隨著互聯網的高速發展及5G、人工智能等新興技術的快速崛起，個人隱私信息保護問題也迫在眉睫。從人臉識別被濫用到App過度收集用戶個人數據，如何有效抑制個人隱私信息泄露已被相關部門提上議程。近日，國家標準《信息安全技術 人臉識別數據安全要求》征求意見稿(以下簡稱國標)和《移動互聯網應用程序個人信息保護管理暫行規定(征求意見稿)》(以下簡稱征求意見稿)相繼發布，進一步強化個人信息安全監管與治理。

“偷臉”亂象將被整治

人臉識別是近年來被熱議的話題，隨著該項技術的不斷發展，人臉識別應遵循哪些管理規定、如何防止濫采或泄露、收集人臉信息后如何儲存和處理等問題層出不窮。

今年央視“3·15”晚會上，上海科勒衛浴、寶馬等商家被發現在門店中裝有特別為人臉識別使用的攝像頭，用于消費者管理。而顧客進店后在完全不知情的情況下就被采集了人臉數據，這些信息一旦被泄露，將嚴重威脅個人的財產、隱私安全。

中國商報記者發現，國標規定了人臉識別數據的基本安全要求、安全處理要求和安全管理要求，覆蓋了收集、儲存、使用、委托處理、共享等全流程。首先，國標中提到了開展人臉驗證或人臉辨識時應滿足的要求，例如原則上不應使用人臉識別方式對不滿十四周歲的未成年人進行身份識別、應提供安全措施保障數據主體的知情同意權、不應用于除身份識別之外的其他目的等。

此外，國標還對進行人臉識別的開發商提出了技術資質門檻，要求其具備相應的數據安全防護和個人信息保護能力，以防范人臉識別被“活照片”等非法破解。

在收集方面，主體收集人臉識別數據時，應向數據主體告知收集規則，包括但不限于收集目的、數據類型和數量、處理方式、存儲時間等，并征得數據主體明示同意;在儲存時，數據主體明示停止使用功能、服務，或撤回授權時應刪除人臉識別數據或進行匿名化處理，不應存儲人臉圖像，經數據主體單獨書面授權同意的除外;在使用時，應在完成驗證或辨識后立即刪除人臉圖像，生成可更新、不可逆、不可鏈接的人臉特征;同時不應公開披露人臉識別數據，原則上不應共享、轉讓人臉識別數據。

業內人士認為，國標傳遞了對人臉識別進行“強監管”的鮮明信號。北京計算機學會數字經濟專業委員會秘書長王娟對中國商報記者表示，人臉特征信息的泄露，會給社會對主體確認識別帶來混亂，可能引致由身份偽造和盜用出現的一系列風險。同時，也將個人隱私完全置于高度暴露之下，給社交安全和社會秩序帶來極大危害。“歐盟此前已經嚴格限制人臉識別及其他高風險的人工智能應用，國標的出臺也是與國際環境的一種匹配與接軌”。

王娟進一步補充道，對企業來說，如果獲得了人臉數據，不僅要有能力保護數據，也要尊重用戶意愿及時刪除數據。國標實際上是向企業再一次發出信號，告知企業強化個人隱私數據保護，這也對企業來說提出了更多要求。

為App過度索權劃出“紅線”

除了被泄露的人臉信息，手機App存在的強制授權、過度索權、超范圍收集個人信息等問題同樣不容忽視。

此次發布的征求意見稿由國家互聯網信息辦公室的統籌指導，工信部會同公安部、國家市場監管總局共同起草，共計20條。

在適用范圍方面，征求意見稿明確，在中華人民共和國境內開展的App個人信息處理活動，應當遵守本規定。法律、行政法規對個人信息處理活動另有規定的，從其規定。在監管主體方面，征求意見稿明確了App個人信息保護的聯合工作機制，國家互聯網信息辦公室會同工信部、公安部、國家市場監管總局健全完善App個人信息保護監督管理聯合工作機制。

征求意見稿明確了“知情同意”“最小必要”兩項重要原則。“知情同意”規定，從事App個人信息處理活動的，應當以清晰易懂的語言告知用戶個人信息處理規則，由用戶在充分知情的前提下，作出自愿、明確的意思表示，并明確了“六項應當”要求。“最小必要”規定，從事App個人信息處理活動的，應當具有明確、合理的目的，并遵循最小必要原則，不得從事超出用戶同意范圍或者與服務場景無關的個人信息處理活動，并提出了“六項不得”要求。

征求意見稿對App治理的全鏈條、全主體、全流程予以規范，規定了App開發運營者、App分發平臺、App第三方服務提供者、移動智能終端生產企業和網絡接入服務提供者在App個人信息保護方面的具體義務。除此之外，文件還細化了違規處置流程和具體措施，其中特別提出，對未按要求完成整改或反復出現問題、采取技術對抗等違規情節嚴重的App，將對其進行直接下架;且下架后的App在40個工作日內不得通過任何渠道再次上架的管理要求。

此外，征求意見稿還提出了投訴舉報、監督檢查、處置措施、風險提示四方面規范要求。

賽迪顧問大數據產業研究中心分析師姚學超對記者表示，征求意見稿明確提出了“六項應當”如何做和“六項不得”做什么的具體要求，細化了App開發運營者和管理者從事App個人信息處理活動的邊界和權限、底線和“紅線”，能夠有效規范互聯網企業對App個人信息的處理活動，為用戶信息和權益保護提供了可靠的制度保障。

