中華人民共和國個人信息保護法
(2021年8月20日第十三屆全國人民代表大會常務委員會第三十次會議通過)
目錄
第一章 總則
第二章 個人信息處理規則
第一節 一般規定
第二節 敏感個人信息的處理規則
第三節 國家機關處理個人信息的特別規定
第三章 個人信息跨境提供的規則
第四章 個人在個人信息處理活動中的權利
第五章 個人信息處理者的義務
第六章 履行個人信息保護職責的部門
第七章 法律責任
第八章 附則
第一章 總則
第一條 為了保護個人信息權益,規范個人信息處理活動,促進個人信息合理利用,根據憲法,制定本法。
第二條 自然人的個人信息受法律保護,任何組織、個人不得侵害自然人的個人信息權益。
第三條 在中華人民共和國境內處理自然人個人信息的活動,適用本法。
在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動,有下列情形之一的,也適用本法:
(一)以向境內自然人提供產品或者服務為目的;
(二)分析、評估境內自然人的行為;
(三)法律、行政法規規定的其他情形。
第四條 個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息。
個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。
第五條 處理個人信息應當遵循合法、正當、必要和誠信原則,不得通過誤導、欺詐、脅迫等方式處理個人信息。
第六條 處理個人信息應當具有明確、合理的目的,并應當與處理目的直接相關,采取對個人權益影響最小的方式。
收集個人信息,應當限于實現處理目的的最小范圍,不得過度收集個人信息。
第七條 處理個人信息應當遵循公開、透明原則,公開個人信息處理規則,明示處理的目的、方式和范圍。
第八條 處理個人信息應當保證個人信息的質量,避免因個人信息不準確、不完整對個人權益造成不利影響。
第九條 個人信息處理者應當對其個人信息處理活動負責,并采取必要措施保障所處理的個人信息的安全。
第十條 任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息;不得從事危害國家安全、公共利益的個人信息處理活動。
第十一條 國家建立健全個人信息保護制度,預防和懲治侵害個人信息權益的行為,加強個人信息保護宣傳教育,推動形成政府、企業、相關社會組織、公眾共同參與個人信息保護的良好環境。
第十二條 國家積極參與個人信息保護國際規則的制定,促進個人信息保護方面的國際交流與合作,推動與其他國家、地區、國際組織之間的個人信息保護規則、標準等互認。
第十三條 符合下列情形之一的,個人信息處理者方可處理個人信息:
(一)取得個人的同意;
(二)為訂立、履行個人作為一方當事人的合同所必需,或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需;
(三)為履行法定職責或者法定義務所必需;
(四)為應對突發公共衛生事件,或者緊急情況下為保護自然人的生命健康和財產安全所必需;
(五)為公共利益實施新聞報道、輿論監督等行為,在合理的范圍內處理個人信息;
(六)依照本法規定在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息;
(七)法律、行政法規規定的其他情形。
依照本法其他有關規定,處理個人信息應當取得個人同意,但是有前款第二項至第七項規定情形的,不需取得個人同意。
第十四條 基于個人同意處理個人信息的,該同意應當由個人在充分知情的前提下自愿、明確作出。法律、行政法規規定處理個人信息應當取得個人單獨同意或者書面同意的,從其規定。
個人信息的處理目的、處理方式和處理的個人信息種類發生變更的,應當重新取得個人同意。
第十五條 基于個人同意處理個人信息的,個人有權撤回其同意。個人信息處理者應當提供便捷的撤回同意的方式。
個人撤回同意,不影響撤回前基于個人同意已進行的個人信息處理活動的效力。
第十六條 個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由,拒絕提供產品或者服務;處理個人信息屬于提供產品或者服務所必需的除外。
第十七條 個人信息處理者在處理個人信息前,應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項:
(一)個人信息處理者的名稱或者姓名和聯系方式;
(二)個人信息的處理目的、處理方式,處理的個人信息種類、保存期限;
(三)個人行使本法規定權利的方式和程序;
(四)法律、行政法規規定應當告知的其他事項。
前款規定事項發生變更的,應當將變更部分告知個人。
