智能网联汽车、智能家居、AI摄像头等智能设备走进人们日常生活,在带来便捷的同时,也造成信息安全隐患。促进智能产业健康发展,需要在数据利用和保护中找到平衡点,廓清信息收集边界,增强用户权益保护意识,营造良好数字生态。
打开某些智能音箱,在用户不知情的状态下,敏感信息被持续监听;走进某些商铺,智能摄像头在未告知的情况下,悄悄采集人脸信息……近年来,智能设备日益普及,在方便人们日常生活的同时,信息安全问题也日益凸显。
智能设备采集个人信息越来越普遍
前段时间,江苏张家港市场监管局对辖区内商户进行专项排查后,发现一些商家在未经消费者同意的情况下,擅自采集人脸信息用于营销分析,带来了个人信息泄露的新风险。依照《信息安全技术 个人信息安全规范》,人脸信息属于个人生物识别信息,收集时应获得个人信息主体的授权同意。最终,执法人员依法拔除人脸识别相机网络数据传输接口线,设备立即停止使用。
不仅是智能摄像头,近年来,智能设备遭遇入侵、用户隐私数据泄露等事件出现,对智能产品的生态安全形成挑战。中国信息通信研究院泰尔实验室此前对多个智能音箱设备进行抽样检测和分析,结果显示,部分产品可基于获取的权限通过不同方式对用户进行窃听,存在安全风险。
“随着移动互联网的迅速发展,智能终端产品不断升级。一些智能设备收集了包括位置、音频等在内的大量用户信息。”中国信息通信研究院泰尔实验室主任宁华介绍,从近年来出现的情况看,主要存在以下安全风险:
一方面,在用户不知情的情况下,过度收集和使用个人信息。“一些智能设备并未通过隐私政策或其他途径明确告知用户收集使用信息的目的、方式、范围和频次,也未向用户提供明确的允许和拒绝的选项。”宁华说,这种累积性的权益侵害如果出现在日常生活中,将引发用户担忧。
另一方面,在收集处理个人信息时,规则较为模糊。宁华提出,一些智能终端可同时接入更多设备,当用户和其中一款智能终端语音交互时,倘若在其隐私声明中,没有明示声纹、指纹等敏感信息存储、转移和二次加工等方面的妥善处理方式,一旦数据泄露,会造成广泛的恶劣影响。
信息处理行为应遵循知情同意和最小必要原则
宁华分析,智能设备与用户紧密绑定,设备上的数据密切反映了用户的行为特征,叠加与之配套的APP交叉验证,呈现出较高的商业价值,不少商家铤而走险、违规使用。
“一些违规收集个人信息的行为存在技术复杂、隐匿性强、感知性弱等问题,难以追根溯源,再加上很多人个人信息保护意识不够,从而产生侵害用户权益的问题。”中国人民大学公共管理学院教授马亮说。
在马亮看来,种种侵害用户权益行为不仅使个人信息面临过度采集、滥用等问题,增加了因信息泄露而危害人身财产安全的社会风险。从长远看,还将影响消费者对移动互联网等应用场景的信任,使数字经济发展面临挑战。
应该看到,近年来随着用户权益保护意识不断增强,对智能设备的治理网络也在越织越密。
2013年4月,工信部印发《规范互联网信息服务市场秩序若干规定》,明确提出生产企业不得在移动智能终端中预置未向用户明示并经用户同意,擅自收集、修改用户个人信息的应用软件;2016年12月,《移动智能终端应用软件预置和分发管理暂行规定》出台,再次明确未经明示且经用户同意,不得实施收集使用用户个人信息、开启应用软件等侵害用户合法权益或危害网络安全的行为。
今年5月以来,中央网信办会同工信部、公安部、市场监管总局推进摄像头偷窥等黑产集中治理工作,对非法利用摄像头偷窥个人隐私画面、交易隐私视频、传授偷窥偷拍技术等侵害公民个人隐私行为进行集中治理。
