長(zhǎng)久以來(lái)��,互聯(lián)網(wǎng)時(shí)代的隱私問(wèn)題就像一頭“灰犀牛”�����,人人都可以看到它�,但大家都在有意無(wú)意地忽視它。百度公司董事長(zhǎng)李彥宏關(guān)于中國(guó)人愿意讓渡自己的隱私以獲得更多便利的發(fā)言固然刺耳����,但在現(xiàn)實(shí)中又有多少人會(huì)在使用APP前認(rèn)真閱讀其使用個(gè)人信息的協(xié)議呢?
在互聯(lián)網(wǎng)時(shí)代,個(gè)人信息包含的內(nèi)容正在變得越來(lái)越廣泛��,除了個(gè)人身份信息��、個(gè)人財(cái)產(chǎn)信息等人們較為熟悉的內(nèi)容外���,還包括個(gè)人生物識(shí)別信息�、網(wǎng)絡(luò)身份標(biāo)識(shí)信息�、個(gè)人通信信息、聯(lián)系人信息�、個(gè)人上網(wǎng)記錄、個(gè)人常用設(shè)備信息�、個(gè)人位置信息等等。
如今�,每個(gè)人都在或主動(dòng)或被動(dòng)地泄露著這些個(gè)人信息:在家中陽(yáng)臺(tái)拍一張照片發(fā)到朋友圈可能就會(huì)泄露你的家庭住址,周末外出就餐時(shí)在APP上“打卡簽到”也會(huì)向外界透露你的行蹤……除了這些無(wú)意間泄露的信息外,為了獲取更為便捷的服務(wù)�����,我們將自己的大量信息交到互聯(lián)網(wǎng)企業(yè)手中�����,但卻很少考慮它們被泄露�、被濫用的可能��。隨著互聯(lián)網(wǎng)企業(yè)對(duì)我們的“畫(huà)像”越來(lái)越精準(zhǔn)��,我們?cè)跍喨徊挥X(jué)間已經(jīng)變成了“透明人”�����。
但2018年以來(lái)的一連串事件卻刺痛了人們本已麻木的神經(jīng)���,從“支付寶年度賬單事件”到Facebook用戶(hù)數(shù)據(jù)被濫用��,人們感受到自己的隱私被侵犯�����,在網(wǎng)絡(luò)世界失去了安全感����。但在人們的生活已經(jīng)難以離開(kāi)互聯(lián)網(wǎng)與各種APP的當(dāng)下,我們又能怎么辦?
各國(guó)的監(jiān)管者也在面臨同樣的問(wèn)題����,如何通過(guò)法律法規(guī)與技術(shù)手段更好地保護(hù)人們的隱私?正在人們愈發(fā)關(guān)注隱私問(wèn)題之時(shí),5月1日起�����,推薦性國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 個(gè)人信息安全規(guī)范》正式實(shí)施�,對(duì)目前互聯(lián)網(wǎng)行業(yè)取得用戶(hù)個(gè)人信息時(shí)發(fā)生的“默認(rèn)勾選”“最小化原則”以及“跨界融合”三大常見(jiàn)問(wèn)題進(jìn)行了詳細(xì)規(guī)定。
當(dāng)企業(yè)有了可以參照的標(biāo)準(zhǔn)���,接下來(lái)的問(wèn)題就是距離達(dá)到標(biāo)準(zhǔn)還有多遠(yuǎn)?那些掌握著我們個(gè)人信息的企業(yè)有能力保護(hù)好它們嗎?而一些“任性”慣了的互聯(lián)網(wǎng)巨頭們又愿意不再“任性”地使用我們的個(gè)人信息嗎?
從支付寶到Facebook�,
“清算”互聯(lián)網(wǎng)企業(yè)“原罪”
信息泄露丑聞把扎克伯格拽出福布斯富豪榜前五位
4月10日���、11日�,F(xiàn)acebook首席執(zhí)行官扎克伯格連續(xù)兩天參加美國(guó)國(guó)會(huì)聽(tīng)證會(huì)��,在10個(gè)小時(shí)的時(shí)間里����,他一個(gè)人面對(duì)議員們潮水般的問(wèn)題——
Facebook是否愿意改變?cè)撈脚_(tái)的默認(rèn)設(shè)置并收集盡可能少的用戶(hù)數(shù)據(jù)?
公司是否從未登錄Facebook的設(shè)備中收集數(shù)據(jù)?
俄羅斯是否利用大量Facebook主頁(yè)在2016年總統(tǒng)大選期間散布假新聞?
