有安全團(tuán)隊(duì)人士稱,侵權(quán)者獲取大量數(shù)據(jù)后有機(jī)會(huì)帶來巨大經(jīng)濟(jì)和社會(huì)效益,違法成本卻微乎其微。

自2019年1月至12月,中央網(wǎng)信辦、工信部、公安部、市場監(jiān)管總局等四部門在全國范圍組織開展App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理。3月初,工作組開通了微信公眾號和舉報(bào)專用郵箱,在一個(gè)半月里(截至4月16日),收到舉報(bào)信息超過3480條,涉及1300余款A(yù)PP,遍及金融借貸、社區(qū)社交、網(wǎng)上購物、短視頻與直播、即時(shí)通訊等當(dāng)今熱門移動(dòng)應(yīng)用領(lǐng)域。其中30款用戶量大且問題嚴(yán)重的APP,工作組已向其運(yùn)營者發(fā)送了整改通知。

面對巨大的經(jīng)濟(jì)利益,APP瘋狂采集個(gè)人隱私信息的現(xiàn)狀如何才能真正解決,這不僅是我國的難題,也是世界各國都面臨的難題。

一個(gè)半月收集舉報(bào)超3480條

隱私條款不明確是重災(zāi)區(qū)

正如本報(bào)此前多次報(bào)道,近年來我國爆發(fā)的多宗個(gè)人信息、隱私泄露或販賣的案件中,很多時(shí)候追溯到的黑灰產(chǎn)產(chǎn)業(yè)鏈數(shù)據(jù)源頭都是大大小小的互聯(lián)網(wǎng)廠商。

即使不被用于黑灰產(chǎn)等的違法用途,互聯(lián)網(wǎng)應(yīng)用過度采集個(gè)人信息的行為,本身就涉嫌侵犯用戶個(gè)人隱私,對用戶心理造成很大的不安。比如,輸入法、手電筒APP,要求獲取地理位置是要干嘛?有的APP,在靜默狀態(tài)下竟然會(huì)悄悄啟動(dòng)麥克風(fēng)、攝像頭持續(xù)采集用戶音視頻數(shù)據(jù)。還有APP被發(fā)現(xiàn)長期在后臺悄悄記錄用戶的通話記錄、短信、通訊錄、位置信息、設(shè)備信息等并上傳到企業(yè)服務(wù)器……

有見及此,《信息安全技術(shù)個(gè)人信息安全規(guī)范》(簡稱《規(guī)范》)2018年5月1日實(shí)施,《規(guī)范》嚴(yán)格界定了個(gè)人信息控制者的權(quán)利并明確了其義務(wù):規(guī)定在收集個(gè)人信息前,應(yīng)當(dāng)向信息主體明示相關(guān)內(nèi)容并取得同意;涉及間接獲取方式以及個(gè)人敏感信息時(shí),應(yīng)當(dāng)做出必要說明或取得明示同意且遵守有關(guān)法律、行政法規(guī)關(guān)于個(gè)人信息保護(hù)的規(guī)定。

從一個(gè)半月的舉報(bào)問題看,26%的APP沒有隱私條款或未在隱私條款中明確收集個(gè)人信息的目的、方式、范圍;31%的APP在申請打開收集個(gè)人信息相關(guān)權(quán)限時(shí),未明確告知用戶;20%的APP收集與業(yè)務(wù)功能無關(guān)的個(gè)人信息,如金融借貸APP收集用戶通信錄;19%的APP未經(jīng)用戶同意,向他人提供設(shè)備ID、應(yīng)用程序列表等個(gè)人信息;13%的APP強(qiáng)制索要與業(yè)務(wù)功能無關(guān)的權(quán)限,如計(jì)算器、手電筒APP強(qiáng)制要求打開地理位置權(quán)限。還有一些APP存在不支持用戶注銷賬戶、更正或刪除信息等問題。

采集用戶信息事關(guān)“財(cái)路”

互聯(lián)網(wǎng)公司信奉“越多越好”

在企業(yè)層面,其收集數(shù)據(jù)的目的是借助大數(shù)據(jù)分析的力量,精準(zhǔn)匹配投放商業(yè)廣告,這是國內(nèi)外幾乎所有互聯(lián)網(wǎng)公司的一條重要“財(cái)路”。就算不用于廣告,用于自身業(yè)務(wù)發(fā)展也是越多越好。

今年1月,據(jù)媒體報(bào)道,有白帽黑客通過抓包工具監(jiān)測發(fā)現(xiàn),如果用戶甲在微信朋友圈分享了一條今日頭條新聞,當(dāng)甲的微信好友乙和丙都打開看過這條新聞后,今日頭條就悄悄記錄下乙和丙都是甲的好友,并將這組社交關(guān)系分享給本公司的抖音等APP平臺,其違規(guī)在于,正常軟件在設(shè)置cookie參數(shù)時(shí)一般僅為5至7天,而今日頭條將這一數(shù)值設(shè)定為10年,這一隱蔽設(shè)定使其可以長期更新關(guān)注用戶的好友關(guān)系變動(dòng)情況。

還有用戶下載一款A(yù)PP申請貸款時(shí),發(fā)現(xiàn)對方要求知道自己所安裝的全部APP列表,感到十分詫異。該應(yīng)用客服人員對此的解釋是,應(yīng)用列表信息將作為該平臺綜合授信的一個(gè)維度,比如獲知用戶是否安裝了多款借款類APP,依此綜合評估用戶的信用風(fēng)險(xiǎn)。

