后网络安全时代个人隐私保护难题

2018-03-12 06:32法人肖岳
法人 2018年2期
关键词:个人信息百度信息安全

文 《法人》记者 肖岳

在互联网浪潮和大数据时代下,以《网络安全法》为代表的相关法律法规不断出台与落地,为用户与企业的合法权益保驾护航,但基于技术的不断迭代更新,用户信息安全的保护往往需要监管部门、企业和用户自身共同维护,三方缺一不可

从“支付宝年度账单事件”,到百度因涉嫌侵害消费者个人信息安全被江苏省消保委起诉,再到工信部因用户隐私问题约谈百度、支付宝和今日头条。新年伊始,“信息安全”这个本就不陌生的话题,又多次出现在公众的视野中。

在此之前,有网民在中国政府网上留言称:“在网络平台、手机APP注册账号后,由于很少使用或以后不会再使用,想把自己的账户注销,但却发现根本无法注销。”

而根据《中华人民共和国网络安全法》第四十三条规定:个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息。此类被强制的案例很快引起监管部门的注意,工信部就此事回应称,根据《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号)第九款第四款规定:“电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后,应当停止对用户个人信息的收集和使用,并为用户提供注销号码或账号的服务。”

在有法可依的情况下,用户权益仍被如此侵犯,可见互联网个人隐私保护任重道远。

应用越界获取用户信息成新常态

2017年12月11日,江苏省消费者权益保护委员会(以下简称“江苏消保委”)对北京百度网讯科技有限公司违法获取用户信息权限及相关问题,提起消费民事公益诉讼。.2018年1月2日,南京市中级人民法院对此正式立案,随后江苏省消保委于1月5日进行了案件情况通报。

早在2017年7月,江苏省消保委就曾对涉及购买类、阅读类、支付类、旅游类等服务领域,并有一定代表性的27家手机App开发企业进行调查,发现普遍存在侵犯消费者个人信息安全的问题。

本土搜索巨头百度位列其中,7月4日,江苏省消保委就手机App侵犯个人信息安全问题向百度公司发送《关于手机应用程序获取权限问题的调查函》,要求其就旗下“手机百度”“百度浏览器”两款手机App存在的相关问题派员前来接受约谈。

江苏省消保委称,在多次催促、监督下,2017年11月百度公司接受约谈,但对于“手机百度”“百度浏览器”中“监听电话”“读取短彩信”“读取联系人”等涉及消费者个人信息安全的相关权限拒不整改,也没有明确措施提示消费者App所申请获取权限的目的、方式和范围并供消费者选择。

基于此,江苏消保委根据《消费者权益保护法》《网络安全法》《江苏省消费者权益保护条例》相关规定,依法向南京市中级人民法院提起诉讼,请求法院依法判令北京百度网讯科技有限公司停止其相关侵权行为。

百度随后就被起诉一事向媒体做出回应,百度指出:“已经获悉江苏省消费者权益保护委员会提起诉讼一事。在保护公民个人信息方面,百度与消保委‘立场和根本出发点是一致的’。在过去几个月间,百度与江苏省消保委就手机应用产品的隐私保护和用户权限管理机制问题,进行了多轮沟通,对江苏消保委方面的疑问进行了说明和澄清。”

对于被指监听电话一事,百度则回应称“旗下手机应用‘没有能力、也从来不会’申请这一权限”。

中国电子商务协会调解中心副主任乔聪军在接受《法人》记者采访时表示,首先从尽职尽责上,江苏消保委代表用户和消费者对百度提起公益诉讼值得肯定,虽然保护消费者权益是消保委的主要职责,但也并不是每个消保委都会积极地帮助消费者维权。

其次,江苏消保委的介入也使得案件无论后续结果如何,都会产生更广泛的法律效力,企业可以从中反思自身合规问题,同时也使得用户或消费者的权益得到保障。

乔聪军指出,在人们生活中,用户基于使用需要,对下载的部分App中的一些约定或权限,往往都会选择同意。但有些App对于一些权限的获取与其所提供的正常服务并非必要关系。另外,往往同一款App,安卓系统用户被获取的权限高于苹果系统用户。

