文 / 本刊記者 艾渺
3月2日,中國信息通信研究院以網絡直播的形式發佈《“互聯網+行業”個人信息保護研究報告》(以下簡稱《報告》)。該《報告》顯示,現階段,智能家居設備在收集、處理兒童個人信息方面尚未建立有效保護機制。
數據顯示,截至2019年6月,我國互聯網普及率達61.2%,手機網民規模達8.47億。然而,在各類“互聯網+”便民服務不斷創新發展過程中,用戶個人信息保護問題日益凸顯,個人信息洩露事件頻頻發生,過度收集、使用用戶個人信息亂象嚴重。
“互聯網+電子商務”個人信息保護風險加劇
《報告》指出,在網絡購物環境整體向好的同時,當前互聯網+電子商務環境下的個人信息保護仍面臨著諸多挑戰,例如網購信息洩露及相關電信詐騙事件時有發生,消費者風險防範和自我保護意識不強,電子商務灰黑產業鏈猖獗,嚴重危害網絡購物環境。
電子商務個人信息流轉鏈條長,數據保護難度大。電子商務活動屬於典型的多邊市場,參與方除了平臺之外,還包括賣家、買家、從事靈活就業的“網約工”、從事“零星小額”交易活動的主體、快遞物流服務提供商、第三方支付機構、為中小賣家提供服務的第三方軟件開發商、廣告媒體等。從個人信息保護的角度來看,數據流轉的鏈條越長,涉及的數據處理者越複雜,保護難度越大。當前電子商務活動中最容易發生數據洩露的是賣家訂單管理和快遞物流兩個環節。大型電子商務企業正在積極開展行動,例如阿里巴巴旗下的淘寶推出御城河計劃為中小賣家提供安全的數據環境,菜鳥聯合四通一達等快遞廠商推出可保護消費者隱私的電子面單。
精準推送引發的隱私保護擔憂備受關注。電子商務平臺基於大數據、人工智能等技術手段,對海量數據進行深度挖掘,從而更加了解自己的用戶以實現精準需求匹配。然而由於算法推薦模型越來越精準,導致諸如“竊聽用戶聊天進行精準推送”“根據用戶私密文字聊天內容進行精準推送”等輿情持續出現,反映出眾多消費者面對精準推送存在隱私保護擔憂。如何在精準匹配供需、提升產品透明度和呵護用戶安全感之間找到一個平衡面臨挑戰。
新零售業態深度收集、使用個人信息,全面保護面臨挑戰。新零售依託互聯網、大數據、人工智能等數字技術實現線上服務、線下體驗以及與現代物流的深度融合,其核心是以消費者為中心的會員、支付、庫存、服務等方面數據的全面打通。新零售業態高度依賴對用戶數據的深度收集和挖掘使用。例如,在商品的生產環節,可以基於對存量用戶數據的分析使用實現個性化定製、優化生產。在商品銷售環節,依賴生物識別數據實現無人貨架、智能收銀等業務服務。
然而新零售也帶來更復雜的個人信息保護挑戰。一是指紋、聲紋、人臉等生物識別特徵信息在帶來極簡的購物體驗的同時,也增加了個人敏感信息洩露風險。一些服務提供者對敏感數據安全保護意識不足,安全保障機制不到位。二是愈加智能便利的服務需要收集更全面、更高頻的用戶數據。如何在合理必要、知情同意的情況下收集和使用個人信息,如何控制複雜流轉鏈條的個人信息安全保障面臨難題。
現行制度設計與電子商務產業長鏈條屬性之間存在不協調。目前國內關於個人信息保護法律法規仍然依賴於個人信息收集使用的告知同意原則。這樣的制度設計有利於保證用戶對個人信息收集使用的知情權和選擇權,但是僅依賴告知同意原則,無法為個人信息主體提供充分的保護。此外,當下國內個人信息保護法律法規缺乏對個人信息委託處理的制度設計。大量的客服外包、第三方軟件開發商(ISV)、快遞物流以及提供數據服務的軟件開發包(SDK)等受委託處理個人信息的主體的數據安全責任落實仍處於灰色地帶。另外,電子商務因為具體商品和服務類型的不同,可能會涉及多行業監管問題,電子商務個人信息保護的多頭監管、灰色地帶無人監管等問題有待制度保障。
“互聯網+醫療健康”個人信息保護難度大
《報告》指出,如今醫療健康個人信息洩露事件頻發。醫療健康個人信息具有高度的人身指向性和敏感性,商業利用和社會公共管理價值極高,因此也成為網絡黑產的重要需求點。目前,由於醫療系統存在的系統漏洞、敏感端口訪問權限不明等安全問題,會給未授權訪問和黑客入侵滲透帶來極大的便利,從而增加醫療數據的安全風險。
醫療健康信息基礎設施安全保障仍需不斷提升。《報告》認為,目前我國醫療機構在“互聯網+醫療健康”政策的大力推動下,加快了信息化建設,尤其是健康服務平臺、大數據中心、診療系統等基礎設施的建設。在性質上,醫療信息基礎設施具有很強的公共性,其屬於《網絡安全法》第三十一條規定的關鍵信息基礎設施,是國家的重要戰略資源,也是網絡安全和數據安全的重中之重。但由於我國《關鍵信息基礎設施安全保護條例》尚未出臺,而目前醫院的信息化建設除了數據備份不足、運營管理不規範、複合型首席信息官人才緊缺等問題之外,還面臨著數據合規上的不確定性,在網絡安全等級保護以及數據安全管理層面尚需完善相關合規指引,配套制度規範的出臺將有助於綜合提升醫療信息基礎設施保護的規範化水平。
