对博物馆而言,游客个人信息安全与馆内藏品安全同样值得重视。
测试发现过度采集、隐私难删
本次测试,南都发现部分博物馆网络预约系统存在个人信息安全隐患,包括未提供隐私政策或政策内容不全、过度采集用户个人信息、个人信息难删除等问题。比如,以网页形式提供预约服务的南越王博物院、鸦片战争博物馆、汕头市博物馆、佛山市祖庙博物馆、清晖园博物馆,以及省外的秦始皇帝陵博物院未能提供隐私政策。陈家祠隐私政策指向的阅读链接,内容全文不到100字,未直接明示个人信息的具体去向和处理方式。
还有部分博物馆或存在过度采集用户个人信息情况,比如南越王博物院在王墓展区的购票页面中还要求用户填写自己“是否党员”;广东省博物馆的预约小程序中几乎所有功能都必须完成实名登记后方可使用,无论是举报黄牛,还是查看公益讲解安排表,都强制要求登记个人信息。
此外,本次测试的多数博物馆不允许用户自行删除历史预约参观记录和已登记的个人信息。如广东省博物馆的预约小程序虽提醒可在“常用参观人”页面删除个人信息,但实测发现无论“常用参观人”还是“个人信息”页面,其中的个人信息都无法自行修改。而按照《个人信息保护法》,基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。
陈家祠将公示新版隐私政策
部分博物馆避而不谈
随着个人信息保护意识的日益提升,越来越多人面对企业、网络平台收集个人信息时持谨慎态度,然而面对博物馆等带有公共属性的机构时,敏感度仍相对较低。且在实际场景中,文博场所提供的服务常常带有唯一性,这种情况下,即便游客意识到其个人信息处理规则存在瑕疵,也不得不选择忽视。
查阅公开信息可发现,近年国内外不少博物馆曾遭遇网络入侵或数据泄露事件。2024年3月,公安机关发现呼和浩特市某博物馆综合安防管理平台软件Web界面被攻击篡改;2024年8月,法国约40家博物馆的数据系统遭到勒索软件攻击,巴黎大展览馆(又名巴黎大皇宫)、卢浮宫、凡尔赛宫等均在受影响之列。
2024年6月,江苏省文化和旅游厅在文化和旅游部科技教育司《文化和旅游智库要报》中指出,部分地区文化和旅游行业存在网络和数据安全防护薄弱、敏感个人信息违规使用、数据安全缺乏行业指导等问题,并提出开展文化和旅游行业APP违法违规收集使用个人信息行为以及人脸识别、人证比对合法合规专项检测等多项建议。