進(jìn)入“無(wú)人區(qū)” 大數(shù)據(jù)法治要?jiǎng)?chuàng)“中國(guó)規(guī)則”
2018年的頭幾天,由個(gè)人隱私信息而起的數(shù)據(jù)安全問(wèn)題,成為輿論焦點(diǎn)。
在朋友圈刷屏的“支付寶年度賬單”被質(zhì)疑默認(rèn)用戶同意《芝麻服務(wù)協(xié)議》,涉嫌誘導(dǎo)用戶同意讓渡個(gè)人數(shù)據(jù)權(quán)利。很快地,芝麻信用方面給出了語(yǔ)氣誠(chéng)懇的道歉,自稱“方法愚蠢至極”,其兄弟公司支付寶也表示,要“一起承擔(dān)”責(zé)任。
隨著中國(guó)數(shù)字經(jīng)濟(jì)蓬勃發(fā)展,數(shù)據(jù)的價(jià)值也日益凸顯,但個(gè)人信息保護(hù)與數(shù)據(jù)利用之間的矛盾始終是個(gè)難題。實(shí)際上,這次事件也是當(dāng)前個(gè)人數(shù)據(jù)安全領(lǐng)域所面臨挑戰(zhàn)的一個(gè)縮影:個(gè)人用戶在網(wǎng)絡(luò)平臺(tái)上產(chǎn)生、使用的很多數(shù)據(jù)具有商業(yè)價(jià)值,往往會(huì)被網(wǎng)絡(luò)平臺(tái)經(jīng)營(yíng)者所收集、存儲(chǔ),甚至分析、流通,而個(gè)人用戶卻常常處于不知情的被動(dòng)狀態(tài),保護(hù)措施則總是遲了一步。
剛剛過(guò)去的2017年下半年,多個(gè)監(jiān)管部門(mén)聯(lián)合開(kāi)展隱私條款專項(xiàng)工作之后,微信、微博、支付寶、京東等網(wǎng)絡(luò)平臺(tái)紛紛更新了用戶隱私協(xié)議,監(jiān)管部門(mén)和企業(yè)單位對(duì)用戶隱私的保護(hù)正在強(qiáng)化。
發(fā)生在2018年頭幾天的這次事件既像是對(duì)過(guò)往類似事件的回顧,也像是對(duì)今后大數(shù)據(jù)時(shí)代個(gè)人生活的預(yù)測(cè):面對(duì)個(gè)人信息保護(hù)與大數(shù)據(jù)流通利用之間的矛盾,我們真的做好準(zhǔn)備了嗎?
知情同意是原則 但常被漠視
像以前一樣,元旦假期支付寶為每個(gè)用戶在2017年的消費(fèi)制作了一份漂亮的賬單,還生成了“2018關(guān)鍵詞”,這份賬單也迅速刷屏朋友圈。
但此后有用戶質(zhì)疑,查看“支付寶年度賬單”時(shí)疑似“被同意”了《芝麻服務(wù)協(xié)議》,且該協(xié)議的同意授權(quán)字體偏小、顏色不明顯。岳成律師事務(wù)所合伙人岳山發(fā)微博稱,該賬單的查看其實(shí)和《芝麻服務(wù)協(xié)議》沒(méi)有關(guān)聯(lián)性,所以用戶選擇“取消同意”,依然能夠看到年度賬單。但如果用戶沒(méi)注意到,就會(huì)直接同意這個(gè)協(xié)議,允許支付寶收集用戶的信息,包括在第三方保存的信息。
此后,“支付寶年度賬單”引發(fā)了網(wǎng)絡(luò)上的口誅筆伐。
華東政法大學(xué)數(shù)據(jù)法律研究中心主任高富平教授告訴中國(guó)青年報(bào)·中青在線記者,該事件最主要的問(wèn)題是沒(méi)有以顯著方式提示用戶,瀏覽該年度賬單意味著同意芝麻信用的服務(wù)協(xié)議,以較為隱蔽方式且默認(rèn)勾選,使用戶在不知情的情況下作出選擇,違反了個(gè)人信息收集的知情同意原則。
