郭兵介绍,对于个人信息保护有一个基本共识——个人信息在遵循相关法规的前提下是可以合理利用的,同时也应该根据个人信息的敏感程度来做区分监管。
苹果怂了吗?
原定9月17日凌晨,苹果上线最新的移动操作系统iOS 14,这一版更新最为亮点的是将大幅提升用户隐私保护的力度。其中,最值得关注的两个更新,是关于IDFA(Identifier for Advertising,广告识别符)和剪切板,因为此举将深刻影响各大APP的商业模式。
但就在iOS 14原定更新日期前10天,苹果宣布将把关于广告识别符的更新推迟到明年,将其解释为“给开发人员足够的时间来做必要的改变”,但评论普遍认为这是受到利益相关公司的压力,由保护隐私引爆的商业博弈硝烟甚浓。
在国内,互联网领域的隐私保护也备受关注。近日创新工场董事长兼CEO李开复在一个公开场合提到,“我们早期帮助旷视科技寻找了合作伙伴,包括美图、蚂蚁金服,让他们拿到了大量的人脸数据,然后再帮助他们分析各个行业怎么切入。”李开复的发言短时间内将旷视科技和蚂蚁集团带入舆论风暴。目前,涉事三方均已紧急辟谣或道歉,但对于旷视这样的人脸识别技术企业来说,考验或许才刚刚开始。
当个人信息,一旦与商业、支付安全、财富挂钩,如果确保用户个人信息被合理安全地使用?如何解读苹果升级系统保护信息,随后又被押后延迟?人脸识别应用场景不断普及,有何信息安全隐患?9月17日,时代财经专访了浙江理工大学法政学院特聘副教授郭兵先生。
去年11月,郭兵作为消费者因不愿意使用人脸识别,将杭州野生动物世界告上了法庭,该案也成为国内“人脸识别第一案”。郭兵称,现在很多公司打卡、小区准入、游乐场所准入都采用人脸识别,这样的情形持续泛滥下去,隐患非常巨大。郭兵认为,手机号、姓名等信息可以更改,但面部特征信息无法更改。面部特征跟财产尤其是支付挂钩,一旦泄漏就隐患无穷。
郭兵表示,对于个人信息保护有一个基本共识,即个人信息在遵循相关法规的前提下可以合理利用,但同时应该根据个人信息的敏感度来做区分监管。对于收集面部特征信息的人脸识别相关技术,郭兵认为可以考虑纳入行政许可范围。“只有获得相应的许可才能从事或者提供相应的技术,这对刷脸场景的滥用能有一定的遏制作用。”
而对于苹果延迟更新广告识别符,郭兵坦言,苹果迭代系统目的是把个人信息的控制权和选择权更多地交给用户。但“苹果毕竟是一家上市企业,既要对用户负责,也要对股东负责。最终苹果会不会这么做,只能拭目以待。”
隐私保护中的商业博弈
时代财经:苹果日前宣布上线最新的移动操作系统iOS 14,声称将大幅提升用户隐私保护的力度。此举引发Facebook等通过追踪用户行为从而决定广告投放的公司对iOS 14签署功能的反对。随后苹果宣布推迟关于广告识别符的更新。你怎么看?
郭兵:苹果系统升级版本加强对用户隐私的保护,是平台自律的行为。苹果系统给人的印象就是对用户隐私保护相较其他系统更严格。苹果系统是封闭的操纵系统,如果它要提高用户数据安全,实施起来也相对容易。
至于个人信息保护,我认为,并非所有个人信息都要进行非常严格的保护。因为这对数字经济的发展不是好事情,可能也会给用户带来一定的不便。当下,无论在相对开放的美国,还是相对保守的欧洲,国际上都有共识——在遵循相关法规的前提下个人信息是可以合理利用的。
苹果的公司的升级措施,目的是把个人信息的控制权和选择权更多地交给用户,而不是交给应用平台。实际上,苹果公司不论在美国还是欧洲,由于其系统问题也曾面临很多行政处罚,在个人信息保护方面,苹果、谷歌、Facebook等都面临挑战。
这次升级涉及的利益相关方非常多,对苹果公司自身的利益也有一定的损害。苹果手机上面的应用程序很多是付费的,一旦采取严格的保护措施,势必影响到苹果公司的收益。
苹果毕竟是一家上市企业,既要对用户负责,也要对股东负责。所以,苹果推迟了关于隐私设置的更新到今年年底。如果因为升级迭代的一个措施,导致公司利益受到非常大的影响,苹果就会进一步去评估风险。最终苹果会不会这么做,只能拭目以待。
时代财经:如果苹果真那么做,是不是很多互联网公司要考虑调整商业模式?
郭兵:是的,苹果如果这样做肯定会使得很多公司在苹果应用场景下的开发成本大增。苹果的提示可能会让很多用户选择拒绝,对苹果系统上的APP应用而言利益就会受到极大影响,用户在使用时的体验可能也会受到一定影响。
很多应用是通过个性化的广告推送实现利益最大化的,因为有目的地把广告推送给相关的用户,用户更愿意点击,就会产生流量以及更大的广告收益。
一旦苹果把行踪的控制权完全交给用户时,精准化的广告推送会可直接受到影响。当然也有一些观点认为可能很多用户也不当一回事,就会选择同意。但相对于之前,肯定是会受到影响的。
应把人脸识别纳入行政许可范畴
时代财经:科技公司之间存在是否从脸部识别公司获取大量人脸数据用以分析行业切入或其他用途?
