長久以來�,互聯(lián)網(wǎng)時代的隱私問題就像一頭“灰犀牛”,人人都可以看到它��,但大家都在有意無意地忽視它�����。百度公司董事長李彥宏關(guān)于中國人愿意讓渡自己的隱私以獲得更多便利的發(fā)言固然刺耳��,但在現(xiàn)實中又有多少人會在使用APP前認真閱讀其使用個人信息的協(xié)議呢?
在互聯(lián)網(wǎng)時代����,個人信息包含的內(nèi)容正在變得越來越廣泛��,除了個人身份信息����、個人財產(chǎn)信息等人們較為熟悉的內(nèi)容外�����,還包括個人生物識別信息���、網(wǎng)絡(luò)身份標(biāo)識信息、個人通信信息�����、聯(lián)系人信息��、個人上網(wǎng)記錄�����、個人常用設(shè)備信息��、個人位置信息等等��。
如今��,每個人都在或主動或被動地泄露著這些個人信息:在家中陽臺拍一張照片發(fā)到朋友圈可能就會泄露你的家庭住址�,周末外出就餐時在APP上“打卡簽到”也會向外界透露你的行蹤……除了這些無意間泄露的信息外��,為了獲取更為便捷的服務(wù)����,我們將自己的大量信息交到互聯(lián)網(wǎng)企業(yè)手中�����,但卻很少考慮它們被泄露��、被濫用的可能�。隨著互聯(lián)網(wǎng)企業(yè)對我們的“畫像”越來越精準(zhǔn),我們在渾然不覺間已經(jīng)變成了“透明人”���。
但2018年以來的一連串事件卻刺痛了人們本已麻木的神經(jīng)��,從“支付寶年度賬單事件”到Facebook用戶數(shù)據(jù)被濫用�����,人們感受到自己的隱私被侵犯����,在網(wǎng)絡(luò)世界失去了安全感�����。但在人們的生活已經(jīng)難以離開互聯(lián)網(wǎng)與各種APP的當(dāng)下��,我們又能怎么辦?
各國的監(jiān)管者也在面臨同樣的問題���,如何通過法律法規(guī)與技術(shù)手段更好地保護人們的隱私?正在人們愈發(fā)關(guān)注隱私問題之時����,5月1日起�,推薦性國家標(biāo)準(zhǔn)《信息安全技術(shù) 個人信息安全規(guī)范》正式實施,對目前互聯(lián)網(wǎng)行業(yè)取得用戶個人信息時發(fā)生的“默認勾選”“最小化原則”以及“跨界融合”三大常見問題進行了詳細規(guī)定�����。
當(dāng)企業(yè)有了可以參照的標(biāo)準(zhǔn)���,接下來的問題就是距離達到標(biāo)準(zhǔn)還有多遠?那些掌握著我們個人信息的企業(yè)有能力保護好它們嗎?而一些“任性”慣了的互聯(lián)網(wǎng)巨頭們又愿意不再“任性”地使用我們的個人信息嗎?
從支付寶到Facebook�,
“清算”互聯(lián)網(wǎng)企業(yè)“原罪”
信息泄露丑聞把扎克伯格拽出福布斯富豪榜前五位
4月10日�、11日,F(xiàn)acebook首席執(zhí)行官扎克伯格連續(xù)兩天參加美國國會聽證會���,在10個小時的時間里�,他一個人面對議員們潮水般的問題——
Facebook是否愿意改變該平臺的默認設(shè)置并收集盡可能少的用戶數(shù)據(jù)?
公司是否從未登錄Facebook的設(shè)備中收集數(shù)據(jù)?
俄羅斯是否利用大量Facebook主頁在2016年總統(tǒng)大選期間散布假新聞?