個人信息處理者通過制定個人信息處理規則的方式告知第一款規定事項的,處理規則應當公開,并且便于查閱和保存。
第十八條 個人信息處理者處理個人信息,有法律、行政法規規定應當保密或者不需要告知的情形的,可以不向個人告知前條第一款規定的事項。
緊急情況下為保護自然人的生命健康和財產安全無法及時向個人告知的,個人信息處理者應當在緊急情況消除后及時告知。
第十九條 除法律、行政法規另有規定外,個人信息的保存期限應當為實現處理目的所必要的最短時間。
第二十條 兩個以上的個人信息處理者共同決定個人信息的處理目的和處理方式的,應當約定各自的權利和義務。但是,該約定不影響個人向其中任何一個個人信息處理者要求行使本法規定的權利。
個人信息處理者共同處理個人信息,侵害個人信息權益造成損害的,應當依法承擔連帶責任。
第二十一條 個人信息處理者委托處理個人信息的,應當與受托人約定委托處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等,并對受托人的個人信息處理活動進行監督。
受托人應當按照約定處理個人信息,不得超出約定的處理目的、處理方式等處理個人信息;委托合同不生效、無效、被撤銷或者終止的,受托人應當將個人信息返還個人信息處理者或者予以刪除,不得保留。
未經個人信息處理者同意,受托人不得轉委托他人處理個人信息。
第二十二條 個人信息處理者因合并、分立、解散、被宣告破產等原因需要轉移個人信息的,應當向個人告知接收方的名稱或者姓名和聯系方式。接收方應當繼續履行個人信息處理者的義務。接收方變更原先的處理目的、處理方式的,應當依照本法規定重新取得個人同意。
第二十三條 個人信息處理者向其他個人信息處理者提供其處理的個人信息的,應當向個人告知接收方的名稱或者姓名、聯系方式、處理目的、處理方式和個人信息的種類,并取得個人的單獨同意。接收方應當在上述處理目的、處理方式和個人信息的種類等范圍內處理個人信息。接收方變更原先的處理目的、處理方式的,應當依照本法規定重新取得個人同意。
第二十四條 個人信息處理者利用個人信息進行自動化決策,應當保證決策的透明度和結果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。
通過自動化決策方式向個人進行信息推送、商業營銷,應當同時提供不針對其個人特征的選項,或者向個人提供便捷的拒絕方式。
通過自動化決策方式作出對個人權益有重大影響的決定,個人有權要求個人信息處理者予以說明,并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。
第二十五條 個人信息處理者不得公開其處理的個人信息,取得個人單獨同意的除外。
第二十六條 在公共場所安裝圖像采集、個人身份識別設備,應當為維護公共安全所必需,遵守國家有關規定,并設置顯著的提示標識。所收集的個人圖像、身份識別信息只能用于維護公共安全的目的,不得用于其他目的;取得個人單獨同意的除外。
第二十七條 個人信息處理者可以在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息;個人明確拒絕的除外。個人信息處理者處理已公開的個人信息,對個人權益有重大影響的,應當依照本法規定取得個人同意。
第二節 敏感個人信息的處理規則
第二十八條 敏感個人信息是一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。
只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,個人信息處理者方可處理敏感個人信息。
第二十九條 處理敏感個人信息應當取得個人的單獨同意;法律、行政法規規定處理敏感個人信息應當取得書面同意的,從其規定。
第三十條 個人信息處理者處理敏感個人信息的,除本法第十七條第一款規定的事項外,還應當向個人告知處理敏感個人信息的必要性以及對個人權益的影響;依照本法規定可以不向個人告知的除外。
第三十一條 個人信息處理者處理不滿十四周歲未成年人個人信息的,應當取得未成年人的父母或者其他監護人的同意。
個人信息處理者處理不滿十四周歲未成年人個人信息的,應當制定專門的個人信息處理規則。
第三十二條 法律、行政法規對處理敏感個人信息規定應當取得相關行政許可或者作出其他限制的,從其規定。
第三節 國家機關處理個人信息的特別規定
第三十三條 國家機關處理個人信息的活動,適用本法;本節有特別規定的,適用本節規定。
第三十四條 國家機關為履行法定職責處理個人信息,應當依照法律、行政法規規定的權限、程序進行,不得超出履行法定職責所必需的范圍和限度。