……
扎克伯格一改往日T恤搭配牛仔褲的穿著�����,換上一套西裝的他說(shuō)的最多的詞便是“道歉”與“責(zé)任”�,這位33歲的Facebook創(chuàng)始人需要化解可能是公司成立以來(lái)最大的一次危機(jī)��。
這場(chǎng)危機(jī)曝光于2018年3月�����,簡(jiǎn)而言之��,超過(guò)5000萬(wàn)Facebook用戶(hù)的信息被一家成立于2013年�,名為劍橋分析(Cambridge Analytica)的公司獲取���,在用戶(hù)不知情的情況下���,劍橋分析向這些用戶(hù)精準(zhǔn)投放廣告內(nèi)容,幫助特朗普在2016年競(jìng)選美國(guó)總統(tǒng)�����。
Facebook用戶(hù)的數(shù)據(jù)又是如何流入劍橋分析手中的呢?其來(lái)源就是那種人們?cè)谏缃幻襟w上經(jīng)常見(jiàn)到,甚至樂(lè)于參與的性格測(cè)驗(yàn)���。劍橋大學(xué)研究人員亞歷山大·科根(Aleksandr Kogan)于2013年開(kāi)發(fā)了一款性格測(cè)試的應(yīng)用���,截至2015年,科根不僅獲取了千萬(wàn)用戶(hù)信息����,同時(shí)還將這些信息分享給了劍橋分析。Facebook已于2015年屏蔽了科根關(guān)于性格測(cè)試的應(yīng)用��,并且敦促科根和劍橋分析刪除用戶(hù)信息�,其當(dāng)時(shí)應(yīng)允刪除,但Facebook并未跟蹤調(diào)查其后續(xù)是否兌現(xiàn)允諾���。2018年3月��,媒體曝光劍橋分析并沒(méi)有像3年前承諾的那樣刪除幾千萬(wàn)用戶(hù)的信息�����,同時(shí)造成了信息泄露��。
在丑聞爆發(fā)后����,F(xiàn)acebook股價(jià)3月19日、20日連續(xù)大跌��,兩日市值蒸發(fā)500億美元���。據(jù)測(cè)算�,扎克伯格兩日財(cái)富蒸發(fā)超80億美元����,他也因此跌出福布斯富豪榜前五位�����。
值得注意的是�,此次Facebook事件的關(guān)鍵并不在于數(shù)據(jù)資產(chǎn)本身被盜用或泄露,問(wèn)題發(fā)生在應(yīng)用層����,與其說(shuō)是泄露,不如稱(chēng)之為用戶(hù)的數(shù)據(jù)被第三方濫用���。
在3月底扎克伯格對(duì)事件首次做出回應(yīng)時(shí)便表示:“這嚴(yán)重觸犯了用戶(hù)對(duì)我們的信任����,我十分抱歉,現(xiàn)在正在采取一系列措施確保其不會(huì)再次發(fā)生����。”他表示,F(xiàn)acebook團(tuán)隊(duì)已經(jīng)阻止了像劍橋分析這樣的程序獲取如此多的個(gè)人信息���,目前也正在減少用戶(hù)使用Facebook時(shí)被獲取的個(gè)人信息���。并且,臉書(shū)目前正在調(diào)查每一個(gè)從Facebook手中得到數(shù)據(jù)的程序�����,“我們預(yù)計(jì)除了劍橋分析外還有其他程序���,我們將阻止他們并告知所有受影響的人們����。”
就當(dāng)Facebook與扎克伯格因?yàn)榈谌綉?yīng)用濫用用戶(hù)數(shù)據(jù)而備受煎熬之時(shí)��,用戶(hù)隱私問(wèn)題也成為國(guó)內(nèi)輿論關(guān)注的焦點(diǎn)���。
李彥宏言論遭抨擊:誰(shuí)說(shuō)中國(guó)人不關(guān)注隱私問(wèn)題
“我想中國(guó)人可以更加開(kāi)放���,對(duì)隱私問(wèn)題沒(méi)有那么敏感��,如果他們?cè)敢庥秒[私交換便捷性�,很多情況下他們是愿意的��,那我們就可以用數(shù)據(jù)做一些事情�。”3月26日,百度公司董事長(zhǎng)兼首席執(zhí)行官李彥宏在參加中國(guó)發(fā)展高層論壇時(shí)發(fā)表了上述言論����,隨即引發(fā)了對(duì)個(gè)人信息保護(hù)問(wèn)題的討論。
這段事后招致猛烈抨擊的話有斷章取義的成分�,李彥宏更完整的表達(dá)還包括:百度當(dāng)下會(huì)更加注重隱私問(wèn)題�����,我國(guó)也在加強(qiáng)法律法規(guī)的建設(shè)�,“我們要遵循一定的原則,如果數(shù)據(jù)會(huì)使使用者受益���,他也愿意���,我們就會(huì)去做����。”
中國(guó)人對(duì)于隱私問(wèn)題是否足夠敏感可能難以判斷�,但可以肯定的是,進(jìn)入2018年以來(lái)��,中國(guó)的互聯(lián)網(wǎng)用戶(hù)比以往更加關(guān)注個(gè)人隱私問(wèn)題了���。
2018年1月初����,江蘇省消費(fèi)者保護(hù)委員會(huì)向百度提起一則民事訴訟��,指百度旗下APP涉嫌“監(jiān)聽(tīng)電話�����、定位”�����。隨后����,百度召開(kāi)媒體溝通會(huì)�����,強(qiáng)調(diào)旗下APP不會(huì)��、也沒(méi)有能力監(jiān)聽(tīng)電話��,同時(shí)百度APP敏感權(quán)限均需授權(quán)����,且用戶(hù)可自由關(guān)閉���。
話雖如此��,但在1月11日�,北京百度網(wǎng)訊科技有限公司���、螞蟻金服集團(tuán)公司(支付寶)、北京字節(jié)跳動(dòng)科技有限公司(今日頭條)3家企業(yè)由于相關(guān)手機(jī)應(yīng)用軟件存在侵犯用戶(hù)個(gè)人隱私的問(wèn)題被工信部信息通信管理局約談�����,被指對(duì)照網(wǎng)絡(luò)安全法等有關(guān)法律法規(guī),3家企業(yè)均存在用戶(hù)個(gè)人信息收集使用規(guī)則����、使用目的告知不充分的情況,要求3家企業(yè)本著充分保障用戶(hù)知情權(quán)和選擇權(quán)的原則立即進(jìn)行整改���。
個(gè)人信息保護(hù)不力����,支付寶收到央行18萬(wàn)元罰單
