近年来,随着大数据等技术的发展,人们的生活、工作中获得了更多的便利;但同时,随意收集、违法获取、过度使用、非法买卖个人信息的负面现象也日益严峻,个人信息保护成为公众非常关心的问题。
2021年8月20日,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》(以下简称“《个保法》”),于2021年11月1日起施行。
《个保法》作为我国首部个人信息保护方面的专门法律正式实施,明令禁止不得过度收集个人信息、大数据杀熟,同时对敏感个人信息的处理作出规制,完善个人信息保护投诉、举报工作机制等,明确了个人信息保护的监管职责,并设置了严格的法律责任,为个人信息保护提供了强有力的法律保障。
隐私泄露已经在国际层面被广泛关注
1、Facebook(脸书公司)曾宣布,将停止使用人脸识别系统,原因是公众对脸书公司使用这种技术的方式越来越担忧。
该系统可以自动识别发布在社交媒体的照片和视频当中人物的面部。超过三分之一的脸书每日活跃用户勾选了允许面部识别的设定,而最新决定现在将删除超过10亿人的面部识别数据。
2、Rekognition是亚马逊于2016年末推出的人脸识别系统,它作为亚马逊云业务的一部分,一直与政府合作,向后者提供安防服务。后在2018年,因为公众对于隐私问题的担忧而“上书”,被政府停止续约。
3、2018谷歌与美国国防部就Project Maven项目进行合作,向军方提供人工智能技术以分析无人机采集到的视频。该做法遭到了部分谷歌公司员工和学者们的强烈反对。数千名员工曾在一份请求谷歌取消该合作计划的请愿书上签名,并有数十名员工因此辞职。
4、2016年10月美国域名服务器管理服务供应商Dyn宣布,该公司在当地时间22日早上遭遇了DDoS(分布式拒绝服务)攻击,从而导致许多网站在美国东海岸地区宕机。
DDoS攻击是指分布式拒绝服务(DDoS)攻击,是通过大规模互联网流量淹没目标服务器或其周边基础设施,以破坏目标服务器、服务或网络正常流量的恶意行为。
常见的一种DDoS攻击就是利用IPC摄像头完成的。黑客们找到系统漏洞,控制大量的智能摄像机,形成大量独立IP的随机用户,对服务器、网站进行攻击。
安全专家指出,网络摄像头容易受到攻击。此前 Dyn DNS 服务遭遇的网络攻击中,许多设备都是这些智能摄像头。这些摄像头采用默认密码,很容易被猜出。攻击者可以破解登录信息,随后将设备加入到僵尸网络中。
来自多家厂商的硬件都卷入了其中,国内知名安防厂商雄迈的网络摄像头产品更是被指为该攻击中的主要设备,并在后续宣布对使用其集成电路板和其他元件的全部摄像头的召回。
个人信息保护的挑战
现在诸如高科技公司如何使用和共享数据、大街小巷的视频监控安防系统对隐私的影响,正在成为社会舆论焦点。更多严格的个人信息保护举措逐渐出台。
例如,2018年欧盟规定,全球所有的企业只要采集欧盟公民的用户数据,必须要遵守新的更加严格消费者数据保护规定,即《通用数据保护条例》(GDPR)。
我国最新出台的《个保法》与此前的《网络安全法》和《数据安全法》立法重点不同,更多聚焦于民事权利保护,为个人信息处理者设定了大量法律义务,更容易触发政府主管部门监管。同时,《个保法》在惩罚力度上比欧盟《通用数据保护条例》(GDPR)更为严格,有可能会成为处罚数额最高的执法领域之一。
企业合规需要实践合理边界
接下来,对处理公开个人信息之合理范围的判断可能成为实际事务中的重点。
《个保法》第二十八条对敏感个人信息进行了定义,该类信息一旦泄露或者非法使用,即容易导致自然人的人格尊严受到侵害或人身、财产安全受到危害。同时《个保法》第二十九条赋予了处理敏感个人信息应获得个人的单独同意的要求。
个人信息主体的明确拒绝和要求删除等行为可能是判断合理边界的重要依据。企业应从个人权益的影响角度做出评估,避免造成直接侵入性的隐私损害。
对于每日不间断收集、存储、使用、加工、传输巨量个人信息的各种企业、社会组织而言,需从价值观导入、制度建构和流程重塑达到业务合法合规要求。
设计出能够获取有价值的安防和商业智能产品和解决方案,同时还要匿名或脱敏保留这些信息加以利用,也将成为制造商们未来面临的挑战。