日前�����,江蘇省宿遷市一家健身中心因違法收集會(huì)員人臉照片信息�,被宿遷市公安局宿豫分局責(zé)令限期整改,并處警告�����。這也是全國(guó)范圍內(nèi)�,因違法收集人臉信息被處罰的案件首次公開曝光。有業(yè)內(nèi)專家表示�����,該案具有“標(biāo)桿意義”�����。
疫情催生健身熱
民警日常檢查發(fā)現(xiàn)違法線索
公安部官網(wǎng)數(shù)據(jù)顯示���,2019年�,全國(guó)公安機(jī)關(guān)網(wǎng)安部門共偵破網(wǎng)絡(luò)犯罪案件5.9萬(wàn)起�,抓獲犯罪嫌疑人8.8萬(wàn)名。今年����,公安部開展“凈網(wǎng)2020”專項(xiàng)行動(dòng)�,繼續(xù)嚴(yán)打侵害公民個(gè)人信息違法犯罪����。
宿遷市公安局網(wǎng)安支隊(duì)二大隊(duì)副大隊(duì)長(zhǎng)鄭舒舒告訴南都記者�,在“凈網(wǎng)2020”的大背景下,公安機(jī)關(guān)網(wǎng)安部門一方面重點(diǎn)打擊非法獲取��、出售公民個(gè)人信息的違法犯罪行為��,另一方面也對(duì)重點(diǎn)行業(yè)��、單位加強(qiáng)監(jiān)督檢查力度�,對(duì)不履行個(gè)人信息保護(hù)義務(wù)的單位及時(shí)進(jìn)行查處。
他介紹�����,受新冠肺炎疫情影響��,廣大群眾的健身意識(shí)有所增強(qiáng)�,去健身場(chǎng)所鍛煉的人越來越多。宿豫分局網(wǎng)安大隊(duì)民警在日常工作中發(fā)現(xiàn)���,一些健身場(chǎng)所因?yàn)闀?huì)員管理和運(yùn)營(yíng)需要��,收集了包括姓名���、手機(jī)號(hào)碼�、年齡等在內(nèi)的大量個(gè)人信息����,甚至是人臉照片、指紋等個(gè)人敏感信息�����。
“有些健身場(chǎng)所收集存儲(chǔ)了會(huì)員的人臉照片��,在出入口使用了基于人臉識(shí)別技術(shù)的閘機(jī)通道�。‘人臉閘機(jī)’的使用確實(shí)給會(huì)員帶來便利�,也降低了健身場(chǎng)所的運(yùn)營(yíng)管理成本,但同時(shí)也帶來一些安全隱患��?����!编嵤媸嬲f。
一些健身場(chǎng)所使用人臉識(shí)別門禁(受訪者供圖)
一健身中心違法收集2萬(wàn)多名會(huì)員的人臉信息
今年4月��,宿遷市公安局宿豫分局網(wǎng)安大隊(duì)按照《公安機(jī)關(guān)互聯(lián)網(wǎng)安全監(jiān)督檢查規(guī)定》的要求�����,對(duì)一家健身中心進(jìn)行了現(xiàn)場(chǎng)監(jiān)督檢查��。調(diào)查發(fā)現(xiàn)���,這家健身中心有5家門店,共收集存儲(chǔ)了20000多名會(huì)員的姓名���、手機(jī)號(hào)碼����、人臉照片��、指紋等個(gè)人信息�����。
鄭舒舒介紹����,這家健身中心涉及的網(wǎng)絡(luò)安全違法行為主要有兩個(gè)����,其一是未履行網(wǎng)絡(luò)安全保護(hù)義務(wù)�。“具體來說�,這個(gè)健身中心沒有網(wǎng)絡(luò)安全方面的管理制度和負(fù)責(zé)人,對(duì)使用的信息系統(tǒng)沒有開展網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)備案和安全測(cè)評(píng)��,特別是沒有個(gè)人信息保護(hù)方面的制度和規(guī)定���?��!?
