個人隱私泄露問題頻發 誰來保護用戶的個人信息安全

一年一度的央視“3·15”晚會落下帷幕，個人信息的安全問題再次受到關注。攝像頭自動抓取人臉識別數據、數家招聘網站個人簡歷信息被泄露等事件層出不窮，多家知名企業也因此被“點名”。大數據時代，人工智能等新興技術猶如一把雙刃劍，在帶來科技進步的同時，同樣也亟待監管和治理。

個人隱私泄露問題頻發

在“3·15”晚會上，首先被揭露的是人臉識別收集和使用問題。其中，上海科勒衛浴、寶馬等商家被發現在門店中裝有特別為人臉識別使用的攝像頭，用于消費者管理。而顧客進店后在完全不知情的情況下就被采集了人臉數據，這些信息一旦被泄露，將嚴重威脅個人的財產、隱私安全。

據央視報道，攝像頭的提供商為蘇州萬店掌網絡科技有限公司，該攝像頭可以在消費者毫不知情的情況下直接獲取其人臉數據。除了萬店掌之外，悠絡客、雅量科技、瑞為技術等公司也被同時曝光。這些人臉識別攝像頭除了可以實時偷拍之外，還可以通過這些公司的總賬號直接調取任意一個門店的人臉數據信息，并進行數據處理、實時分析。

此次“3·15”晚會曝光的使用人臉識別攝像頭的品牌中，科勒(中國)投資有限公司、新茶飲品牌“喜茶”均已作出回應，萬店掌則在其微信公眾號及官方網站上發表了道歉聲明。科勒衛浴方面表示，已安排相關門店連夜拆除該攝像設備，個別無法連夜拆除的攝像設備做斷電下線處理，同時督促供應商積極配合監管部門妥善處理。

3月16日，中國商報記者在萬店掌官網發現，其產品目錄下“人臉互動”等內容已被下架，但在蘋果應用商店中，萬店掌App的介紹中依然明確寫有“通過人臉識別攝像頭，進行門店、商場等零售場景顧客面部識別……提示其歷史購買數據、購物偏好”等內容。

而被泄露的除了人臉信息，還有簡歷信息。“3·15”晚會上曝光了智聯招聘、前程無憂、獵聘等一些網絡求職招聘平臺對求職者個人簡歷管理上存在嚴重漏洞的問題。大量求職者個人簡歷在其他網絡渠道上被批量出售，手機號、院校、工作經歷等信息也因此被泄露。

在智聯招聘平臺上，企業賬戶交錢辦理會員，便可不受數量限制下載包含姓名、電話及郵箱地址等關鍵信息的完整簡歷。除此之外，在前程無憂和獵聘網上，同樣存在企業賬戶只需支付費用，便可以下載到求職者的完整簡歷的現象，三個平臺對企業賬戶的管理均存在漏洞。對此，三家平臺連夜作出回應，表示將聯合抵制一切侵犯求職者權益的不法行為。

人工智能是把雙刃劍

近年來，以人臉識別為代表的人工智能技術迅速崛起，其產品已成規模化態勢落地各行各業，人臉識別產業鏈發展迅猛。但與此同時，包含人臉信息在內的個人信息泄露問題屢見不鮮，甚至已形成黑色產業鏈。

早在去年央視就曾曝光人工智能的黑色產業鏈：2元便可以在網上買到上千條人臉數據，3D打印可以制作仿真面具，經過AI換臉和照片活化可以生成動態視頻，騙過人臉核驗系統……不法分子可以通過這些操作進行盜取賬號、竊取財產以及精準詐騙、敲詐勒索等違法犯罪活動。

去年12月29日，中國“人臉識別第一案”二審開庭，人臉識別入園的必要性成庭審爭議焦點。該案起因是，2019年原告郭兵因不滿杭州野生動物世界提出的“年卡用戶必須刷臉入園”的要求，對園方提起訴訟。

