工信部對(duì)侵害用戶權(quán)益App的整治仍在繼續(xù)。
1月8日,工信部公布了第二批涉及侵害用戶個(gè)人信息的App名單,共有15個(gè)App上榜,其中不乏拉勾招聘、luckin coffee等App。工信部要求所提及App在1月17日前完成整改落實(shí)工作,逾期不整改將依法依規(guī)組織開展相關(guān)處置工作。
工信部表示,將以此次專項(xiàng)整治行動(dòng)為契機(jī),持續(xù)加強(qiáng)App監(jiān)督檢查,形成常態(tài)化監(jiān)管機(jī)制,切實(shí)維護(hù)用戶權(quán)益。
兩批次共有56個(gè)App涉及侵害用戶權(quán)益,雖然用戶對(duì)侵犯?jìng)€(gè)人信息的行為感知力度不如其他侵權(quán)行為明顯,但數(shù)據(jù)隱私危害不可小覷。
整改圍繞用戶個(gè)人信息展開
國內(nèi)關(guān)于App侵害用戶權(quán)益的整改開始于去年。隨后,工信部發(fā)布了《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》的通知,重點(diǎn)審查八類問題。
北京市盈科律師事務(wù)所高級(jí)合伙人王貝貝向第一財(cái)經(jīng)記者表示,本次監(jiān)管主要側(cè)重于用戶對(duì)于個(gè)人信息被收集、使用的知情權(quán)、同意權(quán);收集個(gè)人信息的內(nèi)容、范圍及方式;以及用戶個(gè)人信息的刪除注銷等方面。
根據(jù)第一財(cái)經(jīng)統(tǒng)計(jì),兩批次被點(diǎn)名的56個(gè)App中,有30個(gè)App出現(xiàn)私自收集個(gè)人信息的問題,22個(gè)App出現(xiàn)過度索取權(quán)限的問題,19個(gè)App出現(xiàn)私自共享給第三方的問題。
但網(wǎng)絡(luò)的隱私安全與便利性猶如硬幣兩面,并非每一位身在其中的用戶都能清醒認(rèn)識(shí)到這類侵權(quán)行為的危害。王貝貝則把侵犯用戶隱私的三大危害歸結(jié)如下:
首先,違規(guī)收集個(gè)人信息的行為嚴(yán)重侵犯了公民的隱私權(quán)。違規(guī)取得的個(gè)人信息可能被用于廣告推銷、個(gè)人信息分析、虛構(gòu)金融交易、利用他人身份設(shè)立金融賬戶或進(jìn)行信用貸款、個(gè)人信息販賣等嚴(yán)重?fù)p害公民權(quán)益的行為。
其次,此類行為可能造成個(gè)人身份證號(hào)碼、家庭住址、銀行賬戶等關(guān)鍵信息泄露,受到不明身份的第三方的騷擾;損害個(gè)人征信,影響個(gè)人進(jìn)行信用貸款或金融交易等經(jīng)濟(jì)活動(dòng);損害公民的財(cái)產(chǎn)安全。
最后,個(gè)人信息泄露可能影響個(gè)人家庭住宅安全,引發(fā)惡性刑事案件。
“App很可能不會(huì)主動(dòng)教育用戶,這要靠媒體對(duì)App的功能和‘坑’進(jìn)行科普,政府和司法作為裁判進(jìn)行定性,比如應(yīng)該關(guān)注什么,哪些說法有問題。普通用戶目前想象不到隱私泄露是多么可怕的一件事,商家和用戶解釋隱私的語言也不一樣?!睆氖乱苿?dòng)互聯(lián)網(wǎng)與社會(huì)學(xué)跨學(xué)科研究的復(fù)旦大學(xué)計(jì)算機(jī)科學(xué)技術(shù)學(xué)院副教授陳陽接受第一財(cái)經(jīng)采訪時(shí)說。
他表示,時(shí)代的問題需要跨學(xué)科解決,社交網(wǎng)絡(luò)使用體驗(yàn)與隱私保護(hù)同樣重要?!耙郧叭藗儗?duì)App的依賴不大,現(xiàn)在會(huì)一方面享受好處,另一方面在擔(dān)心。執(zhí)法部門需要關(guān)注和了解這些問題,至少能做的是提高App開發(fā)商侵犯隱私的成本?!?/p>
違規(guī)App整改進(jìn)行時(shí)
從第一批被點(diǎn)名App反應(yīng)看,App分為按要求整改和未按要求整改被下架處理兩類。
按要求整改的App屬于多數(shù)。為了統(tǒng)計(jì)日活月活數(shù)據(jù),“學(xué)霸君1對(duì)1”安卓App會(huì)在用戶啟動(dòng)時(shí)向第三方分析平臺(tái)友盟發(fā)送設(shè)備唯一識(shí)別碼,因此被認(rèn)為數(shù)據(jù)共享給第三方。相關(guān)負(fù)責(zé)人王海紅向第一財(cái)經(jīng)記者表示,事發(fā)后,學(xué)霸君已經(jīng)解除了和友盟的合作,并且不會(huì)再向第三方平臺(tái)提供相應(yīng)識(shí)別碼。