第三十五條 國家機關為履行法定職責處理個人信息,應當依照本法規定履行告知義務;有本法第十八條第一款規定的情形,或者告知將妨礙國家機關履行法定職責的除外。
第三十六條 國家機關處理的個人信息應當在中華人民共和國境內存儲;確需向境外提供的,應當進行安全評估。安全評估可以要求有關部門提供支持與協助。
第三十七條 法律、法規授權的具有管理公共事務職能的組織為履行法定職責處理個人信息,適用本法關于國家機關處理個人信息的規定。
第三章 個人信息跨境提供的規則
第三十八條 個人信息處理者因業務等需要,確需向中華人民共和國境外提供個人信息的,應當具備下列條件之一:
(一)依照本法第四十條的規定通過國家網信部門組織的安全評估;
(二)按照國家網信部門的規定經專業機構進行個人信息保護認證;
(三)按照國家網信部門制定的標準合同與境外接收方訂立合同,約定雙方的權利和義務;
(四)法律、行政法規或者國家網信部門規定的其他條件。
中華人民共和國締結或者參加的國際條約、協定對向中華人民共和國境外提供個人信息的條件等有規定的,可以按照其規定執行。
個人信息處理者應當采取必要措施,保障境外接收方處理個人信息的活動達到本法規定的個人信息保護標準。
第三十九條 個人信息處理者向中華人民共和國境外提供個人信息的,應當向個人告知境外接收方的名稱或者姓名、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規定權利的方式和程序等事項,并取得個人的單獨同意。
第四十條 關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者,應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。確需向境外提供的,應當通過國家網信部門組織的安全評估;法律、行政法規和國家網信部門規定可以不進行安全評估的,從其規定。
第四十一條 中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協定,或者按照平等互惠原則,處理外國司法或者執法機構關于提供存儲于境內個人信息的請求。非經中華人民共和國主管機關批準,個人信息處理者不得向外國司法或者執法機構提供存儲于中華人民共和國境內的個人信息。
第四十二條 境外的組織、個人從事侵害中華人民共和國公民的個人信息權益,或者危害中華人民共和國國家安全、公共利益的個人信息處理活動的,國家網信部門可以將其列入限制或者禁止個人信息提供清單,予以公告,并采取限制或者禁止向其提供個人信息等措施。
第四十三條 任何國家或者地區在個人信息保護方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的,中華人民共和國可以根據實際情況對該國家或者地區對等采取措施。
第四章 個人在個人信息處理活動中的權利
第四十四條 個人對其個人信息的處理享有知情權、決定權,有權限制或者拒絕他人對其個人信息進行處理;法律、行政法規另有規定的除外。
第四十五條 個人有權向個人信息處理者查閱、復制其個人信息;有本法第十八條第一款、第三十五條規定情形的除外。
個人請求查閱、復制其個人信息的,個人信息處理者應當及時提供。
個人請求將個人信息轉移至其指定的個人信息處理者,符合國家網信部門規定條件的,個人信息處理者應當提供轉移的途徑。
第四十六條 個人發現其個人信息不準確或者不完整的,有權請求個人信息處理者更正、補充。
個人請求更正、補充其個人信息的,個人信息處理者應當對其個人信息予以核實,并及時更正、補充。
第四十七條 有下列情形之一的,個人信息處理者應當主動刪除個人信息;個人信息處理者未刪除的,個人有權請求刪除:
(一)處理目的已實現、無法實現或者為實現處理目的不再必要;
(二)個人信息處理者停止提供產品或者服務,或者保存期限已屆滿;
(三)個人撤回同意;
(四)個人信息處理者違反法律、行政法規或者違反約定處理個人信息;
(五)法律、行政法規規定的其他情形。
法律、行政法規規定的保存期限未屆滿,或者刪除個人信息從技術上難以實現的,個人信息處理者應當停止除存儲和采取必要的安全保護措施之外的處理。
第四十八條 個人有權要求個人信息處理者對其個人信息處理規則進行解釋說明。
第四十九條 自然人死亡的,其近親屬為了自身的合法、正當利益,可以對死者的相關個人信息行使本章規定的查閱、復制、更正、刪除等權利;死者生前另有安排的除外。
第五十條 個人信息處理者應當建立便捷的個人行使權利的申請受理和處理機制。拒絕個人行使權利的請求的,應當說明理由。
個人信息處理者拒絕個人行使權利的請求的,個人可以依法向人民法院提起訴訟。
第五章 個人信息處理者的義務