“其实关于App过度获取用户个人信息的问题,无论是媒体还是研究机构,对此早就有过探讨。”乔聪军告诉《法人》记者。

“和过去的个人信息保护相比,现在的情况也有些许不同。”互联网观察家郭涛在接受《法人》记者采访时表示,在过去,可能用户个人信息的获取途径仅仅局限于用户注册和使用一些App时,自己主动所填充的信息,但现在更多的是对于权限的过度获取。

艾媒咨询集团CEO张毅则指出,应用过度获取用户权限目前并不少见,可能安装个新闻客户端,都要获取你的诸多权限,并不仅局限于你登录的手机号和地理位置等信息。而这些获取是否有必要,目前并没有一个明确的说法和规则与之对应。

技术升级使个人信息保护捉襟见肘

无独有偶,江苏消保委对百度提起公益诉讼后,“支付宝年度账单事件”再次使用户个人信息保护这一话题备受关注。

事情起源于刷爆朋友圈的2017支付宝年度账单,当用户打开账单时,包括用户的全年总消费额、芝麻分、线下支付次数等信息都可呈现在用户面前。

而在账单首页的一行小字引起了一位律师的注意,他直指其中问题,由于“我同意《芝麻服务协议》”一行字号较小,且这一选项是被默认为“同意”,使得用户在未注意到选项的情况下,便会直接同意协议,而根据该《芝麻服务协议》的规定,此举意味着用户同意其向第三方收集并在适用的法律法规许可范围内向信息的使用者提供这些信息,已经充分理解并知晓这些信息被提供和使用的风险,包括但不限于……该等信息被本公司提供给第三方后被他人不当利用的风险、因您的信用状况较好而造成您被第三方推销产品或服务等打扰的风险。

该事件发酵后,支付宝表示道歉,并称这个做法“肯定是错了”。

乔聪军在接受《法人》记者采访时表示,基于大数据时代的到来,以及物联网等新的技术浪潮的涌现,数据所承载的内容和作用也越发重要。可能支付宝账单此次事件并没有实际对用户产生多严重的危害,但在个人信息与数据泄露频发的当下,一个个鲜活的案例都在告诫人们,信息泄露所能引发的风险并非小事。

乔聪军指出,随着技术的发展,可能服务商的有些行为是出于好意,本意是为了使用户获得更好的使用体验和提升自身服务水平,但有些时候如何去把握一个“度”也并非易事。比如通过购物平台搜索商品,可能之后会在打开网页时看到跟用户搜索过的商品有关的产品推荐,当然这方便了用户,但同时由于用户所需不同,有些涉及隐私或用户不愿意被别人看到的商品搜索记录也会被推荐,当然总体来说肯定还是方便了用户的。

乔聪军同时表示,技术的发展和应用多样化,对于用户个人信息的保护也提出了更高的要求,以往用户个人信息泄露较好推断泄露渠道,从而倒查企业,但随着技术发展,往往几个无关紧要的信息,可能就会勾勒出用户的一些信息全貌,这使得用户被侵权后,往往权责问题更难划分清楚。

乔聪军强调,对用户而言,企业或应用商还是应当尽到告知义务,尊重用户的选择权和知情权,这样用户才会对产品和企业更加信赖。

中研普华研究员谭小龙在接受《法人》记者采访时则表示,大数据时代下,随着新技术的发展,通过大数据的分析和利用,企业可以分析市场整体的情况,有助于企业对公司产品的确定以及战略的定位提供数据的支撑,同时基于大数据具有海量数据规模、快速数据搜寻与流动等特征,企业通过布局大数据战略可以明显地提高企业利润等。