相比于百度�,今年更受輿論關(guān)注的是支付寶“年度賬單”事件。2018年元旦前后���,支付寶推出了一項(xiàng)為用戶(hù)提供2017年用戶(hù)個(gè)性化賬單的服務(wù)���,不少人都在朋友圈曬出了自己的賬單,但北京市岳成律師事務(wù)所高級(jí)合伙人岳屾山律師卻看出了其中的“漏洞”����,他最初在微博上質(zhì)疑稱(chēng),支付寶年度賬單首頁(yè)的“我同意《芝麻服務(wù)協(xié)議》”和此賬單的生成沒(méi)有必然聯(lián)系�,當(dāng)用戶(hù)不同意該協(xié)議時(shí),依然可以生成自己的個(gè)性化賬單,但如果用戶(hù)沒(méi)有注意到��,就會(huì)直接同意這個(gè)協(xié)議���,允許支付寶收集信息���,包括在第三方保存的信息。
芝麻信用管理公司隨即發(fā)布“關(guān)于支付寶年度賬單首頁(yè)《芝麻服務(wù)協(xié)議》的情況說(shuō)明”��,對(duì)公眾表達(dá)歉意并稱(chēng)已經(jīng)調(diào)整頁(yè)面���,取消默認(rèn)勾選�。
“多年來(lái)中國(guó)的互聯(lián)網(wǎng)企業(yè)對(duì)個(gè)人信息的保護(hù)意識(shí)不夠���,可以說(shuō)犯著對(duì)消費(fèi)者的‘原罪’一路走來(lái)���,現(xiàn)在是時(shí)候?qū)χ暗淖龇ㄟM(jìn)行大的調(diào)整了。”中國(guó)人民大學(xué)金融科技與互聯(lián)網(wǎng)安全研究中心主任楊東在支付寶“年度賬單事件”發(fā)生后對(duì)《中國(guó)經(jīng)濟(jì)周刊》記者表示����,該事件的轉(zhuǎn)折意義在于,社會(huì)大眾此前對(duì)自身個(gè)人信息是否被互聯(lián)網(wǎng)企業(yè)濫用漠不關(guān)心�����,只顧享受更方便的服務(wù)而無(wú)條件地提供個(gè)人信息給企業(yè)����。隨著該事件的發(fā)生,消費(fèi)者對(duì)個(gè)人信息安全的保護(hù)意識(shí)旋即提升�����。
其實(shí)����,個(gè)人信息的不當(dāng)使用和保護(hù)不力一直是網(wǎng)絡(luò)經(jīng)濟(jì)中的頑疾。2016年發(fā)布的《中國(guó)個(gè)人信息安全和隱私保護(hù)報(bào)告》稱(chēng)����,超過(guò)七成受訪者認(rèn)為個(gè)人信息泄露問(wèn)題嚴(yán)重;多達(dá)81%的人收到過(guò)對(duì)方知道自己姓名或單位等個(gè)人信息的陌生來(lái)電;53%的人因網(wǎng)頁(yè)搜索、瀏覽后泄露個(gè)人信息�����,被某類(lèi)廣告持續(xù)騷擾;在租房�����、購(gòu)房、購(gòu)車(chē)����、考試和升學(xué)等個(gè)人信息泄露后,受到營(yíng)銷(xiāo)騷擾或詐騙的高達(dá)36%;有26%的人每天收到兩個(gè)以上的垃圾短信�����,20%的人近一個(gè)月來(lái)每天收到兩個(gè)以上的騷擾電話�����。
人們每天瀏覽的網(wǎng)頁(yè)����,使用的手機(jī)APP可能正是泄露個(gè)人信息的一大源頭。
2017年12月����,南都個(gè)人信息保護(hù)研究中心發(fā)布了《2017個(gè)人信息保護(hù)年度報(bào)告》,在研究了1550家網(wǎng)站和APP的隱私政策后得出結(jié)果��,平臺(tái)隱私政策透明度的分布呈陡峭的金字塔形���,即透明度高的極少���,透明度低的則超過(guò)總數(shù)的80%���,互聯(lián)網(wǎng)金融類(lèi)和購(gòu)物類(lèi)中透明度低的占比甚至高于90%��,參評(píng)平臺(tái)的隱私政策普遍存在用戶(hù)權(quán)利條款缺失�����、文本雷同���、更新緩慢����、暗藏格式條款等弊病����。
2018年3月,中國(guó)人民銀行杭州中心支行對(duì)支付寶做出行政處罰����,因?yàn)樵诳蛻?hù)權(quán)益、產(chǎn)品宣傳及個(gè)人信息保護(hù)等方面存在違法行為��,支付寶收到18萬(wàn)元罰單。
“默認(rèn)勾選”“最小化原則”“跨界融合”
“個(gè)人信息安全規(guī)范”針對(duì)三大問(wèn)題出招
將于5月1日起正式實(shí)施
2018年1月10日�����,國(guó)家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡(luò)安全協(xié)調(diào)局約談“支付寶年度賬單事件”當(dāng)事企業(yè)�����,即螞蟻金服負(fù)責(zé)人��。網(wǎng)絡(luò)安全協(xié)調(diào)局負(fù)責(zé)人指出����,支付寶、芝麻信用收集使用個(gè)人信息的方式����,不符合即將于5月1日實(shí)施的“個(gè)人信息安全規(guī)范”國(guó)家標(biāo)準(zhǔn)的精神,也違背了螞蟻金服與其他企業(yè)在2017年9月共同簽署的個(gè)人信息保護(hù)倡議書(shū)的承諾��。
其實(shí)���,彼時(shí)“個(gè)人信息安全規(guī)范”并未正式生效�����,但已成為有關(guān)部門(mén)監(jiān)管時(shí)的重要依據(jù)��。
2017年12月��,推薦性國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(下稱(chēng)《規(guī)范》)出臺(tái),將于2018年5月1日起正式實(shí)施;在更早之前的2017年6月1日�����,《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式實(shí)施����,其中有專(zhuān)門(mén)章節(jié)針對(duì)保護(hù)個(gè)人信息安全���。
