人脸信息除了安全存储问题,还有商家通过摄像头观察消费者行为。不过,目前关于人脸识别普遍接受的共识是,在身份核验的必要场景,允许人们自由选择核验方式,即选择人脸识别方式或是其他身份核验方式。这是个人对“人脸”自主决定。
比如,一些办公楼为了提升核验效率,内部员工通道员工同意扫脸,走人脸核验通道,而外来人员则验证身份证或使用APP报备生成二维码。又比如,坐高铁时,为便捷可选择扫身份证或扫脸。如果不愿意也可人工验证身份,要根据具体使用场景判断是否必要。
澎湃新闻:对平衡个人信息保护和个人信息社会化,我们有哪些思路?
高富平:收集平台数据、形成用户画像,进而影响决策,这类基于用户行为的个性化推送和互联网信息传播在大数据时代很普遍。减少这些行为对隐私和用户自主决定权的影响,仅靠阻止信息流动是无法真正根治的。在数字化时代,我们不知道信息在哪里,这已超出个人的控制能力。
个人信息有三种常见类型,一类是有唯一性、能指向个人的身份信息,如姓名、电话、身份证等,这类信息被随意披露、买卖会带来安全风险,如欺诈骚扰等,所以对于直接关联个人的信息,不允许随意披露、买卖,这仍是个人信息保护的重中之重。另一类则是数字ID或设备ID,互联网凭借其强大分析功能,通过关联设备ID对网络信息进行匹配分析。即便不知用户真实身份,也可开展个性化分析,精准推送往往基于此技术实现。而大量的个人信息则属于第三类,如大家在数字化环境留下的行为轨迹等。
澎湃新闻:在企业描述用户画像时,会不会用到个人身份信息?关联身份的个人信息有没有可能被社会化利用?
高富平:一般只有两种情况会用到身份信息,一是比如寄快递需要具体家庭地址、电话等信息,二是事件发生需要找责任人时,需要利用数据确定身份。正常商业交易中,如咖啡店打印外卖单披露姓名电话,如果没有提供给不相关他人,在营业场所内是可以接受的。从商家角度看,将外卖单交给快递小哥本身没错,但风险在于商家或者快递链条中可能存在的二次售卖信息。
需要指出的是,商家为获客做精准推送,并不需要知道潜在客户是谁(真实身份),只是通过数字ID推送。如果客户因广告推送与商家有接触交易时,商家才能获取身份信息并负有保密义务。
在正常的社会活动中,更合理的个人信息使用规则应该是这样:当信息本身能够指向个人(唯一关联性)时,使用人应当遵循事先同意规则;而当信息并不具有唯一指向个人功能时,则应当适当放开限制,只需确保分析使用环节不能泄露个人信息。同时,我们还应当接受,遵守个人保护原则的商业推送,只要精准推送具有选退机制,那么这样的商业推送行为仍然被认为是尊重个人选择的行为。
当然,商家在给用户画像时,如果涉及私密信息则要做好保密,即使收集的信息不敏感,深度分析后仍有可能产生敏感信息,所以企业内部要有评估、监控和判断,对信息的分类、标签和保密要有敏感度。
澎湃新闻:企业在处理个人信息存在哪些难度?如何转变企业观念?降低数据合规成本的路径有吗?
高富平:其实只要管理好用户身份信息,遵守法律法规,技术上的难度并不高。对于大企业来说,他们在全流程合规方面做的相对完善,但部分中小企业的个人信息保护观念相对淡薄,个人信息的处理方案并不妥善。
我们建议监管部门可以分类施策,根据企业规模、区分不同模式对企业作出不同要求。
在“亮剑浦江·2024”专项执法行动中,相关部门推出了“体检包”和“工具包”,“体检包”可供企业进行自查,及时发现潜在问题;“工具包”则以操作手册的形式为企业提供详细的指导,明确各环节的具体操作规范。
其实,保护个人信息本质上也是员工教育和理念转型问题,要形成尊重个人、保护个人信息的文化,做好信息保护是企业在数字时代从事经营活动应该付出的成本。
澎湃新闻:基于前述问题,在消费者个人信息保护和企业合规成本引领上,监管部门有没有具体的对策?
高富平:我们注意到,“亮剑浦江·2024”专项执法行动不是为了处罚企业,而是帮助企业合规经营,协助企业了解个人信息保护,完善企业相关制度。执法行动发布“工具包”“体检包”“服务包”“护身包”,通过释法、指导、评估、保护四个层次,进一步丰富了个人信息保护的政策工具。监管部门起到了引导企业从被动合规到主动合规,协助企业合法经营的作用,是一种预防式执法,最终目的是打造良好营商环境。
还没有评论,来说两句吧...