……
扎克伯格一改往日T恤搭配牛仔褲的穿著,換上一套西裝的他說的最多的詞便是“道歉”與“責(zé)任”�����,這位33歲的Facebook創(chuàng)始人需要化解可能是公司成立以來最大的一次危機��。
這場危機曝光于2018年3月��,簡而言之����,超過5000萬Facebook用戶的信息被一家成立于2013年,名為劍橋分析(Cambridge Analytica)的公司獲取����,在用戶不知情的情況下,劍橋分析向這些用戶精準(zhǔn)投放廣告內(nèi)容���,幫助特朗普在2016年競選美國總統(tǒng)�����。
Facebook用戶的數(shù)據(jù)又是如何流入劍橋分析手中的呢?其來源就是那種人們在社交媒體上經(jīng)常見到�,甚至樂于參與的性格測驗����。劍橋大學(xué)研究人員亞歷山大·科根(Aleksandr Kogan)于2013年開發(fā)了一款性格測試的應(yīng)用��,截至2015年,科根不僅獲取了千萬用戶信息�����,同時還將這些信息分享給了劍橋分析����。Facebook已于2015年屏蔽了科根關(guān)于性格測試的應(yīng)用,并且敦促科根和劍橋分析刪除用戶信息�����,其當(dāng)時應(yīng)允刪除�����,但Facebook并未跟蹤調(diào)查其后續(xù)是否兌現(xiàn)允諾�����。2018年3月�����,媒體曝光劍橋分析并沒有像3年前承諾的那樣刪除幾千萬用戶的信息,同時造成了信息泄露��。
在丑聞爆發(fā)后����,F(xiàn)acebook股價3月19日、20日連續(xù)大跌���,兩日市值蒸發(fā)500億美元��。據(jù)測算�����,扎克伯格兩日財富蒸發(fā)超80億美元����,他也因此跌出福布斯富豪榜前五位�����。
值得注意的是,此次Facebook事件的關(guān)鍵并不在于數(shù)據(jù)資產(chǎn)本身被盜用或泄露����,問題發(fā)生在應(yīng)用層,與其說是泄露����,不如稱之為用戶的數(shù)據(jù)被第三方濫用。
在3月底扎克伯格對事件首次做出回應(yīng)時便表示:“這嚴重觸犯了用戶對我們的信任�,我十分抱歉�,現(xiàn)在正在采取一系列措施確保其不會再次發(fā)生。”他表示��,F(xiàn)acebook團隊已經(jīng)阻止了像劍橋分析這樣的程序獲取如此多的個人信息����,目前也正在減少用戶使用Facebook時被獲取的個人信息。并且�,臉書目前正在調(diào)查每一個從Facebook手中得到數(shù)據(jù)的程序,“我們預(yù)計除了劍橋分析外還有其他程序����,我們將阻止他們并告知所有受影響的人們。”
就當(dāng)Facebook與扎克伯格因為第三方應(yīng)用濫用用戶數(shù)據(jù)而備受煎熬之時�,用戶隱私問題也成為國內(nèi)輿論關(guān)注的焦點。
李彥宏言論遭抨擊:誰說中國人不關(guān)注隱私問題
“我想中國人可以更加開放�,對隱私問題沒有那么敏感���,如果他們愿意用隱私交換便捷性,很多情況下他們是愿意的��,那我們就可以用數(shù)據(jù)做一些事情����。”3月26日,百度公司董事長兼首席執(zhí)行官李彥宏在參加中國發(fā)展高層論壇時發(fā)表了上述言論��,隨即引發(fā)了對個人信息保護問題的討論���。
這段事后招致猛烈抨擊的話有斷章取義的成分�,李彥宏更完整的表達還包括:百度當(dāng)下會更加注重隱私問題����,我國也在加強法律法規(guī)的建設(shè),“我們要遵循一定的原則�����,如果數(shù)據(jù)會使使用者受益�,他也愿意,我們就會去做。”
中國人對于隱私問題是否足夠敏感可能難以判斷����,但可以肯定的是,進入2018年以來���,中國的互聯(lián)網(wǎng)用戶比以往更加關(guān)注個人隱私問題了���。
2018年1月初,江蘇省消費者保護委員會向百度提起一則民事訴訟�����,指百度旗下APP涉嫌“監(jiān)聽電話�、定位”���。隨后�,百度召開媒體溝通會����,強調(diào)旗下APP不會、也沒有能力監(jiān)聽電話��,同時百度APP敏感權(quán)限均需授權(quán),且用戶可自由關(guān)閉�����。
話雖如此�����,但在1月11日�����,北京百度網(wǎng)訊科技有限公司�����、螞蟻金服集團公司(支付寶)��、北京字節(jié)跳動科技有限公司(今日頭條)3家企業(yè)由于相關(guān)手機應(yīng)用軟件存在侵犯用戶個人隱私的問題被工信部信息通信管理局約談�����,被指對照網(wǎng)絡(luò)安全法等有關(guān)法律法規(guī)�����,3家企業(yè)均存在用戶個人信息收集使用規(guī)則、使用目的告知不充分的情況�,要求3家企業(yè)本著充分保障用戶知情權(quán)和選擇權(quán)的原則立即進行整改。
