2018年7月11日 ( 正文字号: 小 中 大 ) 文章标签:法律热点 网络安全 [
导语 ]
“在互联网上,没人知道你是一条狗”在今天看来就是个笑话,别人不仅知道你是谁,甚至很有可能比你自己更了解你的喜好。很多人认为交易不当会对用户造成各种影响,包括但不限于隐私和安全等问题。不过办法总比困难多,只要我们努力划定边界,那么就能在两者之间找到平衡,而不是一禁了之。[
内容摘要 ]
很多人认为交易不当会对用户造成各种影响,包括但不限于隐私和安全等问题。不过办法总比困难多,只要我们努力划定边界,那么就能在两者之间找到平衡,而不是一禁了之。[
内容 ]

色拉布活点地图界面

图片 1

谁能想到,在美国兴起怒删Facebook账户的运动后,推特居然受到了影响。此前很多人还以为它还会是受益者,毕竟它在美国社交媒体中仅次于Facebook,老大落难,总该老二出头吧?

近期,线上社交平台色拉布推出新的地理定位分享服务“色拉布活点地图”:通过分享定位形成个人生活的活点地图,结合其他线上表现,好友可知道用户随时随地在哪里、干什么。有关视频发到脸书上后,引发舆论谴责。无独有偶,脸书因为被指控收集用户数据,最近在法国被重罚15万欧元。

作者 | 余英杰 周心畅

北京时间3月28日截至美股收盘,推特股价下挫12.03%,报收于28.07美元/股。直接的原因是知名做空机构香椽表示在做空推特,香椽周二发推文称:“香椽做空TWTR。近期目标25美元。他们最容易受到隐私监管的影响,就等参议院发现香椽发布的内容。”

当前,“互联网+”“大数据”已深度融入日常生活,线上社交和商业平台无限缩短了人与人之间的认知距离,放大了日常活动轨迹,在促进互联互通的同时也埋下“隐私泄露”的隐患。

来源 | 余律笔记

香椽在其报告中指出,推特在隐私监管上有特殊弱点——该公司对数据销售的依赖。其表示:“推特今年将通过销售用户数据创造4亿美元的收入,而不是广告。”而从推特的财报来看,确实也是如此。在2017年,广告收入从去年的22.5亿美元降至21.1亿美元,而数据许可收入从去年的2.82亿美元增长至3.33亿美元。

威胁无处不在

据国家网络安全通报中心12月4日发布信息,在2019年11月公安机关网安部门的“App违法采集个人信息集中整治”行动中,共下架整改100款违法违规App。在这些App中,不乏公众熟悉的平台,如“光大银行”“微店”“樊登读书”“考拉海购”等。

也正是如此,尽管在今年2月份推特发布了一份超过分析师预期的年度财报、且首度实现年度盈利后还是被香椽做空。原因就在于,目前监管机构可能会对数字交易实施最严格的监管。

“脸书本应是安全的空间,可现在‘外来因素’正在入侵。”一名19岁的用户对于“脸书再次陷入隐私风波”一事评论道。7月,《澳洲人报》披露出脸书通过监控线上表现来界定640万名澳大利亚和新西兰青少年的情感状态,然后提供给广告商,使其利用数据给那些情绪不稳定的用户精准推送广告。“听起来就像是脸书在给我们下精神疾病的诊断书,实在太可笑了。”这是网民个人隐私遭受网络消极因素的干扰而被迫“裸奔”的新例证。当前,互联网行业朝着运行更高速、覆盖更全面、延伸更遥远的方向发展,个人隐私安全面临着巨大威胁。

网安部门对上述App进行处罚的理由,主要包括“无隐私协议”、“收集使用个人信息范围描述不清”、“超范围采集个人信息”和“非必要采集个人信息”等。暂且不论这百款违规的App中,有多少是“有意为之”,多少是“无心之过”——作为一个“普通App”,要如何做才能平安运行,避免下架悲剧?

Facebook信息泄露可能是一个导火索,但公众对个人信息泄露的担忧却是由来已久。越来越多的人倾向于认为,在网络社会中,由于商家获得个人信息已经非常方便,因此有必要对个人信息的采集和使用等实施更为严格的管制,只有这样才能保护用户的利益。真的是如此吗?我们可能需要对网络社会中的隐私或者说个人信息制度做一个反思。

首先是“大数据”因素。随着互联网服务分层细化、跨平台授权,“一个平台一个账号”的情况正在改变。苹果手机拍的生活照,微博主页上关注的用户分组,“淘宝”收藏夹和购物车里存放的商品链接……这些带有“个人特征”的信息碎片正汇聚成细致全面的大数据信息集,可以轻而易举地构建网民个体画像。同时,各种存储信息平台风险凸显。近日,美国联邦调查局披露了一些具有麦克风、摄像头等功能的联网玩具,通过与儿童对话,把儿童姓名、学校、好恶等信息保存在生产厂家的云端存储平台上,让儿童隐私一览无遗。