其二是未履行個(gè)人信息保護(hù)義務(wù),在收集會(huì)員姓名�、手機(jī)號(hào)碼,特別是人臉照片����、指紋等個(gè)人敏感信息的時(shí)候,沒有向會(huì)員明確說明收集�、使用這些信息的目的、用途���,并取得會(huì)員的同意���,同時(shí)對(duì)收集和存儲(chǔ)的這些信息也沒有采取防范網(wǎng)絡(luò)攻擊���、網(wǎng)絡(luò)入侵以及數(shù)據(jù)加密等安全保護(hù)技術(shù)措施,很容易造成信息泄露的后果�。
5月7日,宿遷市公安局宿豫分局根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第四十一條��、第四十二條第二款��、第六十四條第一款之規(guī)定����,對(duì)這家健身中心責(zé)令限期三十日內(nèi)進(jìn)行整改�,并予以警告處罰。按照相關(guān)規(guī)定����,整改期限屆滿后,公安機(jī)關(guān)還將對(duì)該健身中心的整改情況進(jìn)行復(fù)查���。
宿遷市公安局宿豫分局網(wǎng)安大隊(duì)監(jiān)督檢查現(xiàn)場(chǎng)(受訪者供圖)
警方提醒:造成用戶個(gè)人信息泄露或入刑
鄭舒舒告訴南都記者���,該案是宿遷市首次有單位因違法“采集人臉”被公安機(jī)關(guān)處罰�。
南都記者梳理公開資料發(fā)現(xiàn)���,在江蘇全省乃至全國(guó)���,均沒有線下商家因違法違規(guī)收集人臉信息被公安機(jī)關(guān)處罰的公開先例。
此前�,曾有一些線上App被有關(guān)部門約談或處罰。例如在2019年9月���,有網(wǎng)友發(fā)現(xiàn)一款名為“ZAO”的換臉應(yīng)用要求獲得用戶的“人臉使用永久權(quán)”��、隱私協(xié)議不規(guī)范�,引發(fā)輿論熱議����。ZAO開發(fā)公司的負(fù)責(zé)人隨后被工信部問詢約談。
鄭舒舒表示�,從以往的案件偵辦情況來看,線下商家違法違規(guī)收集公民個(gè)人信息���,造成個(gè)人信息泄露或非法提供��、出售公民個(gè)人信息的情況����,其實(shí)也比較突出。
“公安機(jī)關(guān)積極主動(dòng)作為����,值得稱道?��!薄缎畔踩夹g(shù) 個(gè)人信息安全規(guī)范》起草人之一��、中國(guó)信息安全研究院副院長(zhǎng)左曉棟認(rèn)為�����,宿遷的這一案件“具有標(biāo)桿意義”。
北京安理律師事務(wù)所高級(jí)合伙人王新銳告訴南都記者���,加強(qiáng)個(gè)人生物識(shí)別信息的保護(hù)是國(guó)際趨勢(shì)���,中國(guó)的監(jiān)管和執(zhí)法機(jī)構(gòu)對(duì)此也非常重視。目前���,企業(yè)對(duì)于生物識(shí)別信息的重視程度還不夠�����,在收集環(huán)節(jié)非常隨意����,而且往往直接收集并存儲(chǔ)原始信息,存在較大的信息泄露的風(fēng)險(xiǎn)����。
“這個(gè)案子帶來的警示是,在個(gè)人信息收集��、存儲(chǔ)����、使用等方面如處理不當(dāng),企業(yè)除了需民事責(zé)任以外���,還可能面臨行政處罰����,甚至承擔(dān)刑事責(zé)任的風(fēng)險(xiǎn)�����。涉及到人臉、指紋這些生物識(shí)別信息的收集和使用�����,一定要慎之又慎�����?��!蓖跣落J說��。
鄭舒舒則提醒��,依照《中華人民共和國(guó)網(wǎng)絡(luò)安全法》和新修訂的《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(2020年10月1日起施行)的規(guī)定���,網(wǎng)絡(luò)運(yùn)營(yíng)者在收集個(gè)人信息前���,應(yīng)當(dāng)遵循合法�����、正當(dāng)���、必要的原則���,公開收集、使用規(guī)則�,明示收集、使用信息的目的���、方式和范圍���,并經(jīng)被收集者同意。否則�����,將由有關(guān)主管部門責(zé)令改正���,可以根據(jù)情節(jié)單處或者并處警告�����、沒收違法所得�����、處違法所得一倍以上十倍以下罰款等措施����。情節(jié)嚴(yán)重的,還可以責(zé)令暫停相關(guān)業(yè)務(wù)�����、停業(yè)整頓�����、關(guān)閉網(wǎng)站��、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照����。此外,經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正����,致使用戶信息泄露�����,造成嚴(yán)重后果的,可能因涉嫌拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪�����,處三年以下有期徒刑�、拘役或者管制,并處或者單處罰金����。