“在我個(gè)人看來(lái)���,《規(guī)范》首先遵循了網(wǎng)絡(luò)安全法確立的個(gè)人信息保護(hù)框架,其次也提供了遵從網(wǎng)絡(luò)安全法關(guān)于個(gè)人信息保護(hù)要求的一個(gè)良好方案�����。”《規(guī)范》起草人之一���、北京大學(xué)互聯(lián)網(wǎng)發(fā)展研究中心研究主管洪延青對(duì)《中國(guó)經(jīng)濟(jì)周刊》記者表示����,不能說(shuō)如果企業(yè)的做法與《規(guī)范》不符合就一定違反了網(wǎng)絡(luò)安全法對(duì)個(gè)人信息保護(hù)的相關(guān)要求,但如果企業(yè)按照《規(guī)范》去做����,達(dá)到合規(guī),則肯定會(huì)符合網(wǎng)絡(luò)安全法的規(guī)定����。也就是說(shuō),如果企業(yè)沒(méi)有對(duì)《規(guī)范》合規(guī)�,不能說(shuō)其肯定觸犯了網(wǎng)絡(luò)安全法,其完全可以在《規(guī)范》之外自己制定一套符合網(wǎng)絡(luò)安全法對(duì)個(gè)人信息保護(hù)要求的制度�,但其制定成本會(huì)遠(yuǎn)遠(yuǎn)大于對(duì)《規(guī)范》合規(guī)。
《規(guī)范》對(duì)目前互聯(lián)網(wǎng)行業(yè)取得用戶(hù)個(gè)人信息時(shí)發(fā)生的“默認(rèn)勾選”“最小化原則”以及“跨界融合”三大常見(jiàn)問(wèn)題進(jìn)行了詳細(xì)規(guī)定����,企業(yè)終于有標(biāo)準(zhǔn)可以參照了。
“默認(rèn)勾選”綁架用戶(hù)
“支付寶年度賬單事件”中比較令人關(guān)注的是涉事企業(yè)在頁(yè)面中并不顯眼的地方安排了“我同意《芝麻服務(wù)協(xié)議》”的選項(xiàng)���,并且提前替用戶(hù)勾選�,用戶(hù)如果不同意����,需要再點(diǎn)擊一下復(fù)選框���。用戶(hù)如果稍有疏漏,就會(huì)“被自愿”地同意該協(xié)議�����,存在第三方和支付寶內(nèi)的個(gè)人信息便會(huì)被企業(yè)收集����。
《規(guī)范》規(guī)定,有關(guān)數(shù)據(jù)控制方“在間接獲取個(gè)人信息時(shí)���,作為接收方的企業(yè)有義務(wù)要求提供方對(duì)相關(guān)個(gè)人信息的來(lái)源進(jìn)行說(shuō)明并確認(rèn)其合法性,同時(shí)還應(yīng)當(dāng)了解個(gè)人信息主體對(duì)于提供方的授權(quán)范圍��,包括使用目的�����、個(gè)人信息主體是否授權(quán)同意轉(zhuǎn)讓����、共享、公開(kāi)披露等內(nèi)容����,若接收方處理個(gè)人信息超出上述范圍的����,還應(yīng)在合理期限內(nèi)另行征得個(gè)人信息主體的明示同意�。”在此事件中,支付寶對(duì)用戶(hù)的提示信息字體很小�����,并處在按鈕下方易被忽略的位置���,且默認(rèn)勾選也遠(yuǎn)遠(yuǎn)不能算是個(gè)人信息主體的“明示同意”����。
類(lèi)似于“默認(rèn)勾選”的“綁架”做法其實(shí)不只存在于某一家企業(yè)����,其似乎是互聯(lián)網(wǎng)行業(yè)的“頑疾”。
線上醫(yī)療企業(yè)丁香園創(chuàng)始人李天天曾在國(guó)外體驗(yàn)過(guò)一種具有自助掛號(hào)功能的軟件���,該軟件也會(huì)讓用戶(hù)選擇同意或不同意隱私政策�,若不同意,則無(wú)法進(jìn)入服務(wù)流程的下一步�����,也就是說(shuō)無(wú)法實(shí)現(xiàn)自助掛號(hào)功能��,線上醫(yī)療行業(yè)內(nèi)部對(duì)此條款稱(chēng)為“知情同意”����,但背后的一句話則是,“若不同意�����,則無(wú)法使用該服務(wù)”���。也就是說(shuō)��,“知情同意”其實(shí)是“知情后必須同意,否則不提供服務(wù)”��。值得注意的是�����,此種做法在目前國(guó)內(nèi)的線上醫(yī)療企業(yè)中也是相當(dāng)普遍,浙江省衛(wèi)生信息學(xué)會(huì)秘書(shū)長(zhǎng)倪榮曾對(duì)《中國(guó)經(jīng)濟(jì)周刊》記者評(píng)價(jià)說(shuō):“這種‘知情同意’其實(shí)是對(duì)消費(fèi)者個(gè)人信息保護(hù)程度嚴(yán)重不到位的�。”
獲取信息“最小化原則”將打倒一大片互聯(lián)網(wǎng)企業(yè)?
除“默認(rèn)勾選”外����,支付寶的做法實(shí)際上也不符合《規(guī)范》中的“最小化原則”。
所謂“最小化原則”包含數(shù)量和存儲(chǔ)時(shí)間兩個(gè)概念上的“最小化”��?����!兑?guī)范》規(guī)定數(shù)據(jù)控制方“自動(dòng)采集個(gè)人信息的頻率應(yīng)是實(shí)現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能所必需的最低頻率;間接獲取個(gè)人信息的數(shù)量應(yīng)是實(shí)現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能所必需的最低頻率;個(gè)人信息保存期限應(yīng)為實(shí)現(xiàn)目的所必需的最短時(shí)間”��。也就是說(shuō)����,既然不勾選同意《芝麻服務(wù)協(xié)議》也可生成個(gè)性化年度賬單,支付寶應(yīng)在盡可能少量����、低頻收集個(gè)人信息的前提下實(shí)現(xiàn)賬單功能,連對(duì)用戶(hù)出示同意《芝麻服務(wù)協(xié)議》的選項(xiàng)都 “多此一舉”�。
按照洪延青的說(shuō)法,網(wǎng)絡(luò)安全法中的正當(dāng)性和必要性原則給出了一個(gè)大的框架��,此為《規(guī)范》中“最小化原則”的司法背書(shū)來(lái)源。