個人信息保護不力��,支付寶收到央行18萬元罰單
相比于百度���,今年更受輿論關(guān)注的是支付寶“年度賬單”事件����。2018年元旦前后��,支付寶推出了一項為用戶提供2017年用戶個性化賬單的服務(wù)����,不少人都在朋友圈曬出了自己的賬單,但北京市岳成律師事務(wù)所高級合伙人岳屾山律師卻看出了其中的“漏洞”��,他最初在微博上質(zhì)疑稱����,支付寶年度賬單首頁的“我同意《芝麻服務(wù)協(xié)議》”和此賬單的生成沒有必然聯(lián)系���,當(dāng)用戶不同意該協(xié)議時�,依然可以生成自己的個性化賬單,但如果用戶沒有注意到���,就會直接同意這個協(xié)議���,允許支付寶收集信息,包括在第三方保存的信息��。
芝麻信用管理公司隨即發(fā)布“關(guān)于支付寶年度賬單首頁《芝麻服務(wù)協(xié)議》的情況說明”��,對公眾表達歉意并稱已經(jīng)調(diào)整頁面����,取消默認勾選。
“多年來中國的互聯(lián)網(wǎng)企業(yè)對個人信息的保護意識不夠���,可以說犯著對消費者的‘原罪’一路走來�,現(xiàn)在是時候?qū)χ暗淖龇ㄟM行大的調(diào)整了����。”中國人民大學(xué)金融科技與互聯(lián)網(wǎng)安全研究中心主任楊東在支付寶“年度賬單事件”發(fā)生后對《中國經(jīng)濟周刊》記者表示,該事件的轉(zhuǎn)折意義在于�����,社會大眾此前對自身個人信息是否被互聯(lián)網(wǎng)企業(yè)濫用漠不關(guān)心,只顧享受更方便的服務(wù)而無條件地提供個人信息給企業(yè)�。隨著該事件的發(fā)生,消費者對個人信息安全的保護意識旋即提升����。
其實,個人信息的不當(dāng)使用和保護不力一直是網(wǎng)絡(luò)經(jīng)濟中的頑疾����。2016年發(fā)布的《中國個人信息安全和隱私保護報告》稱,超過七成受訪者認為個人信息泄露問題嚴重;多達81%的人收到過對方知道自己姓名或單位等個人信息的陌生來電;53%的人因網(wǎng)頁搜索�、瀏覽后泄露個人信息,被某類廣告持續(xù)騷擾;在租房��、購房���、購車����、考試和升學(xué)等個人信息泄露后���,受到營銷騷擾或詐騙的高達36%;有26%的人每天收到兩個以上的垃圾短信,20%的人近一個月來每天收到兩個以上的騷擾電話����。
人們每天瀏覽的網(wǎng)頁��,使用的手機APP可能正是泄露個人信息的一大源頭�。
2017年12月�,南都個人信息保護研究中心發(fā)布了《2017個人信息保護年度報告》,在研究了1550家網(wǎng)站和APP的隱私政策后得出結(jié)果���,平臺隱私政策透明度的分布呈陡峭的金字塔形�����,即透明度高的極少����,透明度低的則超過總數(shù)的80%��,互聯(lián)網(wǎng)金融類和購物類中透明度低的占比甚至高于90%���,參評平臺的隱私政策普遍存在用戶權(quán)利條款缺失��、文本雷同�、更新緩慢�����、暗藏格式條款等弊病。
2018年3月�����,中國人民銀行杭州中心支行對支付寶做出行政處罰�����,因為在客戶權(quán)益�、產(chǎn)品宣傳及個人信息保護等方面存在違法行為,支付寶收到18萬元罰單��。
“默認勾選”“最小化原則”“跨界融合”
“個人信息安全規(guī)范”針對三大問題出招
將于5月1日起正式實施
2018年1月10日�,國家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡(luò)安全協(xié)調(diào)局約談“支付寶年度賬單事件”當(dāng)事企業(yè),即螞蟻金服負責(zé)人�。網(wǎng)絡(luò)安全協(xié)調(diào)局負責(zé)人指出,支付寶���、芝麻信用收集使用個人信息的方式��,不符合即將于5月1日實施的“個人信息安全規(guī)范”國家標(biāo)準(zhǔn)的精神���,也違背了螞蟻金服與其他企業(yè)在2017年9月共同簽署的個人信息保護倡議書的承諾。
其實����,彼時“個人信息安全規(guī)范”并未正式生效,但已成為有關(guān)部門監(jiān)管時的重要依據(jù)�����。
2017年12月���,推薦性國家標(biāo)準(zhǔn)《信息安全技術(shù) 個人信息安全規(guī)范》(下稱《規(guī)范》)出臺,將于2018年5月1日起正式實施;在更早之前的2017年6月1日��,《中華人民共和國網(wǎng)絡(luò)安全法》正式實施��,其中有專門章節(jié)針對保護個人信息安全���。
