理性·建設性
一場全球性的數字經濟的競爭正在展開。 中國已在一些領域擁有了全球性企業, 很多都產生在以資料為基礎的領域,
這是一場名為“秘密”的藝術展覽。
展覽的內容正是34.6萬武漢市民的個人資訊。 這些資訊加入特殊藥水列印、塗改, 在特殊紫外線照射下顯影, 在日光燈下將看不見, 資訊之詳盡, 令人不寒而慄:“譚*, 女, 28歲, 電話號碼:*;家庭住址:武昌和平大道融僑華府*, 開紅色寶馬車, 車牌號*;發動機號*,
……
一周後, 在大洋彼岸的美國, Facebook創始人兼CEO紮克伯格因數據洩露正在接受美國國會的質詢。 “你們的使用者協議糟透了!”4月10日, 在針對Facebook使用者資料洩漏事件的聽證會上, 參議員John Kenndy對紮克伯格提出了質詢, 他希望能夠給使用者更多控制自己資料的權利。
找不到的隱私條款
“有病吧!”
使用者資料是互聯網公司運營非常重要的一部分, 這部分的資訊獲取都是免費的, 使用它的APP, 就會要求使用者填寫一些資料, 或者APP主動收集很多人的資訊, “這個過程很多使用者都是無意識的, 但這就會變成互聯網企業很重要的資產。 ”南都個人資訊保護研究中心負責人娜迪婭告訴記者, 而資產本身是具有流動性的, 會牽扯到共用、轉讓等環節, 在這個過程中就有可能會被洩漏。 “道高一尺, 魔高一丈。 ”大資料安全公司瀚思科技CEO高瀚昭如是說。 有一回, 他們給一家大型企業做安全監測, 發現一個來自該企業某代理商的慢速爬蟲在竊取其訂單日誌等使用者資訊。 類似的案例發生過不止一次, “相當多的資料洩漏都是內部人員的洩密,
安全的威脅不僅來自於售賣者, 還有收集資料的平臺。 “很多時候我們是無可奈何, 其實沒有多少人希望在網上成為一個透明人, 一個人所有需求、缺陷被各種app掌握, 是件可怕的事情, 但是註冊時強制要輸入這些資訊, 使用者只好被迫接受, 而非主動願意。 ”在展覽上, 一名志願者對媒體說。
APP就像身邊一個個黑洞, 將使用者的資訊盡可能吸納進去。 按照中國的《網路安全法》, 使用者對自己的資訊享有知情權、選擇權、刪除權和更正權。 而目前, 鮮有企業能完全做到。 “我們可能不定時將您的個人資料及其他資訊分享和揭露給協力廠商”;“我們出於商業目的,
“基本上, 任何事情都可能發生, 我們是不會負責的。 ”
這些都是蔣琳和她的同事們在去年開始, 對1550個APP進行測評時遇到的隱私保護條款。 其中, 最後一條來自一個名為“果庫”的消費指南類APP, 該款APP默認讀取了使用者的連絡人資訊、撥打電話、錄音等敏感許可權, 而這句用淺灰色標注在協議最下方的話, 一年後的今天仍赫然出現在其使用者使用協議中。
作為南都個人資訊保護研究中心的調查員, 蔣琳說, “根據去年的調查, 真正能夠達標的企業極少, ”透明度達到較高級別以上的只有不到10%, 測評的APP裡80%以上都“不及格”。
“你們為什麼會知道我的手機號?”