作為普通的公民、用戶�,該怎樣保護(hù)自己的個(gè)人信息?“遇到有被收集個(gè)人信息特別是人臉����、指紋、聲紋等敏感信息的時(shí)候�,一定要問清對(duì)方收集這些個(gè)人信息的目的、使用方式����、范圍、以及存儲(chǔ)這些信息的安全措施。如果對(duì)被收集的個(gè)人信息后認(rèn)為有誤或者有異議�,可以要求對(duì)方更正或者刪除?!班嵤媸嬲f。
延伸閱讀:
《中華人民共和國(guó)網(wǎng)絡(luò)安全法》
第二十二條 網(wǎng)絡(luò)產(chǎn)品���、服務(wù)應(yīng)當(dāng)符合相關(guān)國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求��。網(wǎng)絡(luò)產(chǎn)品�����、服務(wù)的提供者不得設(shè)置惡意程序�;發(fā)現(xiàn)其網(wǎng)絡(luò)產(chǎn)品���、服務(wù)存在安全缺陷��、漏洞等風(fēng)險(xiǎn)時(shí)�����,應(yīng)當(dāng)立即采取補(bǔ)救措施����,按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告。
網(wǎng)絡(luò)產(chǎn)品���、服務(wù)的提供者應(yīng)當(dāng)為其產(chǎn)品、服務(wù)持續(xù)提供安全維護(hù)��;在規(guī)定或者當(dāng)事人約定的期限內(nèi)��,不得終止提供安全維護(hù)�����。
網(wǎng)絡(luò)產(chǎn)品�、服務(wù)具有收集用戶信息功能的,其提供者應(yīng)當(dāng)向用戶明示并取得同意��;涉及用戶個(gè)人信息的����,還應(yīng)當(dāng)遵守本法和有關(guān)法律、行政法規(guī)關(guān)于個(gè)人信息保護(hù)的規(guī)定��。
第四十一條 網(wǎng)絡(luò)運(yùn)營(yíng)者收集��、使用個(gè)人信息��,應(yīng)當(dāng)遵循合法�、正當(dāng)、必要的原則�,公開收集、使用規(guī)則����,明示收集、使用信息的目的���、方式和范圍��,并經(jīng)被收集者同意��。
網(wǎng)絡(luò)運(yùn)營(yíng)者不得收集與其提供的服務(wù)無關(guān)的個(gè)人信息���,不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集���、使用個(gè)人信息�,并應(yīng)當(dāng)依照法律����、行政法規(guī)的規(guī)定和與用戶的約定�����,處理其保存的個(gè)人信息�。
第四十二條 網(wǎng)絡(luò)運(yùn)營(yíng)者不得泄露�����、篡改���、毀損其收集的個(gè)人信息;未經(jīng)被收集者同意�����,不得向他人提供個(gè)人信息���。但是����,經(jīng)過處理無法識(shí)別特定個(gè)人且不能復(fù)原的除外���。
網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施�����,確保其收集的個(gè)人信息安全��,防止信息泄露����、毀損、丟失�����。在發(fā)生或者可能發(fā)生個(gè)人信息泄露�����、毀損����、丟失的情況時(shí),應(yīng)當(dāng)立即采取補(bǔ)救措施���,按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告���。
第六十四條 網(wǎng)絡(luò)運(yùn)營(yíng)者�����、網(wǎng)絡(luò)產(chǎn)品或者服務(wù)的提供者違反本法第二十二條第三款��、第四十一條至第四十三條規(guī)定�,侵害個(gè)人信息依法得到保護(hù)的權(quán)利的����,由有關(guān)主管部門責(zé)令改正,可以根據(jù)情節(jié)單處或者并處警告����、沒收違法所得����、處違法所得一倍以上十倍以下罰款,沒有違法所得的����,處一百萬(wàn)元以下罰款,對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬(wàn)元以上十萬(wàn)元以下罰款���;情節(jié)嚴(yán)重的��,并可以責(zé)令暫停相關(guān)業(yè)務(wù)�、停業(yè)整頓、關(guān)閉網(wǎng)站�、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照。
