日前��,江蘇省宿遷市一家健身中心因違法收集會員人臉照片信息,被宿遷市公安局宿豫分局責令限期整改�����,并處警告��。這也是全國范圍內��,因違法收集人臉信息被處罰的案件首次公開曝光�����。有業(yè)內專家表示���,該案具有“標桿意義”�。
疫情催生健身熱
民警日常檢查發(fā)現(xiàn)違法線索
公安部官網(wǎng)數(shù)據(jù)顯示�����,2019年����,全國公安機關網(wǎng)安部門共偵破網(wǎng)絡犯罪案件5.9萬起,抓獲犯罪嫌疑人8.8萬名���。今年�����,公安部開展“凈網(wǎng)2020”專項行動���,繼續(xù)嚴打侵害公民個人信息違法犯罪���。
宿遷市公安局網(wǎng)安支隊二大隊副大隊長鄭舒舒告訴南都記者,在“凈網(wǎng)2020”的大背景下��,公安機關網(wǎng)安部門一方面重點打擊非法獲取��、出售公民個人信息的違法犯罪行為�����,另一方面也對重點行業(yè)����、單位加強監(jiān)督檢查力度���,對不履行個人信息保護義務的單位及時進行查處����。
他介紹,受新冠肺炎疫情影響����,廣大群眾的健身意識有所增強,去健身場所鍛煉的人越來越多�。宿豫分局網(wǎng)安大隊民警在日常工作中發(fā)現(xiàn),一些健身場所因為會員管理和運營需要����,收集了包括姓名、手機號碼��、年齡等在內的大量個人信息����,甚至是人臉照片、指紋等個人敏感信息����。
“有些健身場所收集存儲了會員的人臉照片,在出入口使用了基于人臉識別技術的閘機通道��?���!四橀l機’的使用確實給會員帶來便利��,也降低了健身場所的運營管理成本��,但同時也帶來一些安全隱患����?�!编嵤媸嬲f�。
一些健身場所使用人臉識別門禁(受訪者供圖)
一健身中心違法收集2萬多名會員的人臉信息
今年4月,宿遷市公安局宿豫分局網(wǎng)安大隊按照《公安機關互聯(lián)網(wǎng)安全監(jiān)督檢查規(guī)定》的要求�����,對一家健身中心進行了現(xiàn)場監(jiān)督檢查�����。調查發(fā)現(xiàn)����,這家健身中心有5家門店���,共收集存儲了20000多名會員的姓名�����、手機號碼���、人臉照片����、指紋等個人信息����。
鄭舒舒介紹,這家健身中心涉及的網(wǎng)絡安全違法行為主要有兩個���,其一是未履行網(wǎng)絡安全保護義務��?����!熬唧w來說�,這個健身中心沒有網(wǎng)絡安全方面的管理制度和負責人�,對使用的信息系統(tǒng)沒有開展網(wǎng)絡安全等級保護定級備案和安全測評�,特別是沒有個人信息保護方面的制度和規(guī)定���?�!?
其二是未履行個人信息保護義務�����,在收集會員姓名�����、手機號碼�,特別是人臉照片�、指紋等個人敏感信息的時候,沒有向會員明確說明收集��、使用這些信息的目的���、用途���,并取得會員的同意��,同時對收集和存儲的這些信息也沒有采取防范網(wǎng)絡攻擊、網(wǎng)絡入侵以及數(shù)據(jù)加密等安全保護技術措施��,很容易造成信息泄露的后果���。
5月7日���,宿遷市公安局宿豫分局根據(jù)《中華人民共和國網(wǎng)絡安全法》第四十一條、第四十二條第二款�����、第六十四條第一款之規(guī)定��,對這家健身中心責令限期三十日內進行整改�����,并予以警告處罰��。按照相關規(guī)定���,整改期限屆滿后���,公安機關還將對該健身中心的整改情況進行復查����。
宿遷市公安局宿豫分局網(wǎng)安大隊監(jiān)督檢查現(xiàn)場(受訪者供圖)
警方提醒:造成用戶個人信息泄露或入刑
鄭舒舒告訴南都記者�����,該案是宿遷市首次有單位因違法“采集人臉”被公安機關處罰�����。
南都記者梳理公開資料發(fā)現(xiàn)�,在江蘇全省乃至全國,均沒有線下商家因違法違規(guī)收集人臉信息被公安機關處罰的公開先例�。
此前,曾有一些線上App被有關部門約談或處罰�����。例如在2019年9月�,有網(wǎng)友發(fā)現(xiàn)一款名為“ZAO”的換臉應用要求獲得用戶的“人臉使用永久權”、隱私協(xié)議不規(guī)范����,引發(fā)輿論熱議�����。ZAO開發(fā)公司的負責人隨后被工信部問詢約談。
鄭舒舒表示����,從以往的案件偵辦情況來看,線下商家違法違規(guī)收集公民個人信息����,造成個人信息泄露或非法提供、出售公民個人信息的情況��,其實也比較突出�����。
“公安機關積極主動作為����,值得稱道?���!薄缎畔踩夹g 個人信息安全規(guī)范》起草人之一、中國信息安全研究院副院長左曉棟認為,宿遷的這一案件“具有標桿意義”����。
北京安理律師事務所高級合伙人王新銳告訴南都記者,加強個人生物識別信息的保護是國際趨勢���,中國的監(jiān)管和執(zhí)法機構對此也非常重視����。目前���,企業(yè)對于生物識別信息的重視程度還不夠�����,在收集環(huán)節(jié)非常隨意����,而且往往直接收集并存儲原始信息���,存在較大的信息泄露的風險����。
