一年一度的央视315晚会占据了网络头条，个人隐私安全问题再次成为消费者的重点关注对象。晚会头两枪直指“人脸信息被商家偷走牟利”以及“个人简历被贩卖流入黑市”的案例，引发大众的强烈声讨。

人脸识别技术背后的个人隐私安全

315晚会曝光科勒卫浴多个门店均装有人脸识别摄像头，一旦顾客进行科勒卫浴的门店，人脸就会被捕捉，未来无论顾客前往哪一家门店，科勒门店都会知道。科勒卫浴销售主任表示：只要这个人逛过A店，B店如何去接待他，如何去做报价，我就有心理准备了。

提供这类人脸识别技术的涉事企业包括万店掌、悠络客、雅量科技、瑞为，厂商们表示，自家生产的人脸识别摄像头已经在全国安装了几千到上百万个不等，后台记录的人脸数据量高达上亿条。

其实，人脸识别的滥用早已惹起过争议。

2020年10月，浙江理工大学副教授郭兵因不接受杭州野生动物园需要人脸识别才能入园的强制规定，对其提起诉讼，该案也是国内的“人脸识别第一案”。

2021年春节前，杭州李小姐转了几个楼盘看中一套房子。为了享受优惠，她赶到一家中介机构，却遭到拒绝，“对不起，你已经被售楼处的人脸识别记录了，我们没法给你优惠。”

数安行DSO实验室安全专家介绍，实际上，商家运用人脸识别技术寻求精准化为顾客进行产品推荐、提升销售额等，已经成为该技术落地比较广泛的应用场景。但问题在于，面部特征等个人生物识别信息属于个人独有的生物识别信息，由于用户无法更改自己的人脸信息，一旦泄露，将严重威胁用户的隐私安全、财产安全甚至人身安全。而这些人脸技术宣传的“无感采集人脸”，是没有征求顾客同意的。

这又何止一个科勒？做人脸识别这样的最容易暴露生物特征的业务，如果法律监管不介入，人脸信息被滥用的趋势会更可怕。有多少写字楼的物业、有多少企事业单位，以安防的名义收集高精度人脸信息，面对这些安安静静地躺在自家单位的硬盘里的数据，当一张被标识清晰的人脸照片已经能卖到300多人民币，又有多少企业能守着这一金矿而不心动的？

《个人信息保护法（草案）》规定，在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的，不得公开或者向他人提供。

国家市场监管总局发布的《个人信息安全规范》规定，人脸信息属于生物识别信息，也属于个人敏感信息，收集个人信息时应获得个人信息主体的授权同意。

2021年1月1日正式实施的《民法典》第一千零三十五条明确规定，处理个人信息，应当遵循合法、正当、必要原则，不得过度处理，并应征得该自然人或者其监护人同意。

本来，人脸识别技术是为大家提供更加美好的生活，现在却成为了盗取个人隐私的工具。企业可以运用大数据寻找商机，而不是在消费者不知情的情况下随意收集、任意滥用。只有保障每一个人的信息安全，才能让大家安心享受技术的进步。

招聘平台大量简历流向黑市

另一个案例中，315记者调查，在一个名叫“58智联粉”的QQ群里，记者向一位卖家支付7元，便买到了一份智联招聘上求职者简历。简历上求职者的姓名、性别、年龄、照片、联系方式、工作经历、教育经历等信息一应俱全。

在智联招聘上，企业账户只要交钱办理会员，就可以不受数量限制下载包含姓名、电话及邮箱地址等关键信息的完整简历。同样在前程无忧和猎聘网上，企业账户支付一定的费用也能下载到求职者的完整简历。这些招聘网站对下载后的完整简历，均缺乏管理和监测。

这也不是个人简历第一次出事了。

2019年3月，简历大数据公司巧达科技被查封，源于其使用非法爬虫技术采集招聘网站的简历信息并非法牟利。

数安行DSO实验室安全专家表示，简历数据中，不仅包含个人的基本身份信息，还包含很多经历、爱好等非结构化信息，可加工为标签。通过简历数据与通讯录数据的贯通，实现用户数据的全面画像，甚至可以找出社会关系、组织、家庭关系等等，再将QQ、微信等社交平台账号融合，能做到的事情难以想象。

简历的流通涉及多个环节，招聘平台作为数据控制者，企业人力部门作为数据处理者，两者都有责任和义务做到个人信息的合规，而不是监守自盗。每个企业都有招聘需求，都有人力资源，那企业就应该履行个人信息保护的合规要求，这也凸显了个人信息合规市场的普及性。