在我国现行关于个人信息的立法体系中,以公法为主,偏重管理个人信息控制者的行为,《网络安全法》就是最典型的表现。因此,在这个立法框架下,App运营者想要安稳度日,首先应当检视自己的App是否满足了该法的要求,否则随时有被抽中处罚的风险。

1993年,漫画家彼得·施泰纳在《纽约客》发表了一幅漫画及流传至今的名言:“在互联网上,没人知道你是一条狗”。在后来相当长一段时间内,时不时有人以这句话来调侃网络社会中的各种角色,现在回过头来看,当时之所以对确定个人信息有着诸多疑难,很重要的一个原因是当时技术不发达,现在主流的搜索引擎在当时并未问世。尽管互联网上已经产生了一些信息,但由于没有合适的工具,绝大多数人都找不到自己想要的内容,在浏览网页的网友当然也就不知道是谁提供了这个信息。要知道雅虎是在1994年才诞生,而谷歌域名更是直到1997年才注册。

其次是“客户端”因素。从个体微观看,360奇虎科技的数据分析显示,手机是个人信息重要的泄密端口。近几年,手机客户端后台不合理收集和使用用户个人信息、侵犯隐私权的现象频出,例如,有的电商网站、快递公司等企业内鬼倒卖客户信息,还有钓鱼软件和病毒软件等恶意程序窃取个人隐私。

结合近期事件,以及《网络安全法》的规定,我们看看App运营者可以提前做哪些工作,避免触及监管红线。

但是后来随着网民人数增加,网络搜索技术的增强,尤其是互联网被广泛应用于商业活动,“在互联网上,没人知道你是一条狗”在今天看来就是一个笑话了:别人不仅知道你是谁,甚至很有可能比你自己更了解你的喜好。你在很多网站购物时,是不是曾遇到它推荐给你的产品正是你当时想买的?或者是你没想到但是比你自己想得更为周全?商家之所以能够比你想得更为周全,很重要的一个原因是它通过各种手段获知了你在互联网上的各种轨迹,因此能够给你提供各种周到的服务。而在1993年的时候,我们几乎无法在互联网上获得商业服务,更无法想像它有朝一日会和我们的生活如此紧密地联系在一起。

安全漏洞太多

《隐私协议》必不可少

从这个角度看,我们今天之所以能够在互联网上获得这么便利的服务,很大程度上是个人向平台———主要是各大互联网公司让渡了部分用户信息或者个人隐私,从而平台可以借助用户提供的信息向用户提供更为便捷的服务。

当前,网上“留痕”的个人信息采集模式无处不在,个人隐私被泄露、被滥用已成为无法回避的事实。缘何如此?

《网络安全法》第四十一条第一款:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”而App运营者为满足上述要求,最直接的就是与用户签署《隐私协议》或公布App的《隐私政策》。

事实上,我们在互联网上的很多信息如果在线下就是我们的隐私———比如说,你并不想让别人知道你经常光顾哪家餐厅、点了什么菜、花了多少钱,但是在互联网上的你却会将这些信息公开出来,而公开的原因并不是为了炫耀,而是为了让评价更有公信力,为了更加便利别人的消费。当然,你也会从他人的信息中受益,比如你一定不想去那些经常被差评的商家。

根本原因是在互联网大数据环境下,数据开发的利益驱使不法之徒肆无忌惮地收集和使用个人信息。“围绕个人信息的产业链包括获取、存储、贩卖、使用等一系列环节,但其最终诉求是商业推销和金融诈骗。”上海市人大代表钱翊樑指出。

通过《隐私协议》或《隐私政策》,App运营者一方面能够“公开”“明示”自己的个人信息收集范围、使用方式等,另一方面也通过该过程向用户请求收集信息的授权,获得用户的同意。

这种现象在移动互联网时代表现得更为明显。如果说PC机时代的互联网服务只是通过用户在互联网上留下的痕迹来画像,而移动互联网时代我们则是将很多信息开放给了服务商,包括但不限于通讯录和地理位置等,然后服务商会根据你现在所处的位置给你推送相关服务。

同时,互联网企业对用户信息隐私疏于保护。近日,《南方都市报》与中国政法大学传播法研究中心联合发布了1000家常用网站、手机应用的用户信息保护政策透明度排名。在参与测评的1000家平台中,超过50%的平台评分为“低”级别,其中,有157家平台不提供隐私保护政策;这些平台按照行业划分,社交交友类平台测评平均得分领先,旅游交通类垫底。

在《隐私协议》中,App运营者至少需要向用户告知如下信息:
“我们收集您的什么信息”, “我们如何使用您的信息”,
“我们如何委托处理、共享、转让、公开披露您的信息”。