這是一名視頻網站員工給使用者打電話進行產品調研時曾被問到的問題。 公司在開發新的產品時, 都會進行使用者調研, 該員工稱, 註冊網站會員時, 需要輸入手機號以獲取驗證碼, 因此網站能夠獲得用戶的手機號, 供他們進行用戶調研。
這樣的場景同樣出現在幾個視頻APP中, 當記者打開愛奇藝APP, 註冊頁面要求使用者輸入手機號方能登錄, 下面有一行小字“我已閱讀並同意《愛奇藝使用者服務協定》”並預設勾選。 儘管在華為手機安卓系統的應用市場上顯示檢測出其包括“讀取連絡人資料”、“直接撥打電話”、“錄音”等功能, 但在《使用者協議》中, 並未明確告知用戶該APP都讀取了哪些許可權並作何用途。
優酷手機APP,則僅在首次進入頁面時有顯示“讀取手機和電話許可權,是為了提供保障帳號資料安全,提供更懂你的內容推薦”,此外,在APP上,記者找不到查看使用者協定和隱私政策的入口。
“如果您不同意本《隱私政策》的內容,將導致本軟體及服務無法正常運行……當您使用‘今日頭條’軟體及相關服務時,則表示您同意且完全理解本《隱私條政策》的全部內容。’”這是號稱基於資料採擷推薦引擎的“今日頭條”APP《隱私政策》內容。該APP僅在首次進入頁面時,提示是否允許應用讀取存儲許可權和位置許可權,並在使用者登錄頁面,以預設勾選的方式注明“我同意並閱讀‘使用者協議’和‘隱私條款’”。
“這裡面有一些技術上的問題,有一些情況是,由於終端或系統設置的問題,有些許可權是被捆綁在一起的,因功能需要開啟某項許可權的時候,另外幾項許可權也被自動打開,但企業可能也不會使用到這幾項許可權。”何延哲說,在一些情況下,企業方也未解釋清楚,“用戶如果存疑,可以打申訴電話詢問客服,而不是單純地猜測。”
記者發現,無論是支付寶、滴滴、淘寶網還是高德地圖,在共用使用者和個人資訊條款中都提到了一些可能不經過使用者同意的例外情況,其中包括學術研究、為了提高服務品質、授權協力廠商合作夥伴等。“個人資訊的收集和處理過程應該經過資訊主體的同意。目前已經生效的法律並未規定‘學術研究、合法的新聞報導、征信的資訊’可以不通過使用者就能公開,所以這一條款不合規。”鄧學平對記者說。鄧學平是京衡律師集團上海事務所合夥人律師,他曾是一位資深的檢察官。
《個人資訊保護法》發佈全文,進一步對個人資訊的收集、保存、使用、委託處理、共用、轉讓和公開披露做了規定,對個人資訊和個人敏感資訊作了定義。這項國家標準被視為《網路安全法》的重要參考,“國家標準的發佈目的,就是為了指導企業在國家法律框架下,更好地將個人資訊保護工作落到實處,也就是給出了經廣泛討論和認可的最佳實踐。”何延哲說。
從2016年國家標準《資訊安全技術 個人資訊安全規範》立項之後,何延哲的職業生涯就與資訊安全更加緊密地結合在一起,他發的朋友圈裡幾乎都是與資訊安全相關的話題。
何延哲也是該國家標準的起草人之一,他一方面希望能夠化解民眾對企業的誤解,“用戶如果存疑,可以打上面的申訴電話,而不是單純猜測。”一面希望能使所有企業重視起用戶的隱私保護,“如果隱私條款中沒有申訴電話,表明他們不夠規範”。
在標準制定中,進行多方面的參考、權衡,是他們面臨的不小難題。這項國家標準從2016年開始立項,經歷廣泛的討論和修訂,例如對個人資訊、個人敏感資訊的界定,征得同意的方式,共用轉讓環節的規定等等進行多次的徵求意見。
這項標準在制定期間參照了《網路安全法》等一系列中國在個人資訊保護方面提出要求的法律法規,也參考了歐盟的《一般資料保護條例》,即GDPR、ISO29000系列等國際範圍內的個人資訊保護法律法規及標準,同時,從國內主要存在的個人資訊保護現狀和問題出發制定標準,更側重標準的實用性。