“最小化原則”可能會(huì)“打倒一大片”互聯(lián)網(wǎng)企業(yè)�,原因在于目前不少企業(yè)所遵循的不是“最小化原則”,而是“最大化原則”����。
“最小化原則肯定是法律精神,但在國(guó)內(nèi)互聯(lián)網(wǎng)企業(yè)中�����,之前推行的一套做法其實(shí)是嚴(yán)重違背這個(gè)精神的��。”一位資深投資人士對(duì)《中國(guó)經(jīng)濟(jì)周刊》記者表達(dá)了自己的擔(dān)憂(yōu)��,他表示�����,從商業(yè)利益角度出發(fā)��,數(shù)據(jù)控制方只有盡可能多地獲得用戶(hù)海量����,且類(lèi)型多樣的數(shù)據(jù)���,才能生成最準(zhǔn)確的用戶(hù)畫(huà)像�����,進(jìn)而產(chǎn)生更精確的營(yíng)銷(xiāo)內(nèi)容�����,比如“精準(zhǔn)推送”����。
然而,若企業(yè)減少收集用戶(hù)個(gè)人信息的頻率和數(shù)量���,也縮短了存儲(chǔ)時(shí)間���,是否意味著用戶(hù)所能享受到的個(gè)性化服務(wù)變得不那么“貼心”?中國(guó)政法大學(xué)知識(shí)產(chǎn)權(quán)研究中心特約研究員李俊慧對(duì)此持否定態(tài)度,“用戶(hù)個(gè)人信息與大數(shù)據(jù)分析有相關(guān)性但沒(méi)有必然聯(lián)系����,互聯(lián)網(wǎng)企業(yè)精準(zhǔn)營(yíng)銷(xiāo)更多是基于大數(shù)據(jù)分析,只是在其使用的設(shè)備中予以推送展示����,對(duì)個(gè)人敏感信息并不一定需要使用����,因此精準(zhǔn)營(yíng)銷(xiāo)與個(gè)人信息保護(hù)并不沖突����。”
丁香園創(chuàng)始人李天天的回答則更加直接:“如果由于監(jiān)管限制,導(dǎo)致業(yè)務(wù)無(wú)法開(kāi)展或者影響品質(zhì)����,我認(rèn)為還是應(yīng)該服從監(jiān)管。”他表示�,以醫(yī)療行業(yè)為例,美國(guó)的監(jiān)管十分嚴(yán)格�����,但確實(shí)避免了很多問(wèn)題�����。
APP演變成多功能平臺(tái)��,“一攬子”授權(quán)不可取
如今�,隨著“跨界融合”,不少應(yīng)用已不再具備單一功能����,而是在基本服務(wù)之上疊加了各種其他功能,演變成聚合性平臺(tái)�。
以微信和支付寶兩款人們常用的APP為例,微信最初以社交功能切入市場(chǎng)���,隨后演變出支付���、理財(cái)、生活繳費(fèi)等疊加功能���,同時(shí)也搭載了大眾點(diǎn)評(píng)����、美團(tuán)外賣(mài)���、京東優(yōu)選等第三方服務(wù);支付寶此前以支付功能入局��,此后也開(kāi)發(fā)出包括紅包在內(nèi)的社交和聊天功能���,疊加了如余額寶、芝麻信用等金融服務(wù)����。“我已經(jīng)說(shuō)不清楚微信究竟還是不是聊天工具了�,好像不是��。”一位從2012年微信發(fā)布不久便開(kāi)始使用微信的用戶(hù)對(duì)記者說(shuō)�。
在扎克伯格出席聽(tīng)證會(huì)期間也被問(wèn)道,“Facebook是一家電視公司嗎?”扎克伯格回應(yīng)說(shuō)����,我認(rèn)為我們是一家科技公司。
多功能聚合性平臺(tái)也對(duì)個(gè)人信息保護(hù)帶來(lái)了隱患�。當(dāng)某個(gè)平臺(tái)擁有多項(xiàng)功能時(shí),從減少成本的角度出發(fā)����,平臺(tái)可能會(huì)采取“一攬子”協(xié)議的做法,即在用戶(hù)最初使用平臺(tái)提供的服務(wù)時(shí)���,采用較為明顯的方式對(duì)隱私政策以及收集個(gè)人信息的類(lèi)別和用途做出較為詳細(xì)的展示�,當(dāng)用戶(hù)點(diǎn)擊“同意”后����,則被視為該用戶(hù)在使用所有類(lèi)別的功能時(shí)都同意了這一版本的條款。
針對(duì)“一攬子”授權(quán)“綁架用戶(hù)”的嫌疑,《規(guī)范》做出了改善的建議:將核心功能與附加功能區(qū)分�����。洪延青在解讀這一條款時(shí)稱(chēng)��,即便點(diǎn)擊了隱私政策長(zhǎng)文本的同意���,并不意味著附加功能同時(shí)一并打開(kāi),在現(xiàn)實(shí)使用中�,還是需要再次點(diǎn)擊同意。“以即時(shí)通信APP為例��,其核心功能是聊天�,在實(shí)現(xiàn)這一核心功能時(shí)需要收集敏感信息或是普通個(gè)人信息,用戶(hù)為了使用都需要提供���。但其中的理財(cái)?shù)裙δ?���,明顯屬于附加功能�����,如果用戶(hù)只想聊天����,不想使用理財(cái)功能����,就不能認(rèn)為同意了隱私政策就意味著開(kāi)通理財(cái)功能時(shí)不需要再次征詢(xún)����。”
據(jù)了解,京東目前通行的《京東隱私政策》就在向《規(guī)范》的要求靠攏�。“新的政策條款對(duì)于用戶(hù)的隱私保護(hù)做到了具體化和透明化,用戶(hù)對(duì)個(gè)人信息的掌控力度更高;在收集��、使用��、存儲(chǔ)和傳輸用戶(hù)信息的時(shí)候�,京東會(huì)明確告知用戶(hù)相關(guān)信息的使用目的和范圍,包括如果將用戶(hù)信息用于新的目的或范圍將重新獲取用戶(hù)同意���,提供如何關(guān)閉位置�����、通知等授權(quán)的具體操作步驟等����。”京東首席安全官李德浩對(duì)《中國(guó)經(jīng)濟(jì)周刊》記者說(shuō)。