第五十一條 個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等,采取下列措施確保個人信息處理活動符合法律、行政法規的規定,并防止未經授權的訪問以及個人信息泄露、篡改、丟失:
(一)制定內部管理制度和操作規程;
(二)對個人信息實行分類管理;
(三)采取相應的加密、去標識化等安全技術措施;
(四)合理確定個人信息處理的操作權限,并定期對從業人員進行安全教育和培訓;
(五)制定并組織實施個人信息安全事件應急預案;
(六)法律、行政法規規定的其他措施。
第五十二條 處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人,負責對個人信息處理活動以及采取的保護措施等進行監督。
個人信息處理者應當公開個人信息保護負責人的聯系方式,并將個人信息保護負責人的姓名、聯系方式等報送履行個人信息保護職責的部門。
第五十三條 本法第三條第二款規定的中華人民共和國境外的個人信息處理者,應當在中華人民共和國境內設立專門機構或者指定代表,負責處理個人信息保護相關事務,并將有關機構的名稱或者代表的姓名、聯系方式等報送履行個人信息保護職責的部門。
第五十四條 個人信息處理者應當定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。
第五十五條 有下列情形之一的,個人信息處理者應當事前進行個人信息保護影響評估,并對處理情況進行記錄:
(一)處理敏感個人信息;
(二)利用個人信息進行自動化決策;
(三)委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息;
(四)向境外提供個人信息;
(五)其他對個人權益有重大影響的個人信息處理活動。
第五十六條 個人信息保護影響評估應當包括下列內容:
(一)個人信息的處理目的、處理方式等是否合法、正當、必要;
(二)對個人權益的影響及安全風險;
(三)所采取的保護措施是否合法、有效并與風險程度相適應。
個人信息保護影響評估報告和處理情況記錄應當至少保存三年。
第五十七條 發生或者可能發生個人信息泄露、篡改、丟失的,個人信息處理者應當立即采取補救措施,并通知履行個人信息保護職責的部門和個人。通知應當包括下列事項:
(一)發生或者可能發生個人信息泄露、篡改、丟失的信息種類、原因和可能造成的危害;
(二)個人信息處理者采取的補救措施和個人可以采取的減輕危害的措施;
(三)個人信息處理者的聯系方式。
個人信息處理者采取措施能夠有效避免信息泄露、篡改、丟失造成危害的,個人信息處理者可以不通知個人;履行個人信息保護職責的部門認為可能造成危害的,有權要求個人信息處理者通知個人。
第五十八條 提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者,應當履行下列義務:
(一)按照國家規定建立健全個人信息保護合規制度體系,成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督;
(二)遵循公開、公平、公正的原則,制定平臺規則,明確平臺內產品或者服務提供者處理個人信息的規范和保護個人信息的義務;
(三)對嚴重違反法律、行政法規處理個人信息的平臺內的產品或者服務提供者,停止提供服務;
(四)定期發布個人信息保護社會責任報告,接受社會監督。
第五十九條 接受委托處理個人信息的受托人,應當依照本法和有關法律、行政法規的規定,采取必要措施保障所處理的個人信息的安全,并協助個人信息處理者履行本法規定的義務。
第六章 履行個人信息保護職責的部門
第六十條 國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作。國務院有關部門依照本法和有關法律、行政法規的規定,在各自職責范圍內負責個人信息保護和監督管理工作。
縣級以上地方人民政府有關部門的個人信息保護和監督管理職責,按照國家有關規定確定。
前兩款規定的部門統稱為履行個人信息保護職責的部門。
第六十一條 履行個人信息保護職責的部門履行下列個人信息保護職責:
(一)開展個人信息保護宣傳教育,指導、監督個人信息處理者開展個人信息保護工作;
(二)接受、處理與個人信息保護有關的投訴、舉報;
(三)組織對應用程序等個人信息保護情況進行測評,并公布測評結果;
(四)調查、處理違法個人信息處理活動;
(五)法律、行政法規規定的其他職責。
第六十二條 國家網信部門統籌協調有關部門依據本法推進下列個人信息保護工作:
(一)制定個人信息保護具體規則、標準;
(二)針對小型個人信息處理者、處理敏感個人信息以及人臉識別、人工智能等新技術、新應用,制定專門的個人信息保護規則、標準;
