权和选择权。
针对人脸数据有可能被滥用的趋势,多地政府已开始采取行动。12月1日《天津市社会信用条例》表决通过,其中第16条规定,市场信用信息提供单位采集自然人信息的,应当经本人同意并约定用途,法律、行政法规另有规定的除外。杭州也拟立法,不得强制业主“刷脸”。
近年来,在相关法律法规中,广泛引起行业人士关注的,是《个人信息保护法》草案大大提高了对违规企业的罚款力度。情节严重的,相关部门将没收违法所得,并处以5000万元以下或上一年度营业额5%以下罚款。这一力度堪比史上最严数据保护条例、欧洲于2019年实施的GDPR(通用数据保护条例),当时GDPR的最高罚款额度是企业全球4%营业额或者是2000万欧元,这震惊了业界
目前,业内人士还在等待《个人信息保护法》的具体实施细则。葛梦莹了解到,由于《个人信息保护法》草案还在征求意见阶段,企业多半还没有采取具体应对措施
实际上,早在2016年出台的《网络安全法》已经明确将包括人脸在内的个人生物识别信息纳入“个人信息”范围。当时,很多企业也按照要求做了一定工作,包括研发加密,匿名化处理、数据分级分类存储、设置企业内部管理制度、制定个人信息安全预案等。比如蚂蚁金服等有涉及人脸识别的企业,设立了隐私保护办公室。
但是《网安法》的最高罚款金额只在100万元。“相比起来,《个保法》对企业会有更强的威慑力。”一位法律人士说。
除了《网络安全法》,2017年正式颁布的《信息安全技术个人信息安全规范》是目前网信办或工信部披露违规App服务所依据的法律法规。但从近些年层出不穷的App违规通报来看,这份规范并没有足够的约束力。
在葛梦莹看来,由于缺乏统一的法律标准,通报的监管部门不统一,测评机构和标准也参差不齐,甚至也对一些企业造成误伤。随着《个人信息保护法》立法脚步的加快,不少企业越来越有数据保护意识。
一位网络安全人士对AI财经社说,他曾和一家即将上市的医疗大数据公司创始人有过交流,这家公司内部已有一个10人的安全团队,但对方非常担心如果用户信息被窃取将产生巨大影响,正在考虑扩大安全团队的规模。
葛梦莹也了解到,今年以来,一些金融、医疗企业都在内部做数据分级,像个人信息、病例情况等敏感数据分开储存,只有少数人可以接触到,权限设置和审批流程会更复杂。
同时,谭晓生观察到,把数据留在企业内部已经成为行业原则。以往一些金融公司会把数据交给第三方来计算用户的信用值,减少恶意贷款的风险,但现在企业都会非常顾虑,比如腾讯,宁可考虑用联邦学习等更复杂的计算方法,在数据不出企业的情况下获得相关结果。
但人脸数据的滥用和保护将是一场长久的博弈。“在目前的商业环境下,个人要保护自己的隐私还是比较有挑战的。平台处于相对强势的位置,尤其是此前大平台形成垄断之后,使用条款里面就会约定采集你的什么信息。而你以一己之力去博弈整个平台,还是比较困难。
但《个人信息保护法》出台之后,会有一些更顶层的约定,对个人是一个保护。最近,张明发现,自己所在的小区取消了人脸识别门禁系统,这让他松了一口气。当越来越完善的法律落地应用,人们将有更强的自我保护意识、更多知情权和选择权,也会更加心安。