摘要:大數據時代,個人信息數據的採集已經規模化、商業化,人臉識別技術也已經趨於成熟。企業獲取個人數據相對比較簡單,但企業的個人數據管理卻沒有同步,造成個人信息處於不安全的狀態,極容易造成個人信息洩露等安全問題。在事前監管不完善的情況下,除了事後追責外,我們可以通過企業對自身商業祕密保護的方式使個人數據其從根源上加以保護。
關鍵詞:人臉數據;商業祕密;保密性
一、 “人臉數據”被販賣問題的提出和引發的思考。
2019年9月11日,央廣網一則“17萬‘人臉數據’遭公開販賣”的新聞中稱:一家網絡商城中有商家公開兜售“人臉數據”,數量約17萬條。每張照片搭配有一份數據文件,除了人臉位置的信息外,還有人臉的106處關鍵點,如眼睛、耳朵、鼻子、嘴、眉毛等的輪廓信息等。此外,數據中還能提供人物性別、表情情緒、顏值、是否戴眼鏡等信息。商家自稱一部分是從搜索引擎上抓取的,另一部分來自境外一家軟件公司的數據庫等,自己平時從事人工智能的相關工作,因此收集了很多人臉數據。新聞中還指明,“人臉數據”中的當事人對此一無所知。
這裡可能涉及的違法問題很多,(一)該網絡商城平臺的責任是否已經盡到位,根據電子商務法及相關法律規定,對經營者的主體身份登記、核驗義務是電商平臺法律義務之一,也是電商平臺對入駐商家的准入性要求。(二)商家行為嚴重違法,除了涉嫌侵犯他人隱私權、肖像權之外,還涉嫌侵犯了公民的個人信息安全,“從網絡出售個人人臉數據這個情況來看,屬於侵犯公民的肖像權、隱私權和個人信息安全。(三)商家的人臉數據的取得有可能涉及不正當競爭。商家的取得途徑是否合法,即使合法取得是否違反保密義務或者違反權利人有關保守商業祕密的要求,披露、使用或者允許他人使用其所掌握的商業祕密,不論是違法取得還是無法披露,都已經涉嫌侵犯商業祕密。
隨著網絡技術的飛速發展和不斷進步,人臉識別等大數據運用技術已基本成熟,商家依靠大數據既能夠獲得用戶信息,也可以基於大數據分析建立自己的商業計劃,因此通過相關軟件取得用戶數據已經成為大趨勢。
二、“人臉數據”的法律屬性認定
人臉數據需要作為企業的商業祕密加以保護,首先必須屬於商業祕密,人臉數據是否可以納入商業祕密,首先要認定其法律屬性。
(一)商業祕密的概念和性質。
《反不正當競爭法》中規定,商業祕密是指不為公眾所知悉、具有商業價值並經權利人採取相應保密措施的技術信息、經營信息等商業信息。這一條款包含了三個要素:
1.不為公眾所知悉
相關法律規定,有關信息不為其所屬領域的相關人員普遍知悉和容易獲得,應當認定為反不正當競爭法規定的“不為公眾所知悉”。
2.具有商業價值
《最高院關於審理不正當競爭民事案件應用法律若干問題的解釋》規定,有關信息具有現實的或者潛在的商業價值,能為權利人帶來競爭優勢的,應當認定為反不正當競爭法第十條第三款規定的“能為權利人帶來經濟利益、具有實用性”。
3.經權利人採取相應保密措施
《最高院關於審理不正當競爭民事案件應用法律若干問題的解釋》中規定,權利人為防止信息洩漏所採取的與其商業價值等具體情況相適應的合理保護措施,應當認定為反不正當競爭法規定的“保密措施”。具有有以下情形:
(一)限定涉密信息的知悉範圍,只對必須知悉的相關人員告知其內容;
(二)對於涉密信息載體採取加鎖等防範措施;
(三)在涉密信息的載體上標有保密標誌;
(四)對於涉密信息採用密碼或者代碼等;
(五)簽訂保密協議;
(六)對於涉密的機器、廠房、車間等場所限制來訪者或者提出保密要求;
(七)確保信息祕密的其他合理措施。
二、“人臉數據”的法律屬性認定。
綜合上述對商業祕密的論述,我們可以知道,商業祕密需具備祕密性、保密性和經濟性三個屬性,從內容上來講,又分為技術祕密和經營信息兩大類。