对于不法之人的窃取、勾结或非法交易等行为，需要招聘平台坚持落实主体责任和风险控制，用心管理用户数据，妥善处理数据用途，小心甄别企业账户的真伪，加强数据流通的追踪和溯源，以及个人告知义务。

然而，仅仅依靠靠企业的制度约束或者与员工签订保密协议来保障个人隐私，效用是非常有有限的，来自监管层合规的强制约束力将更有效。企业及平台借助专业的第三方厂商的数据安全能力，对内部的数据做好常态化的梳理、追溯和防护等安全建设工作，逐渐成为一种更有益的趋势。

数字时代的个人隐私裸奔问题是顽疾  需要常态化治理

纵观近几年的315晚会，相关的曝光连年上演。

2020年，曝光了手机软件服务插件窃取用户隐私信息乱象，涉及国美易卡、遥控器、最强手电、全能遥控器、91极速购等50多款手机软件。2019年，曝光一种放在商场、超市、写字楼等地的“探针盒子”，在用户毫不知情的情况下搜集个人信息，甚至包括婚姻、教育程度，收入等大数据个人信息。另外，还有利用大数据“杀熟”行为，涉及出行、餐饮等多个生活领域。这些案例的核心关键词都直指近年大火的“数字化”。

随着互联网的发展，数字化转型成为社会共识，同一时间，也开启了数字时代个人隐私满天飞的大门。新型商业模式不断发展，数字化精准营销不断延展，大数据广泛开始运用在商业活动中，由于法律的滞后、技术的缺失、安全意识的淡薄，非法收集用户信息、用户数据泄露以及以用户数据为基础的互联网犯罪频发。

在数安行看来，数据安全的治理工作是一项长期而艰巨的工程。国家需要建立健全配套的法律法规，让从事数据业务的企业有章可循。国外在个人信息保护立法方面，或多或少走在了中国前面，如欧盟GDPR和加州CCPA，为个人信息保护提供法理依据，无一不是明确了责任、权利与处罚规则。

欧盟GDPR中文名叫《通用数据保护条例》，规定了企业如何收集、使用和处理欧盟公民的个人数据，在2018年5月25日正式生效。GDPR定义了隐私保护的七项基本原则，许可(Consent)、反对(Objection)、访问(Access)、清除(Erasure)、移动性(Portability)、安全(Security)和信息泄露通知(Breach notification)，并提出一系列更具操作性的要求与规范。执行保障机制方面，严重违反GDPR可能被处以2000万欧元或上年度全球年营业额4%的罚款，有着极大的威慑力。

加州CCPA中文名为《加利福尼亚州的消费者隐私法案》，已于2020年7月1日起正式实施。法律出台目的是当科技公司收集和使用数据时，赋予人们更多的信息和数据控制权。虽然是州际法律，但由于加州在美国及世界的经济份额很大，美国90%的互联网公司都集中在此，所以法规在全球都有很大的影响力。

日本APPI中文名是《个人信息保护法》，旨在保护公民的个人数据免遭泄露，丢失或损坏; 监督处理数据的员工; 和托管数据的第三方监督。在借鉴欧洲和美国的信息保护模式下，于2017年施行了新版法律。2019 年 1 月 23 日，欧盟委员会通过一项决定，允许个人数据在两个经济体之间自由流动，并提供强有力的保障。

有了法律的监管，企业需要依法满足合规和安全保障的要求，保护好自己的数据资产，也保护好用户的隐私；安全企业需要不断精进技术，为数字化转型提供更为匹配的安全能力；公众需要唤醒和培养自我保护意识，加强关注个人隐私安全。比如日常使用的App可能存在过渡索取权限的情况，使用一些娱乐化应用时主动提供人脸、指纹等生物信息，习惯让渡个人信息去交换获取一些便宜和便利，在社交网络上过渡、频繁地暴露个人信息、家庭情况等等，总之，希望大家在日常的点点滴滴中时刻保持警惕和安全意识。

数安行

北京数安行科技有限公司（简称数安行）是一家专注于面向企业数据业务流程，以数据运营安全为核心的新一代数据安全技术创新公司。核心团队平均拥有超过十年的数据安全系统研发、安全服务和市场经验，产品广泛适用于政府、金融、高端制造、互联网等多个行业客户。