郭兵:针对使用人脸数据的问题,李开复、旷视、蚂蚁集团三方都做了澄清。
至于人脸数据到底会不会被挪用、被共享,我也有这方面的疑惑与担忧。以我起诉杭州野生动物世界的案件为例,动物园使用人脸识别技术时实现刷脸入园,必定引入第三方技术服务公司。但是动物园到底与哪家第三方技术公司合作、是否对人脸信息处理签署了相关保密协议等问题,对方至今都认为是商业秘密,不能透露。
值得一提的是,像动物园入园这样的线下刷脸场景以及APP或网络平台的线上刷脸场景,在隐私政策方面显然是存在明显差别的。线下的以商业秘密为由拒绝给消费者作任何说明。而APP还是会提供一个非常长的隐私政策,哪怕用户在使用时“被迫”点击同意。
所以我认为,李开复口误引爆的个人信息保护的话题,值得进一步去引发社会讨论,最终达成某种共识。
时代财经:在你研究过程中,有没有一些挪用个人信息的案例?
郭兵:传统行业在数字化转型过程中,对第三方技术公司非常依赖,这就导致第三方公司在为众多公司提供服务的过程中,有可能违反保密协议,挖掘用户的个人数据,用于其他的与服务不相关的事情。
第三方技术公司可能利用用户数据从事其他大数据的商业应用推送,甚至有些第三方技术公司的工作人员违反保密,私下盗取用户数据进行非法交易,将用户数据卖给其他有需求的个人或者公司。
目前不论在国内还是国外,都出现了用面部特征信息来从事违法犯罪活动的案例,如犯罪团伙把银行的人脸识别系统攻破,去谋取不正当的利益;国外有公司已经开发出用面部特征信息攻破支付系统。这些都表明人脸识别的安全形势是比较严峻的。
时代财经:政府监管部门是否有较为有效的手段确保用户数据不被滥用?
郭兵:现行的法律体系中,比较有针对性的监管依据是《网络安全法》,里面有一章是专门涉及个人信息保护的。但《网络安全法》也有不足,关于个人信息保护的规定并没有对个人信息作出具体区分,进而采取有区别化的监管措施。
《民法典》虽然对个人信息的类型进行了列举,也明确列举了生物识别信息,但在具体规定中并没有对生物识别信息等个人敏感信息做出特别规定。不论是《网络安全法》还是《民法典》,都是把生物识别信息作为个人信息来统一保护的。
事实上,在涉及到政府监管时,应该根据信息的敏感程度来做区分监管,而脸部数据应该是受到最严格的监管。指纹或身份证号码,在使用时还需要其他的认证方式,而脸部特征信息最容易实现认证。如果脸部信息遭非法收集或者泄露,危害性非常大。
现在很多公司打卡、小区进出、游乐场所准入都采用人脸识别,这样泛滥下去的话,隐患是非常巨大的。手机号和姓名都是可以更改的,但如果一旦面部特征信息泄露了就无法更改。面部特征跟财产、支付挂钩,一旦泄漏的话,隐患无穷。
现在学界有讨论,包括我在内不少学者建议人脸识别技术应当纳入到行政许可的范围,就是说企业在使用人脸识别技术采集用户或者消费者的面部特征信息的,是要经过事前许可的。这样能更有针对性进行监管,提高使用刷脸场景的门槛,不能让公司、小区、动物园、游乐园等都不受限制的使用人脸识别技术,这对刷脸场景的滥用能有一定的遏制作用。
需要指出的是,行政许可是事前监管,相对于事中、事后监管,其监管要求相对较高。若是把所有的涉及个人信息收集的场景都纳入到行政许可的范围是不现实的,对经济发展也是不利的。我比较赞同,只是把收集面部信息的人脸识别相关技术纳入行政许可范围。
三管齐下可促进隐私保护
时代财经:为用户提供便利以及侵犯用户隐私之间应该如何取得平衡?如何确保用户个人信息被合理安全地使用?
郭兵:针对在所有的网络平台场景如何在便利与保护隐私中取得平衡,现在法学理论中还没讨论出共识。
APP会提供隐私政策来让用户来全面的了解他们怎么保护隐私、怎么使用收集到的信息,但这些隐私政策会非常的长,一般的用户不可能去看。在平衡用户便利和用户隐私方面,作用非常的有限。
我认为,首先是强调像苹果公司这样的自律行为,鼓励企业在技术开发时设计相应的隐私保护功能。
第二,在监管方面加大处罚力度,大幅度提高侵害用户隐私行为的机构或者个人的违法成本。现行《网络安全法》的处罚力度是非常弱的。像欧美监管部门对互联网巨头的处罚动辄上十几亿甚至几十亿欧元或者美元。国内在这方面的处罚额度与欧美完全不在一个量级上。目前《个人信息保护法》(草案)正在制定,我了解到处罚力度相对于《网络安全法》处罚力度会提高。
此外,我国监管部门比较多,关于个人信息安全可能涉及网信、工信、公安、还有市场监管等部门。由于监管执法部门不统一,或导致即便处罚力度加大了,但依然存在监管不作为、不到位的现象。
在监管仍然乏力的情况下,应当鼓励或者推动公益诉讼,作为个人信息保护的补充手段。公益诉讼指的是像检察机关或者消费者权益保护协会这样的机构或社会组织,提出来的为了维护不特定的多数群体的诉讼。公益诉讼可以更好的去推动政府的监管以及敦促平台自律。