智能穿戴設備成泄密隱患，律師解讀法律紅線與國家安全

今天國安部披露的兩個案例，看得人后背發涼。一個是安保人員戴著智能手表跑步，結果把某國領導人的酒店位置給“跑”出去了；另一個更夸張，某品牌手環6460名用戶的健身數據，竟然拼湊還原出48處核武器存儲場所。這已經不是個人隱私泄露的小事，而是直接威脅國家安全的重大事件。

作為一名律師，我看完這兩個案例，腦子里蹦出來的第一個問題是：智能穿戴設備收集的這些敏感數據，到底是誰在管、怎么管、管住了沒有？
第一個關鍵問題：數據收集的“知情同意”形同虛設。 根據《個人信息保護法》第十三條，處理個人信息應當取得個人同意，而且這種同意必須是“自愿、明確”的。但現實中，絕大多數人買回智能手表手環，開機就是“下一步”“同意”，根本不會細看隱私條款。更嚴重的是，像地理位置、運動軌跡這類數據，屬于《個人信息保護法》第二十八條規定的“敏感個人信息”，處理敏感信息需要取得“單獨同意”。什么叫單獨同意？就是不能跟其他條款混在一起勾選，得讓用戶單獨確認。但有多少智能穿戴設備做到了這一點？從國安部披露的案例來看，顯然沒有。
第二個問題：數據匿名化處理的“偽安全”。 6460名用戶的健身數據能還原出48處核武器存儲場所，這說明什么？說明所謂的“匿名化”處理根本就是個笑話。把用戶名字刪掉、把ID號替換，不等于數據就安全了。當足夠多的運動軌跡疊加在一起，結合公開的地理信息、衛星圖像，完全可以逆向推導出敏感場所的精確位置。這涉及《數據安全法》第二十七條規定的“重要數據”保護義務。核武器存儲場所周邊產生的數據，明顯屬于重要數據甚至國家秘密，數據處理者應當采取更嚴格的管理措施。但顯然，相關設備廠商并沒有履行這種審慎義務。
第三個問題：數據跨境流動的監管漏洞。 很多智能穿戴設備的服務器在境外，國內收集的數據會實時上傳到境外服務器。這就觸發了《數據安全法》第三十一條和《網絡安全法》第三十七條關于“重要數據出境”的管制規定。如果這些涉及國家安全的數據未經安全評估就傳輸到境外，那數據控制者可能面臨嚴厲的行政處罰，甚至觸犯刑法。
第四個問題：相關主體的法律責任怎么追？ 從法律上講，這件事涉及的責任鏈條很長。設備廠商如果沒有履行數據安全保護義務，根據《數據安全法》第四十五條，最高可以處一千萬元罰款，情節嚴重的還要責令暫停業務、停業整頓。如果數據泄露涉及國家秘密，相關責任人員可能構成《刑法》第三百九十八條的“故意或者過失泄露國家秘密罪”。至于那些戴著設備在敏感區域活動的個人，如果明知該區域涉及國家安全而故意記錄、傳輸數據，也可能被追究法律責任。
最后想說，科技本身無罪，但用科技的人得有底線。智能穿戴設備給生活帶來便利，但也給國家安全打開了一個新的“后門”。這個后門不堵上，今天泄露的是領導人位置和核設施坐標，明天可能就是更嚴重的后果。對普通用戶來說，在涉密場所、敏感區域，該摘表摘表，該關機關機。對廠商來說，別光想著賣貨，數據安全的法律紅線，碰不得。