“在我個人看來,《規(guī)范》首先遵循了網(wǎng)絡(luò)安全法確立的個人信息保護框架�,其次也提供了遵從網(wǎng)絡(luò)安全法關(guān)于個人信息保護要求的一個良好方案。”《規(guī)范》起草人之一���、北京大學(xué)互聯(lián)網(wǎng)發(fā)展研究中心研究主管洪延青對《中國經(jīng)濟周刊》記者表示��,不能說如果企業(yè)的做法與《規(guī)范》不符合就一定違反了網(wǎng)絡(luò)安全法對個人信息保護的相關(guān)要求�,但如果企業(yè)按照《規(guī)范》去做,達到合規(guī)�����,則肯定會符合網(wǎng)絡(luò)安全法的規(guī)定��。也就是說����,如果企業(yè)沒有對《規(guī)范》合規(guī)���,不能說其肯定觸犯了網(wǎng)絡(luò)安全法����,其完全可以在《規(guī)范》之外自己制定一套符合網(wǎng)絡(luò)安全法對個人信息保護要求的制度����,但其制定成本會遠遠大于對《規(guī)范》合規(guī)。
《規(guī)范》對目前互聯(lián)網(wǎng)行業(yè)取得用戶個人信息時發(fā)生的“默認勾選”“最小化原則”以及“跨界融合”三大常見問題進行了詳細規(guī)定����,企業(yè)終于有標(biāo)準(zhǔn)可以參照了。
“默認勾選”綁架用戶
“支付寶年度賬單事件”中比較令人關(guān)注的是涉事企業(yè)在頁面中并不顯眼的地方安排了“我同意《芝麻服務(wù)協(xié)議》”的選項�����,并且提前替用戶勾選���,用戶如果不同意���,需要再點擊一下復(fù)選框。用戶如果稍有疏漏����,就會“被自愿”地同意該協(xié)議��,存在第三方和支付寶內(nèi)的個人信息便會被企業(yè)收集。
《規(guī)范》規(guī)定���,有關(guān)數(shù)據(jù)控制方“在間接獲取個人信息時���,作為接收方的企業(yè)有義務(wù)要求提供方對相關(guān)個人信息的來源進行說明并確認其合法性,同時還應(yīng)當(dāng)了解個人信息主體對于提供方的授權(quán)范圍,包括使用目的����、個人信息主體是否授權(quán)同意轉(zhuǎn)讓、共享��、公開披露等內(nèi)容����,若接收方處理個人信息超出上述范圍的�����,還應(yīng)在合理期限內(nèi)另行征得個人信息主體的明示同意�。”在此事件中,支付寶對用戶的提示信息字體很小�,并處在按鈕下方易被忽略的位置,且默認勾選也遠遠不能算是個人信息主體的“明示同意”���。
類似于“默認勾選”的“綁架”做法其實不只存在于某一家企業(yè)��,其似乎是互聯(lián)網(wǎng)行業(yè)的“頑疾”�。
線上醫(yī)療企業(yè)丁香園創(chuàng)始人李天天曾在國外體驗過一種具有自助掛號功能的軟件�,該軟件也會讓用戶選擇同意或不同意隱私政策��,若不同意����,則無法進入服務(wù)流程的下一步�,也就是說無法實現(xiàn)自助掛號功能,線上醫(yī)療行業(yè)內(nèi)部對此條款稱為“知情同意”����,但背后的一句話則是�����,“若不同意�����,則無法使用該服務(wù)”����。也就是說,“知情同意”其實是“知情后必須同意����,否則不提供服務(wù)”�。值得注意的是���,此種做法在目前國內(nèi)的線上醫(yī)療企業(yè)中也是相當(dāng)普遍���,浙江省衛(wèi)生信息學(xué)會秘書長倪榮曾對《中國經(jīng)濟周刊》記者評價說:“這種‘知情同意’其實是對消費者個人信息保護程度嚴重不到位的。”
獲取信息“最小化原則”將打倒一大片互聯(lián)網(wǎng)企業(yè)�?
除“默認勾選”外,支付寶的做法實際上也不符合《規(guī)范》中的“最小化原則”���。
所謂“最小化原則”包含數(shù)量和存儲時間兩個概念上的“最小化”���。《規(guī)范》規(guī)定數(shù)據(jù)控制方“自動采集個人信息的頻率應(yīng)是實現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能所必需的最低頻率;間接獲取個人信息的數(shù)量應(yīng)是實現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能所必需的最低頻率;個人信息保存期限應(yīng)為實現(xiàn)目的所必需的最短時間”�。也就是說,既然不勾選同意《芝麻服務(wù)協(xié)議》也可生成個性化年度賬單��,支付寶應(yīng)在盡可能少量�、低頻收集個人信息的前提下實現(xiàn)賬單功能,連對用戶出示同意《芝麻服務(wù)協(xié)議》的選項都 “多此一舉”����。
按照洪延青的說法,網(wǎng)絡(luò)安全法中的正當(dāng)性和必要性原則給出了一個大的框架�����,此為《規(guī)范》中“最小化原則”的司法背書來源。
