严防、坚守、巧治,有效破解幼儿信息滥用

2022-05-19 05:41徐莹莹王海英
东方娃娃·保育与教育 2022年5期
关键词:个人信息信息安全信息

徐莹莹 王海英

随着大数据时代的到来,个人信息滥用已成为当今社会的一大顽疾,即便是不谙世事的幼儿也在所难免。医院工作人员为获取经济利益非法销售幼儿信息,网络黑客攻击幼儿产品销售网站非法窃取幼儿信息,幼儿园为制作“身份卡”违规收集幼儿血型和DNA,教育机构为工作便利公开张贴幼儿体检结果……幼儿信息滥用不仅侵犯幼儿隐私权,伤害幼儿自尊心、影响幼儿心理健康和人格发展,还可能引发针对幼儿及其家庭的经济诈骗和人身绑架,损害幼儿及其家庭的切身利益。作为现代法律体系中独立的权利主体,幼儿与成人一样拥有完整的人格和尊严,享有个人信息受保护的权利;作为年龄幼小的社会成员,幼儿生理和心理处于未成熟状态,缺乏辨识能力、自我保护能力和寻求救助的能力,更需要家庭、社会、政府共同承担保护幼儿信息安全的责任。

一、严防:重在提升家长的防护意识

作为信息主体,幼儿拥有信息处理的自决权、知情权等权利。但因为年龄较小,一般由家长代替幼儿行使其权利。破解幼儿信息滥用,重点之一在于提升家长的幼儿信息安全防护意识。

1.避免主动暴露幼儿信息

常有家长在朋友圈、抖音、微博中 “晒”幼儿照片、视频,也有家长在与陌生人的谈话中透露幼儿出生日期和活动轨迹,这反映出家长在幼儿信息内容和信息处理上存在着盲点。我国《信息安全技术个人信息安全规范》中提出,凡是能够识别自然人身份或反映自然人活动情况的信息都属于个人信息,包括姓名、身份证件号码、健康生理信息等;美国《儿童网络隐私保护法》提出:儿童信息还包括儿童的地理位置、照片或图像、视频和音频。在知晓幼儿信息具体内容的基础上,家长应注意对幼儿信息的保护,避免将上述信息暴露于公共环境。另外,家长代替幼儿行使个人信息权时,应以尊重幼儿的意愿为前提,涉及幼儿隐私的内容,家长应争取幼儿的同意。法国《国内数据保护法令》规定:未经同意私自公开幼儿私生活,家长最重可获1年监禁并处4.5万欧元罚款。虽然我国并未出台相关规定,但家长应从保护幼儿的角度出发,自觉克制未经幼儿允许私自暴露幼儿信息的行为。

2.拒绝幼儿信息过度收集

拒绝幼儿信息过度收集,可有效避免幼儿信息滥用。家长应做到两点:第一,确定信息收集者的身份和目的。幼儿信息收集主体复杂、目的多样,家长应查验信息收集者的身份,拒绝向身份不明、身份不合法的主体提供信息;应辨明信息收集的目的,拒绝不合法、不合理的信息收集。第二,确定信息收集的内容。确定信息收集的内容与目的一致,确定对方只收集与开展业务直接相关的、必需的、最少量的幼儿信息,对敏感信息的收集应提高警惕。按照《信息安全技术个人信息安全规范》的观点,身份证件号码、生物识别信息、健康生理信息、行踪轨迹都属于个人敏感信息。家长要谨慎对待幼儿的“敏感信息”,遵循“公共利益优先”的原则,只向国家公共部门提供幼儿敏感信息,拒绝幼儿信息的过度收集。

3.警惕幼儿信息处理中的“非知情同意”

很少有家长认真阅读信息收集方所提供的纸质版或网络版“通知”“说明”“协议”,导致家长在并未真正了解幼儿信息处理方式及潜在风险的基础上,签署同意意见,形成事实上的“非知情同意”。“非知情同意”为幼儿信息控制者非法操作幼儿信息提供可乘之机,加大了幼儿信息滥用的可能性。家长应该认真阅读相关协议,了解幼儿信息处理的可能后果、潜在风险及补救措施,避免“非知情同意”现象的出现。

二、坚守:着力守护幼儿信息处理过程

幼儿信息所包含的具体内容繁杂、琐碎,家长难以准确预测幼儿信息收集与使用的可能风险,难免产生决策偏差。为杜绝幼儿信息的滥用,幼儿信息控制者应着力守护幼儿信息收集、存储与使用的整个过程。