但接下來(lái)的問(wèn)題是�����,在聚合化趨勢(shì)日益明顯的互聯(lián)網(wǎng)行業(yè)��,巨頭們都不愿將自身定位為某個(gè)領(lǐng)域�����,從事單一業(yè)務(wù)的企業(yè)�。京東早已不再是單純的零售平臺(tái)����,BAT莫不如此。“什么是核心功能�����,什么是附加功能�����,普遍認(rèn)可的理解是核心功能是用戶(hù)注冊(cè)產(chǎn)品或服務(wù)的基本需求,除此之外為用戶(hù)提升體驗(yàn)而設(shè)計(jì)的功能則是附加功能���。”京東法律研究院秘書(shū)長(zhǎng)嚴(yán)少敏曾在一篇署名文章中如此區(qū)分核心與附加功能���。以B2C電商為例,其核心功能簡(jiǎn)單說(shuō)是實(shí)現(xiàn)網(wǎng)上購(gòu)物所必需的功能���,而智能化的搜索詞提示和個(gè)性化推薦功能���,則是為了滿(mǎn)足縮小搜索目標(biāo)范圍以及體驗(yàn)“逛店”感受的,也應(yīng)當(dāng)被認(rèn)定為核心功能����。
值得注意的是,《規(guī)范》并未采取“一刀切”的方法來(lái)認(rèn)定某一數(shù)據(jù)控制方的核心業(yè)務(wù)是什么���。“我們的標(biāo)準(zhǔn)當(dāng)時(shí)沒(méi)有想規(guī)定什么叫核心和附加����,就是想故意留一個(gè)口子��,希望通過(guò)市場(chǎng)競(jìng)爭(zhēng)或者社會(huì)監(jiān)督能夠起到這樣的作用���。”洪延青說(shuō)���。
未來(lái)不排除有的企業(yè)為減少用戶(hù)授權(quán)次數(shù)����,以期用一次授權(quán)獲得用戶(hù)對(duì)更多項(xiàng)功能的隱私授權(quán)�,就將核心功能定得很多,附加功能定得很少��,而實(shí)質(zhì)上它本身只是個(gè)通訊軟件�����,而另外一些通訊軟件則只將通訊和社交功能定為核心功能���,其他功能一律定為附加功能。對(duì)此��,洪延青稱(chēng)����,相信一定會(huì)有社會(huì)監(jiān)督機(jī)構(gòu)或者監(jiān)管機(jī)構(gòu)約談相關(guān)企業(yè)時(shí)說(shuō),“你為什么定得不一樣?”這樣通過(guò)市場(chǎng)競(jìng)爭(zhēng)和比較�����,逐漸形成行業(yè)慣例。
個(gè)人信息保護(hù)法“在路上”
盡管《規(guī)范》為數(shù)據(jù)控制方提供了一系列既遵循網(wǎng)絡(luò)安全法�����,又切實(shí)可行的做法��,但其法律效力卻并不高��。據(jù)了解���,國(guó)家標(biāo)準(zhǔn)分為強(qiáng)制性和推薦性?xún)煞N�����,而《規(guī)范》屬于后者����,無(wú)強(qiáng)制力����。
李俊慧告訴《中國(guó)經(jīng)濟(jì)周刊》記者�,《規(guī)范》并不屬于法律或法規(guī),其層級(jí)低于法律�����、法規(guī)。如果法律�、法規(guī)的要求與標(biāo)準(zhǔn)不一致��,則以法律��、法規(guī)為準(zhǔn)���。對(duì)于法律�����、法規(guī)未明確的事項(xiàng),該標(biāo)準(zhǔn)作為一項(xiàng)推薦性標(biāo)準(zhǔn)�����,可以作為評(píng)估企業(yè)相關(guān)個(gè)人信息保護(hù)措施的參照�����。
盡管我國(guó)已經(jīng)存在一部網(wǎng)絡(luò)安全法�,但其解決的主要是與網(wǎng)絡(luò)安全相關(guān)的問(wèn)題��,涉及面比較廣泛,雖然網(wǎng)絡(luò)安全法中有專(zhuān)門(mén)針對(duì)個(gè)人信息安全保護(hù)的章節(jié)��,但由于立法目的不同���,可能對(duì)個(gè)人信息的保護(hù)并不全面���,因此一直有聲音呼吁制定一部專(zhuān)門(mén)的個(gè)人信息保護(hù)法。
2018年2月�,全國(guó)人大常委會(huì)法工委經(jīng)濟(jì)法室主任王瑞賀曾在接受媒體采訪時(shí)透露��,全國(guó)人大常委會(huì)法工委正在會(huì)同有關(guān)方面對(duì)個(gè)人信息保護(hù)立法的有關(guān)問(wèn)題進(jìn)行研究論證����。2017年全國(guó)兩會(huì)期間����,吳曉靈等40余位全國(guó)人大代表向大會(huì)提交了《關(guān)于制定<中華人民共和國(guó)個(gè)人信息保護(hù)法>的議案》��,建議盡快制定《中華人民共和國(guó)個(gè)人信息保護(hù)法》�����,同時(shí)將《中華人民共和國(guó)個(gè)人信息保護(hù)法(草案)》作為附件提交����。
有分析認(rèn)為���,作為正式法律����,個(gè)人信息保護(hù)法完全可以將《規(guī)范》當(dāng)中對(duì)識(shí)別和關(guān)聯(lián)路徑��、“最小化原則”以及將核心與附加功能進(jìn)行區(qū)分等內(nèi)容確定為未來(lái)正式的法律條款���。
保護(hù)個(gè)人信息�,互聯(lián)網(wǎng)企業(yè)準(zhǔn)備好了嗎�?
搜狗王小川:個(gè)人信息使用更規(guī)范,搜狗很樂(lè)觀
360周鴻祎:數(shù)據(jù)所有權(quán)毫無(wú)疑問(wèn)屬于用戶(hù)
網(wǎng)易丁磊:我們收集用戶(hù)數(shù)據(jù)很少有惡意
如前文所述����,即便企業(yè)做法沒(méi)有符合《規(guī)范》���,仍不能認(rèn)定其違反了網(wǎng)絡(luò)安全法���,相關(guān)部門(mén)不能以《規(guī)范》作為執(zhí)法依據(jù)。但企業(yè)若按照《規(guī)范》行事���,則肯定符合網(wǎng)絡(luò)安全法的規(guī)定�,從守法成本上來(lái)講可降至最低����。
針對(duì)《規(guī)范》的改造并不簡(jiǎn)單輕松�,但互聯(lián)網(wǎng)企業(yè)必須馬上行動(dòng)起來(lái)����,企業(yè)是否已經(jīng)準(zhǔn)備好?
從人力到技術(shù)�,企業(yè)要做好哪些準(zhǔn)備��?