用让渡一词,意味着平台和用户的法律地位是平等的。交易要达成,两个主体之间就会设定权利义务关系,类似的权利义务关系往往会以用户协议的方式存在。由于商家要和海量用户打交道,一对一地商议合同条款既不可能也无必要,因而此类用户协议往往是由商家制定的格式条款。而绝大多数用户对格式条款往往表示同意,甚至不会认真看条款内容。既然用户协议由商家制定,合同条款中必然会存在一些偏向于商家利益的部分。

此外,个人隐私保护呈现弱势还与网民的“隐私风险安全意识”较低有关。一个生日密码应用于所有账号、见到无线网络就连接、受优惠和促销诱惑不断授权给新的网络程序来读取个人信息等现象十分常见。

除上述以外,运营者还需要在《隐私协议》中介绍运营者基本情况,包括主体信息、联系方式;告知用户权利和实现机制,如用户信息查询方法、更正方法、删除方法等。当隐私政策发生变化后,运营者还需要及时通知用户等。

于是,我们就遇到了这样的问题,用户在网络上留下的信息归谁?谁可以使用?我们不妨先来看看法律的规定。《网络安全法》确定了网络运营者使用用户信息的一个基本原则,即第四十一条:“应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”同时第四十二条还规定,如果“未经被收集者同意,不得向他人提供个人信息”,这就在根本上明确了用户信息的使用范围,避免了用户信息被网络运营者用于其不愿意使用的领域。

“止泄”刻不容缓

避免概括授权、强迫授权

由此可见,《网络安全法》确定了用户信息采集和使用的原则,那就是合法、正当和必要。不过,如果要大力发展数字经济,仅仅这样做还不够,同时还应该鼓励合法交易。现代社会很多机构耗费巨资收集了很多个人信息,但是绝大多数信息都没有发挥应有的作用,这既是机构的损失,也是用户个人福利的受损。因此,还应该考虑在保护好具体个人的信息以外,同时通过多种渠道促进各种信息的交易——只有更多的交易发生,包括用户和机构在内的参与者才能从中受益。

“网络安全和信息化是一体之两翼、驱动之双轮。”保护公民的个人隐私既是信息化建设的基本要求,也是网络安全维护的重头戏,对经济社会发展有重要意义。要打赢“个人隐私保卫战”,需要多方用力、立体防护;从法律上给予原则保障,在行业内追求自律,在理念上提高网民安全意识。

如前所述,运营者需要在《隐私政策》中向用户明示个人信息收集范围,而不能用模棱两可的说辞向用户索要概括授权。例如,隐私政策常用的“相关信息”。

说起来,这个道理也不难理解。我们设想一下,如果一个不能交易的财产那又有什么价值呢?最简单的例子就是中国的城乡二元的土地制度,城市里国有土地的使用权可以转让,因此在城市里拥有房产的居民收获了城市化的红利;而农村的集体用地由于不能在集体经济组织之外流转,因此价值大受影响。

近年来,国家积极开展网络安全方面的顶层设计,从法律法规上为个人隐私“保驾护航”。今年6月1日起,《网络安全法》正式实施;“两高”联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》也同时正式生效。其中,《网络安全法》明确网络信息安全的责任主体,确立了“谁收集,谁负责”的基本原则,进一步细化了保护个人信息的规定:网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。“两高司法解释”则进一步明晰了公民个人信息的划定范围、非法提供标准以及侵犯、出售公民个人信息如何定罪量刑等问题。专家指出,要让法规落地,必须重点打击推销和诈骗行为。遏制了这些不法行为,依附于其上的信息窃取与贩卖会自然消亡。

“相关信息”既可能指位置信息,也可能指身份信息,还可能指财产信息。因此,包含“相关”等指向不明词汇的条款,就有很大可能被认为是“概括授权”。

当然,很多人认为交易不当会对用户造成各种影响,包括但不限于隐私和安全等问题。不过在我看来,办法总比困难多,只要我们努力划定边界,那么就能在两者之间找到平衡,而不是一禁了之。

不仅如此,针对互联网监管盲区,要建立第三方监督检查机制,或通过互联网行业组织进行行业自律。

如果我们允许这样的表述存在,《隐私政策》就相当于失去意义——用户仍不知道自己所下载的App究竟在后台偷偷收集了什么。

作者:傅蔚冈,上海金融与法律研究员执行院长

而对于互联网用户而言,则应主动学习网络安全基本知识,提高隐私泄露防范意识,改变不良的上网习惯,这是保护个人隐私的切实之策。例如,可以对个人信息作匿名化处置,谨慎使用指纹、声音、虹膜等生物识别方式。

