2018年的头几天,由个人隐私信息而起的数据安全问题,成为舆论焦点。
在朋友圈刷屏的“支付宝年度账单”被质疑默认用户同意《芝麻服务协议》,涉嫌诱导用户同意让渡个人数据权利。很快地,芝麻信用方面给出了语气诚恳的道歉,自称“方法愚蠢至极”,其兄弟公司支付宝也表示,要“一起承担”责任。
随着中国数字经济蓬勃发展,数据的价值也日益凸显,但个人信息保护与数据利用之间的矛盾始终是个难题。实际上,这次事件也是当前个人数据安全领域所面临挑战的一个缩影:个人用户在网络平台上产生、使用的很多数据具有商业价值,往往会被网络平台经营者所收集、存储,甚至分析、流通,而个人用户却常常处于不知情的被动状态,保护措施则总是迟了一步。
刚刚过去的2017年下半年,多个监管部门联合开展隐私条款专项工作之后,微信、微博、支付宝、京东等网络平台纷纷更新了用户隐私协议,监管部门和企业单位对用户隐私的保护正在强化。
发生在2018年头几天的这次事件既像是对过往类似事件的回顾,也像是对今后大数据时代个人生活的预测:面对个人信息保护与大数据流通利用之间的矛盾,我们真的做好准备了吗?
知情同意是原则 但常被漠视
像以前一样,元旦假期支付宝为每个用户在2017年的消费制作了一份漂亮的账单,还生成了“2018关键词”,这份账单也迅速刷屏朋友圈。
但此后有用户质疑,查看“支付宝年度账单”时疑似“被同意”了《芝麻服务协议》,且该协议的同意授权字体偏小、颜色不明显。岳成律师事务所合伙人岳山发微博称,该账单的查看其实和《芝麻服务协议》没有关联性,所以用户选择“取消同意”,依然能够看到年度账单。但如果用户没注意到,就会直接同意这个协议,允许支付宝收集用户的信息,包括在第三方保存的信息。
此后,“支付宝年度账单”引发了网络上的口诛笔伐。
华东政法大学数据法律研究中心主任高富平教授告诉中国青年报·中青在线记者,该事件最主要的问题是没有以显著方式提示用户,浏览该年度账单意味着同意芝麻信用的服务协议,以较为隐蔽方式且默认勾选,使用户在不知情的情况下作出选择,违反了个人信息收集的知情同意原则。
对于包括个人信息在内的网络数据收集和使用,我国法律最基本的原则是“合法、正当、必要”,知情同意、“不得收集与其提供的服务无关的个人信息”也是其中的重要要求。
事实上,中国消费者在享受便利的网络服务的同时,也经常面临着个人数据权利“被同意”、被漠视的现实威胁。南都个人信息保护研究中心发布的《2017个人信息保护年度报告》(以下简称《报告》)对1500多个App与网站的隐私政策进行过测评,结果显示,参评平台普遍存在用户权利条款缺失、文本雷同、更新缓慢、暗藏格式条款等通病。此外,应用商过度要求用户授权,在未对用户进行明示的情况下,大量获取用户个人信息现象十分严重,手机录音、通话记录、短信等关系个人隐私的部分经常被越权读取。
《报告》在6个安卓应用市场以关键词排名前后顺序,选取了50款“王者荣耀”周边应用作为研究样本,结果发现,50个App覆盖了28个隐私相关权限,其中有23个App的权限“越界”。
而用户若想具体知道一款App获取了哪些权限则十分困难。比如,某App在简介中称只会读取用户6项权限,但安装时弹出的提示则列出了20项权限,技术检测发现,其App安装包中又至少向安卓系统申请了21项权限的许可。
双刃剑:数据安全与流通之间的矛盾
虽然“知情同意”被视为网络数据安全的基本原则之一,但在实际商业应用中,这一权利经常被网络平台经营者滥用。用户点击同意服务协议后,往往并不知道涉及个人信息的数据有可能被分享和流通给哪些第三方机构。流通出去的数据将被如何利用、有没有使用年限、如何终止数据使用授权等细节问题,往往也没有确切答案。
芝麻信用的《芝麻服务协议》中写到,其可以直接向第三方提供用户信息,且在用户与第三方的业务关系尚未终结的情况下,用户无权撤销第三方的信息查询授权。在当前的大数据产业中,“一次授权等于终身授权”早已是一种普遍做法,由此引发的网络平台之间的数据分享、流通如何才能合理合规的争议屡见报端。
根据现行法律,网络平台经营者向第三方提供平台用户的数据,主要有两种合法途径:一是用户的同意,二是个人信息“经过处理无法识别特定个人且不能复原”的情形下。
但这两个合法途径有许多解释空间。“例如,用户最初的概括式同意算不算数?什么是‘无法识别’‘不能复原’?这些并不清晰。”据高富平介绍,当前何谓“合法向第三方提供数据”并没有明确的法律规定,没有明确的规则指引拥有数据的人向他人合法提供数据。