對(duì)于包括個(gè)人信息在內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)收集和使用,我國(guó)法律最基本的原則是“合法、正當(dāng)、必要”,知情同意、“不得收集與其提供的服務(wù)無(wú)關(guān)的個(gè)人信息”也是其中的重要要求。
事實(shí)上,中國(guó)消費(fèi)者在享受便利的網(wǎng)絡(luò)服務(wù)的同時(shí),也經(jīng)常面臨著個(gè)人數(shù)據(jù)權(quán)利“被同意”、被漠視的現(xiàn)實(shí)威脅。中國(guó)人民大學(xué)未來(lái)法治研究院等發(fā)布的《2017個(gè)人信息保護(hù)年度報(bào)告》(以下簡(jiǎn)稱《報(bào)告》)對(duì)1500多個(gè)App與網(wǎng)站的隱私政策進(jìn)行過(guò)測(cè)評(píng),結(jié)果顯示,參評(píng)平臺(tái)普遍存在用戶權(quán)利條款缺失、文本雷同、更新緩慢、暗藏格式條款等通病。此外,應(yīng)用商過(guò)度要求用戶授權(quán),在未對(duì)用戶進(jìn)行明示的情況下,大量獲取用戶個(gè)人信息現(xiàn)象十分嚴(yán)重,手機(jī)錄音、通話記錄、短信等關(guān)系個(gè)人隱私的部分經(jīng)常被越權(quán)讀取。
《報(bào)告》在6個(gè)安卓應(yīng)用市場(chǎng)以關(guān)鍵詞排名前后順序,選取了50款“王者榮耀”周邊應(yīng)用作為研究樣本,結(jié)果發(fā)現(xiàn),50個(gè)App覆蓋了28個(gè)隱私相關(guān)權(quán)限,其中有23個(gè)App的權(quán)限“越界”。
而用戶若想具體知道一款A(yù)pp獲取了哪些權(quán)限則十分困難。比如,某App在簡(jiǎn)介中稱只會(huì)讀取用戶6項(xiàng)權(quán)限,但安裝時(shí)彈出的提示則列出了20項(xiàng)權(quán)限,技術(shù)檢測(cè)發(fā)現(xiàn),其App安裝包中又至少向安卓系統(tǒng)申請(qǐng)了21項(xiàng)權(quán)限的許可。
雙刃劍:數(shù)據(jù)安全與流通之間的矛盾
雖然“知情同意”被視為網(wǎng)絡(luò)數(shù)據(jù)安全的基本原則之一,但在實(shí)際商業(yè)應(yīng)用中,這一權(quán)利經(jīng)常被網(wǎng)絡(luò)平臺(tái)經(jīng)營(yíng)者濫用。用戶點(diǎn)擊同意服務(wù)協(xié)議后,往往并不知道涉及個(gè)人信息的數(shù)據(jù)有可能被分享和流通給哪些第三方機(jī)構(gòu)。流通出去的數(shù)據(jù)將被如何利用、有沒(méi)有使用年限、如何終止數(shù)據(jù)使用授權(quán)等細(xì)節(jié)問(wèn)題,往往也沒(méi)有確切答案。
芝麻信用的《芝麻服務(wù)協(xié)議》中寫(xiě)到,其可以直接向第三方提供用戶信息,且在用戶與第三方的業(yè)務(wù)關(guān)系尚未終結(jié)的情況下,用戶無(wú)權(quán)撤銷第三方的信息查詢授權(quán)。在當(dāng)前的大數(shù)據(jù)產(chǎn)業(yè)中,“一次授權(quán)等于終身授權(quán)”早已是一種普遍做法,由此引發(fā)的網(wǎng)絡(luò)平臺(tái)之間的數(shù)據(jù)分享、流通如何才能合理合規(guī)的爭(zhēng)議屢見(jiàn)報(bào)端。