这些都是技术进步为企业带来的好处,但从另一方面而言,大数据的爆发、较多企业的入局,也使得行业发展良莠不齐,同时数据的安全性亦无法保障。

“也因此在大数据时代下,个人隐私保护可以说是十分艰难的。”谭小龙补充道,随着网购越来越普及,互联网越来越深入人心,在网购的过程中留下的个人信息,以及在浏览免费网址时留下的个人信息,都无法完全清除掉。而这些留下的信息中,有些可以得出个人的喜好,如果后续被别有用心的人利用,极有可能造成风险。

张毅在接受《法人》记者采访时则表示,其实大数据等只是影响个人信息安全的一个因素,但最主要的还是要服务商和运营商落实好相应的责任,比如在用户授权中详细注明获取哪些权限,并在显著位置标注等,从源头做好用户信息安全的防护。

信息使用及存储监管困局

随着大数据的发展,对于其应用与监管,国内现有的法规往往很难做到面面俱到。除了需要在相应的法规下陆续出台相应的细则外,作为收集、储存和使用大数据重要环节的企业,同样不容忽视。

基于互联网技术的发展,每个用户通过各个途径每天都势必会产生大量的数据,而这些数据涵盖饮食、出行、消费等方方面面,想要从个人角度凭一己之力来拒绝个人信息被获取往往很难。

乔聪军在接受《法人》记者采访时表示,虽然《网络安全法》对于规范网络空间安全秩序和保障个人信息安全起到了重要的意义,但有些情况下仍需后续出台细则来配套。比如《网络安全法》第四十一条规定,“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意;网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”

但现实生活中,有些时候用户的确是看到了用户协议,但如果不同意,可能就无法使用该应用。另外,在对于数据和信息的存储等方面,主要还是以企业自律和行业自律为主,当然行业里的从业者更了解技术的应用及防护,这本无可厚非,但仍需要相关的规则出台来辅佐行业的发展,当然从相关部门的一些决策上也能看到,都是致力于个人信息保护的。

“2017年12月初,最高人民检察院侦查监督厅有关负责人曾指出,对电信网络诈骗犯罪坚持做到“三个一律”:一律依法快捕快诉;一律组成专班集中办理;对重点整治地区,一律加大源头治理和综合治理的力度。”乔聪军说道,这些无论是政策或是决定的落实,对于促进行业健康发展,打击侵犯用户个人信息起到了至关重要的作用。

谭小龙则指出,从大数据技术而言,依靠使用大数据收集个人信息的企业自律,对于保护用户个人信息安全肯定是远远不够的,还需要统一的标准与监管来对市场进行规范。否则由于技术漏洞或市场不规范所导致的个人信息安全泄露风险将加大,同时也难免会有一些居心叵测的企业利用技术谋取暴利,甚至从事犯罪活动。

“与欧美国家相较而言,国内对于个人隐私保护相关的法律是有的,但具体的措施较少,包括像行业自律其实也是很薄弱的。”郭涛指出,在《网络安全法》的框架下,怎样做到违法必究也是有待探讨的问题。

张毅同时指出,在《网络安全法》下,除了具体细则需要进一步完善和落地,事后的惩戒措施也应更加明确。

界定与落实仍需细则配套

自2017年6月1日《网络安全法》正式施行,这也是作为规范网络空间安全秩序的基础性法律,与此几乎同步施行的还有最高人民法院和最高人民检察院发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等,甚至在《民法总则》第127条中指出“法律对数据、网络虚拟财产的保护有规定的,依照其规定”。这也使得数据是一种受到法律保护的财产形态得到了明确,可以说国内目前对于个人信息和隐私保护的法律体系已初步完善。

乔聪军在接受《法人》记者采访时表示,虽然无论从国家层面还是立法层面,对于个人信息保护的举措多有建树,但往往较为分散,这也就导致具体到社会的实际生活中往往存在千差万别。多种情况往往难以被一一细化地加以规定,这就需要一部专门的、综合的保护个人信息的法律出台,将企业等侵犯个人隐私事件发生后的民事、刑事、行政处罚综合起来。

“目前有些情况就较难以判断是否侵权。”乔聪军说道,比如有些资讯类App在用户安装时会获取用户的相机权限,这是否算是对于用户信息的过度获取,但如果该App辩称后续将拓展一些用户自行录制的新闻“小视频”功能,是否还算过度获取用户信息呢,这恐怕很难界定。