芝麻信用《芝麻服务协议》要求用户同意在服务终止后,芝麻信用仍可继续保留和使用双方服务期间形成的信息和数据,但芝麻信用不会再主动收集用户的任何信息。
用户终止使用网络平台的服务后,数据该继续保留和利用,还是删除?上述《报告》指出,在网络创业风潮中衰亡的企业,遗留了大量的用户数据,对这些用户数据该如何处理,目前行业还没有达成共识,政府的监管也仍然处于模糊地带。如果这些数据被滥用,不亚于一颗潜藏的“定时炸弹”。
从征信业的监管要求来看,继续保留是合规的,但也有特定条件。《征信业管理条例》第十六条规定:征信机构对个人不良信息的保存期限,自不良行为或者事件终止之日起为5年;超过5年的,应当予以删除。
观韬中茂(上海)律师事务所合伙人、律师王渝伟表示,在除征信业以外的大多数行业,用户终止使用网络服务后,平台都应该及时删除数据,但在现实情况中,这一要求往往难以落实。网络平台到底有没有数据备份和恢复?外界有没有足够的能力和人员去监督?这些问题并没有确切答案。
法治要跟上大数据的脚步
王渝伟认为,造成“有规定但难落实”情况的主要原因还在于,大数据产业出现的种种新问题,相应的法律规定总是难以跟上,诸如服务终止后数据是否应删除这类细节问题并没有相应的规定,而且执法机构也不见得具备相应的执法和审查能力。
在高富平看来,如何获取个人数据和信息一直是困扰包括芝麻信用在内的许多公司的难题。“该事件说明,规范个人数据流通行为,为个人数据流通使用提供清晰的规则已迫在眉睫了。”
事实上,中国在数据流通利用与个人信息保护之间已有了制度安排。2017年6月1日,《网络安全法》和最高人民法院、最高人民检察院发布的司法解释同日实施,首次对侵犯公民个人信息的行为和适用法律进行了进一步的明晰,对网络运营者的网络安全管理义务做了详细规定,同时也设立了个人信息和重要数据本地化存储和跨境传输安全评估制度。
但在业内看来,目前的制度安排仍有不足。在具体实践中,许多平台的违规行为不易判断、缺乏证据,个人用户很难维权,因此公益诉讼成了当前为数不多的应对办法。
2017年12月11日,江苏省消费者权益保护委员会对北京百度网讯科技有限公司涉嫌违法获取消费者个人信息及相关问题提起消费民事公益诉讼。2018年1月2日,南京市中级人民法院立案。
此前,江苏省消保委对27家手机App开发企业的调查发现,普遍存在侵犯消费者个人信息安全的问题,并向其发送约谈函,百度也在被约谈之列。约谈后,江苏省消保委认为“手机百度”“百度浏览器”两款手机App中“监听电话”“读取短彩信”“读取联系人”等涉及消费者个人信息安全的相关权限拒不整改,因而,其向百度提起公益诉讼。
制度安排的不健全是维权难的原因之一。北京师范大学法学院教授刘德良认为,当前关于数据法治的制度安排太过重视事前的授权同意,对事中事后的监督不够重视。
“如果商家收集、交易的个人数据不能识别用户个人隐私信息,这其实是可以允许的,否则法律应该打击,事后的处理其实更急迫。”刘德良建议,关于数据合规流通和个人信息保护的制度安排应该转变思路,在事后的个人信息违法滥用上发力。“电话号码、银行账号被泄露出去其实不要紧,要紧的是不能被滥用,对个人形成骚扰。”
重庆大学国家网络空间安全与大数据法治战略研究院院长齐爱民表示,在个人信息保护方面,定罪量刑中“个人信息的数量”如何界定是司法实务界面临的难题;在数据合规流通方面,关于个人信息保护的法律规范虽然很多,但还存在效力层级低、分散保护等问题。
我国的数据法规制度学习的是欧盟模式,强调保护个人信息,但这类模式也存在一定争议。刘德良认为,这种立法和理论模式将个人信息、个人隐私和个人数据的概念混同,看似很注重保护用户利益,但由于缺乏可操作性而在客观上不利于用户利益,也不利于大数据产业的发展。
作为长期关注大数据行业的律师,王渝伟注意到,近年来数据流通和个人信息保护之间的冲突案例越来越多,而其中有很多是欧盟模式或美国模式所难以涵盖的。在他看来,我国大数据领域的法规建设和技术开发一样,一定程度上都进入了“无人区”,“很多问题不见得国外就有很好的借鉴案例,还需要我们自己探索”。
高富平也表示,国际社会有关个人信息保护的规则大致形成于30年前的前互联网时代,当时大数据尚未流行。而在个人数据的使用场景、使用方式均发现巨大变化的今天,制度安排需要改变。“我们不需要移植过时的保护规则,而是需要适应大数据时代的特点和社会需要,创制中国的规则。”
中国青年报·中青在线见习记者 王林