今年央视3·15晚会曝光了人脸数据滥用、个人简历泄露、老年人手机里的安全陷阱、搜索之病、又见瘦肉精、追踪“瘦身”钢筋、名表维修猫腻多、福特翼搏变速箱生锈内幕、英菲尼迪QX60变速箱故障频发等九大问题。尤其互联网行业成为3·15晚会上半场的重点曝光对象,前四个被点名的案例都与互联网有关。在大数据时代,一旦个人信息和隐私得不到保护,我们是否将“一丝不挂”?被“围猎”的用户应由谁来保护?为此,北京青年报记者邀请中消协专家委员会专家、中国政法大学传播法研究中心副主任朱巍和中国政法大学知识产权中心特约研究员、北京云嘉律师事务所律师赵占领进行相关法律解读。
案例 1
安装人脸识别摄像头“偷”走你的脸!
有公司已积累上亿条信息
监控摄像头在我们的生活中几乎已经无所不在,但你也许不知道,有些商家所安装的摄像头看似普通,却暗藏玄机。
2021年央视3·15晚会开播,节目内容涉及人脸识别。记者在全国多地先后调查了20多家装有人脸识别系统的商户,所到之处,人脸识别信息均被偷偷获取,没有一个商家明确告知,征得同意更是无从谈起。之后,科勒卫浴、宝马4S店等多个企业被点名,被曝收集顾客人脸信息。
节目中提到,苏州万店掌公司能够提供人脸营销解决方案,人脸识别率非常高。上海悠络客电子有限公司同样安装了很多人脸识别系统。
比如,在无锡宝马汽车4S店记者发现了瑞为公司的人脸识别摄像头。在港汇恒隆Max Mara专卖店,记者看到了万店掌公司的摄像头。科勒卫浴也在全国上千家门店安装了具有人脸识别功能的摄像头,消费者只要进了其中一家店,在不知情的情况下,就会被摄像头抓取并自动生成编号,以后顾客再去哪家店,去了几次,科勒卫浴都会知道。人脸信息属于个人独有的生物识别信息,一旦泄露,将严重威胁用户的财产安全、隐私安全等。
记者注意到,科勒卫浴的摄像头上标注着“万店掌”字样。除了苏州万店掌公司,悠络客电子科技股份有限公司、广州雅量智能技术有限公司、深圳瑞为信息技术有限公司等同样为不少商家安装了人脸识别系统。其中,悠络客电子科技股份有限公司经理透露,“这种摄像头已经安装了几十上百万个了。”苏州万店掌网络科技有限公司薛经理告诉记者,他们平台目前拥有的人脸数据量已经上亿。
国家市场监管总局发布的《个人信息安全规范》明确规定,收集人脸信息时应获得个人信息主体的授权同意。
3月16日,科勒(中国)投资有限公司就央视3·15晚会中,关于科勒门店摄像设备采集人脸信息发布致歉声明。科勒公司表示已安排相关门店连夜拆除摄像设备。MaxMara也回应称,安装人脸识别摄像头仅提供访问店内人数,目前已移除。
专家解读 人脸信息属于高度敏感个人信息,收集违法出售就涉犯罪
中消协专家委员会专家、中国政法大学传播法研究中心副主任朱巍表示,“生物识别信息”属于核心隐私即敏感信息,它包含着“人脸识别”。在法律上,“人脸识别”是隐私信息和个人信息,未经允许是不能被随意使用的。其次,现在正在征求意见的《个人信息保护法(草案)》中所提及的行踪轨迹信息以及人脸识别信息等都属于我们的核心隐私。
朱巍表示,人脸并不是单纯指人的长相,而是将人脸作为一把钥匙进而抓取到个人的行为轨迹、身份信息以及消费记录等相关信息。从目前掌握的材料来看,我们无法得知这些信息他们是怎么处理的,有无将信息打包出售给别人。如果这样做的话,按照2017年6月1日两高出台的《侵犯公民个人信息犯罪司法解释》来看,出售50条以上的核心隐私即敏感信息就属于犯罪。反之,如果没有这样做的话,是属于侵害公民个人隐私的行为,不构成犯罪。事实上,不管这些企业有没有售卖个人信息,按照司法解释的相关规定,非法采集本身就属于违法行为,这是一个很严重的问题。