王貝貝提到,《網(wǎng)絡(luò)安全法》第四十二條規(guī)定網(wǎng)絡(luò)運(yùn)營者未經(jīng)被收集者同意,不得向他人提供個(gè)人信息,在經(jīng)營者委托第三方進(jìn)行統(tǒng)計(jì)和分析的同時(shí),第三方也相應(yīng)知道了用戶的詳細(xì)信息,這種未經(jīng)允許的行為同樣觸犯了法律法規(guī)。若APP確有需要委托第三方進(jìn)行數(shù)據(jù)分析的,應(yīng)當(dāng)按照《認(rèn)定辦法》第二項(xiàng)逐一列出被委托的第三方收集信息的目的、方式、用途等。
包括學(xué)霸君1對(duì)1在內(nèi),不少企業(yè)存在用戶數(shù)據(jù)分析的需求,友盟這類第三方數(shù)據(jù)統(tǒng)計(jì)分析平臺(tái)應(yīng)運(yùn)而生。不過,第三方平臺(tái)如何處理這些數(shù)據(jù)是關(guān)鍵,第一財(cái)經(jīng)記者就此聯(lián)系友盟,截至發(fā)稿未獲回復(fù)。
一位信息技術(shù)專家向第一財(cái)經(jīng)記者表示,第三方數(shù)據(jù)營銷公司通常會(huì)利用這些違法違規(guī)獲取的數(shù)據(jù)進(jìn)行“用戶畫像”,預(yù)判貸款、投資、保險(xiǎn)、教育乃至衣食住行各類需求,繼而針對(duì)特定人群進(jìn)行精準(zhǔn)營銷;抑或?qū)嵤╇娦啪W(wǎng)絡(luò)詐騙。
《司法大數(shù)據(jù)專題報(bào)告之網(wǎng)絡(luò)犯罪特點(diǎn)和趨勢(shì)》顯示,19.16%的網(wǎng)絡(luò)詐騙案件是獲取公民個(gè)人信息后有針對(duì)性的實(shí)施詐騙犯罪行為。
在第一批被通報(bào)的App中,人人視頻、春雨計(jì)步器和微唱三家企業(yè)因未按要求整改而被下架處理。
人人視頻向第一財(cái)經(jīng)記者表示,應(yīng)用內(nèi)存在部分早期技術(shù)問題未解決,導(dǎo)致本次應(yīng)用下架。人人視頻將按時(shí)完成整改,提供合法合規(guī)版本,確保用戶權(quán)益不受侵害。
灰色地帶更苦惱
對(duì)于個(gè)人數(shù)據(jù)隱私的保護(hù),歐盟的立法意識(shí)在國際上則是“先行者”。2018年由歐盟起草的GDPR(General Data Protection Regulation,通用數(shù)據(jù)保護(hù)條例)生效的9個(gè)月以來,來自31個(gè)歐洲經(jīng)濟(jì)區(qū)國家的監(jiān)管部門報(bào)告的案件總數(shù)為206326例,主要源于投訴、數(shù)據(jù)泄露通知以及其他類型。其中,大多數(shù)案件(94622例)是基于投訴,管理員的數(shù)據(jù)泄露有64684例。這些案件中有52%已經(jīng)結(jié)案,另外1%的案件仍值得商榷。
記者注意到,這20多萬起調(diào)查罰款總額達(dá)到5600萬歐元。其中谷歌因在法國違反GDPR在2019年1月被法國國家數(shù)據(jù)保護(hù)委員會(huì)處以5000萬歐元的巨額罰款(約5680萬美元)。法國監(jiān)管機(jī)構(gòu)國家信息與自由委員會(huì)(CNIL)表示,罰款是因?yàn)楣雀栉茨芟蛴脩籼峁┯嘘P(guān)其數(shù)據(jù)同意政策的足夠信息,也沒有向用戶提供對(duì)自己信息足夠的控制權(quán)。
和歐盟相比,我國對(duì)于個(gè)人數(shù)據(jù)隱私的保護(hù)還不夠成熟。目前,我國對(duì)于個(gè)人數(shù)據(jù)隱私和侵權(quán)等問題還存在“灰色地帶”。
一位上海用戶向第一財(cái)經(jīng)記者反映,在未被告知參與抽獎(jiǎng)會(huì)分享個(gè)人聯(lián)系方式給商家的情況下,參與某生活服務(wù)類App抽獎(jiǎng)后,收到了諸多推銷電話及短信。他向記者表達(dá)了隱私被泄露的憤怒以及和平臺(tái)溝通中對(duì)方對(duì)此的漠視和傲慢。
對(duì)此,第一財(cái)經(jīng)記者聯(lián)系了該平臺(tái),平臺(tái)方表示隱私政策中明確列舉了中獎(jiǎng)會(huì)向第三方共享信息用于發(fā)放獎(jiǎng)品,但此次活動(dòng)的頁面確實(shí)存在提示語言不明確的問題,且客服和社群沒有及時(shí)有效地處理用戶的問題。收到用戶反饋后,平臺(tái)已第一時(shí)間將該活動(dòng)下線,并將在活動(dòng)規(guī)則頁面進(jìn)一步優(yōu)化增強(qiáng)對(duì)用戶的告知。