(三)支持研究開發和推廣應用安全、方便的電子身份認證技術,推進網絡身份認證公共服務建設;
(四)推進個人信息保護社會化服務體系建設,支持有關機構開展個人信息保護評估、認證服務;
(五)完善個人信息保護投訴、舉報工作機制。
第六十三條 履行個人信息保護職責的部門履行個人信息保護職責,可以采取下列措施:
(一)詢問有關當事人,調查與個人信息處理活動有關的情況;
(二)查閱、復制當事人與個人信息處理活動有關的合同、記錄、賬簿以及其他有關資料;
(三)實施現場檢查,對涉嫌違法的個人信息處理活動進行調查;
(四)檢查與個人信息處理活動有關的設備、物品;對有證據證明是用于違法個人信息處理活動的設備、物品,向本部門主要負責人書面報告并經批準,可以查封或者扣押。
履行個人信息保護職責的部門依法履行職責,當事人應當予以協助、配合,不得拒絕、阻撓。
第六十四條 履行個人信息保護職責的部門在履行職責中,發現個人信息處理活動存在較大風險或者發生個人信息安全事件的,可以按照規定的權限和程序對該個人信息處理者的法定代表人或者主要負責人進行約談,或者要求個人信息處理者委托專業機構對其個人信息處理活動進行合規審計。個人信息處理者應當按照要求采取措施,進行整改,消除隱患。
履行個人信息保護職責的部門在履行職責中,發現違法處理個人信息涉嫌犯罪的,應當及時移送公安機關依法處理。
第六十五條 任何組織、個人有權對違法個人信息處理活動向履行個人信息保護職責的部門進行投訴、舉報。收到投訴、舉報的部門應當依法及時處理,并將處理結果告知投訴、舉報人。
履行個人信息保護職責的部門應當公布接受投訴、舉報的聯系方式。
第七章 法律責任
第六十六條 違反本法規定處理個人信息,或者處理個人信息未履行本法規定的個人信息保護義務的,由履行個人信息保護職責的部門責令改正,給予警告,沒收違法所得,對違法處理個人信息的應用程序,責令暫停或者終止提供服務;拒不改正的,并處一百萬元以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
有前款規定的違法行為,情節嚴重的,由省級以上履行個人信息保護職責的部門責令改正,沒收違法所得,并處五千萬元以下或者上一年度營業額百分之五以下罰款,并可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款,并可以決定禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人。
第六十七條 有本法規定的違法行為的,依照有關法律、行政法規的規定記入信用檔案,并予以公示。
第六十八條 國家機關不履行本法規定的個人信息保護義務的,由其上級機關或者履行個人信息保護職責的部門責令改正;對直接負責的主管人員和其他直接責任人員依法給予處分。
履行個人信息保護職責的部門的工作人員玩忽職守、濫用職權、徇私舞弊,尚不構成犯罪的,依法給予處分。
第六十九條 處理個人信息侵害個人信息權益造成損害,個人信息處理者不能證明自己沒有過錯的,應當承擔損害賠償等侵權責任。
前款規定的損害賠償責任按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定;個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的,根據實際情況確定賠償數額。
第七十條 個人信息處理者違反本法規定處理個人信息,侵害眾多個人的權益的,人民檢察院、法律規定的消費者組織和由國家網信部門確定的組織可以依法向人民法院提起訴訟。
第七十一條 違反本法規定,構成違反治安管理行為的,依法給予治安管理處罰;構成犯罪的,依法追究刑事責任。
第八章 附則
第七十二條 自然人因個人或者家庭事務處理個人信息的,不適用本法。
法律對各級人民政府及其有關部門組織實施的統計、檔案管理活動中的個人信息處理有規定的,適用其規定。
第七十三條 本法下列用語的含義:
(一)個人信息處理者,是指在個人信息處理活動中自主決定處理目的、處理方式的組織、個人。
(二)自動化決策,是指通過計算機程序自動分析、評估個人的行為習慣、興趣愛好或者經濟、健康、信用狀況等,并進行決策的活動。
(三)去標識化,是指個人信息經過處理,使其在不借助額外信息的情況下無法識別特定自然人的過程。
(四)匿名化,是指個人信息經過處理無法識別特定自然人且不能復原的過程。
第七十四條 本法自2021年11月1日起施行。
(新華社)
者:楊垠紅(福建師范大學法學院、紀檢監察學院院長)