首先是負(fù)責(zé)個(gè)人信息安全保護(hù)的人員是否到位���。
《規(guī)范》要求規(guī)模超過(guò)200人的�����,業(yè)務(wù)涉及用戶(hù)個(gè)人信息的企業(yè)建立專(zhuān)門(mén)負(fù)責(zé)個(gè)人信息安全保護(hù)的部門(mén)以及設(shè)立專(zhuān)門(mén)的負(fù)責(zé)人�。不少企業(yè)都正在按照這一標(biāo)準(zhǔn)進(jìn)行調(diào)整。
“我們很早就有了這樣的部門(mén)�,其負(fù)責(zé)人被命名為‘首席隱私官’���,360的業(yè)務(wù)條線也有很多���,很多部門(mén)也都希望盡可能多地收集和使用用戶(hù)個(gè)人信息,但首席隱私官所領(lǐng)導(dǎo)的部門(mén)會(huì)統(tǒng)一核準(zhǔn)該做法是否符合規(guī)范和法律法規(guī)���,是否符合360自身的價(jià)值觀。”360集團(tuán)董事長(zhǎng)兼CEO周鴻祎表示���,隨著國(guó)家標(biāo)準(zhǔn)和相關(guān)法律法規(guī)的出臺(tái)并生效�,行業(yè)內(nèi)部的企業(yè)肯定會(huì)按照相關(guān)要求進(jìn)行調(diào)整,以使自身行為合乎監(jiān)管原則�。
李天天告訴記者,丁香園現(xiàn)有員工超過(guò)1000人�,負(fù)責(zé)信息安全的相關(guān)機(jī)構(gòu)和機(jī)構(gòu)負(fù)責(zé)人均已到位���。
京東首席安全官李德浩稱(chēng):“京東安全委員會(huì)就是我們內(nèi)部專(zhuān)門(mén)負(fù)責(zé)信息安全事務(wù)的����,我本人就是這個(gè)部門(mén)的負(fù)責(zé)人。”
其次��,在技術(shù)層面���,《規(guī)范》指出識(shí)別路徑和關(guān)聯(lián)路徑都應(yīng)被算作個(gè)人信息����,都應(yīng)受到保護(hù)�����。
識(shí)別路徑是指通過(guò)某一段信息(如家庭住址、身份證號(hào)碼�、手機(jī)號(hào)碼等)可直接識(shí)別出某具體自然人的信息��,關(guān)聯(lián)路徑則是通過(guò)某一段互聯(lián)網(wǎng)上的行為軌跡和記錄��,可在一定范圍內(nèi)通過(guò)關(guān)聯(lián)作用識(shí)別出該自然人所具有的清晰特征的信息。以社交網(wǎng)絡(luò)為例��,即便其將用戶(hù)個(gè)人具體信息保護(hù)到位���,但用戶(hù)在網(wǎng)站上的好友名單�、黑名單和其他行為軌跡也可關(guān)聯(lián)到用戶(hù)本人�,而這部分信息也屬于個(gè)人信息����。然而不少社交網(wǎng)站只重視前者而放松了后者�����,“不少社交網(wǎng)站將關(guān)聯(lián)路徑當(dāng)做網(wǎng)絡(luò)日志信息而非個(gè)人信息來(lái)處理���,這是不合規(guī)的。”洪延青指出�。
企業(yè)還要做到不同應(yīng)用場(chǎng)景之間的個(gè)人信息不可聯(lián)結(jié)。
以視頻網(wǎng)站為例���,同一用戶(hù)在其他消費(fèi)場(chǎng)景�,比如零售中的用戶(hù)畫(huà)像,對(duì)視頻網(wǎng)站也極有意義����,一旦掌握其消費(fèi)習(xí)慣,可通過(guò)計(jì)算推測(cè)出其對(duì)視頻類(lèi)型的偏好���。“零售網(wǎng)站上的用戶(hù)畫(huà)像,視頻網(wǎng)站在背后是有相關(guān)渠道可以獲得的�����,這在行業(yè)中屬于灰色地帶。”一位視頻網(wǎng)站從業(yè)者向《中國(guó)經(jīng)濟(jì)周刊》記者透露說(shuō)����。
“類(lèi)似的交易在丁香園并不存在���。我認(rèn)為如果沒(méi)有用戶(hù)本人的知情同意就進(jìn)行交易����,應(yīng)該算是個(gè)人信息泄露。用戶(hù)畫(huà)像在不同的互聯(lián)網(wǎng)企業(yè)之間流轉(zhuǎn)����,首先應(yīng)當(dāng)遵循用戶(hù)本人意愿���,在合法合規(guī)的前提下進(jìn)行��。”李天天對(duì)記者說(shuō),
《規(guī)范》對(duì)此有明確界定:要求企業(yè)具備透明性(數(shù)據(jù)的處理����、流轉(zhuǎn)要透明)���、可干預(yù)性(如果需要?jiǎng)h除或更正����,需要具備溯源追究的能力)和不可聯(lián)結(jié)性(在大數(shù)據(jù)平臺(tái)中��,不同場(chǎng)景不同目的的數(shù)據(jù)不能聯(lián)結(jié))�。
但值得注意的是���,隨著互聯(lián)網(wǎng)行業(yè)的并購(gòu)不斷發(fā)生�,有些零售網(wǎng)站與視頻網(wǎng)站背后有著相同的實(shí)際控制人��,在組織文化和內(nèi)部管理制度上甚至趨同,背后是否有在用戶(hù)畫(huà)像信息上的來(lái)往外界不得而知���。也就是說(shuō)����,即便一家互聯(lián)網(wǎng)巨頭旗下?lián)碛卸鄨?chǎng)景類(lèi)別的服務(wù),其也有能力將所有場(chǎng)景下的大數(shù)據(jù)建成統(tǒng)一平臺(tái)���,但不同場(chǎng)景的個(gè)人信息依然要堅(jiān)持不可聯(lián)結(jié)原則�,這對(duì)致力于打造全場(chǎng)景服務(wù)的巨頭企業(yè)至關(guān)重要���。前述劍橋分析及其他程序在臉書(shū)上獲得用戶(hù)數(shù)據(jù)的行為���,理論上也屬于多場(chǎng)景類(lèi)別下的數(shù)據(jù)流轉(zhuǎn)問(wèn)題,我國(guó)的《規(guī)范》對(duì)此類(lèi)問(wèn)題的要求較為明確:不可聯(lián)結(jié)�����。
對(duì)于即將生效的《規(guī)范》����,搜狗CEO王小川在接受《中國(guó)經(jīng)濟(jì)周刊》記者采訪時(shí)表示,《規(guī)范》出臺(tái)對(duì)行業(yè)來(lái)說(shuō)是件好事�����,搜狗完全支持并且一直以來(lái)都遵循了《規(guī)范》所規(guī)定的在數(shù)據(jù)存儲(chǔ)時(shí)間和調(diào)用數(shù)據(jù)量上的最小化原則�����,“搜狗一直是比較自律的�,不會(huì)收集對(duì)用戶(hù)沒(méi)有幫助的數(shù)據(jù)�����,在能實(shí)現(xiàn)功能的前提下能不調(diào)用個(gè)人信息就不調(diào)用�����、能少調(diào)用就少調(diào)用。”王小川說(shuō),搜狗在云安全方面也做了很多的努力,完全可以確保個(gè)人信息安全且被合規(guī)地使用�,“有了相關(guān)規(guī)范���,做得好的企業(yè)只會(huì)讓外界更加信任我們��,搜狗很樂(lè)觀��。”
數(shù)據(jù)所有權(quán)歸誰(shuí)?用戶(hù)還是數(shù)據(jù)收集者?
