信息化觀察網

雖然社會各界對個人信息保護的呼聲日益強烈，許多企業(yè)仍沒有完全做好準備。

幾天前，“中國特供版Adobe Flash Player”被發(fā)現(xiàn)在用戶協(xié)議中存在“允許該程序收集用戶的上網信息”、“允許向第三方披露”及“免于被追究責任”等條款。隨后，Adobe公司及其發(fā)行合作伙伴重橙網絡均未做出正面回應，卻悄悄更改了《Helper Service 服務協(xié)議》的內容，將之前的“收集用戶的上網信息”改成了“記錄用戶如何使用本程序的信息和用戶使用本程序的相關數(shù)據”，同時還去掉了將信息披露給第三方等內容。

上周，有用戶反映，在使用微信等社交平臺賬號授權登陸大眾點評后，大眾點評會將用戶在酒店、餐廳的各類“行蹤”分享給社交平臺好友，且難以取消。隨后，大眾點評方面回應稱將整改和升級產品，相關產品功能從7月10日起上線生效。

而在剛剛過去的6月，此類事件也發(fā)生了不少。出行類App航旅縱橫上線的一項“虛擬客艙”功能，在用戶未主動開啟功能的情況下，將含有乘客飛行地點、頻率和其他隱私信息的個人主頁，向同機其他用戶開放，彼此間還能私聊和打標簽。

我們的個人信息就這樣被互聯(lián)網公司搜集和使用，而大部分用戶對此毫無“還手之力”，甚至根本不知情。這引起了大家的討論:為什么許多企業(yè)在個人信息保護中并沒有做好準備？在科技高速發(fā)展的未來，個人信息安全該如何保障？

7月12日，在2018中國互聯(lián)網大會個人信息保護論壇上，這些問題也成為了專家學者、相關企業(yè)負責人共同關注的焦點。

“防護墻”不結實，“越界”很容易

如果說個人信息是一座有商業(yè)價值的富礦，那么相關法律就是相應的“防護墻”，甄別并防護不合理的商業(yè)開發(fā)。但是，目前這堵墻在中國還有不明晰、不完善的地方。

北京師范大學法學院院長盧建平表示，我國現(xiàn)有法律對“個人信息”的界定和表述還有待統(tǒng)一。他介紹，目前我國在個人信息保護方面，走的是一條逆常規(guī)的“刑法優(yōu)先”，解決“燃眉之急”的路徑。與此同時，《個人信息保護法》猶抱琵琶半遮面，尚未出臺。這意味著目前用于保護用戶個人信息的“防護墻”，尚沒有壓實，還很松散。

“防護墻”不結實，企業(yè)就很容易越界。騰訊社會研究中心聯(lián)合互聯(lián)網數(shù)據中心發(fā)布的《2017年度網絡隱私安全及網絡欺詐行為研究分析報告》指出，2017年下半年，安卓系統(tǒng)手機的App中有98.5%都在獲取用戶隱私權限，比上半年增長2%。而獲取用戶手機隱私權限的iOS應用在2017年下半年比例有所上升，達到81.9%，較上半年提高了12.6%。雖然絕大多數(shù)軟件獲取用戶隱私是出于用戶正常使用產品的目的。但報告也指出，有9%的安卓App在2017下半年存在越界獲取用戶隱私權限的現(xiàn)象。這是因為，安卓手機上的信息收集很大程度上是靠App權限來實現(xiàn)的。

超范圍收集個人信息幾乎已經成為業(yè)內許多公司業(yè)務員的“職業(yè)習慣”。360集團技術總裁、首席安全官譚曉生在對本公司公眾服務數(shù)據中心做調查時就發(fā)現(xiàn)，業(yè)務部門的產品經理或者總監(jiān)總是盡可能多地收集用戶信息，收上來之后，卻并沒有真正全部用到。

超范圍收集用戶個人信息的行為雖然存在爭議，但如果不能收集有效的、充足的數(shù)據，對企業(yè)和用戶來說，也不一定是好事。

“個人信息保護難點是很多個人信息覆在一定的數(shù)據之上，例如數(shù)據的傳輸、數(shù)據的利用。”清華大學法學院院長申衛(wèi)星認為，數(shù)據流動的需求不可避免會引起個人信息的侵害。

他認為，解決目前企業(yè)越界的問題，首先要制定一個當下文化能夠接受、與經濟發(fā)展水平相適應的個人隱私保護的行業(yè)標準，以此來規(guī)范所有的行業(yè)。同時，他倡導數(shù)據治理的“三個平衡”原則：個人權益保障和行業(yè)發(fā)展之間的平衡，公權力和私權利的平衡，法律與技術共同治理的平衡。

