数据的经济价值与个人信息安全保护,该如何平衡?
新技术应用引发的恐慌
浙江金华暂时停用“智能头箍”,专家:监测学生脑电违反伦理
浙江金华金东区孝顺镇中心小学部分学生佩戴声称可以监控“上课时是否走神”的头环引发争议,有质疑声称该项技术涉嫌侵犯学生隐私。
金东区教育局相关工作人员10月31日下午回应澎湃新闻(www.thepaper.cn)称,学生是无偿、自愿使用“头环”,未产生任何不良反应,家长也对此表示认可。目前,为平息“质疑”,当地已决定暂时停用相关设备。
//
瑞典的一所中学因使用面部识别软件监测学生出勤情况而被罚款超过20,000美元。
瑞典北部城市Skellefte的学校开展的一项试点在三周内跟踪了22名学生,用面部识别软件录制每名学生进教室的表现,以此来监督查看学生的出勤情况,而不是老师点名。
尽管学校高中委员会声称获得了学生及其家长的许可,可以在三周内使用该软件进行出勤控制,但瑞典数据保护局(DPA)还是认为学校违反了“通用数据保护条例”(GDPR)下的若干条规,市政当局对收集的数据负有最终责任,因为学生的出勤原本是可以用不涉及摄像机监控的方式收集的。
//
中国人脸识别第一案:大学教授将动物园告上法庭
据新京报报道,前不久,浙江理工大学特聘副教授郭兵收到了来自杭州野生动物世界的一条短信,提示他的动物园年卡如果不进行人脸识别将无法正常使用。郭兵不同意接受人脸识别,在协商未果的情况下,于10月28日向杭州市富阳区人民法院提起了诉讼。当地法院目前已经决定正式受理此案。
郭兵表示:
像是之前很火爆的换脸软件饱受争议一样,人脸信息采集我一直持保守态度的。比如,人脸信息的收集和使用存在极不确定的安全风险,公安等政府部门出于一定的公共利益考虑采集人脸信息我还可以接受,但是一家动物娱乐游乐场也能采集人脸信息,安全性、隐私性我都表示怀疑,万一信息泄露谁能负责?
//
据外媒报道,网络科技巨头Facebook 隐私丑闻案也让一直在人们的热议中,美国第九巡回上诉法院一名法官认为,Facebook收集的人脸数据,可能被用于视频监控中的人脸比对或是手机解锁。
//
不久前,ZAO的火爆也引起了监管部门的注意。9月3日,工信部网络安全管理局对北京陌陌科技有限公司相关负责人进行了问询约谈,要求其严格按照国家法律法规以及相关主管部门要求,组织开展自查整改,依法依规收集使用用户个人信息,规范协议条款,强化网络数据和用户个人信息安全保护。工信部同时指出,要进一步加强新技术新业务安全评估,切实采取有效措施,积极防范自有业务平台被利用实施电信网络诈骗等风险隐患。
技术被妖魔化了吗?“谁在贩卖人脸焦虑”?
据媒体报道,孝顺镇中心小学通过为学生戴上名为“赋思头环”的脑机接口设备,可监测后者的上课专注度:“头环”会给孩子们的注意力打分,看看其上课时是否“走神”;数据会实时上传至老师手机,再由老师将“得分”发给家长。
三个多月后,此事经媒体进一步报道,引发舆论热议。有声音认为,利用高科技头环“监控”学生上课是否认真,就如戴上了“紧箍咒”,无疑会让孩子们倍感压力,涉嫌侵犯使用者隐私。
对于网络上传言“头环能够进行实时监控,将数据反馈给家长”,工作人员称这并不属实。“后台数据仅供老师分析、改进教学时使用,赋思头环没有实时反映数据给家长的功能。”该工作人员表示,由于心理暗示作用,学生使用该头环时注意力的确有所提升,“目前由于舆论热议,该设备已暂时停用”。
//
大学教授将动物园告上法庭,动物园回应:指纹打卡耗时较长,每逢节假日高峰期,年卡用户扎堆指纹刷卡,有的人突然指纹刷不进去,或者是指纹机反应慢了,就会造成门口排长队十分拥堵的状况。因此有些年卡用户会向工作人员抱怨:你们的指纹打卡太慢了,能不能换一种入园方式?
事实上,杭州野生动物世界正在谋划“智慧旅游”,检票和安检模式的更新也在其中。经过前期考察,他们选择了人脸识别。10月17日,杭州野生动物世界向年卡用户发送信息表示:园区年卡系统已经升级为人脸识别入园,原指纹识别已取消。
//
而在美国,德克萨斯州成为第一个由父母要求在教室内安装摄像机的州,他们声称这有效解决了有关于虐待和暴力的担忧。
事情的缘由是,Terrence Rideau是一名中学生,当时他的母亲Breggett Rideau在家注意到他无法解释的伤势——头部严重受伤,膝盖脱臼,拇指骨折。现如今Terrence Rideau21岁了,有着严重的认知障碍和身体残疾,而且,他依旧无法告诉他的父母那天教室里到底发生了什么。
在同学校多年的法律斗争中,Terrence Rideau一家胜诉了,结果是学校支付100万美元的陪审团裁决,并最终制定了一项法律,使得德克萨斯州成为该国第一个要求将摄像机安装在教育课堂的州。
抛却道德警戒和法律底线,“智能头箍”“刷脸识别”这些新科技走进生活,为我们带来了什么?