個(gè)人信息的所有權(quán)問(wèn)題也很關(guān)鍵。對(duì)于個(gè)人信息到底歸誰(shuí),業(yè)內(nèi)大致分為兩種論調(diào):一種聲音認(rèn)為,雖然個(gè)人的行為才是所有數(shù)據(jù)和信息的來(lái)源,但個(gè)人行為本身不是數(shù)據(jù)����,而是數(shù)據(jù)控制方的記錄等一系列技術(shù)手段將其加工成一段段數(shù)據(jù),并且用戶(hù)在提供自身數(shù)據(jù)給數(shù)據(jù)控制方的過(guò)程中享受到了個(gè)性推薦等便利,所以該信息的至少部分所有權(quán)應(yīng)歸數(shù)據(jù)控制方�。
上海數(shù)據(jù)交易中心CEO湯奇峰就曾對(duì)《中國(guó)經(jīng)濟(jì)周刊》記者表示����,用戶(hù)的個(gè)人行為本身不是數(shù)據(jù)����,正是由于數(shù)據(jù)控制方的一系列技術(shù)手段的介入才將其加工成數(shù)據(jù),才讓用戶(hù)享受到了互聯(lián)網(wǎng)服務(wù)的便利����。但他同時(shí)表示,在為用戶(hù)提供便利的同時(shí)�,數(shù)據(jù)控制方為防范個(gè)人信息泄露和不當(dāng)使用對(duì)當(dāng)事人的隱私權(quán)造成損害,需要在網(wǎng)絡(luò)安全法框架下遵循正當(dāng)性和必要性?xún)蓚€(gè)原則��。
此外����,另一種觀點(diǎn)則認(rèn)為,作為各項(xiàng)個(gè)人信息的源頭�����,用戶(hù)完全可以主張對(duì)信息所有權(quán)的完全所有權(quán)��。在一些國(guó)家不乏數(shù)據(jù)提供商支付給用戶(hù)一定的價(jià)格,以作為用戶(hù)對(duì)其開(kāi)放個(gè)人信息的回報(bào)。
周鴻祎便是“數(shù)據(jù)所有權(quán)歸用戶(hù)”的支持者�。在今年全國(guó)兩會(huì)期間�,周鴻祎對(duì)《中國(guó)經(jīng)濟(jì)周刊》記者表示�,他此次參會(huì)帶來(lái)一份關(guān)于企業(yè)收集并使用個(gè)人信息應(yīng)遵循“三原則”的提案�。“首先數(shù)據(jù)的所有權(quán)毫無(wú)疑問(wèn)屬于用戶(hù)本人��,即便是互聯(lián)網(wǎng)公司收集的�����,但也不能擁有所有權(quán)����,個(gè)人信息只是暫時(shí)托管在互聯(lián)網(wǎng)公司的服務(wù)器中�。”其他兩項(xiàng)原則分別是保證用戶(hù)的知情權(quán)和選擇權(quán)以及服務(wù)過(guò)程中的信息安全。“根據(jù)每個(gè)應(yīng)用的具體情況��,服務(wù)提供商做什么都要讓用戶(hù)知道,當(dāng)然不能‘一刀切’。如果需要打開(kāi)麥克風(fēng)收集用戶(hù)的聲音���,這種行為是否提前讓用戶(hù)知曉?是否提前告訴用戶(hù)為什么要這么做?用戶(hù)如果不同意���,應(yīng)有權(quán)利選擇拒絕。此外��,用戶(hù)個(gè)人信息在互聯(lián)網(wǎng)企業(yè)使用的過(guò)程中要被很好地保護(hù)����,不能有不明的去向以及泄露��。”
周鴻祎認(rèn)為,政府如果能推動(dòng)解決好這三個(gè)問(wèn)題����,用戶(hù)和數(shù)據(jù)控制方之間就能建立很好的信任�,用戶(hù)放心地允許企業(yè)收集,企業(yè)用合規(guī)的方式賺錢(qián)。
“作為互聯(lián)網(wǎng)公司����,我們收集用戶(hù)數(shù)據(jù)很少有惡意��。”網(wǎng)易創(chuàng)始人丁磊對(duì)《中國(guó)經(jīng)濟(jì)周刊》記者表示����,互聯(lián)網(wǎng)企業(yè)保存用戶(hù)信息的一個(gè)風(fēng)險(xiǎn)在于,有些黑色產(chǎn)業(yè)鏈條會(huì)盯上企業(yè)服務(wù)器中的個(gè)人信息并通過(guò)非法手段盜取�����,“我們的收集和使用本身沒(méi)有惡意;當(dāng)然�����,要保護(hù)個(gè)人信息在企業(yè)服務(wù)器中的安全,這是我們?cè)撟龅摹?rdquo;
關(guān)鍵詞:
馬云
李彥宏
