲得中國裁判文書網和人民法院公告網主辦部門的授權,亦未征詢伊某的意見。鑒於貝爾塔公司侵權行為涉及的是原已合法公開的信息,法院判決貝爾塔公司向伊某賠償人民幣8000元並承擔主要訟費。
4
信息洩露遭詐騙:舉證困難,還須自身警惕
電信詐騙屢見報端,那遭遇電信詐騙,能否起訴平台的信息洩露責任呢?
在某些情況下是可以的,如周某訴廣東某電子商務有限公司一案中,由於該公司將個人信息一並打包給供應商、快遞公司等第三方,導致周某遭遇“售後退款”類型的詐騙,法院判決該公司承擔責任,但同時,周某作為消費者沒有起到小心謹慎的注意義務,將收到的動態密碼發送給“售後”,以至於账戶內的金額被轉走,其自身也存在過錯,判決中減輕了電子商務公司的承擔。
更多的判決,則存在原告無法舉證電子商務公司責任的問題,在謝某與某商務有限公司網絡侵權責任糾紛一案中,法院判決稱,該案警察機關尚未偵破,因此無法查明詐騙犯罪人通過何種途徑獲得原告在被告網絡平台購物所留的個人信息,雖然原告主張被告網絡平台存在漏洞,但無有效證據證明該事實,沒有支持原告的訴求。
5
違規出售個人信息公訴入刑
2016年6月至2017年6月,蘇州某公司非法出售趕集網的求職者簡歷信息共計5萬餘條,違法所得5萬餘元,非法出售簡歷账號130余個,對應的簡歷信息為75餘萬條,違法所得15萬餘元。公司涉案人員獲刑。
資料來源:中國裁判文書網、工信部網站、封面新聞、紅星新聞、21世紀經濟報導、央視新聞
【記者】辜繼漫 卞德龍 尚黎陽 實習生劉宇榮
【本期策劃】王勇幸
香港九龍灣馬來街興發大廈15樓D室