過度採集、隱私難刪……保護個人信息安全,博物館到位了嗎?
2021年11月1日,《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)正式施行,為我國個人信息保護提供了更具系統性、針對性和可操作性的法律遵循。三年來,各類數據處理者採取了哪些措施強化個人信息保護,面對人工智慧等技術帶來的新挑戰,有哪些應對舉措?
南都大數據研究院推出「《個人信息保護法》落地三周年」系列報道,從案例調查、應用實測、企業對話等方面,探討近年個人信息保護領域的新變化與新實踐,展望未來技術發展方向與挑戰。
第四期,對國內多家熱門博物館預約系統進行實測,看文博場館是否滿足相關法規要求,確保遊客個人信息安全。
近年「博物館熱」持續升溫,據國家文物局數據,2023年全國備案博物館接待觀眾12.9億人次,創歷史新高。海量的參觀人次,意味著海量的遊客數據。而網上預約進館,仍是目前不少熱門博物館把控人流的方式之一。那麼,各家博物館的參觀預約系統是否滿足《個人信息保護法》等相關法規要求,能否確保遊客個人信息安全?
在《個人信息保護法》實施三周年之際,南都大數據研究院聯合北京捷興信源信息技術有限公司,共同對國內15家熱門博物館的線上預約系統進行實測。結果發現,部分博物館網絡預約系統存在個人信息安全隱患,包括未提供隱私政策或政策內容不全、過度採集用戶個人信息、個人信息難刪除等問題。
南越王博物院等
未提供《隱私政策》
南越王博物院等
未提供《隱私政策》
今年暑期以來,陸續有博物館取消預約進館要求。但故宮博物院、南京博物院、廣東省博物館等不少熱門博物館出於控制客流等原因對全部或部分展區保留了線上實名預約機制,遊客必須提供身份證號、手機號碼等個人信息方可進館參觀。
南都大數據研究院選取了廣東省內及省外15家知名度較高、保留實名預約機制的博物館,作為個人信息安全測評對象,於10月下旬與北京捷興信源信息技術有限公司聯合開展測試。本次測試主要涉及兩大部分:一是考察博物館隱私政策中關於收集、使用、存儲和保護個人信息的描述是否清晰、準確和全面;二是檢測館方在收集、傳輸、刪除等重點環節中的個人信息安全風險。
15個測試對象中,7家博物館以網頁形式提供預約服務,8家博物館以微信小程序形式提供預約服務。結果顯示,無論網頁還是小程序,博物館預約系統的隱私政策披露情況都存在一定問題。
其中,以網頁形式提供預約服務的7家博物館中,南越王博物院、鴉片戰爭博物館、汕頭市博物館、佛山市祖廟博物館、清暉園博物館,以及省外的秦始皇帝陵博物院,共6家未能提供隱私政策。唯一設有隱私政策閱讀連結的陳家祠,內容全文也不到100字,僅表示個人信息的收集、使用和管理按照《廣州市網絡數據安全工作指引(試行)》辦理,未直接明示個人信息的具體去向和處理方式。
小程序方面,由於微信要求涉及處理用戶個人信息的小程序開發者,均需按標準化模板填寫《小程序隱私保護指引》,多數博物館預約小程序可在「設置-更多資料」中找到該指引文本。上海博物館雖未提供《小程序隱私保護指引》,但在預約小程序內公示了自行制定的《隱私說明》。
此外,故宮博物院等5家博物館不僅有《小程序隱私保護指引》,還自定了更詳細的《隱私協議》《數據隱私安全聲明》等隱私政策文本。不過,浙江省博物館、湖南博物院的《數據隱私安全聲明》僅在用戶首次登錄帳號時提供跳轉連結,已登錄的用戶無法在小程序內無法找回該隱私政策的閱讀入口。
預約河南博物館
未告知就要收集身份證號
預約河南博物館
未告知就要收集身份證號
測評團隊還發現,部分博物館的《小程序隱私保護指引》填寫情況較為簡單,僅列出手機號、微信暱稱等通過微信接口直接獲取的個人信息的場景和用途,但對真實姓名、身份證號等需用戶手動輸入的個人信息保護情況隻字不提。
以河南博物院為例,其《小程序隱私保護指引》中提及收集的個人信息僅有微信暱稱、頭像、手機號、照片或視頻信息。但在實際預約過程中,遊客還必須在小程序中額外填寫真實姓名和身份證件號碼。館方如何存儲和保護遊客姓名和證件信息,其未做任何說明。
河南博物院未在《小程序隱私保護指引》中提出收集用戶身份證件信息。
而浙江省博物館、湖南博物院、四川廣漢三星堆博物館雖在自行制定的隱私政策中提出個人信息收集範圍包括身份證等個人證件信息,但也都未在《小程序隱私保護指引》提出此點。四川廣漢三星堆博物館還在《小程序隱私保護指引》額外提出收集用戶位置信息,用於提供景點推薦服務,存在數據使用規則混淆情況。
