文 | 涂子沛(微信公号:涂子沛频道)
工信部近日表示,移动电话新增用户实名制已达100%,下一步,用户到营业厅开卡,还要留存照片,以确保实名制的准确性。
对这个做法,我存有一定的担心和疑虑。
首先,我担心的是,数据就像一把双刃剑,可以杀敌,反过来也可能伤及自身。
徐玉玉的悲剧大家还记忆犹新,其个人数据被录入高考报名系统,正因为骗子从黑客手中购买了数据,实施了“精准”诈骗。一年来,因数据泄露导致的诈骗事件,已经频繁见诸报端。
留存照片也存在同样的风险。人脸识别被视为下一代身份审核技术,正受到越来越多人的追捧,全世界很多高科技公司都在研发。相较于姓名、身份证号等数据,个人照片和指纹、虹膜、DNA一样,识别度更高、也更敏感。可以肯定,随着人脸识别技术的进步,个人脸部信息将和指纹一样,成为一把新的“钥匙”。
但这把“钥匙”同样可能被别有用心的人利用。最近,美国北卡罗纳大学的研究者就通过社交网络获取用户的照片,然后再利用VR技术,制作出用户脸部的3D模型,仅仅凭借这个人脸模型,就骗过了5个脸部识别系统中的4个。我担心的是,如果不法分子获取了个人照片、住址、银行账号,将有“借脸”闯禁、“借脸”支付的风险,个人和社会将会为此付出高昂的代价。
我认为,对于大规模收集新数据的做法,特别是照片,应当组织专业人员对其风险和后果进行充分的评估,在评估没有结论的情况下,应当持谨慎的态度。
其次,我的疑虑是,如果运营商的确有必要留存用户照片,这是否需要明确的法律授权、又是否需要征得用户的同意?
我注意到,2013年实施电话实名制之初,工信部出台了《电话用户真实身份信息登记规定》的部长令,规定个人需提供“有效证件”,但并未对是否留存照片做出要求。2013年,工信部又推出了第24号令《电信和互联网用户个人信息保护规定》,该规定指出,运营商可以收集、使用的用户信息包括:“姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息”。
这份规定的全文也没有明确提到照片。那么,运营商要留存的照片,是否属“等”字之列,我们不得而知。可多次立法都没有明确的问题,一个通知就定了,程序上是否充足、正当?
更重要的是,作为主管部门的工信部,其发布部门规章,决定如何收集个人信息的权力同样也受法律的制约。
2012年,全国人大通过了《关于加强网络信息保护的决定》,该决定要求:“收集、使用公民个人电子信息,应当……明示收集、使用信息的目的、方式和范围,并经被收集者同意。”
全国人大通过的决定是上位法,其法律效力自然要大于部门法规。也就是说,工信部发布的部门规章不能与全国人大的决定相抵触。那么,工信部在决定要收集个人照片的过程中,又该如何征询大众的意见,保证“经被收集者同意”这条法规不在实践中流于形式呢?
事实上,收集数据需用户授权,已逐渐成为国际惯例。10月27日,美国联邦通信委员会将表决一项新隐私政策,提议互联网企业使用或共享个人数据,包括网页浏览记录、地理位置数据等,需告知用户目的并获得同意。
甚至在数据收集之后,一家公司和别一家公司共享数据,也需要授权。今年8月,WhatsApp将隐私条款更新为与母公司Facebook共享用户数据即遭到强烈的反对。9月,德国汉堡数据保护及信息自由委员会命令Facebook停止该行为并删除已共享数据。该委员会一名专员表示,Facebook共享数据必须征得用户同意,但它没这么做。
面对这么多限制,工信部是否做足了功课?
当然,我们刚刚进入大数据时代,必须承认,不管是政府,还是社会,大家对数据收集可能产生的后果估计是普遍不足的;我们的法律法规还没有形成体系,有很多不完善的地方。但同时,又有很多数据收集的行为却在隐蔽地发生和进行,如网上浏览痕迹、购买记录等等,这些互联网数据被收集时,大多数人浑然不觉。而数据一经收集,就会脱离被搜集人的个人掌控,往往成为一些企业、机构谋利的工具。
用“肆无忌惮”来形容当下一些企业和机构收集数据的行为,我认为并不为过。要阻止这种近乎泛滥的趋势,就有必要规范各级政府部门和各类商业公司的行为,即针对不同的主体划出数据收集的禁区。
这方面,可以借鉴清单制度,尤其是“负面清单”,可以为数据收集划出红线、设立禁区。
1994年,北美自由贸易区生效并最早设立负面清单。李克强总理在谈及自贸区建设时,曾详解政府要拿出3张“清单”:权力清单,明确政府该做什么,做到“法无授权不可为”;“负面清单”,明确企业不该干什么,做到“法无禁止皆可为”;“责任清单”,明确政府该怎么管市场,做到“法定责任必须为”。
3张“清单”,划清了行使权力的界线,“可为、不可为、必须为”一目了然。
我认为,对个人而言,“法无禁止即可为”,公民可以大胆自由地行使权利;但对政府、企业而言,“法无授权即禁止”,必须戴着镣铐跳舞。这将有利于整个社会以最小的成本、最小的风险科学地收集数据,避免重复收集、过度收集和信息扰民。
原题目《三大运营商要留存用户照片,工信部应做足功课》