今天国安部披露的两个案例,看得人后背发凉。一个是安保人员戴着智能手表跑步,结果把某国领导人的酒店位置给“跑”出去了;另一个更夸张,某品牌手环6460名用户的健身数据,竟然拼凑还原出48处核武器存储场所。这已经不是个人隐私泄露的小事,而是直接威胁国家安全的重大事件。
作为一名律师,我看完这两个案例,脑子里蹦出来的第一个问题是:智能穿戴设备收集的这些敏感数据,到底是谁在管、怎么管、管住了没有?
第一个关键问题:数据收集的“知情同意”形同虚设。 根据《个人信息保护法》第十三条,处理个人信息应当取得个人同意,而且这种同意必须是“自愿、明确”的。但现实中,绝大多数人买回智能手表手环,开机就是“下一步”“同意”,根本不会细看隐私条款。更严重的是,像地理位置、运动轨迹这类数据,属于《个人信息保护法》第二十八条规定的“敏感个人信息”,处理敏感信息需要取得“单独同意”。什么叫单独同意?就是不能跟其他条款混在一起勾选,得让用户单独确认。但有多少智能穿戴设备做到了这一点?从国安部披露的案例来看,显然没有。
第二个问题:数据匿名化处理的“伪安全”。 6460名用户的健身数据能还原出48处核武器存储场所,这说明什么?说明所谓的“匿名化”处理根本就是个笑话。把用户名字删掉、把ID号替换,不等于数据就安全了。当足够多的运动轨迹叠加在一起,结合公开的地理信息、卫星图像,完全可以逆向推导出敏感场所的精确位置。这涉及《数据安全法》第二十七条规定的“重要数据”保护义务。核武器存储场所周边产生的数据,明显属于重要数据甚至国家秘密,数据处理者应当采取更严格的管理措施。但显然,相关设备厂商并没有履行这种审慎义务。
第三个问题:数据跨境流动的监管漏洞。 很多智能穿戴设备的服务器在境外,国内收集的数据会实时上传到境外服务器。这就触发了《数据安全法》第三十一条和《网络安全法》第三十七条关于“重要数据出境”的管制规定。如果这些涉及国家安全的数据未经安全评估就传输到境外,那数据控制者可能面临严厉的行政处罚,甚至触犯刑法。
第四个问题:相关主体的法律责任怎么追? 从法律上讲,这件事涉及的责任链条很长。设备厂商如果没有履行数据安全保护义务,根据《数据安全法》第四十五条,最高可以处一千万元罚款,情节严重的还要责令暂停业务、停业整顿。如果数据泄露涉及国家秘密,相关责任人员可能构成《刑法》第三百九十八条的“故意或者过失泄露国家秘密罪”。至于那些戴着设备在敏感区域活动的个人,如果明知该区域涉及国家安全而故意记录、传输数据,也可能被追究法律责任。
最后想说,科技本身无罪,但用科技的人得有底线。智能穿戴设备给生活带来便利,但也给国家安全打开了一个新的“后门”。这个后门不堵上,今天泄露的是领导人位置和核设施坐标,明天可能就是更严重的后果。对普通用户来说,在涉密场所、敏感区域,该摘表摘表,该关机关机。对厂商来说,别光想着卖货,数据安全的法律红线,碰不得。
热门跟贴