近年來��,隨著大數(shù)據(jù)等技術的發(fā)展�����,人們的生活��、工作中獲得了更多的便利��;但同時�����,隨意收集、違法獲取�����、過度使用���、非法買賣個人信息的負面現(xiàn)象也日益嚴峻,個人信息保護成為公眾非常關心的問題����。
2021年8月20日,十三屆全國人大常委會第三十次會議表決通過《中華人民共和國個人信息保護法》(以下簡稱“《個保法》”)��,于2021年11月1日起施行�。
《個保法》作為我國首部個人信息保護方面的專門法律正式實施,明令禁止不得過度收集個人信息��、大數(shù)據(jù)殺熟�����,同時對敏感個人信息的處理作出規(guī)制�����,完善個人信息保護投訴、舉報工作機制等����,明確了個人信息保護的監(jiān)管職責,并設置了嚴格的法律責任����,為個人信息保護提供了強有力的法律保障。
隱私泄露已經(jīng)在國際層面被廣泛關注
1�、Facebook(臉書公司)曾宣布,將停止使用人臉識別系統(tǒng)��,原因是公眾對臉書公司使用這種技術的方式越來越擔憂���。
該系統(tǒng)可以自動識別發(fā)布在社交媒體的照片和視頻當中人物的面部����。超過三分之一的臉書每日活躍用戶勾選了允許面部識別的設定�����,而最新決定現(xiàn)在將刪除超過10億人的面部識別數(shù)據(jù)���。
2���、Rekognition是亞馬遜于2016年末推出的人臉識別系統(tǒng)����,它作為亞馬遜云業(yè)務的一部分�,一直與政府合作�����,向后者提供安防服務�����。后在2018年�����,因為公眾對于隱私問題的擔憂而“上書”��,被政府停止續(xù)約����。
3����、2018谷歌與美國國防部就Project Maven項目進行合作���,向軍方提供人工智能技術以分析無人機采集到的視頻�����。該做法遭到了部分谷歌公司員工和學者們的強烈反對�����。數(shù)千名員工曾在一份請求谷歌取消該合作計劃的請愿書上簽名��,并有數(shù)十名員工因此辭職����。
4��、2016年10月美國域名服務器管理服務供應商Dyn宣布���,該公司在當?shù)貢r間22日早上遭遇了DDoS(分布式拒絕服務)攻擊�����,從而導致許多網(wǎng)站在美國東海岸地區(qū)宕機�。
DDoS攻擊是指分布式拒絕服務(DDoS)攻擊,是通過大規(guī)?�;ヂ?lián)網(wǎng)流量淹沒目標服務器或其周邊基礎設施,以破壞目標服務器����、服務或網(wǎng)絡正常流量的惡意行為。
常見的一種DDoS攻擊就是利用IPC攝像頭完成的���。黑客們找到系統(tǒng)漏洞,控制大量的智能攝像機�����,形成大量獨立IP的隨機用戶�����,對服務器����、網(wǎng)站進行攻擊。
安全專家指出��,網(wǎng)絡攝像頭容易受到攻擊。此前 Dyn DNS 服務遭遇的網(wǎng)絡攻擊中�,許多設備都是這些智能攝像頭。這些攝像頭采用默認密碼�,很容易被猜出。攻擊者可以破解登錄信息���,隨后將設備加入到僵尸網(wǎng)絡中����。
來自多家廠商的硬件都卷入了其中�����,國內知名安防廠商雄邁的網(wǎng)絡攝像頭產(chǎn)品更是被指為該攻擊中的主要設備�����,并在后續(xù)宣布對使用其集成電路板和其他元件的全部攝像頭的召回�。
個人信息保護的挑戰(zhàn)
現(xiàn)在諸如高科技公司如何使用和共享數(shù)據(jù)、大街小巷的視頻監(jiān)控安防系統(tǒng)對隱私的影響����,正在成為社會輿論焦點。更多嚴格的個人信息保護舉措逐漸出臺。
例如���,2018年歐盟規(guī)定����,全球所有的企業(yè)只要采集歐盟公民的用戶數(shù)據(jù)�����,必須要遵守新的更加嚴格消費者數(shù)據(jù)保護規(guī)定�,即《通用數(shù)據(jù)保護條例》(GDPR)。
我國最新出臺的《個保法》與此前的《網(wǎng)絡安全法》和《數(shù)據(jù)安全法》立法重點不同����,更多聚焦于民事權利保護,為個人信息處理者設定了大量法律義務���,更容易觸發(fā)政府主管部門監(jiān)管。同時����,《個保法》在懲罰力度上比歐盟《通用數(shù)據(jù)保護條例》(GDPR)更為嚴格,有可能會成為處罰數(shù)額最高的執(zhí)法領域之一�。
企業(yè)合規(guī)需要實踐合理邊界
接下來,對處理公開個人信息之合理范圍的判斷可能成為實際事務中的重點。
《個保法》第二十八條對敏感個人信息進行了定義��,該類信息一旦泄露或者非法使用��,即容易導致自然人的人格尊嚴受到侵害或人身�、財產(chǎn)安全受到危害。同時《個保法》第二十九條賦予了處理敏感個人信息應獲得個人的單獨同意的要求���。
個人信息主體的明確拒絕和要求刪除等行為可能是判斷合理邊界的重要依據(jù)����。企業(yè)應從個人權益的影響角度做出評估��,避免造成直接侵入性的隱私損害�����。
對于每日不間斷收集���、存儲����、使用��、加工、傳輸巨量個人信息的各種企業(yè)����、社會組織而言,需從價值觀導入���、制度建構和流程重塑達到業(yè)務合法合規(guī)要求����。
設計出能夠獲取有價值的安防和商業(yè)智能產(chǎn)品和解決方案���,同時還要匿名或脫敏保留這些信息加以利用����,也將成為制造商們未來面臨的挑戰(zhàn)��。
