江苏商家违法收集2万多人脸信息被罚 或为全国首例

文章来源: - 新闻取自各大新闻媒体,新闻内容并不代表本网立场!
(被阅读 次)

日前,江苏省宿迁市一家健身中心因违法收集会员人脸照片信息,被宿迁市公安局宿豫分局责令限期整改,并处警告。这也是全国范围内,因违法收集人脸信息被处罚的案件首次公开曝光。有业内专家表示,该案具有“标杆意义”。

疫情催生健身热 民警日常检查发现违法线索

公安部官网数据显示,2019年,全国公安机关网安部门共侦破网络犯罪案件5.9万起,抓获犯罪嫌疑人8.8万名。今年,公安部开展“净网2020”专项行动,继续严打侵害公民个人信息违法犯罪。

宿迁市公安局网安支队二大队副大队长郑舒舒告诉南都记者,在“净网2020”的大背景下,公安机关网安部门一方面重点打击非法获取、出售公民个人信息的违法犯罪行为,另一方面也对重点行业、单位加强监督检查力度,对不履行个人信息保护义务的单位及时进行查处。

他介绍,受新冠肺炎疫情影响,广大群众的健身意识有所增强,去健身场所锻炼的人越来越多。宿豫分局网安大队民警在日常工作中发现,一些健身场所因为会员管理和运营需要,收集了包括姓名、手机号码、年龄等在内的大量个人信息,甚至是人脸照片、指纹等个人敏感信息。

“有些健身场所收集存储了会员的人脸照片,在出入口使用了基于人脸识别技术的闸机通道。‘人脸闸机’的使用确实给会员带来便利,也降低了健身场所的运营管理成本,但同时也带来一些安全隐患。”郑舒舒说。

一些健身场所使用人脸识别门禁。受访者供图。

一健身中心违法收集2万多名会员的人脸信息

今年4月,宿迁市公安局宿豫分局网安大队按照《公安机关互联网安全监督检查规定》的要求,对一家健身中心进行了现场监督检查。调查发现,这家健身中心有5家门店,共收集存储了20000多名会员的姓名、手机号码、人脸照片、指纹等个人信息。

郑舒舒介绍,这家健身中心涉及的网络安全违法行为主要有两个,其一是未履行网络安全保护义务。“具体来说,这个健身中心没有网络安全方面的管理制度和负责人,对使用的信息系统没有开展网络安全等级保护定级备案和安全测评,特别是没有个人信息保护方面的制度和规定。”

其二是未履行个人信息保护义务,在收集会员姓名、手机号码,特别是人脸照片、指纹等个人敏感信息的时候,没有向会员明确说明收集、使用这些信息的目的、用途,并取得会员的同意,同时对收集和存储的这些信息也没有采取防范网络攻击、网络入侵以及数据加密等安全保护技术措施,很容易造成信息泄露的后果。

5月7日,宿迁市公安局宿豫分局根据《中华人民共和国网络安全法》第四十一条、第四十二条第二款、第六十四条第一款之规定,对这家健身中心责令限期三十日内进行整改,并予以警告处罚。按照相关规定,整改期限届满后,公安机关还将对该健身中心的整改情况进行复查。

宿迁市公安局宿豫分局网安大队监督检查现场。受访者供图。

警方提醒:造成用户个人信息泄露或入刑

郑舒舒告诉南都记者,该案是宿迁市首次有单位因违法“采集人脸”被公安机关处罚。

南都记者梳理公开资料发现,在江苏全省乃至全国,均没有线下商家因违法违规收集人脸信息被公安机关处罚的公开先例。

此前,曾有一些线上App被有关部门约谈或处罚。例如在2019年9月,有网友发现一款名为“ZAO”的换脸应用要求获得用户的“人脸使用永久权”、隐私协议不规范,引发舆论热议。ZAO开发公司的负责人随后被工信部问询约谈。

郑舒舒表示,从以往的案件侦办情况来看,线下商家违法违规收集公民个人信息,造成个人信息泄露或非法提供、出售公民个人信息的情况,其实也比较突出。

“公安机关积极主动作为,值得称道。”《信息安全技术 个人信息安全规范》起草人之一、中国信息安全研究院副院长左晓栋认为,宿迁的这一案件“具有标杆意义”。

北京安理律师事务所高级合伙人王新锐告诉南都记者,加强个人生物识别信息的保护是国际趋势,中国的监管和执法机构对此也非常重视。目前,企业对于生物识别信息的重视程度还不够,在收集环节非常随意,而且往往直接收集并存储原始信息,存在较大的信息泄露的风险。

“这个案子带来的警示是,在个人信息收集、存储、使用等方面如处理不当,企业除了需民事责任以外,还可能面临行政处罚,甚至承担刑事责任的风险。涉及到人脸、指纹这些生物识别信息的收集和使用,一定要慎之又慎。”王新锐说。

郑舒舒则提醒,依照《中华人民共和国网络安全法》和新修订的《信息安全技术 个人信息安全规范》(2020年10月1日起施行)的规定,网络运营者在收集个人信息前,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。否则,将由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款等措施。情节严重的,还可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。此外,经监管部门责令采取改正措施而拒不改正,致使用户信息泄露,造成严重后果的,可能因涉嫌拒不履行信息网络安全管理义务罪,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金。

作为普通的公民、用户,该怎样保护自己的个人信息?“遇到有被收集个人信息特别是人脸、指纹、声纹等敏感信息的时候,一定要问清对方收集这些个人信息的目的、使用方式、范围、以及存储这些信息的安全措施。如果对被收集的个人信息后认为有误或者有异议,可以要求对方更正或者删除。“郑舒舒说。

延伸阅读:《中华人民共和国网络安全法》

第二十二条 网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。

网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。

第四十一条  网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。

第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。

网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

第六十四条  网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。