根據(jù)現(xiàn)行法律,網(wǎng)絡(luò)平臺(tái)經(jīng)營(yíng)者向第三方提供平臺(tái)用戶的數(shù)據(jù),主要有兩種合法途徑:一是用戶的同意,二是個(gè)人信息“經(jīng)過(guò)處理無(wú)法識(shí)別特定個(gè)人且不能復(fù)原”的情形下。
但這兩個(gè)合法途徑有許多解釋空間!袄,用戶最初的概括式同意算不算數(shù)?什么是‘無(wú)法識(shí)別’‘不能復(fù)原’?這些并不清晰!睋(jù)高富平介紹,當(dāng)前何謂“合法向第三方提供數(shù)據(jù)”并沒(méi)有明確的法律規(guī)定,沒(méi)有明確的規(guī)則指引擁有數(shù)據(jù)的人向他人合法提供數(shù)據(jù)。
芝麻信用《芝麻服務(wù)協(xié)議》要求用戶同意在服務(wù)終止后,芝麻信用仍可繼續(xù)保留和使用雙方服務(wù)期間形成的信息和數(shù)據(jù),但芝麻信用不會(huì)再主動(dòng)收集用戶的任何信息。
用戶終止使用網(wǎng)絡(luò)平臺(tái)的服務(wù)后,數(shù)據(jù)該繼續(xù)保留和利用,還是刪除?上述《報(bào)告》指出,在網(wǎng)絡(luò)創(chuàng)業(yè)風(fēng)潮中衰亡的企業(yè),遺留了大量的用戶數(shù)據(jù),對(duì)這些用戶數(shù)據(jù)該如何處理,目前行業(yè)還沒(méi)有達(dá)成共識(shí),政府的監(jiān)管也仍然處于模糊地帶。如果這些數(shù)據(jù)被濫用,不亞于一顆潛藏的“定時(shí)炸彈”。
從征信業(yè)的監(jiān)管要求來(lái)看,繼續(xù)保留是合規(guī)的,但也有特定條件!墩餍艠I(yè)管理?xiàng)l例》第十六條規(guī)定:征信機(jī)構(gòu)對(duì)個(gè)人不良信息的保存期限,自不良行為或者事件終止之日起為5年;超過(guò)5年的,應(yīng)當(dāng)予以刪除。
觀韜中茂(上海)律師事務(wù)所合伙人、律師王渝偉表示,在除征信業(yè)以外的大多數(shù)行業(yè),用戶終止使用網(wǎng)絡(luò)服務(wù)后,平臺(tái)都應(yīng)該及時(shí)刪除數(shù)據(jù),但在現(xiàn)實(shí)情況中,這一要求往往難以落實(shí)。網(wǎng)絡(luò)平臺(tái)到底有沒(méi)有數(shù)據(jù)備份和恢復(fù)?外界有沒(méi)有足夠的能力和人員去監(jiān)督?這些問(wèn)題并沒(méi)有確切答案。
法治要跟上大數(shù)據(jù)的腳步
王渝偉認(rèn)為,造成“有規(guī)定但難落實(shí)”情況的主要原因還在于,大數(shù)據(jù)產(chǎn)業(yè)出現(xiàn)的種種新問(wèn)題,相應(yīng)的法律規(guī)定總是難以跟上,諸如服務(wù)終止后數(shù)據(jù)是否應(yīng)刪除這類細(xì)節(jié)問(wèn)題并沒(méi)有相應(yīng)的規(guī)定,而且執(zhí)法機(jī)構(gòu)也不見(jiàn)得具備相應(yīng)的執(zhí)法和審查能力。
在高富平看來(lái),如何獲取個(gè)人數(shù)據(jù)和信息一直是困擾包括芝麻信用在內(nèi)的許多公司的難題!霸撌录f(shuō)明,規(guī)范個(gè)人數(shù)據(jù)流通行為,為個(gè)人數(shù)據(jù)流通使用提供清晰的規(guī)則已迫在眉睫了!