“最小化原則”可能會“打倒一大片”互聯(lián)網(wǎng)企業(yè)����,原因在于目前不少企業(yè)所遵循的不是“最小化原則”,而是“最大化原則”��。
“最小化原則肯定是法律精神�����,但在國內(nèi)互聯(lián)網(wǎng)企業(yè)中��,之前推行的一套做法其實是嚴重違背這個精神的��。”一位資深投資人士對《中國經(jīng)濟周刊》記者表達了自己的擔(dān)憂�����,他表示�����,從商業(yè)利益角度出發(fā)�,數(shù)據(jù)控制方只有盡可能多地獲得用戶海量,且類型多樣的數(shù)據(jù)����,才能生成最準(zhǔn)確的用戶畫像,進而產(chǎn)生更精確的營銷內(nèi)容����,比如“精準(zhǔn)推送”。
然而����,若企業(yè)減少收集用戶個人信息的頻率和數(shù)量,也縮短了存儲時間����,是否意味著用戶所能享受到的個性化服務(wù)變得不那么“貼心”?中國政法大學(xué)知識產(chǎn)權(quán)研究中心特約研究員李俊慧對此持否定態(tài)度,“用戶個人信息與大數(shù)據(jù)分析有相關(guān)性但沒有必然聯(lián)系�,互聯(lián)網(wǎng)企業(yè)精準(zhǔn)營銷更多是基于大數(shù)據(jù)分析,只是在其使用的設(shè)備中予以推送展示����,對個人敏感信息并不一定需要使用,因此精準(zhǔn)營銷與個人信息保護并不沖突�。”
丁香園創(chuàng)始人李天天的回答則更加直接:“如果由于監(jiān)管限制,導(dǎo)致業(yè)務(wù)無法開展或者影響品質(zhì)�,我認為還是應(yīng)該服從監(jiān)管�����。”他表示����,以醫(yī)療行業(yè)為例�����,美國的監(jiān)管十分嚴格���,但確實避免了很多問題�。
APP演變成多功能平臺���,“一攬子”授權(quán)不可取
如今,隨著“跨界融合”�,不少應(yīng)用已不再具備單一功能,而是在基本服務(wù)之上疊加了各種其他功能�,演變成聚合性平臺。
以微信和支付寶兩款人們常用的APP為例�����,微信最初以社交功能切入市場,隨后演變出支付�、理財、生活繳費等疊加功能���,同時也搭載了大眾點評�、美團外賣����、京東優(yōu)選等第三方服務(wù);支付寶此前以支付功能入局,此后也開發(fā)出包括紅包在內(nèi)的社交和聊天功能����,疊加了如余額寶、芝麻信用等金融服務(wù)���。“我已經(jīng)說不清楚微信究竟還是不是聊天工具了�����,好像不是�����。”一位從2012年微信發(fā)布不久便開始使用微信的用戶對記者說��。
在扎克伯格出席聽證會期間也被問道����,“Facebook是一家電視公司嗎?”扎克伯格回應(yīng)說,我認為我們是一家科技公司����。
多功能聚合性平臺也對個人信息保護帶來了隱患。當(dāng)某個平臺擁有多項功能時��,從減少成本的角度出發(fā)���,平臺可能會采取“一攬子”協(xié)議的做法����,即在用戶最初使用平臺提供的服務(wù)時���,采用較為明顯的方式對隱私政策以及收集個人信息的類別和用途做出較為詳細的展示�,當(dāng)用戶點擊“同意”后��,則被視為該用戶在使用所有類別的功能時都同意了這一版本的條款����。
針對“一攬子”授權(quán)“綁架用戶”的嫌疑,《規(guī)范》做出了改善的建議:將核心功能與附加功能區(qū)分���。洪延青在解讀這一條款時稱��,即便點擊了隱私政策長文本的同意��,并不意味著附加功能同時一并打開��,在現(xiàn)實使用中��,還是需要再次點擊同意�����。“以即時通信APP為例�����,其核心功能是聊天���,在實現(xiàn)這一核心功能時需要收集敏感信息或是普通個人信息,用戶為了使用都需要提供����。但其中的理財?shù)裙δ?�,明顯屬于附加功能����,如果用戶只想聊天�,不想使用理財功能,就不能認為同意了隱私政策就意味著開通理財功能時不需要再次征詢�。”
據(jù)了解,京東目前通行的《京東隱私政策》就在向《規(guī)范》的要求靠攏����。“新的政策條款對于用戶的隱私保護做到了具體化和透明化,用戶對個人信息的掌控力度更高;在收集�、使用、存儲和傳輸用戶信息的時候����,京東會明確告知用戶相關(guān)信息的使用目的和范圍,包括如果將用戶信息用于新的目的或范圍將重新獲取用戶同意���,提供如何關(guān)閉位置�����、通知等授權(quán)的具體操作步驟等�。”京東首席安全官李德浩對《中國經(jīng)濟周刊》記者說�����。