1.践行幼儿信息收集准则

我国《信息安全技术个人信息安全规范》、欧盟《通用数据保护法案》、美国《儿童网络隐私保护法》都提倡遵循信息主体相关、信息过程相关的准则,约束个人信息的收集工作。其中有三点对幼儿信息收集特别重要:第一,幼儿信息的收集必须通过正式途径,以明示的形式通知家长并征得同意;第二,幼儿信息的收集频率、数量应遵循最少原则;第三,不得通过隐蔽收集、强制收集等方式过度收集幼儿信息。线上线下幼儿教育培训机构、幼儿产品销售机构以及涉及幼儿信息收集的个人、企业、政府部门等应自觉践行上述准则,自觉抵制幼儿信息非法收集。

2.优化幼儿信息存储技术

刁胜先、何琪对2015-2018年间国内外重大个人信息泄露事件的分析显示:在引发个人信息泄露的原因中,“黑客入侵造成泄露”占比39%;“信息控制者管理疏漏或故意泄露”占比26.3%;“软件供应商产品漏洞或技术缺陷”占比8%。可见,信息控制者提高信息存储技术可有效减少信息泄露和信息滥用。各类机构将幼儿信息录入电子系统之后,应彻底销毁纸质稿或网络版的原始调查资料。对存储于网络空间中的幼儿信息,应不断优化信息安全技术以提高信息存储的安全系数。比如:通过防火墙和身份认证提高接入控制水平,通过入侵检测和杀毒技术提高攻击防护能力,通过散列函数和对称加密提高数据加密程度,通过匿名技术、泛化技术、扰动技术提高隐私保护,通过应用防御能力更强的信息安全技术切实保障幼儿信息的存储安全等。

3.控制幼儿信息传播与使用

幼儿信息控制者彼此交换幼儿信息、将幼儿信息以非法交易的方式出售给第三方、在公开场合谈论幼儿及其家庭信息等,都属于幼儿信息非法传播。其中,相当一部分是由信息控制方的内部工作人员造成的。包括企业组织、国家机构在内的幼兒信息控制方应要求工作人员签署幼儿信息安全保密协议,加强对工作人员保密素养的培训;工作人员应自觉履行信息安全保护的相关义务,不谈论、不泄漏、不买卖幼儿信息,否则将承担相应的法律责任。信息控制方及其工作人员遵循信息使用与信息收集目的相一致的原则,在相关协议范围内使用幼儿信息。

三、巧治:善于发挥舆论和法制功能

基于社会公共生活的规则,社会机构要求幼儿提供部分个人信息,幼儿信息便具有一定的公共性和社会性。因此,政府有责任、有义务综合治理幼儿信息滥用。

1.加强舆论宣传,培育社会成员的幼儿信息安全保护意识

教育行政部门联合各级各类学校,通过家校合作、家园合作等方式,加大对幼儿及其家长的信息安全宣传与教育;工会、妇联等社会团体借助基层社区组织的力量,加大宣传力度,培育社会成员的幼儿信息安全保护意识,普及幼儿信息安全保护的相关知识,协助社会成员深入了解幼儿信息尤其是幼儿敏感信息的具体内容,了解幼儿信息滥用的常见方式及其潜在危险,了解幼儿信息安全保护的具体措施。在此基础上,鼓励社会成员监督、举报幼儿信息非法泄露、非法使用的个人或组织,形成社会成员人人参与、共同监督的社会监督体系。

2.完善法律法规,规范幼儿信息使用及其惩处方式

相关法律法规应注意完善以下内容:明确幼儿敏感信息的内容及范围,规定该类信息的使用场景、使用方式;强化信息控制者的责任和义务,尤其是信息控制者自身的风险评估机制、信息非法泄露后的补救措施,同时强化政府对信息控制者的监管;加大对幼儿信息非法泄露、非法买卖等行为的惩处力度,明晰幼儿信息泄漏的责任分担,提高对相关责任主体的行政处罚力度。

家长、社会组织、国家机构各负其责、通力合作,积极应对幼儿信息保护和大数据共享之间的矛盾,有效破解幼儿信息滥用这一难题,切实维护幼儿信息安全,为幼儿生存、发展构造安全、健康、美好的社会环境。

*本文系2019年广东省哲学社会科学“十三五”规划青年项目“供给侧改革视角下广东省普惠性学前教育公共服务体系构建研究”(GD19YJY04)的研究成果之一。

猜你喜欢
个人信息信息安全信息
保护死者个人信息 维权要不留死角
敏感个人信息保护:我国《个人信息保护法》的重要内容
信息安全不止单纯的技术问题
浅论非法使用个人信息的刑法规制
主题语境九:个人信息(1)
基于模糊综合评价法的信息安全风险评估模型
基于模糊综合评价法的信息安全风险评估模型
订阅信息
展会信息
2014第十五届中国信息安全大会奖项