析因

1

法律依然缺位,讓企業(yè)違規(guī)幾無成本

有業(yè)內(nèi)人士指出,大數(shù)據(jù)時(shí)代,沒人知道哪些數(shù)據(jù)會(huì)成為重點(diǎn),不少企業(yè)本著“不管有用沒用,多收集一點(diǎn)總沒壞處”的想法,濫采用戶信息和資料。但這種想法和《規(guī)范》是相悖的。《規(guī)范》明確個(gè)人信息的收集類型、頻率和數(shù)量應(yīng)在必要性的最小要求之內(nèi),即符合最少夠用原則的要求。

遺憾的是,《規(guī)范》只是一套推薦性國家標(biāo)準(zhǔn)(目前國內(nèi)尚無專門針對個(gè)人信息保護(hù)的法律),并不具備法律效力和強(qiáng)制約束力,這讓有心違規(guī)的企業(yè)肆無忌憚。在截至4月中旬的舉報(bào)信息里,針對30款用戶量大且問題嚴(yán)重的APP,工作組也只是向其運(yùn)營者發(fā)送了整改通知。逾期不改的,才考慮公開曝光,情節(jié)嚴(yán)重的予以下架、停止服務(wù)等。

前述安全團(tuán)隊(duì)人士慨嘆說,侵權(quán)者獲取大量數(shù)據(jù)后有機(jī)會(huì)帶來巨大的經(jīng)濟(jì)和社會(huì)效益,而同等條件下的違法成本卻微乎其微,難怪企業(yè)會(huì)屢禁不止。

更尷尬的是,在個(gè)人信息保護(hù)法缺位之下,原本應(yīng)作為保障用戶隱私和權(quán)利公平的APP隱私保護(hù)協(xié)議,反被運(yùn)營者利用為逃避應(yīng)有法律義務(wù)、責(zé)任的擋箭牌,像某APP用戶協(xié)議中寫道,“對發(fā)布在××上的信息,××擁有再許可的權(quán)利”;有的說“××可將用戶信息傳至第三方,且不負(fù)擔(dān)任何責(zé)任”;或者“用戶的發(fā)表、上傳行為意味著對××的授權(quán)”。

事實(shí)上,用戶對APP隱私協(xié)議舉報(bào)最多的,除了“自動(dòng)默認(rèn)勾選視為同意”和“不同意不能使用APP”外,在隱私條例里設(shè)置霸王條款或者偷換概念內(nèi)容來惡意規(guī)避法律責(zé)任,也是其中之一。

2

新技術(shù)層出不窮,更多個(gè)人信息認(rèn)定存爭議

有法律專家指出,我國個(gè)人信息保護(hù)法律缺位的現(xiàn)狀,和它本身是一件不斷發(fā)展、演變中的事物不無關(guān)系。隨著近年來各種新技術(shù)的發(fā)展,大家越來越活在各種傳感器、攝像頭、定位系統(tǒng)、無人機(jī)等設(shè)備的時(shí)刻“監(jiān)控”之下,傳統(tǒng)隱私權(quán)定義已經(jīng)不能適應(yīng)新形勢,更多新型個(gè)人信息的認(rèn)定和侵犯方式,都還存在諸多爭議。

一方面,智能家居設(shè)備的攝像頭,可能會(huì)在你某次在掃地機(jī)器人旁輸入銀行密碼時(shí)記錄你的財(cái)務(wù)信息。用于智能醫(yī)療的各類可穿戴設(shè)備可能會(huì)不費(fèi)氣力地了解你的心跳、脈搏、血壓、睡眠質(zhì)量等。此外,通過可穿戴設(shè)備及其他設(shè)備等獲得的個(gè)人數(shù)據(jù),有可能會(huì)深入到思維這個(gè)層面,人的思維、心理狀態(tài)這些隱秘信息,將成為可以被感知、存儲(chǔ)、傳輸甚至處理的外在信息,更關(guān)鍵的是,個(gè)體很難控制信息的發(fā)出、傳播與使用,會(huì)變得無能為力。

在日前一場某搜索引擎的營銷峰會(huì)上,記者發(fā)現(xiàn),其號稱人臉識別技術(shù)能做到根據(jù)攝像頭獲取人臉圖像信息,據(jù)此智能分析出人物性別年齡特征值,并在其經(jīng)過的各類樓宇屏幕上展現(xiàn)廣告設(shè)定的廣告。還有遠(yuǎn)程教育公司宣布,成功開發(fā)出新系統(tǒng),可根據(jù)學(xué)生實(shí)時(shí)表情及行為實(shí)時(shí)評估教學(xué)效果,并應(yīng)用于VR互動(dòng)教學(xué),打造新型沉溺體驗(yàn)。

面對這些新型個(gè)人信息和隱私保護(hù)難題,各國都在探索應(yīng)對之策,但看來短期內(nèi)也難有定論。在美國,已經(jīng)有參議員提議通過新的法案——商業(yè)面部識別隱私法,對技術(shù)公司的人臉識別技術(shù)使用進(jìn)行一定限制。在我國,今年兩會(huì)期間,全國人大常委會(huì)也已將個(gè)人信息保護(hù)法等與人工智能密切相關(guān)的立法項(xiàng)目列入本屆五年的立法規(guī)劃。2018年5月歐盟開始實(shí)施被稱為史上最嚴(yán)格的GDPR(《一般數(shù)據(jù)保護(hù)條例》),雖然有了向Facebook等巨頭連續(xù)開出天價(jià)罰單的戰(zhàn)績,但學(xué)者表示擔(dān)心,認(rèn)為如果不允許收集數(shù)據(jù),就類似于“想倒掉洗澡水,把寶寶也潑出去了”。還有學(xué)者直言,當(dāng)前對隱私問題的研究,有待于更充足的經(jīng)濟(jì)學(xué)、社會(huì)學(xué)層面的知識給予支撐和完善。

關(guān)鍵詞： APP隱私條款不明確