每個人的聲音都是獨特的,聲紋信息作為自然人的身體特征之一,與指紋、人臉、虹膜等一樣都具有唯一性。然而,隨著深度學習算法的進步,AI語音克隆技術只需要一段“原聲”,再加以一段時間的機器學習與訓練,就可以高度模擬任何人的聲音,達到“以假亂真”的效果。在現實應用層面,能夠支持用戶自定義模仿特定自然人的聲紋、語調、語速、節奏或呼吸頻率等特征,進行流暢、自然發聲的AI語音克隆技術已“呼之欲出”。
AI語音克隆技術:人格權保護的機遇與風險并存
這種能夠自然模擬、克隆自然人聲音的語音克隆技術為人類生活與社會變革帶來新的曙光。它不僅可以為漸凍癥患者、頭頸部癌癥患者、殘疾人士等失語者提供聲音恢復和輔助,還能為演員、歌手、聲優、主播、配音、解說等提供聲音的保護和延續,甚至能夠為缺乏陪伴的親友、老人、兒童提供聲音陪護,延續、保留過世或即將過世的親人的聲音。
然而,新興技術帶來社會福祉的同時,其誘發的濫用問題也相伴而生,尤其是在人格權益領域:制造虛假或誤導性的語音內容,影響信息安全和社會穩定,產生新型電信詐騙,侵犯原始說話自然人的人格、隱私等權利,或是證據造假等。不同于AI語音合成創造虛擬數字人語音或創作歌曲,AI語音克隆技術確切針對著某個特定自然人,因而該技術的利用最直接的影響對象就是原聲自然之人格權;除聲音權益外,自然人的個人信息、名譽權等均是其最直接、最可能侵犯的對象。在AI技術逐漸普及的趨勢下,類似的AI生成聲音的人格權侵權案件或許將更頻繁的出現,相關語音訓練數據保護等與人格權保護相關的法律問題亟待研究。
AI語音克隆技術的法律挑戰:“人格誤導”與人格權利保護
首先,AI語音克隆技術在實際應用中將造成“人格誤導”,侵權權利將含括名譽權、榮譽權。在一個人自然發聲、說話與表達時,其聲音包含著說話者的意識與思想。換句話說,個人的聲音特征與個人的思想意識是一體的,個人的聲音因此能夠被聽眾所識別、理解。但在語音克隆技術的應用中,個人的思想與聲音將“相對”分離,一個人的聲音所承載的信息與意識可能并不是其本人的真實表達。具體化場景來看,如果有第三人惡意使用語音克隆技術,有可能使原聲自然人非自愿存有違反社會公德、違背公序良俗的話語,從而導致原聲自然人的名譽或榮譽受損,甚至出現“社會性死亡”的情況。因此,從權利損害后果的角度進行分析,若技術應用者出于惡意目的,利用該技術對某個特定的自然人的聲音進行克隆,用于嘲弄或者傳播不當言論,在特定范圍內造成一定的“人格誤導”,可能會對該特定自然人產生較為被動的影響或嚴重的損害后果。
其次,AI克隆所生成聲音在法律上性質不明,從而導致其權利歸屬模糊。作為數字時代的新產物,克隆所生成的個人語音將是自然人聲音的數字延伸,與自然人的原始聲音具有高度的一致性。那么這種克隆所生成聲音在法律上應如何定性呢?從法律層面來看,我國對于自然人聲音的保護主要體現在《民法典》第1023條規定,即“對自然人聲音的保護,參照適用肖像權保護的有關規定”。顯然,在立法文義上,目前我國法律并沒有明確“聲音權”,只是明確以保護“自然人聲音”,從而保護自然人的聲音利益。因此,克隆后所形成的語音并不當然作為“聲音權”之權利對象,無法如同“肖像權”一樣,能夠延伸保護到基于個人肖像所創造出的畫作與其他肖像作品。而這個簡單的概念模糊卻可能會造成切實的侵權風險:一方面,導致克隆所生成聲音的權屬存在法律爭議,如克隆語音技術使用者與原聲自然人之間對克隆所生成語音的權屬爭議等;另一方面,產生相關法律條文實際運用難題。
此外,AI語音克隆訓練過程中存在數據保護問題。盡管我國已通過《個人信息保護法》建立了個人信息保護制度,但對于承載個人信息或自然人聲音等與人格權緊密相關的“個人數據”的保護尚無明確立法。在訓練克隆語音的過程中,自然人語音的訓練數據是深度合成技術的核心要素,這些數據可能包括音色向量、梅爾頻譜等,能夠直接或間接體現自然人聲音特征或個人信息。所以說,克隆語音訓練數據不僅是普通信息的載體,更是個人聲音特征與部分個人信息的載體。訓練數據在某些情況下可以通過簡單轉換成為“可識別”的個人信息,受到《個人信息保護法》保護;但在一些特殊處理情況下,訓練數據可能無法識別,或者已經進行了匿名化處理,其僅保留了聲音特征,并不包含任何“可識別”的個人信息,此時的訓練數據可能無法受到《個人信息保護法》的保護。然而,如果這些不受保護的訓練數據被惡意獲取并濫用,可能會導致語音克隆不受控制,最終給原聲自然人帶來嚴重的人格侵權損害或財產損失。
法律應對策略:“標識”義務、類推適用與數據區分保護
針對AI語音克隆技術所產生的法律問題,不僅需要在理論上明確適用和規制思路,完善有關法律,而且必須從實際出發,綜合分析以最大程度避免技術應用中的“人格誤導”,助力解決克隆所生成聲音的法律定性以及完善訓練過程的數據保護問題。