但接下來的問題是��,在聚合化趨勢日益明顯的互聯(lián)網(wǎng)行業(yè)�,巨頭們都不愿將自身定位為某個領(lǐng)域,從事單一業(yè)務(wù)的企業(yè)�。京東早已不再是單純的零售平臺,BAT莫不如此����。“什么是核心功能,什么是附加功能���,普遍認可的理解是核心功能是用戶注冊產(chǎn)品或服務(wù)的基本需求��,除此之外為用戶提升體驗而設(shè)計的功能則是附加功能�。”京東法律研究院秘書長嚴少敏曾在一篇署名文章中如此區(qū)分核心與附加功能�����。以B2C電商為例,其核心功能簡單說是實現(xiàn)網(wǎng)上購物所必需的功能�,而智能化的搜索詞提示和個性化推薦功能,則是為了滿足縮小搜索目標(biāo)范圍以及體驗“逛店”感受的����,也應(yīng)當(dāng)被認定為核心功能。
值得注意的是���,《規(guī)范》并未采取“一刀切”的方法來認定某一數(shù)據(jù)控制方的核心業(yè)務(wù)是什么�。“我們的標(biāo)準(zhǔn)當(dāng)時沒有想規(guī)定什么叫核心和附加��,就是想故意留一個口子��,希望通過市場競爭或者社會監(jiān)督能夠起到這樣的作用���。”洪延青說�。
未來不排除有的企業(yè)為減少用戶授權(quán)次數(shù)�����,以期用一次授權(quán)獲得用戶對更多項功能的隱私授權(quán)�����,就將核心功能定得很多,附加功能定得很少��,而實質(zhì)上它本身只是個通訊軟件���,而另外一些通訊軟件則只將通訊和社交功能定為核心功能,其他功能一律定為附加功能���。對此��,洪延青稱�,相信一定會有社會監(jiān)督機構(gòu)或者監(jiān)管機構(gòu)約談相關(guān)企業(yè)時說�,“你為什么定得不一樣?”這樣通過市場競爭和比較,逐漸形成行業(yè)慣例���。
個人信息保護法“在路上”
盡管《規(guī)范》為數(shù)據(jù)控制方提供了一系列既遵循網(wǎng)絡(luò)安全法��,又切實可行的做法�����,但其法律效力卻并不高�。據(jù)了解�����,國家標(biāo)準(zhǔn)分為強制性和推薦性兩種,而《規(guī)范》屬于后者��,無強制力�。
李俊慧告訴《中國經(jīng)濟周刊》記者,《規(guī)范》并不屬于法律或法規(guī)�,其層級低于法律、法規(guī)��。如果法律��、法規(guī)的要求與標(biāo)準(zhǔn)不一致�,則以法律、法規(guī)為準(zhǔn)���。對于法律����、法規(guī)未明確的事項�����,該標(biāo)準(zhǔn)作為一項推薦性標(biāo)準(zhǔn)����,可以作為評估企業(yè)相關(guān)個人信息保護措施的參照�����。
盡管我國已經(jīng)存在一部網(wǎng)絡(luò)安全法�����,但其解決的主要是與網(wǎng)絡(luò)安全相關(guān)的問題��,涉及面比較廣泛,雖然網(wǎng)絡(luò)安全法中有專門針對個人信息安全保護的章節(jié)����,但由于立法目的不同,可能對個人信息的保護并不全面�,因此一直有聲音呼吁制定一部專門的個人信息保護法。
2018年2月�,全國人大常委會法工委經(jīng)濟法室主任王瑞賀曾在接受媒體采訪時透露,全國人大常委會法工委正在會同有關(guān)方面對個人信息保護立法的有關(guān)問題進行研究論證�。2017年全國兩會期間,吳曉靈等40余位全國人大代表向大會提交了《關(guān)于制定<中華人民共和國個人信息保護法>的議案》���,建議盡快制定《中華人民共和國個人信息保護法》��,同時將《中華人民共和國個人信息保護法(草案)》作為附件提交�。
有分析認為,作為正式法律��,個人信息保護法完全可以將《規(guī)范》當(dāng)中對識別和關(guān)聯(lián)路徑�、“最小化原則”以及將核心與附加功能進行區(qū)分等內(nèi)容確定為未來正式的法律條款。
保護個人信息���,互聯(lián)網(wǎng)企業(yè)準(zhǔn)備好了嗎��?
搜狗王小川:個人信息使用更規(guī)范�����,搜狗很樂觀
360周鴻祎:數(shù)據(jù)所有權(quán)毫無疑問屬于用戶
網(wǎng)易丁磊:我們收集用戶數(shù)據(jù)很少有惡意
如前文所述��,即便企業(yè)做法沒有符合《規(guī)范》��,仍不能認定其違反了網(wǎng)絡(luò)安全法��,相關(guān)部門不能以《規(guī)范》作為執(zhí)法依據(jù)�����。但企業(yè)若按照《規(guī)范》行事�,則肯定符合網(wǎng)絡(luò)安全法的規(guī)定,從守法成本上來講可降至最低��。
針對《規(guī)范》的改造并不簡單輕松���,但互聯(lián)網(wǎng)企業(yè)必須馬上行動起來�,企業(yè)是否已經(jīng)準(zhǔn)備好?
從人力到技術(shù)����,企業(yè)要做好哪些準(zhǔn)備?