针对智能网联汽车的网络安全问题,前不久,国家网信办、国家发改委、工信部等五部门发布《汽车数据安全管理若干规定(试行)》,明确提出利用互联网等信息网络开展汽车数据处理活动,应当落实网络安全等级保护等制度,加强汽车数据保护,依法履行数据安全义务。
“一系列法律法规明晰了智能设备等终端生产企业和互联网信息服务提供者的信息处理行为应遵循‘知情同意’和‘最小必要’两项个人信息保护基本原则。”宁华说,与此同时,智能设备系列行业标准结合具体应用场景,细化了“知情同意”“最小必要”的认定标准,进一步廓清了信息收集正当与不正当、适当与过度之间的边界。
既要利用好,也要保护好,促进智能产业健康发展
随着人工智能、大数据等新一代信息技术的发展,声音、人脸等生物特征信息相对唯一且不可变更,成为高度敏感的个人信息。如何在利用和保护中找到平衡点,成为促进智能产业可持续发展的关键。
“在使用人脸识别技术进行人脸验证、辨识或分析过程中,要充分保障用户的知情权。”宁华解释,一方面,智能设备提供者要公开处理声音、人脸信息的规则,明示处理的目的、方式、范围,明示共享、转让的第三方;另一方面,对人脸等信息的处理,不能带有任何强迫因素,不应以“与其他授权捆绑”“不点击同意就不提供服务”等方式索取非服务所必需的生物信息。
“目前对相关企业的监管仍以事后惩戒为主,加强事前审批和事中监管,将更好推动企业合规运营,促进形成个人信息保护的社会氛围。”马亮说,要明确智能终端在采集数据时应尽的义务和需要承担的法律责任。政府部门可以委托第三方机构对智能终端采集个人信息的资质和保护个人信息的能力进行评估和审查,设立进入门槛并定期评估,一旦违规就应禁止采集。同时,要求企业明确个人信息的使用去向和范围,强化非必要不采集、最小化采集、采集即负责等基本原则,对滥用个人信息的企业进行重罚。
据了解,为切实保障消费者权益,工业和信息化部通过进网检测、专项整治、抽测抽查等方式,已对接入公用电信网的智能设备开展事前、事中、事后的闭环监管,同时指导相关协会深入开展技术研究、标准制定和行业自律工作,为行业提供规范参考。专家表示,相较于手机APP,智能设备违规收集个人信息的现象更加复杂、更为隐蔽,在哪里是合理边界、违规如何界定等方面都还需进一步探索,深入开展研究,形成行业共识。
工信部要求建立个人信息保护“双清单”
本报北京11月1日电 (记者韩鑫)工业和信息化部近日印发通知,部署开展信息通信服务感知提升行动,将聚焦影响用户感知的信息通信服务环节,同时建立个人信息保护清单。
通知提出,在隐私政策和权限调用方面,互联网企业应以简洁、清晰、易懂的方式,向用户提供APP产品隐私政策摘要;涉及调用用户终端中相册、通讯录、位置等敏感权限的,还应当以适当方式告知用户调用该权限的目的。
按照通知,即日起将建立个人信息保护“双清单”。各相关企业应建立已收集个人信息清单和与第三方共享个人信息清单,并在APP二级菜单中展示,方便用户查询。与第三方共享个人信息清单应简洁、清晰列出APP与第三方共享的用户个人信息基本情况。
在个人信息保护法实施之际,中国互联网协会向互联网业界发出五项倡议。倡议提出,互联网企业应严格遵守法律规定,贯彻落实法律要求。处理个人信息应坚持合法、正当、必要和诚信原则,遵循个人信息处理规则及个人信息跨境提供规则。其次,建立健全管理制度,承担信息保护责任。制定处理个人信息的内部管理制度和操作规程,组织实施个人信息安全事件应急预案,保障个人信息安全,维护个人权利。
来源/人民日报
编辑/樊宏伟