更恰当的表述,是告知用户收集信息的范围,即具体至前述的个人身份信息、个人教育工作信息、个人上网记录、个人财产信息等。如涉及多项业务,且收集信息有区分的,最好再根据不同的业务向用户告知不同的信息收集范围。

稿件来源:北大法律信息网

(责任编辑:王擎宇)

此外,除了明确信息收集范围、保障用户知情权外,正当、必要的信息收集还有另一层要求:不能强迫用户进行授权。此处的强迫,不是指简单粗暴的直接强迫,而是一系列以其他形式表现出的、间接的、“消极”的强迫。如,“注册即视为同意所有隐私政策”,或“使用我方服务即视为同意隐私政策”,乃至“使用我方A服务即同意ABCD四项服务的所有隐私政策”。

责任编辑:李萌 助理编辑:贺舒宇

如果说前述“模棱两可”的表述从用户知情权角度削弱了用户“明示同意”的可信度,强迫性的表述就从选择权角度削弱了可信度。

发表评论

搜集要克制,不能“全都要”

在个人信息收集的风险防范中,除了上文提及的《网络安全法》第四十一条第一款,第四十一条的第二款同样重要:“网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”
该款为运营者在个人信息收集、使用、保存等全过程勾勒出一条清晰的红线,结合《网络安全法》第六十四条,将法律责任安排得明明白白。

在网络安全法中存在个人信息保护的“最小必要原则”,即在用户授权下,只收集、储存符合App目的的最少个人信息类型和数量,并且在目的达成后及时删除个人信息。其中,所谓的“符合App目的”,是要求收集的个人信息的类型应与实现产品或服务的业务功能有直接关联。换言之,如果没有上述个人信息的参与,目的就无法实现。只有存在直接关联,App运营者才有足够正当的理由要求用户提供个人信息,或记录用户相关的信息。同时,在App储存个人信息时,也要注意必要的时间限度——这主要考虑到信息安全的问题。对于超出储存时间限度的个人信息,运营者要及时进行匿名化处理。否则,超时储存的信息不仅会增加安全隐患,更会为运营者自身添加不必要的负担。

此外,最小必要原则还要求“自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率”。例如,社交类App在用户发动态时,可能需要自动采集用户地理位置信息以显示所在地;但如果该App不仅在用户需要显示位置时自动采集地理信息,还在后台运行过程中采集相关信息——相当于是在记录用户行动轨迹——这显然有违最小必要原则。

最后,最小必要原则要求的第三点,是“间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量”。上文对间接获取个人信息已有提及,就是指从关联方、合作方处获得用户在其他平台留下的信息。在最小必要原则的语境下,间接获取个人信息应当以满足App目的为前提,而不得随意、大量地间接收集该用户的其他信息。否则,暂且不论该种间接收集行为是否合法或是否能合法,多平台无条件共享用户信息与一平台超范围采集用户信息又有何异?

谨慎“共享”用户数据,防范刑事风险

《网络安全法》对于运营者行为的诸多限制,并不是担心运营者借此获取超额利润,而仍然是出于对用户个人信息保护的法益考量。

我国目前对个人信息强保护的态度,即以运营者不得向他人提供个人信息为原则,以用户同意为例外——根据《网络安全法》第四十二条第一款:“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”

而事实上,各个业务部门之间或与关联公司之间进行用户数据“共享”的行为更为常见、普遍,因为这样做更符合商业逻辑。现行立法也以“被收集者同意”作为一个豁口,允许公司在用户授权下实现这种操作。

但实践中的不合规行为显然不仅是没有授权那么简单。依据《网络安全法》第四十四条:“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。”同时,依据《网络安全法》第六十四条第二款:“违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。”至于“构成犯罪的”,就要在《刑法》里面寻找法律后果了。

一般而言,涉及个人信息犯罪的罪名主要是侵犯公民个人信息罪。根据情节的不同,也有可能构成非法获取计算机信息系统数据、非法控制计算机信息系统数据罪或帮助信息网络犯罪活动罪。而在侵犯的是“公民个人信息”的前提下,网络运营者有以下三个行为属于“高危”行为,继而可能面临刑事风险:一,向他人出售公民个人信息的;二,收集行为合法,但未经被收集者同意,将合法收集的公民个人信息向他人提供的;三,收集行为不合法,包括窃取,或以购买、收受、交换等方式非法获取公民个人信息,以及在合法服务过程中无授权收集公民个人信息的。

综上,在信息监管趋严的当下,App运营者在个人信息的收集、储存和传输中,需要格外注意数据安全问题。运营者对用户的个人信息保护,不仅是尊重用户的态度,更是自我保护的底线。

文中观点系作者自身观点,不代表消金界平台观点。

喜欢文章,不妨将“消金界”设为星标:

发表评论

电子邮件地址不会被公开。 必填项已用*标注

相关文章