首先是負責(zé)個人信息安全保護的人員是否到位����。
《規(guī)范》要求規(guī)模超過200人的��,業(yè)務(wù)涉及用戶個人信息的企業(yè)建立專門負責(zé)個人信息安全保護的部門以及設(shè)立專門的負責(zé)人�。不少企業(yè)都正在按照這一標(biāo)準(zhǔn)進行調(diào)整。
“我們很早就有了這樣的部門�����,其負責(zé)人被命名為‘首席隱私官’��,360的業(yè)務(wù)條線也有很多,很多部門也都希望盡可能多地收集和使用用戶個人信息���,但首席隱私官所領(lǐng)導(dǎo)的部門會統(tǒng)一核準(zhǔn)該做法是否符合規(guī)范和法律法規(guī)��,是否符合360自身的價值觀��。”360集團董事長兼CEO周鴻祎表示�����,隨著國家標(biāo)準(zhǔn)和相關(guān)法律法規(guī)的出臺并生效����,行業(yè)內(nèi)部的企業(yè)肯定會按照相關(guān)要求進行調(diào)整�����,以使自身行為合乎監(jiān)管原則�。
李天天告訴記者,丁香園現(xiàn)有員工超過1000人���,負責(zé)信息安全的相關(guān)機構(gòu)和機構(gòu)負責(zé)人均已到位��。
京東首席安全官李德浩稱:“京東安全委員會就是我們內(nèi)部專門負責(zé)信息安全事務(wù)的����,我本人就是這個部門的負責(zé)人。”
其次��,在技術(shù)層面�,《規(guī)范》指出識別路徑和關(guān)聯(lián)路徑都應(yīng)被算作個人信息,都應(yīng)受到保護����。
識別路徑是指通過某一段信息(如家庭住址、身份證號碼����、手機號碼等)可直接識別出某具體自然人的信息,關(guān)聯(lián)路徑則是通過某一段互聯(lián)網(wǎng)上的行為軌跡和記錄�����,可在一定范圍內(nèi)通過關(guān)聯(lián)作用識別出該自然人所具有的清晰特征的信息�����。以社交網(wǎng)絡(luò)為例�,即便其將用戶個人具體信息保護到位�����,但用戶在網(wǎng)站上的好友名單、黑名單和其他行為軌跡也可關(guān)聯(lián)到用戶本人��,而這部分信息也屬于個人信息��。然而不少社交網(wǎng)站只重視前者而放松了后者���,“不少社交網(wǎng)站將關(guān)聯(lián)路徑當(dāng)做網(wǎng)絡(luò)日志信息而非個人信息來處理���,這是不合規(guī)的。”洪延青指出���。
企業(yè)還要做到不同應(yīng)用場景之間的個人信息不可聯(lián)結(jié)��。
以視頻網(wǎng)站為例���,同一用戶在其他消費場景,比如零售中的用戶畫像�����,對視頻網(wǎng)站也極有意義���,一旦掌握其消費習(xí)慣��,可通過計算推測出其對視頻類型的偏好�。“零售網(wǎng)站上的用戶畫像,視頻網(wǎng)站在背后是有相關(guān)渠道可以獲得的�����,這在行業(yè)中屬于灰色地帶��。”一位視頻網(wǎng)站從業(yè)者向《中國經(jīng)濟周刊》記者透露說�����。
“類似的交易在丁香園并不存在�。我認為如果沒有用戶本人的知情同意就進行交易,應(yīng)該算是個人信息泄露��。用戶畫像在不同的互聯(lián)網(wǎng)企業(yè)之間流轉(zhuǎn)�,首先應(yīng)當(dāng)遵循用戶本人意愿,在合法合規(guī)的前提下進行����。”李天天對記者說,
《規(guī)范》對此有明確界定:要求企業(yè)具備透明性(數(shù)據(jù)的處理�����、流轉(zhuǎn)要透明)���、可干預(yù)性(如果需要刪除或更正����,需要具備溯源追究的能力)和不可聯(lián)結(jié)性(在大數(shù)據(jù)平臺中����,不同場景不同目的的數(shù)據(jù)不能聯(lián)結(jié))。
但值得注意的是�����,隨著互聯(lián)網(wǎng)行業(yè)的并購不斷發(fā)生���,有些零售網(wǎng)站與視頻網(wǎng)站背后有著相同的實際控制人�,在組織文化和內(nèi)部管理制度上甚至趨同��,背后是否有在用戶畫像信息上的來往外界不得而知��。也就是說����,即便一家互聯(lián)網(wǎng)巨頭旗下?lián)碛卸鄨鼍邦悇e的服務(wù)���,其也有能力將所有場景下的大數(shù)據(jù)建成統(tǒng)一平臺,但不同場景的個人信息依然要堅持不可聯(lián)結(jié)原則�����,這對致力于打造全場景服務(wù)的巨頭企業(yè)至關(guān)重要��。前述劍橋分析及其他程序在臉書上獲得用戶數(shù)據(jù)的行為�,理論上也屬于多場景類別下的數(shù)據(jù)流轉(zhuǎn)問題,我國的《規(guī)范》對此類問題的要求較為明確:不可聯(lián)結(jié)�。
對于即將生效的《規(guī)范》,搜狗CEO王小川在接受《中國經(jīng)濟周刊》記者采訪時表示����,《規(guī)范》出臺對行業(yè)來說是件好事,搜狗完全支持并且一直以來都遵循了《規(guī)范》所規(guī)定的在數(shù)據(jù)存儲時間和調(diào)用數(shù)據(jù)量上的最小化原則���,“搜狗一直是比較自律的���,不會收集對用戶沒有幫助的數(shù)據(jù),在能實現(xiàn)功能的前提下能不調(diào)用個人信息就不調(diào)用、能少調(diào)用就少調(diào)用�。”王小川說,搜狗在云安全方面也做了很多的努力���,完全可以確保個人信息安全且被合規(guī)地使用,“有了相關(guān)規(guī)范��,做得好的企業(yè)只會讓外界更加信任我們�,搜狗很樂觀。”
數(shù)據(jù)所有權(quán)歸誰�����?用戶還是數(shù)據(jù)收集者�?