用戶想說“不”很不容易

一方面，企業(yè)“翻墻”“越界”現(xiàn)象越來越多；而另一方面，許多用戶對自身隱私信息的安全保障“無能為力”。

陳霜是一名司法工作人員，談到自己下載軟件的經歷，她說，“如果不允許（開放權限申請）的話，有些軟件就不能下載，想用的話就必須同意。”不讓渡部分隱私權就無法使用App，陳霜的經歷很多用戶都遇到過，這也一度成為很多人無法對用戶權限申請說“不”的原因。

據了解，為解決這種情況，安卓系統(tǒng)在6.0系統(tǒng)開發(fā)后，將敏感權限申請獨立出來，App開發(fā)者需要某一項權限時，必須在App內動態(tài)申請。但是，這樣是否就能保證用戶的知情權和隱私權不被侵害呢？現(xiàn)實情況可能并不理想。

曾經從事過3年左右安卓系統(tǒng)開發(fā)工作的步耳（化名）介紹，用戶一旦授權過一次，App就可以無限次使用該權限，除非用戶在系統(tǒng)設置中，特意找到相應的App，收回該權限，但也意味著不能使用相應的功能。

申衛(wèi)星在論壇中還提到一個不可忽視的現(xiàn)狀：“現(xiàn)在所有的互聯(lián)網企業(yè)在自己的協(xié)議里都會有告知的信息，但現(xiàn)在不是過去對信息告知不充分的情況，而是信息告知過于充分，信息超載，讓用戶不堪其煩，不得不點擊同意，導致這個信息告知其實是不充分的。”

據華為終端云服務應用市場業(yè)務部部長張凡統(tǒng)計，現(xiàn)在App隱私權限申請的內容平均約為1.6萬~1.7萬字。他還提到，未來軟件功能越來越多，交互越來越復雜，用戶安裝一個應用很可能需要點擊更多的“同意”。

這樣來看，隱私權限條款冗雜，讓人眼花繚亂，一旦點擊“同意”，用戶權限又可能被無限次使用，用戶還是不可避免會陷入“無知”和“無力”的狀態(tài)中。而面對這樣的問題，負責技術把關的企業(yè)，將怎樣改進？

張凡對此也做出了回應，他介紹，歐盟的GDPR（《通用數(shù)據保護條例》）以及我國最新發(fā)布的《個人信息保護法（草案）2017版》有了進一步優(yōu)化，一些必要的場景是不需要用戶同意的，比如說涉及到國家安全、全體公民利益。他認為這樣的方式值得支持。

個人信息保護沒有“速效藥”

那么，通過技術改進，或者專門的個人信息保護法律，是不是就能“根治”現(xiàn)存的問題呢？在實際操作中，或許并沒有那么簡單。

中國互聯(lián)網協(xié)會個人信息保護工作委員會主任委員周漢華說，“個人信息保護需要有效的內部組織架構，培育良性運行外部環(huán)境，并循序漸進。如果打破次序，不是先從風險管理角度切入，由易到難，而是反其道而行之，或者一步追求最終目標，勢必加大內生機制的形成難度，欲速則不達，事與愿違。”他還強調，強制性法律的實施效果普遍不理想。

中國人民大學法學院副院長楊東也指出，個人信息保護重要的不在于立法保護本身，而在于有一套保障機制體系，有一個具體的落實政策才是最關鍵的。吉林大學法學院院長蔡立東也有同樣的觀點。他認為，“個人信息的范圍和個人信息的保護方式不能脫離國家治理的模式選擇和國家治理能力、治理體系現(xiàn)代化的現(xiàn)實需求。”同時，他還指出，“如果所有的個人信息都上升為權利保護，權利機制一旦啟動，（企業(yè)）個人信息的收集和利用將面臨新的問題。”

實際上，這也是目前個人信息保護推進過程中的痛點。因為用戶個人信息保護和企業(yè)數(shù)據流動之間始終存在著難以平衡的矛盾。周漢華指出，“數(shù)據時代，開發(fā)的力度越大，數(shù)據面臨的風險就越大，失衡現(xiàn)象就愈發(fā)嚴重和常見。”

對此，申衛(wèi)星提出了解決方案：“知情同意是平衡個人權利保護和行業(yè)對數(shù)據的需求發(fā)展很好的工具，但告知要充分，知情同意也要有相應的同意能力。知情同意應該有一定的例外，但例外必須有嚴格的限制。”