從法律屬性上需要考慮,人臉數據是否可以通過公開渠道獲得,是否能為權利人帶來經濟利益和是否採取了一定措施經濟商業祕密的保護。該新聞中的人臉數據”涉及很多人的隱私,因此一般不可能從公開渠道獲取。新聞中提到除了人臉位置的信息外,還有人臉的106處關鍵點,如眼睛、耳朵、鼻子、嘴、眉毛等的輪廓信息等。此外,數據中還能提供人物性別、表情情緒、顏值、是否戴眼鏡等信息,可以認定初步商家所販賣的人臉數據應該是具備商業價值的。至於是否已經進行了商業祕密保護措施不得而知,如果上游企業已經採取了加蓋保密印記、統一放置於特定的安全地點,專人統一保管,要求員工簽訂保密協議,員工手冊和公司規章制度上載明相關保密事項等措施,就應認定已經採取了保護措施。
其次從內容上來講,技術祕密一般是指利用科學技術知識、信息和經驗獲得的技術方案,包括產品配方、技術訣竅等等。經營信息一般是指除技術信息意外的能夠為權利人帶來競爭優勢的各類經營信息,主要包括客戶名單、經營計劃、財務資料等等。“人臉數據”是通過一定技術獲得現有信息,法律中沒有明確的規定,但我們可以參考商業祕密中的客戶名單的規定。商業祕密中的客戶名單,一般是指客戶的名稱、地址、聯繫方式以及交易的習慣、意向、內容等構成的區別於相關公知信息的特殊客戶信息,包括彙集眾多客戶的客戶名冊,以及保持長期穩定交易關係的特定客戶,因此可以將“人臉數據”歸入經營信息一類。
三、企業商業祕密的保護。
(一)企業保密措施的實施
商業祕密是企業知識產權的一種形式,對一個企業來說具有重大戰略意義。但商業祕密具有祕密性,也沒有專業機構的認定,因此一旦出現糾紛商業祕密的認定就可能成為爭議的焦點。根據我國法律對商業祕密認定的三個法律屬性中,祕密性、經濟性需要根據內容本身參數確定,而保密性則是根據權利人自身行為來認定,因此商業祕密的保護更強調權利人自身的主觀能動。
根據法律規定,認定企業是否採取保密措施幾個關鍵的因素包括:涉密範圍和相關人員的限定,是否採取防範措施、是否標明保密標誌、是否設置密碼或代碼等。因此企業需要將人臉數據作為商業祕密加以保護應進行以下幾項操作:1.對“人臉數據”信息進行彙總和分析,確定需要保護的商業祕密的範圍,對信息管理、調取和存放進行專門管理進行指導和培訓;2. 對於涉及商業祕密的文件加以標識,確定分級保護要求; 3. 確定保密責任和涉及商業祕密的人員範圍,並進行分級管理; 4.設置保密措施或相關安全管理系統;5.與相關員工競業限制協議和保密協議;6.制定合理的規章制度或員工手冊並進行宣講教育,要求員工以考核、會議紀要等方式確認;7.在業務實施中與企業外部人員溝通過程中,確定相關披露範圍,決定機構及披露方式;8.定期梳理商業祕密範圍,及時更新。
(二)重點加強企業保密人員的管理
實務中利用技術竊取等方式違法獲取信息的情況較少,主要可能考慮有以下兩點原因:一是需要較高的技術要求,二是對其違法性認定較簡單。而內部披露則不同,隱蔽性高,不需要技術支持,認定較難,因此從內部披露的可能性較大。違規披露主要通過商業商業賄賂等方式從內部員工中獲取,或者員工離職或股東離開後,將商業祕密攜帶出去。這兩種方式對企業而言除了做好技術加密和安防措施之外,最主要的是處理商業祕密和員工(或部分股東)的關係問題。我認為這可以從三個方面入手,
1. 是企業文化的培養。從領導到員工都樹立起主人翁的意識,牢固梳理保密觀念,自覺去遵守企業的商業祕密。這個是從根源滲透,成功貫徹的化企業人員的忠誠度將會很高,但實際實施難度較高,既沒有具體考核標準,又需要依靠人員的自覺性。
2. 限制協議和保密協議 。一旦進入企業,並接觸到企業的商業祕密的,一律簽訂競業限制協議和保密協議,離開企業後一定時間不能從事具有競爭性的工作,對於涉及的商業祕密必須保密,競業限制是有時效的,但商業祕密可以約定為永久保密,如可口可樂的配方。
3. 利用股權激勵的方式將員工和企業綁定在一起。如果是初創型或者發展中的企業完全可以考慮通過股權激勵的方式,加強員工的忠誠度。對相關員工根據具體情況給與一定比例的期權,約定實現的條件,這樣既解決了增強員工積極性的問題,又能讓員工的忠誠度加倍。
四、結語。
人臉數據作為為商業祕密,更是個人信息,不僅僅事關企業的發展,更關係人個人信息的安全問題,因此不同於其他的商業祕密,企業對此更應基於社會責任重視對其保密措施的建立和實施,我們也期待相關監管的配套跟進,增強國民的安全感。
相關推薦