個人信息的所有權(quán)問題也很關(guān)鍵。對于個人信息到底歸誰��,業(yè)內(nèi)大致分為兩種論調(diào):一種聲音認為�,雖然個人的行為才是所有數(shù)據(jù)和信息的來源,但個人行為本身不是數(shù)據(jù)����,而是數(shù)據(jù)控制方的記錄等一系列技術(shù)手段將其加工成一段段數(shù)據(jù),并且用戶在提供自身數(shù)據(jù)給數(shù)據(jù)控制方的過程中享受到了個性推薦等便利���,所以該信息的至少部分所有權(quán)應(yīng)歸數(shù)據(jù)控制方��。
上海數(shù)據(jù)交易中心CEO湯奇峰就曾對《中國經(jīng)濟周刊》記者表示����,用戶的個人行為本身不是數(shù)據(jù),正是由于數(shù)據(jù)控制方的一系列技術(shù)手段的介入才將其加工成數(shù)據(jù)����,才讓用戶享受到了互聯(lián)網(wǎng)服務(wù)的便利。但他同時表示���,在為用戶提供便利的同時���,數(shù)據(jù)控制方為防范個人信息泄露和不當(dāng)使用對當(dāng)事人的隱私權(quán)造成損害,需要在網(wǎng)絡(luò)安全法框架下遵循正當(dāng)性和必要性兩個原則�。
此外,另一種觀點則認為�,作為各項個人信息的源頭,用戶完全可以主張對信息所有權(quán)的完全所有權(quán)��。在一些國家不乏數(shù)據(jù)提供商支付給用戶一定的價格���,以作為用戶對其開放個人信息的回報�。
周鴻祎便是“數(shù)據(jù)所有權(quán)歸用戶”的支持者�����。在今年全國兩會期間��,周鴻祎對《中國經(jīng)濟周刊》記者表示���,他此次參會帶來一份關(guān)于企業(yè)收集并使用個人信息應(yīng)遵循“三原則”的提案����。“首先數(shù)據(jù)的所有權(quán)毫無疑問屬于用戶本人,即便是互聯(lián)網(wǎng)公司收集的�,但也不能擁有所有權(quán),個人信息只是暫時托管在互聯(lián)網(wǎng)公司的服務(wù)器中�����。”其他兩項原則分別是保證用戶的知情權(quán)和選擇權(quán)以及服務(wù)過程中的信息安全���。“根據(jù)每個應(yīng)用的具體情況���,服務(wù)提供商做什么都要讓用戶知道,當(dāng)然不能‘一刀切’�����。如果需要打開麥克風(fēng)收集用戶的聲音,這種行為是否提前讓用戶知曉?是否提前告訴用戶為什么要這么做?用戶如果不同意��,應(yīng)有權(quán)利選擇拒絕����。此外���,用戶個人信息在互聯(lián)網(wǎng)企業(yè)使用的過程中要被很好地保護,不能有不明的去向以及泄露��。”
周鴻祎認為��,政府如果能推動解決好這三個問題�,用戶和數(shù)據(jù)控制方之間就能建立很好的信任�,用戶放心地允許企業(yè)收集����,企業(yè)用合規(guī)的方式賺錢����。
“作為互聯(lián)網(wǎng)公司��,我們收集用戶數(shù)據(jù)很少有惡意。”網(wǎng)易創(chuàng)始人丁磊對《中國經(jīng)濟周刊》記者表示����,互聯(lián)網(wǎng)企業(yè)保存用戶信息的一個風(fēng)險在于�,有些黑色產(chǎn)業(yè)鏈條會盯上企業(yè)服務(wù)器中的個人信息并通過非法手段盜取,“我們的收集和使用本身沒有惡意;當(dāng)然�����,要保護個人信息在企業(yè)服務(wù)器中的安全,這是我們該做的���。”
關(guān)鍵詞:
馬云
李彥宏
