见习记者/贾彦颖
一个账号注册、一次未曾深究的授权、一个搜索、一句留言、一个点赞、一次分享、一次购买、一条浏览记录、一张自拍……数字化时代,每一天,每个人,都在线上“数据库”留下了轨迹清晰的足迹。在所谓“没有秘密”的大数据时代,个人信息“裸奔”早已见怪不怪。个人信息保护如此之难,究竟难在哪里?
明明没有用过这个App,却收到了“××,你有一个通讯录好友在某App上将你设置为心动对象。点击http://××××.com, 下 载 App作出你的选择。回T退订”。相信很多手机用户都曾收到过类似的短信,看到自己的名字被准确叫出,大部分人都会立即察觉到自己的个人信息泄露了。
但究竟是谁在隐蔽收集着我们的信息?中国信息通信研究院安全所数据安全研究部副主任陈湉表示,人们可能生活在了一个被频繁收集、反复收集、每时每刻收集(个人信息)的世界当中。
以App个人信息安全问题为例,目前App已经普及成为生活中的必需品。据统计,2018年全国App市场规模为449万款,从分发量来看,国内第三方应用商店分发总量是1.8万亿次。
App隐蔽收集个人信息的常见方式为获取系统高危权限。“大量App默认‘开机自启动’高危权限,所以无论是否使用App,它均可以调动用户已经允许的权限收集个人信息、上传远程服务器,但用户自己却感知不到。”陈湉说。
此外,某些App还会非法获取超级权限行为(root权限),可以对系统中任何文件执行操作。部分App为了能够收集更多的个人信息进行用户画像分析,会使用cookie及其同类技术隐蔽收集个人标识、个人行为记录等信息。甚至,有些App为了尽可能地获取更多个人信息,选择欺骗、诱导等方式获取用户授权。
陈湉认为,身处大数据时代,我们在享受网络技术给生活带来的便利的同时,也面临着个人信息泄露造成的各种负面影响。互联网、智能识别等新兴技术的高速发展,不仅促进了公共信息的快速传播,同样也将个人信息的传播速度升级,个人信息和网络应用平台不断深入交互,使隐私保护的压力持续加码。
随着网络安全知识的普及与宣传,用户个人信息保护意识和防范意识逐渐增强,有人提出应该严格限制企业权限,一刀斩断企业收集个人信息的渠道。
对此,中国电子技术标准化研究院信息安全研究中心审查部总监何延哲认为,这种“一刀切”的做法并不可取。“个人信息保护的‘不可能三角’是廉价、方便和隐私保护,企业的产品经理对这三点可能会有面面俱到的考量。但对于用户而言,看到的永远是这三个角当中的一个角,他不会从整体来看这个问题,如果隐私保护做得不好,他肯定关注隐私保护,他不会去想隐私保护做好了是不是影响收费的问题,是不是影响便捷的问题,这些其实都需要考虑。”何延哲分析道。
对于企业来说,在合规过程中难免存在一些痛点,比如说隐私政策如何展示,权限目的如何告知,注销机制如何设置。何延哲指出,这些功能的简单实现都很好办,但真正达到好的用户体验是比较难的。
此外,个性化推送、对外提供个人信息以及平台嵌入第三方服务这三个问题对于企业而言,也很难完全合规,现实和合规之间存在割裂。对此,何延哲给出的建议是,企业在考虑这些问题时要有Plan B的思路,可以从功能实现、盈利、创新和社会责任四方面来对具体业务的合规程度进行判断。
“个人信息安全不是一方的问题,对于个人来说,确实需要重塑数据时代的价值观,一分为二看待个人信息,了解它带来的好处,也了解它带来的危害;对于企业来说,要具备价值驱动,可以在个性化推送上彰显更多社会责任;对于监管部门来说,需要多方共担、形成默契。”何延哲说。
如今,面对个人信息泄露,也有少数受害者选择起诉,但往往会面临举证难等窘境。北京海淀法院中关村法庭庭长陈昶屹表示,不光是起诉者觉得难,法官审理此类案件时也会觉得有难点。
据陈昶屹介绍,由于案由的限制,目前以侵犯个人信息安全或个人信息保护为由进入诉讼程序的案件非常少。但此类纠纷在生活中又非常常见,所以社会关注度很高。审理研究这类案件的难点具体体现在:
第一,此类案件没有专门的案由。目前,一般都是以其他相关案由起诉,比如告隐私权、一般人格权、网络侵权这样的路径。这些与个人信息安全有交叉,但是不等同,因此在法律适用方面还不够明确,甚至存有争议。
第二,网络服务披露的义务问题。在实践当中要找匿名侵权人是非常困难的,这个过程就涉及从电信运营商、网络服务公司等获取用户信息的问题。在司法实践中,民事案件的调查取证很难获得他们的配合。
第三,涉及App的用户协议和隐私政策效力认定的问题。App在升级迭代的过程中,隐私政策条款往往也跟着改变,这些改变通常是有利于开发运营者的,甚至很多是“霸王条款”,这就造成用户举证困难。此外,隐私政策版本升级后,它的休约和续约是否要遵从传统的合同法经过对方的同意也值得商榷。目前,这种笼统的授权和续约规定,能否认定它属于格式条款,把它无效掉,这些也是在实践当中尚存有争议的部分。
第四,关于个人信息存储泄露的问题。现在App、各个平台都会收集用户的个人信息,个人信息泄露的几率大大提高。数据的采集者、持有者、处理者等,到底是哪个环节泄露了信息?如何证明?虽然可以使用盖然性的标准,但这个证明标准要求非常高,否则就会变成主观性很强的个人判断,单凭法官或合议庭的主观判断很难统一裁判标准。
第五,此类案件会涉及很多新诉求、新技术。如果借鉴审理知识产权案件的方法,引入技术调查官,未来可能还要涉及技术审计和技术鉴定的问题。目前在司法实践中,这种业务还没有作为一个专项提出来。
陈昶屹认为,未来此类案件的审理理念还要考虑到个人信息安全保护和保障数据产业发展的平衡。应该加强司法调研,通过司法建议的方法引导行业有序发展。我们国家是人口大国、数据大国,未来一定会有更多的司法案例和司法实践出现,为我们个人信息保护规则体系的建立贡献力量。
我们可以看到,个人数据安全保护正逐渐被提上议程,但如何在数字时代真正落实“个人信息保护”,还有很长一段路要走。