中国政法大学知识产权中心特约研究员、北京云嘉律师事务所律师赵占领表示,人脸信息属于生物特征信息,属于高度敏感的个人信息,收集此类个人信息需要遵循正当、合法、必要原则,明确告知收集的目的、使用方式并经过用户同意方可。3·15晚会所曝光的案件中,商家都没有遵守法律规定,属于违法收集个人信息。至于科勒公司声明回应只是为了统计到店人数,这可能并非真实目的,实际应该是为了收集用户详细个人信息,以便为业务人员提供更有针对性的营销策略。而且,即使出于统计人数目的,收集顾客人脸信息也违背必要原则,也没有依法告知并经用户同意。
案例 2
招聘平台简历信息成商品
有人硬盘里存着700万条简历信息
智联招聘声称拥有1.8亿用户,视用户信息安全与隐私保护为自己“生命线”。然而在一个名叫“58智联粉”的QQ群里,记者向一位买家支付7元,便买到了一份智联招聘上求职者简历。简历上求职者的姓名、性别、年龄、照片、联系方式、工作经历、教育经历等信息一应俱全。
这些个人简历是如何被泄露并在QQ群里被贩卖的呢?记者发现,在智联招聘上,企业账户只要交钱办理会员,就可以不受数量限制下载包含姓名、电话及邮箱地址等关键信息的完整简历。记者还发现,还有人在兜售智联招聘的企业账户。企业账户的注册,伪造的资质申请也可以通过。
类似的问题不仅仅发生在智联招聘。记者发现,前程无忧和猎聘网上,企业账户只需支付费用,便可以下载到求职者的完整简历,对企业账户同样存在管理漏洞。
警方调查发现,犯罪分子一方面通过企业账户获取简历;另一方面通过QQ群,批量购买简历。通过这样的途径,大量的个人简历信息,源源不断地流入了不法分子的黑手。近年来,各地警方破获多起类似案件,在其中一个嫌疑人的一块硬盘当中,存储的这种公民简历数量就有700多万条。
3·15晚会曝光后,涉事企业对此纷纷作出回应。智联招聘表示已成立专项团队,将对相关内容进行调查处理。猎聘称已成立专项小组,彻查简历被不法分子非法售卖的行为。前程无忧表示决定成立信息安全管理委员会,进一步升级各项信息安全及数据安全管理制度,严格企业黑名单制度,升级相关监测与干预机制。
专家解读 可借鉴滴滴、美团隐私面单的方式保护个人信息
朱巍表示,这些平台获取的信息和“人脸识别”有所差异。人脸识别信息绝大部分只是大数据信息,它没有与平台用户一一匹配,所以它涉及到的更多是一个侵权问题。但是像智联招聘这些平台信息可能触及到犯罪问题。
朱巍认为,这些平台面掌握的是用户的电话号码、身份信息、简历资料等信息,况且他还拿出去非法售卖,这就属于典型的犯罪行为即侵犯公民个人信息犯罪。智联招聘虽没有直接出售用户信息,但企业账户是在智联招聘上下载用户信息进而售卖的。
“智联招聘如果没有采取相应的安全保障措施,明知道别人可能会这样做,还提供技术支持,这就属于帮信罪即帮助信息网络犯罪活动罪。”帮信罪为《刑法修正案(九)》所增设,作为《刑法》第287条之二的帮助信息网络犯罪活动罪规定:“明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”
“求职者将简历上传至平台,平台应该履行安全保障义务,至少不能让求职者信息里面的私密信息被四处散播,为电信诈骗提供一个摇篮。”朱巍表示,从技术层面考虑,这些平台也可以借鉴滴滴打车、美团外卖这些App采取隐私面单的方式保护用户个人信息。
赵占领表示,个人简历中包含了姓名、联系方式、教育背景、工作经历等,不仅包含了个人信息,也有隐私信息。民法典、网络安全法等法律法规及国家标准对此有非常明确的界定。但是保护个人简历不被非法获取及倒卖却非常困难,这跟网络招聘行业的商业模式有直接关系。