令人遺憾的是,該App對(duì)為何會(huì)出現(xiàn)參與一次抽獎(jiǎng)卻接到多個(gè)商家電話推銷避而不談。不過針對(duì)這一案例,王貝貝認(rèn)為無法界定是否侵權(quán),因?yàn)閷⒂脩袈?lián)系方式推給商家是霸道用戶協(xié)議還是合理使用數(shù)據(jù)難以定性。
“我們現(xiàn)在發(fā)現(xiàn)公眾對(duì)這個(gè)事情意識(shí)很弱。他們自愿性讓渡了權(quán)利,但這是沒有辦法的辦法,因?yàn)橛脩糁纻€(gè)體形成不了影響力,為了要用平臺(tái)的服務(wù)只能夠讓渡。如果有更好的選擇,用戶當(dāng)然會(huì)選擇安全?!敝袊?jié)能皓信環(huán)境顧問集團(tuán)有限公司可持續(xù)發(fā)展部高級(jí)經(jīng)理、全球報(bào)告倡議組織(GRI)大中華區(qū)顧問袁圓告訴第一財(cái)經(jīng)。
針對(duì)這類灰色地帶,王貝貝認(rèn)為App主動(dòng)進(jìn)行改善顯得非常重要。對(duì)于用戶感知度方面,App需要完善提醒機(jī)制,在獲取相關(guān)信息時(shí)以較為明顯的方式,對(duì)公眾進(jìn)行告知提醒,對(duì)于重要信息的使用可以增強(qiáng)告知“強(qiáng)度”,(即獨(dú)立于隱私政策文本之外, 在用戶注冊(cè)賬號(hào)、安裝程序、首次使用時(shí)彈出告知界面),以突出相關(guān)政策的核心內(nèi)容。同時(shí)也要注意提醒的頻次和方式,允許用戶自主選擇相關(guān)權(quán)限的設(shè)置。
監(jiān)管的未來走向
除了提高用戶意識(shí),監(jiān)管需要更加到位,關(guān)鍵在于標(biāo)準(zhǔn)的制定。
袁圓提到可以參考行業(yè)龍頭企業(yè)的實(shí)際操作、其他地區(qū)的做法以及基層調(diào)查,并在可行性和執(zhí)行性上進(jìn)行分析,推出成熟的規(guī)則?!拔蚁M覀円灿兄袊姹镜腉DPR。通過大型的公眾調(diào)查或者讓公眾發(fā)聲,參與到這樣的熱點(diǎn)或者議題中。他們的反饋就變成了我們跟大型企業(yè)談判,以及跟主管部門談判的一個(gè)方面?!?/p>
律師認(rèn)為,不管是企業(yè)自查還是抽查方式,都需要建立一套嚴(yán)明的審查標(biāo)準(zhǔn),實(shí)現(xiàn)網(wǎng)絡(luò)隱私權(quán)監(jiān)管的系統(tǒng)化和機(jī)制化。
目前,《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》詳細(xì)列舉了八項(xiàng)侵犯用戶數(shù)據(jù)的行為,但還有必要進(jìn)一步細(xì)化合規(guī)紅線。
其次,應(yīng)當(dāng)讓合規(guī)標(biāo)準(zhǔn)真正切實(shí)落地,一方面對(duì)企業(yè)內(nèi)部來說,應(yīng)當(dāng)發(fā)揮企業(yè)法務(wù)部門的自查優(yōu)勢(shì),自行或聘請(qǐng)專業(yè)機(jī)構(gòu)根據(jù)監(jiān)管部門的核查方向開展自查自糾行動(dòng),讓企業(yè)法務(wù)部門就開發(fā)、使用等業(yè)務(wù)各個(gè)流程環(huán)節(jié)中實(shí)現(xiàn)對(duì)流程的控制和管理。
除此以外,技術(shù)應(yīng)用也十分重要。上述信息技術(shù)專家認(rèn)為,盡管眾多App開發(fā)者和運(yùn)營者都高度重視隱私合規(guī)問題,但始終面臨著檢測(cè)標(biāo)準(zhǔn)難對(duì)齊、成本難控制、維度不全面、結(jié)果不準(zhǔn)確的困境。而伴隨著App自身版本的頻繁迭代和終端系統(tǒng)層面復(fù)雜的權(quán)限結(jié)構(gòu),匹配監(jiān)管要求的核查與修正通常也無從下手。
對(duì)此,專家建議可以由大公司牽頭,同國家計(jì)算機(jī)病毒應(yīng)急處理中心(CVERC)等機(jī)構(gòu)聯(lián)合與監(jiān)管要求全面對(duì)齊,覆蓋App在產(chǎn)品設(shè)計(jì)、開發(fā)測(cè)試、上線前安全測(cè)試和產(chǎn)品上線后等各個(gè)階段不同的隱私權(quán)限合規(guī)檢測(cè)需求。