通信行業觀察家付亮對記者表示，以上案例只是人工智能帶來個人信息安全問題的縮影。“像現在很多小區上也安裝有人臉識別系統，在無形中你的人員信息就存放在了物業的服務器上，因為是聯網的，管理人員遠程就可以取走。還有常見的商場人臉識別測體溫的機器，其實都是在收集個人信息。”付亮說，“這也顯示出，隨著人工智能技術的發展，相應的監管措施卻是嚴重缺位的。”

北京計算機學會數字經濟專業委員會秘書長王娟對記者表示，人臉識別信息風險會導致個人信息安全處于極不安全的狀態。目前，采用人臉識別的應用越來越多，人臉數據作為數字ID被企業等政府以外的商業主體采集后，正面的影響是一些身份驗證服務的便捷化，但負面的影響則難以預料。人臉特征信息的泄露，會給社會對主體確認識別帶來混亂，可能引致由身份偽造和盜用出現的一系列風險。同時，也將個人隱私完全置于高度暴露之下，給社交安全和社會秩序帶來極大危害。

大數據時代，數據已成為基礎的生產要素之一，人臉數據也只是大數據里的冰山一角。為何個人信息安全保護難上加難?江蘇省大數據交易和流通工程實驗室副主任李可順對記者表示，大數據時代下，個人信息安全保護的難點在于采集渠道多、亂、隱蔽，以前數據采集的主要渠道是移動設備和以PC(個人計算機)為載體的軟件系統，現在基于技術創新，通過如“3·15”晚會中所提及的采集人臉信息的攝像頭等采集用戶數據，隨買隨用。

“而在商業場景下，獲取人臉數據是基于特定關聯性數據，可以獲得用戶詳細畫像標簽，例如軌跡、消費能力、消費習慣等，這些標簽數據都存在泄露風險，甚至可以被黑產用來突破用戶安全賬戶體系，進行騙貸、騙保、盜刷等犯罪行為。”李可順表示。

誰來保護用戶的個人信息安全

值得注意的是，為了保護個人信息不受侵犯，有關部門也對此加強了監管，多部法律法規對個人信息保護均有涉及。

例如，今年1月1日起實施的《中華人民共和國民法典》將人格權獨立成編，以“隱私權和個人信息保護”專章方式，對隱私權和個人信息的定義、保護原則、法律責任、主體權利、信息處理等問題作出規定。

國家市場監管總局發布的《信息安全技術個人信息安全規范》明確規定，在收集個人生物識別信息前，需單獨向用戶告知收集、使用個人生物識別信息的目的、方式和范圍以及存儲時間等規則，并征得用戶的明示同意;個人生物識別信息要與個人身份信息分開存儲，原則上不應存儲原始個人生物識別信息。

除此之外，日前提請全國人大常委會審議的《中華人民共和國個人信息保護法(草案)》從立法的角度對數字時代的突出問題進行了規制，有效回應了實踐中個人信息保護面臨的重點和難點問題，平衡了個人信息保護、個人信息的利用與流轉、國家安全和社會公眾利益等多方面利益。

不過，多位業內人士也對記者表示，當前對于個人信息安全問題的監管仍然任重道遠。北京市偉博律師事務所主任李偉民表示，當前個人信息保護的難點主要有三點：一是個人信息的性質和權屬存在爭議，目前沒有明確一致的意見，影響個人信息的保護;二是個人信息保護中，涉及眾多管理部門、眾多參與主體;三是在立法層面，侵害個人信息的法律責任尚不明確。

王娟表示，網絡化數字化的社會，平臺經濟帶來的交易模式轉變，實質上已經對人的身份進行了完全的數字化升級改造，由于手機攝像功能的普及，這些方式較輸入信息，對大部分人群更為簡單，而忽略了其中的風險，這些服務的提供者已經捷足先登地擁有了很多數據資源優勢。這都給后期監管帶來了巨大的挑戰和問題。

付亮表示，在收集用戶個人信息時，不僅在事前應設立公示明確告知，與此同時，還要考慮有一部分個人信息在收集完后應馬上處理和刪除，不應該再保留。另外，對存儲和使用方面也應該有嚴格的規范，例如使用用戶個人信息時應保證在相對安全的環境下。(祖爽)