添加“標識”義務應設置在展示與傳播階段,以緩止“人格誤導”風險。由國家互聯網信息辦公室、工業和信息化部以及公安部三部門聯合發布的《互聯網信息服務深度合成管理規定》(下簡稱《規定》)要求深度合成服務提供者對生成的信息內容進行顯著的、不影響用戶使用的“標識”,并明確了違反《規定》行為的責任追究,這在一定程度上有利于解決“人格誤導”造成的名譽權、榮譽權之侵權風險。
實際上,如何確保這些標識被創建并保存是一個難以解決的技術問題,即“標識”應適用何種技術標準?再復雜的“標識”也可能通過重新編碼或使用另一個AI系統來去除、修改。一種可行的解決方案是,將添加“標識”的階段延后至網絡平臺的展示和傳播階段,并明確網絡平臺及內容發布者為“標識”添加的義務主體。通過網絡平臺在展示頁面添加“標識”,不僅可以有效避免技術標準不統一和標識被修改的問題,還能確保公眾在接收信息時能夠同時準確識別內容的真實性,從而避免“人格誤導”的產生,一定程度上真正達到預防名譽、榮譽侵權之效果。
克隆所生成語音應明確其權屬歸于原聲自然人。民法上的類推適用,指對于法無明文規定之系爭案件,比附援引與其具有類似性的案件類型之規定。通過計算機軟件和算法所生成的克隆自然人聲音雖然并非由自然人直接發出,但在實際應用該技術的場景中,其與自然人實際發出的聲音并無二致,一般人并不容易進行分辨。在互聯網社會交往通常是通過語音電話、線上會議等虛擬形式,由于克隆所生成的聲音與自然人直接發出的原聲在互聯網信息世界的本質都是一種聲波,都需要互聯網作為媒介進行傳播,具備相同的外觀或表象。對于同一自然人,其被克隆所生成的語音同原聲一樣,承載著相同的人格利益和財產利益。如此而言,適用類推解釋有助于填補現行法律存在的算法生成語音保護空白,開創保護原聲自然人權益的新范式;以人為本,確定克隆所生成語音屬于“自然人聲音”,而非其他權利客體。北京互聯網法院作出的全國首例AI生成聲音的人格侵權案一審判決也指出,若AI生成語音具有同自然人聲音一樣的“可識別性”,那么AI所生成語音亦是一種聲音權益。
依據《個人信息保護法》,以是否具有“可識別性”為標準,對語音克隆訓練數據進行區分保護。語音克隆訓練數據涉及不同的個人信息和數據,而在個人信息與數據的保護上,學界存在不同的區分學說。無論是信息還是數據,法律保護的根本目的在于保護個人隱私、防止信息濫用、保障數據安全;在AI語音克隆應用中,信息與數據均為人格權益的映射。在現有《個人信息保護法》的立法基礎之上,語音克隆訓練數據的保護可依據其是否具有“可識別性”、是否承載“人格特征”進行區分保護。其一,具“可識別性”部分的數據應屬于《個人信息保護法》第4條規定的個人信息,信息處理者應當取得被編輯個人對于克隆語音事項單獨的一次同意,而不能采用“打包同意”或者僅僅是對語音數據上傳、傳輸、保存等的同意。其二,不具備“可識別性”,但承載“人格特征”部分的數據應屬于《民法典》第990條規定的其他人格權益,將其視為一種新型人格利益進行保護。(福建師范大學法學院、紀檢監察學院研究生高天對本文亦有貢獻。)
【本文系國家社會科學基金年度項目“算法風險侵權責任研究”(23BFX030)階段性成果。】
來源: 光明網-學術頻道
對 Active Directory 基礎架構進行內部評估時,“空會話”、“訪客會話”和“匿名會話”等術語是十分常見的。這些詞描述了在 Windows 服務器上用于連接資源并獲取計算機或 Active Directory 對象(如用戶或 SMB 共享)信息的技術。盡管這些技術廣為人知,但仍有許多人并未完全理解。
本文使用了由 Mayfly 開發的 Game Of Active Directory project ,該實驗室旨在提供一個包含多個域和可供測試漏洞的可運行 Active Directory 網絡。此外,Mayfly 還撰寫了一些文章,以此解釋他們添加了哪些漏洞以及如何利用這些漏洞。如果需要包含漏洞的 Active Directory 網絡,可以參考這個項目。
首先,只有以下兩種技術可以使用:
訪客身份驗證是一種依賴訪客賬戶的身份驗證方法。這些特殊賬戶用于為沒有有效憑證但仍需要訪問計算機的用戶提供權限,允許他們訪問 Windows 計算機(本地訪客賬戶)或域資源(域訪客賬戶)。如上所述,一共有兩種訪客賬戶:
(1)域訪客賬戶
(2)本地訪客賬戶
在連接資源(例如 SMB 共享)時,必須指定用于驗證的賬戶用戶名和密碼。例如使用 NetExec:
poetry run netexec smb 192.168.56.11 -u daenarys.targaryen -p 'BurnThemAll!' --shares有人認為,如果沒有任何憑證,就無法驗證 SMB 服務,因此無法列出可用的共享。但啟用域訪客賬戶后,情況則有所不同。你可以運行以下 Netexec 命令,嘗試使用訪客賬戶列出共享:
poetry run netexec smb 192.168.56.11 -u "someaccountthatdoesntexist" -p "" --shares運行結果如下:
為什么會這樣呢?查看數據包捕獲時可以發現,Netexec 在運行前一條命令時進行了兩次身份驗證:
Netexec 使用第一次驗證來確定 SMB 簽名和 SMBv1 是否受支持。如上所示,在沒有提交任何憑證情況下收到了錯誤 STATUS_ACCESS_DENIED:
第二個身份驗證是對活動目錄域中不存在的 someaccountthatdoesntexist 賬戶進行身份驗證。即使用戶不存在,我們也會進行身份驗證并連接到名為管道的 svcctl,Netexec 會使用該管道來確定該賬戶是否為本地管理員:
但賬戶并不存在。查看發送 NTLMSSP_AUTH 數據包后收到的數據包,會出現以下字段:
當我們嘗試使用不存在的用戶身份連接時,服務器會檢測到并自動將我們切換到域的訪客賬戶。由于該域賬戶是有效的,因此無需任何憑證就可以訪問域上的資源。使用該賬戶不僅可以訪問 SMB 共享,還可以使用 printerbug 等軟件發動脅迫攻擊:
接下來禁用域訪客賬戶,防止訪客身份驗證:
再次運行以下指令:
poetry run netexec smb 192.168.56.11 -u "someaccountthatdoesntexist" -p "" --shares如上所示,該指令仍然有效。這是因為在 BRAAVOS 服務器上,本地訪客賬戶仍處于啟用狀態:
禁用該賬戶后,我們無法以訪客身份進行身份驗證,從而無法訪問 SMB 共享:
另外,可以發現訪客用戶對 “全部 ”共享具有讀取/寫入權限:
這是因為在 GOAD 實驗室中,“all ”共享被配置為可通過以下影響 “Everyone ”組的規則以 “READ/WRITE ”方式訪問:
由于我一直想知道 “Everyone ”組和 “Authenticated Users ”組之間有什么區別,這里給出的答復是:“Authenticated users ”組包括通過有效用戶名和密碼進行身份驗證的用戶,而 “Everyone ”組則包含身份驗證用戶和訪客用戶。
現在我們已經禁用了域訪客賬戶和本地訪客賬戶,是否可以認為安全了呢? 并非完全安全。
空會話(也稱匿名身份驗證)是一種特殊的身份驗證,用戶在此期間不提交任何憑證。當用戶通過空會話連接時,他將作為 “匿名登錄 ”組的成員進行連接,并繼承分配給該組的所有 ACL。使用 Netexec 的以下命令可以啟動空會話身份驗證:
poetry run netexec smb 192.168.56.11 -u '' -p '' --users
poetry run netexec smb 192.168.56.11 --users這些操作相同,如果成功,將允許您列出域用戶:
但它為什么能起作用呢?在舊版本的 Windows 中,空會話用于各種網絡操作,以便在不提供憑證的情況下與服務器建立連接。后來,微軟出于安全考慮放棄了空會話功能,但為了向后兼容,他們創建了一個組,允許其成員通過空會話進行身份驗證。該組被稱為 “Pre-Windows 2000 Compatible Access”,是 Active Directory 中的一個內置組:
問題是,該組對域擁有特殊權限,我們可以在此列出:
這些權限允許 “Pre-Windows 2000 Compatible Access”成員遠程調用SAMR命名管道,以便列出域用戶、用戶描述、用戶的 badpwd 號碼,甚至密碼策略。
這就是我們可以執行以下命令并從空會話身份驗證中獲取結果的原因:
poetry run netexec smb 192.168.56.11 --users
poetry run netexec smb 192.168.56.11 --pass-pol但有趣的是,如果我們查看一下 WINTERFELL 上的 “Pre-Windows 2000 Compatible Access”成員,就會發現其中并不包含 “匿名登錄 ”組:
但是 Mayfly 并不會盲目地將 “匿名登錄 ”組添加到 “Pre-Windows 2000 Compatible Access”組中,他只是直接在 “匿名登錄 ”組中添加了必要的權限:
這就是為什么我們可以調用遠程SAMR命名管道!
最后:
- 禁用所有訪客賬戶,無論是域訪客賬戶還是本地訪客賬戶
- 檢查域中 “匿名登錄 ”組的權限,并盡可能限制其權限
這將保護你的域免受我們在本文中看到的所有攻擊!