在《网络安全法》下,除了具体细则需要进一步完善和落地,事后的惩戒措施也应更加明确

谭小龙则在接受《法人》记者采访时指出,虽然《网络安全法》第一条就指出“为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法”,但随着技术的更迭频率较高,今后仍需有细则结合市场发展出台,从而完善个人信息保护。

“我觉得一方面是法规和细则的不断细化与落地,另一方面从用户自身也要提高信息保护意识。”郭涛指出,对用户而言,其实更多的情况下在使用应用或安装应用时并不会过于仔细地看用户协议,同时对于其中一些术语可能也未必明白含义。

这也仅仅是基于这些应用是大企业开发的,相对而言,对于用户信息获取等方面还是可靠的。但有些小的应用开发者,则极有可能为了获取用户隐私权限不择手段,因此用户在安装和使用应用前,对于用户协议等要养成留意观察的习惯,培养自身对于隐私数据保护的习惯。

虽然对于用户信息保护的方式难以穷尽,但用户的知情权和选择权是最重要也是最核心的

用户知情权与选择权更应重视

“我能有什么办法呢?”互联网用户小王无奈的向《法人》记者说道,有些App比如打车软件或者送餐软件,获取用户的地理位置都很正常,但是有些新闻客户端甚至要获取用户的录音甚至相机权限,这就有些让人难以理解了,但如果拒绝往往App都不能使用。

乔聪军指出,其实除了这些问题,用户协议被弱化也是最为频发的问题。在很多互联网应用产品的用户协议中,可能洋洋洒洒几千甚至上万字,对用户而言,即便是真的注意到了用户协议,也未必会有耐心去读完全部条文。另外,用户也不可能都像法律专业人员一样去逐条分析其中原委。就像此次“支付宝账单”这一事件,最开始公开问题的是北京市岳成律师事务所的岳山律师,普通用户则很难有这样的意识。

“我认为应用提供方应该将用户协议比较核心的内容进行简要概括,或对重要部分进行标注呈现给用户。”乔聪军说道,因为用户协议也是用户与应用提供方发生纠纷时解决问题的凭证,所以也应对用户提供更清晰的告知义务。目前很多应用存在弱化用户协议的问题,随着国家层面对于个人信息保护的关注度和保护措施的加强完善,用户协议问题也应得到更多重视。

乔聪军最后建议,虽然对于用户信息保护的方式难以穷尽,但用户的知情权和选择权是最重要也是最核心的,这也应依靠法律法规的不断细化完善、行业和企业提高自律以及用户自身对于信息安全意识的提高,完全依赖其中任何一方都会使信息保护捉襟见肘。

谭小龙在接受《法人》记者采访时也表示,很多客户在使用App的过程中,往往对于服务协议觉得很烦琐,觉得不了解也没有什么影响,法律意识相对较为淡薄,后续应当有相应的细则来约束企业在App产品的固定或醒目位置标注用户服务协议,明确双方责任。

“或者可以在用户登录软件时,为用户协议设定一个固定的强制用户阅读的时间,比如10S等,而只有过了这段时间,用户才能登录。”郭涛指出,这样可以尽量避免用户协议被弱化等问题。

“我觉得就像金融产品的广告都会标注‘投资有风险’等字样,其实近期频发的围绕用户信息安全的这些事件,也从侧面反映出了人们的安全意思不断提高,同时也看到了有关部门代表消费者进行维权,体现出了尽职尽责。”张毅最后说道。

猜你喜欢
个人信息百度信息安全
基于区块链技术的船舶信息安全预测
个人信息保护进入“法时代”
敏感个人信息保护:我国《个人信息保护法》的重要内容
信息安全不止单纯的技术问题
主题语境九:个人信息(1)
民法典应进一步完善侵害个人信息责任规定
百度年度热搜榜
不懂就百度
百度年度人气萌娃
万有的百度