“這個案子帶來的警示是,在個人信息收集���、存儲�、使用等方面如處理不當��,企業(yè)除了需民事責任以外��,還可能面臨行政處罰���,甚至承擔刑事責任的風險。涉及到人臉��、指紋這些生物識別信息的收集和使用���,一定要慎之又慎�?����!蓖跣落J說�����。
鄭舒舒則提醒,依照《中華人民共和國網(wǎng)絡安全法》和新修訂的《信息安全技術 個人信息安全規(guī)范》(2020年10月1日起施行)的規(guī)定�����,網(wǎng)絡運營者在收集個人信息前�,應當遵循合法、正當���、必要的原則�,公開收集���、使用規(guī)則�����,明示收集�����、使用信息的目的�����、方式和范圍���,并經(jīng)被收集者同意���。否則,將由有關主管部門責令改正�,可以根據(jù)情節(jié)單處或者并處警告、沒收違法所得���、處違法所得一倍以上十倍以下罰款等措施��。情節(jié)嚴重的,還可以責令暫停相關業(yè)務���、停業(yè)整頓����、關閉網(wǎng)站��、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照����。此外,經(jīng)監(jiān)管部門責令采取改正措施而拒不改正�,致使用戶信息泄露��,造成嚴重后果的�,可能因涉嫌拒不履行信息網(wǎng)絡安全管理義務罪�,處三年以下有期徒刑、拘役或者管制��,并處或者單處罰金���。
作為普通的公民���、用戶,該怎樣保護自己的個人信息�����?“遇到有被收集個人信息特別是人臉�����、指紋�����、聲紋等敏感信息的時候�����,一定要問清對方收集這些個人信息的目的、使用方式�、范圍、以及存儲這些信息的安全措施��。如果對被收集的個人信息后認為有誤或者有異議����,可以要求對方更正或者刪除?���!班嵤媸嬲f��。
延伸閱讀:
《中華人民共和國網(wǎng)絡安全法》
第二十二條 網(wǎng)絡產(chǎn)品���、服務應當符合相關國家標準的強制性要求�。網(wǎng)絡產(chǎn)品�����、服務的提供者不得設置惡意程序��;發(fā)現(xiàn)其網(wǎng)絡產(chǎn)品、服務存在安全缺陷����、漏洞等風險時,應當立即采取補救措施���,按照規(guī)定及時告知用戶并向有關主管部門報告�。
網(wǎng)絡產(chǎn)品��、服務的提供者應當為其產(chǎn)品����、服務持續(xù)提供安全維護;在規(guī)定或者當事人約定的期限內�����,不得終止提供安全維護�����。
網(wǎng)絡產(chǎn)品����、服務具有收集用戶信息功能的���,其提供者應當向用戶明示并取得同意;涉及用戶個人信息的����,還應當遵守本法和有關法律、行政法規(guī)關于個人信息保護的規(guī)定���。
第四十一條 網(wǎng)絡運營者收集���、使用個人信息,應當遵循合法����、正當、必要的原則����,公開收集�、使用規(guī)則,明示收集���、使用信息的目的�、方式和范圍,并經(jīng)被收集者同意�����。
網(wǎng)絡運營者不得收集與其提供的服務無關的個人信息����,不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集��、使用個人信息����,并應當依照法律、行政法規(guī)的規(guī)定和與用戶的約定�����,處理其保存的個人信息��。
第四十二條 網(wǎng)絡運營者不得泄露����、篡改�����、毀損其收集的個人信息�;未經(jīng)被收集者同意����,不得向他人提供個人信息。但是�,經(jīng)過處理無法識別特定個人且不能復原的除外。
網(wǎng)絡運營者應當采取技術措施和其他必要措施�,確保其收集的個人信息安全�����,防止信息泄露�、毀損��、丟失�。在發(fā)生或者可能發(fā)生個人信息泄露���、毀損、丟失的情況時��,應當立即采取補救措施����,按照規(guī)定及時告知用戶并向有關主管部門報告��。
第六十四條 網(wǎng)絡運營者�����、網(wǎng)絡產(chǎn)品或者服務的提供者違反本法第二十二條第三款���、第四十一條至第四十三條規(guī)定��,侵害個人信息依法得到保護的權利的�,由有關主管部門責令改正�����,可以根據(jù)情節(jié)單處或者并處警告����、沒收違法所得、處違法所得一倍以上十倍以下罰款���,沒有違法所得的,處一百萬元以下罰款��,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款�;情節(jié)嚴重的�,并可以責令暫停相關業(yè)務�����、停業(yè)整頓�、關閉網(wǎng)站��、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照��。