第一,科技的应用降低了人力成本。
以摄像头技术为例,应用在学习,帮助老师简化了考勤工作;应用在街头巷尾,像一双双不知疲倦的眼镜,时刻监视着人们的一举一动,有效解决了社会治安问题。去年5月,某地有中学被爆出“智慧课堂行为管理系统”,通过30秒一次的扫描,对教室内学生“刷脸”匹配,最终计算出课堂实时考勤数据、课堂专注度偏离分析、课堂行为记录数据以及课堂表情数据,并将结果反馈给教师。其作用同浙江金华金东区孝顺镇中心小学部分学生佩戴声称可以监控“上课时是否走神”的头环可以说是如出一辙。在这里,科学技术,让我们的办事效率更高,也让我们更科学的应对问题,解决问题。
第二,科学技术创造着人类未来的生活。
第二次工业革命将蒸汽机等动力、电力带入了人们的生活,解放了生产力,也解放了更多的劳力。第三次工业革命让人们进入了信息化社会,电脑计算机及通讯技术到来,让人与人之间的联系更为便捷,由此,人类也将进入了大数据时代。
没有人排斥科技带给我们的美好生活,但也没有谁能够忽视科学技术这把双刃剑的负面效果。自2012年起,3.15晚会已连续7年提及信息安全隐患问题:手机APP要求的种种不合理授权、暗网上被不断兜售的个人信息、层出不穷的数据泄露事件,还有今年3.15晚会上被点名曝光的高科技灰色产业链——通过“探针盒子”收集附近用户的电话;利用智能机器人打出大量骚扰电话;从APP中获取用户隐私信息……
正如郭兵教授所言:你采集我隐私,泄露了谁负责?
也像广大网友对教育评论的那般:老师能念紧箍咒教育不听话的小孩吗?
科技在解决问题的同时,也在制造新的问题,“生物数据”如何才能“可信”和“可控”的使用?
“立法保护”在开发数据经济价值与保护个人信息安全之间寻找平衡点
围绕数据所形成的产业发展和个人信息隐私权之间必然存在某种程度上的分歧。目前,世界各国都已经开始通过修订或增加法律法规中关于个人信息保护边界和内容的工作,积极寻找开发数据经济价值与保护个人信息安全之间的平衡点。
2016年11月7日,全国人大常委会颁布《中华人民共和国网络安全法》,首次定义了从立法层面对个人信息进行了定义和不完全列举。
2017年12月29日,全国信息安全标准化技术委员会发布了《GB35273信息安全技术 个人信息安全规范》,并于2018年5月1日正式实施。
2019年1月30日,全国信息安全标准化技术委员会对《GB35273信息安全技术个人信息安全规范》进行了修订,并向社会各界发起意见征询,新草案的主要变化是增加“个性化展示及推出”和“第三方接入管理”两大内容,进一步保障了个人信息主体对个人信息使用的主动权。
工信部发布的《2018年大数据白皮书》中指出,2018年5月欧盟GDPR实施以来,ePD指令与GDPR共同构成了欧盟数据保护法律框架的两大支柱,赋予数据主体包括访问权、纠错权、被遗忘权、限制处理权、反对权、拒绝权和自决权等权利,为欧盟各国的个人信息隐私权保护提供了法律依据。
早在1974年,美国就制定了《隐私法》,后续有关个人信息安全的法律规范都是在这一法律前提下进行立法。
2015年10月,美国通过《网络安全信息共享法》进一步规定了个人隐私、自由等隐私权利的保护。
2018年7月加州通过的《2018加州消费者隐私法案》借鉴了多条GDPR的核心内容,被称为美国迄今“最严厉、最全面”的个人数据隐私保护法案。该法案将于2020年1月1日正式实施。
2018年7月,印度政府关于《个人数据保护法案》草案的研究也提上了日程。
2019年3月14日,荷兰发布GDPR惩罚细则,对罚款金额进行了具体分类。
澳大利亚近年来一直致力于修改联邦法案,增加对个人信息隐私权保护。
由此可见:欧盟《通用数据保护条例》(GDPR)不仅在欧盟成员国内引起了轩然大波,更是对世界各国的立法行动都产生了重大的影响。2019年1月21日,谷歌被曝因违反GDPR,被法国国家数据保护委员会处以5000万欧元的罚款。这并不是GDPR开出的第一张罚单,早在欧盟刚刚发布GDPR时就宣布,只有3%的企业符合该条例,Facebook、谷歌、苹果等巨头都被纳入重点监管的名单。SCA安全通讯联盟(始终关注安全通信和身份认证领域,为信息安全领域提供中立、专业的GDPR、网络安全等级保护、技术认证、合规的咨询和培训服务。)在此提示:作为中国出海企业,对此我们不应该仅是围观,学习GDPR,了解技术合规是时候该行动了。
END
PS:文章由SCA结合相关法律、媒体报道整理,转载请注明出处。