新型智能醫療設備和應用軟件存在安全風險隱患。隨著智能醫療設備製造技術的進步,可穿戴醫療設備產業迎來爆發式增長,其具有操作簡單、成本低廉等優勢,能夠大大降低慢性病、職業病的治療時間成本。但是,智能醫療設備,如可以檢測心率和睡眠狀況的手環、便攜式血壓儀、智能體溫檢測儀等,在收集使用個人信息的同時,也存在一定的安全隱患。線上醫療、健康管理等智能終端APP存在安全隱患,過度索權、超範圍收集使用個人信息、未經同意向第三方轉移、過度推薦精準醫療定向廣告等問題仍然存在。
部分類型智能家居設備存在隱蔽收集個人信息風險
《報告》認為,智能音箱、智能電視、智能控制網關等眾多智能家居設備均配備了語音助手,為用戶提供基於語音控制的個性化服務,然而在實現語音喚醒的過程中,也存在著誤觸發洩露隱私的安全風險。智能攝像頭也同樣存在著被誤打開進而洩露個人信息的風險。
此外,智能家居設備全面符合個人信息保護原則存在難題。按照現行國內個人信息保護法律規定,收集、使用個人信息前,產品需要公開收集、使用規則,明示收集、使用信息的目的、方式和範圍,並經被收集者同意。在移動互聯網領域,智能終端以及APP多通過《隱私政策》對用戶進行規則告知,然而在互聯網+智能家居領域,智能家居設備多種多樣,眾多設備並沒有屏幕,亦沒有語音交互功能,只能通過紙質實體說明書等方式對用戶進行告知,難以獲得用戶的明示同意。
為了進一步加強個人信息保護,部分標準文件明確提出當數據的收集範圍、使用目的等有變化的時候,需要告知用戶並重新獲得同意,這對於互聯網+智能家居產業也是個巨大的挑戰。在此情況下,首次使用尚且可以通過說明書實現告知,但是當收集、使用範圍發生變化時如何再告知用戶同意將存在困難。
智能家居設備品類多樣,需要收集、處理大量數據,目前尚沒有明確的法律或標準確定智能家居設備收集、使用個人信息規則,在實踐中也較難判斷是否符合最小必要原則。例如智能電飯煲收集地理位置看似並沒有正當理由,但是部分地區由於海拔原因,電飯煲的煮飯壓力設置直接影響飯的生熟,通過收集地理位置信息可以獲得電飯煲所在地的海拔信息,進而智能化調整壓力,為用戶煮飯帶來更優良的品質和體驗。
兒童個人信息保護需要加強關注。2019年5月,亞馬遜智能音箱Echo被指不恰當地記錄和保存了年輕用戶的對話,侵犯兒童隱私。在互聯網+智能家居場景中,包括兒童在內的家庭多人共用或共享模式十分常見。然而,兒童對其個人信息保護的理解往往並不充分,對敏感個人信息的範圍以及個人信息共享的風險後果難以建立有效認知。因此,在收集兒童個人信息之前,應當獲得其父母或監護人的同意。然而現階段智能家居設備在收集、處理兒童個人信息方面尚未建立有效保護機制,大部分產品尚未考慮如何獲得父母或監護人的同意,以及區別對待兒童個人信息的收集和使用。
網約車功能逐漸豐富,增量個人信息保護面臨挑戰
目前部分網約車服務除了能夠提供專車、快車、出租車服務外,還能夠提供租車、代駕、豪華車等汽車相關服務,部分網約車平臺還為用戶提供了貸款、保險、辦理手機號碼、汽車維修、金融理財等多樣化的服務,用戶在使用這些服務的過程中提供了大量個人信息,包括身份和鑑權信息、財產信息、位置信息等。附加功能的多樣化必然會收集更加多樣的用戶個人信息,面對如此龐大的個人信息體量,在個人信息全生命週期保護過程中存在風險隱患。
保障網約車乘車過程中的人身財產和行車安全是網約車服務的關鍵前提。近兩年,網約車平臺企業對於安全愈發重視,除了網約車運營過程中涉及的必須信息,網約車平臺為了強化安全保障,陸續推出行車錄音、視頻記錄等安防措施,在保障安全的同時,也收集了更多司乘個人信息。乘客一方面擔心因過多提供個人信息而導致信息洩露,另一方面顧慮因為不提供身份信息、乘車記錄信息等個人信息而難以實現乘車過程的安全保障,兩者間難以有效平衡,如何在保障人身財產安全的前提下,滿足用戶對於個人信息保護的合理訴求面臨挑戰。
《報告》認為,網約車作為利用互聯網平臺技術實現運載服務的新業態,在管理中涉及到交通、公安、工信、網信等主管部門,在國家法律和各主管部門法律法規中很多涉及到個人信息保護內容,如何達到跨行業協同全面的監管合規面臨挑戰。2018年,由交通運輸部牽頭,聯合中央宣傳部、中央政法委、中央網信辦、國家發展改革委、工業和信息化部、公安部等部門,建立交通運輸新業態協同監管部際聯席會議制度。聯席會議成立後,對八家網約車平臺企業進行進駐式檢查,個人信息安全保護作為檢查的重點之一,在此工作基礎上,業界普遍期待能夠滿足各方監管要求的網約車個人信息保護政策標準能夠出臺。
閱讀更多 中國對外貿易雜誌 的文章