2017年7月至9月,在中央網信辦、工信部、公安部和國家標準委等四部門指導下,信安標委組織了對10款常用APP隱私條款的評審工作,這些APP也陸續修訂完善了隱私政策,給用戶更多的隱私相關的提示和選擇,也上線了註銷帳戶功能。“隱私政策雖不是個人資訊保護的全部,但是企業展示個人資訊保護措施的視窗,通過評審,能提升了企業的責任感,提升了全社會的隱私保護意識,是一個正向的引導和推動作用。”何延哲看來,隱私條款制定起來並不容易,需要結合產品特點長期優化,“有些APP涉及的功能太多了,所以我們希望他們能夠區分核心功能和附加功能。核心功能用戶肯定要同意,不然不能用。附加功能是可以讓用戶選擇的。”
此外,何時需“明示同意”,何時需“授權同意”,也經過多次討論,最終確定,對個人敏感資訊,要求明示同意,對於非敏感資訊則是“授權同意”。《網路安全法》起草人之一、北京大學互聯網發展研究中心高級顧問洪延青在一次公開場合解釋道,目前承認“授權同意”,是希望互聯網企業做到明示同意,但如果現實大量的場景做不到明示同意的話,還是需要用到授權同意的。“從這一點上我們的標準實際上比歐盟松得多,跟相對寬鬆的美國相對是看齊的。”
去年夏天的那場測評,何延哲和他的同事們協助那10款APP的企業進行隱私條款的修改。
雖然隨著大資料發展,對於隱私保護的重視不斷加強,但關於個人隱私保護的侵權訴訟案件卻不多。“最大的問題就是因為我們國家現在還沒有一個關於個人資訊保護相關的專門立法。”中國首席資料官聯盟專家組成員,法律顧問,觀韜中茂(上海)律師事務所合夥人王渝偉說,儘管對於個人資訊保護的細則規定得相對來說非常全面了,但由於只是一個推薦性的國家標準的規範,並不具有直接的強制執行力。
“在個人資訊保護方面,《網路安全法》仍然是大而化之,缺乏對個人資訊從收集、存儲、使用、救濟等全流程的保障機制。”在鄧學平看來,雖然很多立法都有保護公民個人資訊的立場宣示,但在具體的保護方式、保護手段方面卻往往付之闕如,相關職能部門更是鮮少主動執法。
這種“大而化之”的做法,也並非沒有理由。
何延哲稱,個人資訊保護領域的很多問題尚未有定論,比如個人資訊的權屬問題、關於征得同意的方式方法問題等等,最好是能夠在專門的個人資訊保護法中明確。同時,正是因為這些爭議,也造成了立法本身的難度增加。“對於立法而言,只能將其中的部分資訊納入保護範圍,如何劃分這個界限就考驗著立法者的智慧。”傅達林,解放軍西安政治學院軍事法學系理論軍法教研室副主任早在一篇《個人資訊保護如何突破立法藩籬》的文章中表達過類似觀點。
歐盟的GDPR被稱為史上最嚴苛的資料保護規定,而美國的個人資訊保護則側重於行業自律。“歐美國家在個人資料的保護立法政策上選擇了不同的模式,這將是未來我國立法模式選擇的方向。”王渝偉說,“儘管我國制定的個人資訊安全規範的國家標準是參考了GDPR,但同時也加入了符合中國國情的做法,我認為中國會採取一種介於美國和歐洲之間的規定,因為如果過於嚴苛,會限制行業的發展。”
一個折中的方式是在大資料發展的階段,可以通過軟性監管的方式,何延哲稱,目前我國個人資訊保護方面尚未發佈專門的法律,但個人資訊保護的問題尚需得到重視,那麼國家標準的發佈在指導實踐與供監管機構參考方面都有很高的價值。在他看來,在數字經濟蓬勃發展的形勢下,宣導企業使用標準、規範自行自律,也是一種可行的監管方式。
作為監管方,在大資料發展和隱私保護上,這道選擇題依然難解。