中鋼經濟研究院首席研究員胡麒牧對記者表示，征求意見稿的亮點在于明確了“知情同意”“最小必要”兩項重要原則、規范關鍵環節主體責任義務、細化違規處置流程和具體措施。由于文件明確了責任，細化了處理流程和措施，操作性強，所以應該可以有效遏制個人信息過度收集。

中央財經大學新聞系副主任、中經數字經濟研究中心執行主任陳端對記者表示，征求意見稿是以“依法治理、源頭治理、系統治理、綜合治理”為方法論，以“知情同意”和“最小必要”兩項保護原則為綱領，以App開發運營者、App分發平臺、App第三方服務提供者、移動智能終端生產企業以及網絡接入服務提供者五類監管對象為重點，以標準制定、自律評估、投訴舉報以及處置措施作為監管抓手，縱深推進App個人信息保護治理工作，向違法違規處理App用戶個人信息的行為深化精準監管的政策行為。

陳端還表示，征求意見稿明確了“專項整治和長效治理相結合”的監管模式，從“局部監管、突出問題”轉為“全流程、全鏈條、全主體”監管，完善多元主體參與機制，體現了網絡治理的精細化、精準化和法治化，對未來互聯網領域的創新具有導向上的引領作用。

個人信息安全受國家各部門重視

如今，互聯網數據生態治理在數字化時代已成為一項長期而重要的工程，記者梳理發現，國家各部門已經連續出臺多條政策保護個人信息安全、優化網絡環境。

2020年7月，中央網信辦、工信部、公安部、國家市場監管總局四部門啟動2020年App違法違規收集使用個人信息治理工作。工信部的App侵害用戶權益專項整治行動縱深推進，截至2020年12月，四部門已對52萬款App進行了技術檢測工作，責令1571款違規App進行整改，公開通報了500款App，下架120款整改不到位及拒不整改的App。

今年1月1日起實施的《中華人民共和國民法典》將人格權獨立成編，以“隱私權和個人信息保護”專章方式，對隱私權和個人信息的定義、保護原則、法律責任、主體權利、信息處理等問題作出規定。

國家市場監管總局發布的《信息安全技術個人信息安全規范》明確規定，在收集個人生物識別信息前，需單獨向用戶告知收集、使用個人生物識別信息的目的、方式和范圍以及存儲時間等規則，并征得用戶的明示同意;個人生物識別信息要與個人身份信息分開存儲，原則上不應存儲原始個人生物識別信息。

除此之外，日前提請全國人大常委會審議的《中華人民共和國個人信息保護法(草案)》從立法的角度對數字時代的突出問題進行了規制，有效回應了實踐中個人信息保護面臨的重點和難點問題，平衡了個人信息保護、個人信息利用與流轉、國家安全和社會公眾利益等多方面利益。

今年3月，國家網信辦、工信部、公安部、國家市場監管總局四部門聯合發布《常見類型移動互聯網應用程序必要個人信息范圍規定》，明確了地圖導航、網絡約車等39類常見類型移動應用程序必要個人信息范圍，瞄準超范圍收集用戶個人信息等過度索權問題。

胡麒牧表示，從近年來國內外有關互聯網個人信息安全的事件來看，監管導向已經不僅僅是對微觀主體權益的維護了，個人信息安全實際上已經被上升到國家安全的高度。由于個人信息安全事件往往都是群體信息安全事件，所以監管層未來會從國家信息安全保護的角度來進一步完善相關法律法規。

大數據時代企業應擔起更多責任

保護個人信息安全并非是一朝一夕之事，需要政府、企業、用戶等多方的共同努力。除了政府的監管，在大量用戶數據反哺作用下成長起來的互聯網巨頭也應承擔起更多責任。

姚學超表示，一方面用戶信息安全和個人隱私保護已成為社會高度關注的問題之一;另一方面互聯網企業仍存在利用用戶數據進行“大數據殺熟”、基于數據誘導用戶沖動消費、通過數據壟斷限制商業競爭等數據濫用問題。因此，如何平衡合理保護個人信息和合法合規采集、應用數據之間的關系成為數字時代發展過程中亟需解決的問題。

“作為擁有海量用戶數據的互聯網巨頭，除了利用數據資源進行商業變現，更應該利用數據要素進行科技創新，為整個社會創造價值。如利用數據優化算法、算力等技術能力、發展第三方大數據服務產業。”姚學超補充道。

胡麒牧也表示，數據已成為生產要素，所以互聯網平臺作為數據的使用者，在利用數據創造價值的同時要愛護數據的產生者。維護良好的數據安全生態，既有利于互聯網平臺進一步做強，也有利于消費者體驗的提升，這是關系到互聯網平臺切身利益和可持續發展的重要工作，需要以更大的自覺性主動作為，保護用戶信息安全。否則無論是從行業監管的角度還是從用戶用腳投票的角度，損害個人信息安全的平臺都將會被市場淘汰。

陳端表示，近期對互聯網企業的整肅力度加大，涵蓋了信息采集、市場壟斷、內容監管、資本擴張等方面，對互聯網企業而言，需要把握新發展階段、新發展格局下政策底層邏輯和價值導向，強化社會責任意識，把自身技術能力和積累優勢與國家戰略導向更好地結合起來。(記者 祖爽)

關鍵詞： APP過度索權 偷臉亂象