赵占领称,关于下载用户简历方面,目前网络招聘行业有两种商业模式:第一类是无需当事人同意即可下载简历,比如央视3·15晚会曝光的智联、前程无忧等,第二类是需要当事人授权才能点对点发送简历。前者之所以出现注册企业账号大量下载然后倒卖个人简历的情况,主要根源在于其商业模式是以“简历下载”为会员服务内容,只要付费即可下载简历,至于下载简历之后如何使用则疏于管理,事实上也难以管理和控制,同时下载时并未经过求职者同意也未告知求职者。所以要想从根本上堵住个人简历随意下载及倒卖的漏洞,关键还是需要招聘平台提高技术和服务、改变“卖简历”的传统盈利模式。
赵占领认为,招聘平台允许企业付费用户下载简历这种商业模式尽管未被法律禁止,但是招聘平台需要履行其相应的管理义务,一是让真正有招聘需求的单位下载简历,二是下载之后不被随意售卖和非法利用。当然,这两者都不易做到,但是下载时至少要告知求职者甚至经过其同意。招聘平台也需要通过增加技术和投入提高审核能力,避免存在假冒、借用其他企业的证照注册会员,同时打击黑色产业链也需要全社会的共同努力。
案例 3
手机清理软件黑手伸向老人
越用越慢、垃圾越来越多
步入数字经济时代,老年人手机中存在诸多“安全陷阱”。在老年人使用手机过程中,手机经常弹出“安全提示”,又或者是“诱人广告”——如红包抢钱等,这些手机App打着手机安全的旗号,利用老年人群体对手机知识不熟悉,对网络安全意识的缺乏牟利。
3·15晚会的报道中,70多岁的李女士通过智能手机看新闻、小说时,手机屏幕总会自动蹦出一些“安全提示”:“病毒”“垃圾”“内存严重不足”,按照提示李女士清理了手机,但她发现这些“安全提示”越清理越多,手机越用越慢。
中国电子技术标准化研究院网安中心的专家对这一现象进行了监测,在一款小说阅读软件里,正常阅读过程中出现了“安全清理”提示,工作人员点击后,下载安装了一款叫“内存优化大师”的App,自动清理过程中又继续蹦出“清理手机缓存”提醒,点击后,手机又下载安装了“超强清理大师”。不断“提醒、下载、清理”,同样路径接力重复,手机上接着又安装了“智能清理大师”和“手机管家Pro”。然而测试人员对“手机管家Pro”进行测试后发现,这款App表面上看起来是在清理手机垃圾,背地里实则在不断偷偷大量获取手机里的信息。
工作人员提示:这些数据信息对老人们进行用户画像,给他们打上“容易被误导和诱导”的群体标签。于是,各种低俗、劣质,甚至带有欺骗套路的广告和内容就会源源不断地推送到老人的手机上,使得一些老年人上当受骗。
3·15晚会曝光后,上海市通信管理局对此表示高度重视,将对上海苏帕科技有限公司开展调查,启动相关预案,组织技术支撑单位对同类型手机清理软件进行排查检测,对类似问题要求整改。手机管家Pro开发商安狗狗道歉,称将严肃处理3·15曝光的相关问题,切实履行相关责任。
专家解读 应始终保持严厉打击态势并开展网络安全教育
朱巍认为,这是一个典型的通过让用户安装恶意软件的方式实施的诈骗。年轻人通常是不会上当的,受骗的多是老年人。截至2020年12月,中国网民规模达9.89亿,较2020年3月增长8540万,互联网普及率达70.4%。现在网民比例大幅度提升,作为开源类的安卓系统应该反思一下自身的安全系数。再者,这么长时间了,记者都发现了,平台不知道?所以说平台应及时负责地处理用户投诉。
此外,如果老年人因此受到损失,开发者和经营者都负有责任。
赵占领表示,这些手机清理软件以安全名义恐吓缺乏相关知识的老年用户,诱导其下载软件或者不断进行清理手机的操作,在此过程中未经其同意收集用户个人信息,或者恶意诱导用户点击广告,这种行为都属于典型的违法行为,情节非常恶劣,依法应该予以严惩。但是,老年用户群体庞大,多数欠缺上网安全知识,如何保护其合法权益确实是个难题,3·15维权高峰期过后,这些行为很可能还会死灰复燃。因此,整治此类违法行为,需要建立常态化执法机制,始终保持严厉打击态势,同时也需要对老年用户开展上网安全教育,增强其防范意识。