“資訊時代我們每個人將再也沒有秘密,資料可以看出一個人的生活方式,消費高低、喜歡趨向、具體位置、政治、性格等等等等!我們的生活變成了別人的資料,我們的資料變成了別人的選擇,我們的選擇變成了別人的權力,這可能是我們人類有史以來最囹圄的時代。”當Facebook被曝洩露5000萬使用者資料的消息傳出後,鄧玉峰在朋友圈裡寫下這樣一段話。
優酷手機APP,則僅在首次進入頁面時有顯示“讀取手機和電話許可權,是為了提供保障帳號資料安全,提供更懂你的內容推薦”,此外,在APP上,記者找不到查看使用者協定和隱私政策的入口。
“如果您不同意本《隱私政策》的內容,將導致本軟體及服務無法正常運行……當您使用‘今日頭條’軟體及相關服務時,則表示您同意且完全理解本《隱私條政策》的全部內容。’”這是號稱基於資料採擷推薦引擎的“今日頭條”APP《隱私政策》內容。該APP僅在首次進入頁面時,提示是否允許應用讀取存儲許可權和位置許可權,並在使用者登錄頁面,以預設勾選的方式注明“我同意並閱讀‘使用者協議’和‘隱私條款’”。
“這裡面有一些技術上的問題,有一些情況是,由於終端或系統設置的問題,有些許可權是被捆綁在一起的,因功能需要開啟某項許可權的時候,另外幾項許可權也被自動打開,但企業可能也不會使用到這幾項許可權。”何延哲說,在一些情況下,企業方也未解釋清楚,“用戶如果存疑,可以打申訴電話詢問客服,而不是單純地猜測。”
記者發現,無論是支付寶、滴滴、淘寶網還是高德地圖,在共用使用者和個人資訊條款中都提到了一些可能不經過使用者同意的例外情況,其中包括學術研究、為了提高服務品質、授權協力廠商合作夥伴等。“個人資訊的收集和處理過程應該經過資訊主體的同意。目前已經生效的法律並未規定‘學術研究、合法的新聞報導、征信的資訊’可以不通過使用者就能公開,所以這一條款不合規。”鄧學平對記者說。鄧學平是京衡律師集團上海事務所合夥人律師,他曾是一位資深的檢察官。
《個人資訊保護法》發佈全文,進一步對個人資訊的收集、保存、使用、委託處理、共用、轉讓和公開披露做了規定,對個人資訊和個人敏感資訊作了定義。這項國家標準被視為《網路安全法》的重要參考,“國家標準的發佈目的,就是為了指導企業在國家法律框架下,更好地將個人資訊保護工作落到實處,也就是給出了經廣泛討論和認可的最佳實踐。”何延哲說。
從2016年國家標準《資訊安全技術 個人資訊安全規範》立項之後,何延哲的職業生涯就與資訊安全更加緊密地結合在一起,他發的朋友圈裡幾乎都是與資訊安全相關的話題。
何延哲也是該國家標準的起草人之一,他一方面希望能夠化解民眾對企業的誤解,“用戶如果存疑,可以打上面的申訴電話,而不是單純猜測。”一面希望能使所有企業重視起用戶的隱私保護,“如果隱私條款中沒有申訴電話,表明他們不夠規範”。
在標準制定中,進行多方面的參考、權衡,是他們面臨的不小難題。這項國家標準從2016年開始立項,經歷廣泛的討論和修訂,例如對個人資訊、個人敏感資訊的界定,征得同意的方式,共用轉讓環節的規定等等進行多次的徵求意見。
這項標準在制定期間參照了《網路安全法》等一系列中國在個人資訊保護方面提出要求的法律法規,也參考了歐盟的《一般資料保護條例》,即GDPR、ISO29000系列等國際範圍內的個人資訊保護法律法規及標準,同時,從國內主要存在的個人資訊保護現狀和問題出發制定標準,更側重標準的實用性。