事實(shí)上,中國(guó)在數(shù)據(jù)流通利用與個(gè)人信息保護(hù)之間已有了制度安排。2017年6月1日,《網(wǎng)絡(luò)安全法》和最高人民法院、最高人民檢察院發(fā)布的司法解釋同日實(shí)施,首次對(duì)侵犯公民個(gè)人信息的行為和適用法律進(jìn)行了進(jìn)一步的明晰,對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者的網(wǎng)絡(luò)安全管理義務(wù)做了詳細(xì)規(guī)定,同時(shí)也設(shè)立了個(gè)人信息和重要數(shù)據(jù)本地化存儲(chǔ)和跨境傳輸安全評(píng)估制度。
但在業(yè)內(nèi)看來(lái),目前的制度安排仍有不足。在具體實(shí)踐中,許多平臺(tái)的違規(guī)行為不易判斷、缺乏證據(jù),個(gè)人用戶很難維權(quán),因此公益訴訟成了當(dāng)前為數(shù)不多的應(yīng)對(duì)辦法。
2017年12月11日,江蘇省消費(fèi)者權(quán)益保護(hù)委員會(huì)對(duì)北京百度網(wǎng)訊科技有限公司涉嫌違法獲取消費(fèi)者個(gè)人信息及相關(guān)問(wèn)題提起消費(fèi)民事公益訴訟。2018年1月2日,南京市中級(jí)人民法院立案。
此前,江蘇省消保委對(duì)27家手機(jī)App開(kāi)發(fā)企業(yè)的調(diào)查發(fā)現(xiàn),普遍存在侵犯消費(fèi)者個(gè)人信息安全的問(wèn)題,并向其發(fā)送約談函,百度也在被約談之列。約談后,江蘇省消保委認(rèn)為“手機(jī)百度”“百度瀏覽器”兩款手機(jī)App中“監(jiān)聽(tīng)電話”“讀取短彩信”“讀取聯(lián)系人”等涉及消費(fèi)者個(gè)人信息安全的相關(guān)權(quán)限拒不整改,因而,其向百度提起公益訴訟。
制度安排的不健全是維權(quán)難的原因之一。北京師范大學(xué)法學(xué)院教授劉德良認(rèn)為,當(dāng)前關(guān)于數(shù)據(jù)法治的制度安排太過(guò)重視事前的授權(quán)同意,對(duì)事中事后的監(jiān)督不夠重視。
“如果商家收集、交易的個(gè)人數(shù)據(jù)不能識(shí)別用戶個(gè)人隱私信息,這其實(shí)是可以允許的,否則法律應(yīng)該打擊,事后的處理其實(shí)更急迫!眲⒌铝冀ㄗh,關(guān)于數(shù)據(jù)合規(guī)流通和個(gè)人信息保護(hù)的制度安排應(yīng)該轉(zhuǎn)變思路,在事后的個(gè)人信息違法濫用上發(fā)力!半娫捥(hào)碼、銀行賬號(hào)被泄露出去其實(shí)不要緊,要緊的是不能被濫用,對(duì)個(gè)人形成騷擾!
重慶大學(xué)國(guó)家網(wǎng)絡(luò)空間安全與大數(shù)據(jù)法治戰(zhàn)略研究院院長(zhǎng)齊愛(ài)民表示,在個(gè)人信息保護(hù)方面,定罪量刑中“個(gè)人信息的數(shù)量”如何界定是司法實(shí)務(wù)界面臨的難題;在數(shù)據(jù)合規(guī)流通方面,關(guān)于個(gè)人信息保護(hù)的法律規(guī)范雖然很多,但還存在效力層級(jí)低、分散保護(hù)等問(wèn)題。
我國(guó)的數(shù)據(jù)法規(guī)制度學(xué)習(xí)的是歐盟模式,強(qiáng)調(diào)保護(hù)個(gè)人信息,但這類模式也存在一定爭(zhēng)議。劉德良認(rèn)為,這種立法和理論模式將個(gè)人信息、個(gè)人隱私和個(gè)人數(shù)據(jù)的概念混同,看似很注重保護(hù)用戶利益,但由于缺乏可操作性而在客觀上不利于用戶利益,也不利于大數(shù)據(jù)產(chǎn)業(yè)的發(fā)展。
作為長(zhǎng)期關(guān)注大數(shù)據(jù)行業(yè)的律師,王渝偉注意到,近年來(lái)數(shù)據(jù)流通和個(gè)人信息保護(hù)之間的沖突案例越來(lái)越多,而其中有很多是歐盟模式或美國(guó)模式所難以涵蓋的。在他看來(lái),我國(guó)大數(shù)據(jù)領(lǐng)域的法規(guī)建設(shè)和技術(shù)開(kāi)發(fā)一樣,一定程度上都進(jìn)入了“無(wú)人區(qū)”,“很多問(wèn)題不見(jiàn)得國(guó)外就有很好的借鑒案例,還需要我們自己探索”。
高富平也表示,國(guó)際社會(huì)有關(guān)個(gè)人信息保護(hù)的規(guī)則大致形成于30年前的前互聯(lián)網(wǎng)時(shí)代,當(dāng)時(shí)大數(shù)據(jù)尚未流行。而在個(gè)人數(shù)據(jù)的使用場(chǎng)景、使用方式均發(fā)現(xiàn)巨大變化的今天,制度安排需要改變。“我們不需要移植過(guò)時(shí)的保護(hù)規(guī)則,而是需要適應(yīng)大數(shù)據(jù)時(shí)代的特點(diǎn)和社會(huì)需要,創(chuàng)制中國(guó)的規(guī)則。”見(jiàn)習(xí)記者 王林