在《個人信息保護法》實施三周年之際,南都大數據研究院對國內15家熱門博物館的線上預約系統進行實測。結果發現,部分博物館網絡預約系統存在個人信息安全隱患,包括未提供隱私政策或政策內容不全、過度採集用戶個人信息、個人信息難刪除等問題。
近年來,個人信息保護存在漏洞的案例頻出,但多發於商業領域,博物館一類商業屬性較弱的主體較少成為公眾重點警惕的對象。然而,姓名、身份證、電話、位置等個人核心隱私卻在一次次簡單的預約中被博物館「一網打盡」。
據南都報道,除了未提供隱私政策或政策內容不全的問題以外,還有博物館存在未告知就要收集個人信息的情況。《個人信息保護法》明確,處理個人信息應當取得個人同意,並且要以顯著方式、清晰易懂的語言真實、準確、完整地告知信息的處理目的、處理方式、保存期限等。
此外,本次測試的15家博物館中,只有兩家博物館僅需用戶提供姓名和電話號碼即可線上購票,其餘均要求遊客線上填寫身身份證號碼。《個人信息保護法》有「兩個最小」的規定:處理個人信息應當採取對個人權益影響最小的方式,應當限於實現處理目的的最小範圍,不得過度收集個人信息。南都報道中提到,實名預約是疫情時期為實現精準防控的一次預約制度升級,「如果單從這一點看,隨著疫情防控的降級,實名預約的前提其實已不存在。」
過度收集信息不僅有違相關法規,也加大了博物館處理信息的難度和工作量。此前,無錫市舉行了涉疫個人數據公開銷毀儀式,首批銷毀數據為10億條。信息收集的目的帶有階段性,當信息完成了「歷史使命」後理應及時刪除銷毀,相關部門更不應該保留原有的工作習慣持續收集不必要的個人信息。
面對博物館等帶有公共屬性的部門,不僅公眾的信任度較高、隱私保護敏感度較低,而且往往存在「不得不」的境況。在消費場景中,人們若不滿意商家的信息保護強度,尚能換一家消費。而文博場所提供的服務常常帶有唯一性,人們旅遊的重要目的地之一就是博物館,甚至不少人為了某件珍貴的展品奔赴一座城市。這種情況下即便遊客意識到其信息收集存在瑕疵,也不得不選擇忽視。
然而,這些公共部門的信息保護也並非無懈可擊。以往曾發生醫院內部人員利用工作便利倒賣新生兒、產婦信息的案例。此外,數月前鬧得沸沸揚揚的博物館黃牛搶票事件中,許多黃牛便是專門研髮針對博物館系統的黑客軟體完成搶票,預約系統存在漏洞,不免讓人產生關於遊客信息安全的隱憂。
近來不少人拿起法律武器捍衛隱私,但個人在這類案件中常面臨舉證能力不足等困境,為此,《個人信息保護法》明確將個人信息保護納入公益訴訟法定領域。不僅個人維權更加便利,也有監管部門整頓市場秩序的先例。1月,上海市網信辦依法對一批未有效履行消費者個人信息保護責任的企業進行了行政處罰。不論是從法律規定還是違規代價來看,相關事務都應該被提上博物館的工作日程。
保護個人信息安全沒有例外。況且這也並非難事,該說的說明白、不該收集的信息及時取消並銷毀、打通刪改信息和撤回同意的通道,同時強化信息加密與脫敏處理、完善信息分類管理和內部操作規程,不能因為守舊、怕麻煩就任由信息安全隱患持續存在。另外,也期待更多具體標準、指南的出台劃清權責邊界,進一步提升法律的有效性。