2017年7月至9月,在中央網信辦、工信部、公安部和國家標準委等四部門指導下,信安標委組織了對10款常用APP隱私條款的評審工作,這些APP也陸續修訂完善了隱私政策,給用戶更多的隱私相關的提示和選擇,也上線了註銷帳戶功能。“隱私政策雖不是個人資訊保護的全部,但是企業展示個人資訊保護措施的視窗,通過評審,能提升了企業的責任感,提升了全社會的隱私保護意識,是一個正向的引導和推動作用。”何延哲看來,隱私條款制定起來並不容易,需要結合產品特點長期優化,“有些APP涉及的功能太多了,所以我們希望他們能夠區分核心功能和附加功能。核心功能用戶肯定要同意,不然不能用。附加功能是可以讓用戶選擇的。”
此外,何時需“明示同意”,何時需“授權同意”,也經過多次討論,最終確定,對個人敏感資訊,要求明示同意,對於非敏感資訊則是“授權同意”。《網路安全法》起草人之一、北京大學互聯網發展研究中心高級顧問洪延青在一次公開場合解釋道,目前承認“授權同意”,是希望互聯網企業做到明示同意,但如果現實大量的場景做不到明示同意的話,還是需要用到授權同意的。“從這一點上我們的標準實際上比歐盟松得多,跟相對寬鬆的美國相對是看齊的。”
去年夏天的那場測評,何延哲和他的同事們協助那10款APP的企業進行隱私條款的修改。
雖然隨著大資料發展,對於隱私保護的重視不斷加強,但關於個人隱私保護的侵權訴訟案件卻不多。“最大的問題就是因為我們國家現在還沒有一個關於個人資訊保護相關的專門立法。”中國首席資料官聯盟專家組成員,法律顧問,觀韜中茂(上海)律師事務所合夥人王渝偉說,儘管對於個人資訊保護的細則規定得相對來說非常全面了,但由於只是一個推薦性的國家標準的規範,並不具有直接的強制執行力。
“在個人資訊保護方面,《網路安全法》仍然是大而化之,缺乏對個人資訊從收集、存儲、使用、救濟等全流程的保障機制。”在鄧學平看來,雖然很多立法都有保護公民個人資訊的立場宣示,但在具體的保護方式、保護手段方面卻往往付之闕如,相關職能部門更是鮮少主動執法。
這種“大而化之”的做法,也並非沒有理由。
何延哲稱,個人資訊保護領域的很多問題尚未有定論,比如個人資訊的權屬問題、關於征得同意的方式方法問題等等,最好是能夠在專門的個人資訊保護法中明確。同時,正是因為這些爭議,也造成了立法本身的難度增加。“對於立法而言,只能將其中的部分資訊納入保護範圍,如何劃分這個界限就考驗著立法者的智慧。”傅達林,解放軍西安政治學院軍事法學系理論軍法教研室副主任早在一篇《個人資訊保護如何突破立法藩籬》的文章中表達過類似觀點。
歐盟的GDPR被稱為史上最嚴苛的資料保護規定,而美國的個人資訊保護則側重於行業自律。“歐美國家在個人資料的保護立法政策上選擇了不同的模式,這將是未來我國立法模式選擇的方向。”王渝偉說,“儘管我國制定的個人資訊安全規範的國家標準是參考了GDPR,但同時也加入了符合中國國情的做法,我認為中國會採取一種介於美國和歐洲之間的規定,因為如果過於嚴苛,會限制行業的發展。”
一個折中的方式是在大資料發展的階段,可以通過軟性監管的方式,何延哲稱,目前我國個人資訊保護方面尚未發佈專門的法律,但個人資訊保護的問題尚需得到重視,那麼國家標準的發佈在指導實踐與供監管機構參考方面都有很高的價值。在他看來,在數字經濟蓬勃發展的形勢下,宣導企業使用標準、規範自行自律,也是一種可行的監管方式。
作為監管方,在大資料發展和隱私保護上,這道選擇題依然難解。
“資訊時代我們每個人將再也沒有秘密,資料可以看出一個人的生活方式,消費高低、喜歡趨向、具體位置、政治、性格等等等等!我們的生活變成了別人的資料,我們的資料變成了別人的選擇,我們的選擇變成了別人的權力,這可能是我們人類有史以來最囹圄的時代。”當Facebook被曝洩露5000萬使用者資料的消息傳出後,鄧玉峰在朋友圈裡寫下這樣一段話。