廣東省博物館
查公益講解表都要填個人信息
廣東省博物館
查公益講解表都要填個人信息
《個人信息保護法》明確,收集個人信息,應當限於實現處理目的的最小範圍,不得過度收集個人信息。國家網信辦《移動網際網路應用程式信息服務管理規定》也提出,不得因用戶不同意提供非必要個人信息,而拒絕用戶使用其基本功能服務。
本次測試的15家博物館中,佛山市祖廟博物館、清暉園博物館收集的個人信息最少,用戶只需提供姓名和電話號碼即可線上購票。其餘博物館無論是否免費,均要求遊客線上填寫身份證件號碼。
其中,南越王博物院在王墓展區的購票頁面中還要求用戶填寫自己「是否黨員」。但南都記者查閱館方公示的票務細則,發現並沒註明關於填寫該項信息的用途。
此外,廣東省博物館的預約小程序中幾乎所有功能都必須完成實名登記後方可使用,無論是舉報黃牛,還是查看公益講解安排表,都強制要求登記個人信息。
身份證件號碼是否屬於預約進館參觀的必要個人信息?南京旅遊職業學院黨委書記葉凌波介紹,文旅景區實施預約制的基礎來自《旅遊法》第四十五條,是一種控制遊客數量,防止超過景區最大承載量的方法。「在新冠疫情暴發後,許多景區將預約制度升級為實名制,可以在疫情發生時迅速確認風險人群,實現精準防控。如果單從這一點看,隨著疫情防控的降級,實名預約的前提其實已不存在。」
泰和泰(深圳)律師事務所洪瑞成律師表示,《個人信息保護法》確定了個人信息收集的「最小必要原則」。通常情況下,遊客到文博場館參觀,館方只需要查驗其是否購票,或統計人流量,並沒有收集身份證號等敏感個人信息的必要性。當然,對於部分享受優惠票價的遊客,館方可以要求其出示相關證件進行核對,但也沒有儲存遊客個人信息的必要。廣東卓信律師事務所合伙人鄺敏維律師也認為,文博場館應儘可能減少個人信息的採集和存儲,有助於降低信息泄露方面的不必要風險,更好地保護遊客的隱私權。
秦始皇陵博物院等
個人信息難刪
秦始皇陵博物院等
個人信息難刪
此外,本次測試的多數博物館不允許用戶自行刪除歷史預約參觀記錄和已登記的個人信息。
《個人信息保護法》提出,基於個人同意處理個人信息的,個人有權撤回其同意。個人信息處理者應當提供便捷的撤回同意的方式。何為「便捷的撤回同意的方式」?根據國家標準《信息安全技術個人信息處理中告知和同意的實施指南(GB/T 42574-2023)》,個人信息處理者對撤回同意的機制設計需充分考慮個人操作的便捷性。通過交互式介面提供產品或服務的,可直接設置可操作的功能介面;沒有交互式介面的,可提供電話、郵箱等方式響應個人撤回同意的訴求。
各家博物館的預約網頁和小程序都屬於交互式介面,應當設置可操作的功能介面。然而,測評發現僅有浙江省博物館、湖南博物院、上海博物館、四川廣漢三星堆博物館在小程序內提供徹底註銷帳戶的功能入口。秦始皇陵博物院、河南博物院等無法自行刪除預約記錄。廣東省博物館的預約小程序雖提醒可在「常用參觀人」頁面刪除個人信息,但實測發現無論「常用參觀人」還是「個人信息」頁面,其中的個人信息都無法自行修改。
廣東省博物館預約小程序「常用參觀人」和「個人信息」頁面均無法修改個人信息。
此外,微信雖在「小程序-設置-小程序已獲取的信息」中,為用戶提供通知開發者刪除手機號等個人信息的功能。但此功能僅適用於開發者調用微信接口獲取的個人信息,用戶手動輸入的個人信息無法通過此功能通知開發者刪除。換言之,如果用戶希望博物館刪除全部個人信息,只能通過《小程序隱私保護指引》登記的聯繫方式,向館方提出訴求。
在洪瑞成律師看來,文博場館通過網頁、小程序等方式收集、處理遊客個人信息,便應當允許遊客撤回個人信息處理同意,允許遊客行使刪除權,刪除聯繫電話、身份證號、參觀記錄等個人信息,並且應當以「便捷」的方式提供此功能。
葉凌波建議,景區或預約平台應規範數據採集,遵循《個人信息保護法》等法律法規要求,控制數據訪問,確保只有授權人員才能訪問遊客的個人信息,設定合理的數據存儲期限,對超出期限後應及時刪除或匿名化處理。此外,還應對遊客的個人信息進行加密,確保存儲和傳輸過程中的信息安全,對敏感信息進行脫敏處理。
出品:南都大數據研究院
采寫:研究員 李偉鋒 實習生 紀依
設計:林泳希