原標(biāo)題：運(yùn)營商留存用戶照片，能確保安全嗎——作者：涂子沛

工信部近日表示，移動(dòng)電話新增用戶實(shí)名制已達(dá)100%，下一步，用戶到營業(yè)廳開卡，還要留存照片，以確保實(shí)名制的準(zhǔn)確性（10月20日央視新聞）。

對(duì)這個(gè)做法，我存有一定的擔(dān)心和疑慮。

首先，我擔(dān)心的是，數(shù)據(jù)就像一把雙刃劍，可以殺敵，反過來也可能傷及自身。

徐玉玉的悲劇大家還記憶猶新，其個(gè)人數(shù)據(jù)被錄入高考報(bào)名系統(tǒng)，騙子從黑客手中購買數(shù)據(jù)之后，實(shí)施了“精準(zhǔn)”詐騙。一年來，因數(shù)據(jù)泄露導(dǎo)致的詐騙事件，已經(jīng)頻繁見諸報(bào)端。

留存照片也面臨著同樣的風(fēng)險(xiǎn)。

人臉識(shí)別被視為下一代身份審核技術(shù)，正受到越來越多的人追捧，全世界很多高科技公司都在研發(fā)。相較于姓名、身份證號(hào)等數(shù)據(jù)，個(gè)人照片和指紋、虹膜、D N A一樣，識(shí)別度更高也更敏感。可以肯定，隨著人臉識(shí)別技術(shù)的進(jìn)步，個(gè)人臉部信息將和指紋一樣，成為一把新的“鑰匙”。

但這把“鑰匙”同樣可能被別有用心的人利用。

最近，美國北卡羅來納大學(xué)的研究者就通過社交網(wǎng)絡(luò)獲取用戶的照片，然后再利用V R技術(shù)，制作出用戶臉部的3D模型，僅僅憑借這個(gè)人臉模型，就騙過了5個(gè)臉部識(shí)別系統(tǒng)中的4個(gè)。我的擔(dān)心是，如果不法分子獲取了個(gè)人照片、住址、銀行賬號(hào)，將有“借臉”闖禁、“借臉”支付的風(fēng)險(xiǎn)，個(gè)人和社會(huì)就會(huì)為此付出高昂的代價(jià)。

大規(guī)模收集新數(shù)據(jù)、照片，應(yīng)當(dāng)持相當(dāng)謹(jǐn)慎的態(tài)度。

我認(rèn)為，對(duì)于大規(guī)模收集新數(shù)據(jù)的做法，特別是照片，應(yīng)當(dāng)組織專業(yè)人員對(duì)其風(fēng)險(xiǎn)和后果進(jìn)行充分的評(píng)估，在評(píng)估沒有結(jié)論的情況下，應(yīng)當(dāng)持相當(dāng)謹(jǐn)慎的態(tài)度。

運(yùn)營商留存用戶照片，是否合法？

其次，我的疑慮是，如果運(yùn)營商的確有必要留存用戶照片，這是否需要明確的法律授權(quán)、又是否需要征得用戶的明確同意？

我注意到，2013年實(shí)施電話實(shí)名制之初，工信部出臺(tái)了《電話用戶真實(shí)身份信息登記規(guī)定》的“部長令”，規(guī)定個(gè)人需提供“有效證件”，但并未對(duì)是否留存照片做出要求。2013年，工信部又推出了第24號(hào)令《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》，該規(guī)定指出，運(yùn)營商可以收集、使用的用戶信息包括：“姓名、出生日期、身份證件號(hào)碼、住址、電話號(hào)碼、賬號(hào)和密碼等能夠單獨(dú)或者與其他信息結(jié)合識(shí)別用戶的信息以及用戶使用服務(wù)的時(shí)間、地點(diǎn)等信息”。

規(guī)定全文也沒有明確提到照片。

那么，運(yùn)營商要留存的照片，是否屬“等”字之列，我們不得而知?？啥啻瘟⒎ǘ紱]有明確的問題，一個(gè)通知就定了，程序上是否充足、正當(dāng)？

更重要的是，作為主管部門的工信部，其發(fā)布部門規(guī)章，決定如何收集個(gè)人信息的權(quán)力同樣也受法律的制約。

2012年，全國人大通過了《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，該決定要求：“收集、使用公民個(gè)人電子信息，應(yīng)當(dāng)……明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。”