案例 4
搜索引擎为无资质公司投虚假医药广告
浏览器医药广告造假链条曝光
央视3·15晚会曝光了搜索广告乱象。根据晚会曝光的信息,记者在UC浏览器上搜索“减肥”“降血糖”等关键词,搜索结果的前几条都是网友分享治好疾病经历,下方标注着广告字样。
广告里网友自称,自从认识某老师,按照老师给的方子,血糖恢复稳定,胰岛素都停用了。文章中多次醒目标红老师的微信号。记者微信添加了这位老师,对方简单询问过病情后,就向记者推荐“白背三七诺丽果粉”。记者发现,这只是一款普通食品。
不仅是UC浏览器,在360搜索也有不少类似的广告。在360上海广告总代理经格网络科技有限公司,销售经理称:“在网站里面不能有任何品牌。把微信推给人去聊聊,聊完之后卖产品。”对于这样的广告违规不少代理公司心知肚明。就算对方没有资质,广告也能投放出去。记者只提供了一个微信号和产品类型,代理公司很快就制作出一篇内容为减肥、降血糖的自述广告和一篇有问必答、快速问医师的专家答疑广告。
专家子虚乌有,疗效神乎其神,评论也是事先写好的,就连点赞数量也可以根据需要任意设定。交了钱就能上,记者在UC浏览器和360搜索上进行搜索,果然找到了代理公司制作的这两则虚假广告。
此外,根据央视3·15晚会信息,商家在知名医院名称中加空格,就可以在搜索引擎上投放与该知名医院无关的医院广告。
针对医疗广告代理商造假违规操作的问题,360搜索晚间回应称,高度重视,并在第一时间成立调查组,对涉事代理商及相关账号进行彻查。对于违法违规行径,必将严肃处理。由此给消费者带来的困扰,深表歉意。同时,作为平台方我们应进一步加强对广告代理商的监管,强化广告内容的审核,切实履行平台责任。
3·15晚会曝光后,360连夜发表声明称,将彻查涉事代理商,强化广告审核。紧接着UC致歉,称即刻停止与相关代理商的合作,严格清查相关违规行为。UC表示未来将进一步强化平台的审核治理与责任担当,以更严格的标准为用户提供优质的信息服务。
专家解读 搜索引擎企业付费推广机制存在漏洞或故意规避法律
朱巍表示,医疗广告并非不能做,但是在做的过程中要有个底线。所谓底线就是,平台应通过正规的方式做,而非通过关键词偷梁换柱的方式做。现阶段,我国医疗广告发布必须得是省级的卫计委和省级医疗广告审核部门去审,先审后发,而且有“八准八不准”的规定。因此,事实上,我们国家关于医疗广告的相关规定非常严格,但在实践中却变成了特别严格的立法,普遍违法和选择性执法,从而导致了乱象。现在医疗广告是个痛点,民营医院需要做广告,但通过合法的渠道又做不了,那就出现了各种各样的投放广告的方法。
目前360和UC从平台责任上来说,首先,更换偷换关键词,这不是自然搜索的结果,是一个竞价排行的结果,这属于虚假宣传。其次,在广告宣传领域中,医疗广告、卫生及保健品广告和食品广告,这本身就是个宣传的禁区。软文变成医托,通过付费搜索引擎、短视频等方式引流,这个产业链就是不良产业链,应严令禁止。
赵占领表示,虽然虚假医疗广告的行为具体由搜索引擎企业或者浏览器企业的广告代理商所为,但是搜索引擎企业或浏览器企业是广告经营者和广告发布者,依据广告法都应该尽到审核广告主的资质和广告内容真假、合法与否的法定义务。
同时,搜索引擎企业的付费推广机制存在着漏洞或者可能是故意规避法律,只要用户搜索的关键词中包含着某个通用词语,依然可以触发广告主所设置的付费搜索广告,这种行为还涉嫌侵犯其他企业的商标专用权,或构成不正当竞争。
文/本报记者 朱健勇 实习生 闫书瑜