全國人大通過的決定是上位法，其法律效力自然要大于部門法規(guī)。也就是說，工信部發(fā)布的部門規(guī)章不能與全國人大的決定相抵觸。那么，工信部在決定要收集個(gè)人照片的過程中，又該如何征詢大眾的意見，保證“經(jīng)被收集者同意”這條法規(guī)不在現(xiàn)實(shí)中流于形式呢？

收集數(shù)據(jù)需用戶授權(quán)，已逐漸成為國際慣例。

事實(shí)上，收集數(shù)據(jù)需用戶授權(quán)，已逐漸成為國際慣例。10月27日，美國聯(lián)邦通信委員會(huì)將表決一項(xiàng)新隱私政策，提議互聯(lián)網(wǎng)企業(yè)使用或共享個(gè)人數(shù)據(jù)，包括網(wǎng)頁瀏覽記錄、地理位置數(shù)據(jù)等，需告知用戶目的并獲得同意。

甚至在數(shù)據(jù)收集之后，一家公司和另一家公司共享數(shù)據(jù)，也需要授權(quán)。今年8月，W hatsA pp將隱私條款更新為與母公司Facebook共享用戶數(shù)據(jù)即遭到強(qiáng)烈的反對(duì)。9月，德國漢堡數(shù)據(jù)保護(hù)及信息自由委員會(huì)命令Facebook停止該行為并刪除已共享數(shù)據(jù)。該委員會(huì)一名專員表示，F(xiàn)acebook共享數(shù)據(jù)必須征得用戶同意，但它沒這么做。

面對(duì)這么多限制，工信部是否做足了功課？

當(dāng)然，我們剛剛進(jìn)入大數(shù)據(jù)時(shí)代，必須承認(rèn)，不管是政府，還是社會(huì)，大家對(duì)數(shù)據(jù)收集可能產(chǎn)生的后果估計(jì)是普遍不足的；我們的法律法規(guī)還沒有形成體系，有很多不完善的地方。但同時(shí)，又有很多數(shù)據(jù)收集的行為卻在隱蔽地發(fā)生和進(jìn)行，如網(wǎng)上瀏覽痕跡、購買記錄這些互聯(lián)網(wǎng)數(shù)據(jù)被收集時(shí)，大多數(shù)人渾然不覺。而數(shù)據(jù)一經(jīng)收集，就會(huì)脫離被搜集人的個(gè)人掌控，就可能成為一些企業(yè)、機(jī)構(gòu)牟利的工具。

用“肆無忌憚”來形容當(dāng)下一些企業(yè)和機(jī)構(gòu)收集數(shù)據(jù)的行為，我認(rèn)為并不為過。

要阻止這種趨勢的泛濫，就有必要規(guī)范各級(jí)政府部門和各類商業(yè)公司的行為，即針對(duì)不同的主體劃出數(shù)據(jù)收集的禁區(qū)。

這方面，可以借鑒清單制度，尤其是“負(fù)面清單”，可以為數(shù)據(jù)收集畫出紅線、設(shè)立禁區(qū)。

1994年，北美自由貿(mào)易區(qū)生效并最早設(shè)立負(fù)面清單。李克強(qiáng)總理在談及自貿(mào)區(qū)建設(shè)時(shí)，曾詳解政府要拿出3張“清單”：權(quán)力清單，明確政府該做什么，做到“法無授權(quán)不可為”：“負(fù)面清單”，明確企業(yè)不該干什么，做到“法無禁止皆可為”：“責(zé)任清單”，明確政府該怎么管市場，做到“法定責(zé)任必須為”。

3張“清單”，劃清了行使權(quán)力的界限，“可為、不可為、必須為”一目了然。

我認(rèn)為，對(duì)個(gè)人而言，“法無禁止即可為”，公民可以大膽自由地行使權(quán)利；但對(duì)政府、企業(yè)而言，“法無授權(quán)即禁止”。這將有利于整個(gè)社會(huì)以最小的成本、最小的風(fēng)險(xiǎn)科學(xué)地收集數(shù)據(jù)，避免重復(fù)收集、過度收集和信息擾民。

更多百姓安全信息安全話題，請(qǐng)關(guān)注佰佰安全網(wǎng)安全資訊。