面對(duì)手機(jī)APP條款繁復(fù)、晦澀難懂的隱私政策,還有一攬子授權(quán),必須要點(diǎn)同意嗎?郵箱、手機(jī),甚至身份證、家庭住址、社會(huì)關(guān)系、銀行卡號(hào)……這些被拿去的個(gè)人信息會(huì)不會(huì)被泄露和濫用?
近期,中國(guó)有關(guān)部門公布的管理辦法,有望進(jìn)一步規(guī)范互聯(lián)網(wǎng)企業(yè)搜集用戶信息的范圍,并加強(qiáng)數(shù)據(jù)使用環(huán)節(jié)的規(guī)定。
01、個(gè)人信息安全規(guī)范修訂
2019年6月25日,全國(guó)信息安全標(biāo)準(zhǔn)化委員會(huì)發(fā)布《信息安全技術(shù)個(gè)人信息安全規(guī)范》(以下簡(jiǎn)稱《個(gè)人信息安全規(guī)范》)征求意見稿。
對(duì)于數(shù)據(jù)安全,中國(guó)此前最重要的法律依據(jù)是2017年實(shí)施的《網(wǎng)絡(luò)安全法》。其中第40—44條是對(duì)個(gè)人信息保護(hù)的條款,但都是原則性的表述,需要細(xì)致的可落地方案,這也是2018年5月第一版《個(gè)人信息安全規(guī)范》的由來(lái)。
一般情況下,國(guó)家標(biāo)準(zhǔn)修訂一次會(huì)間隔五年左右的時(shí)間,而修訂《個(gè)人信息安全規(guī)范》距離上一版只有一年的時(shí)間,可見在大數(shù)據(jù)產(chǎn)業(yè)高速發(fā)展的今天,個(gè)人信息安全工作的重要和迫切。
本質(zhì)上來(lái)說(shuō),《個(gè)人信息安全規(guī)范》是推薦性標(biāo)準(zhǔn),沒有強(qiáng)制力。“這個(gè)標(biāo)準(zhǔn)雖然是推介性的,但是很多的監(jiān)管部門用這個(gè)標(biāo)準(zhǔn)在執(zhí)法,對(duì)企業(yè)來(lái)說(shuō),就等同強(qiáng)制性。”《個(gè)人信息安全規(guī)范》主要起草人、北京大學(xué)互聯(lián)網(wǎng)發(fā)展研究中心高級(jí)顧問(wèn)洪延青介紹,“現(xiàn)在的企業(yè),基本上按照2018年的安全規(guī)范標(biāo)準(zhǔn)在做”。
相對(duì)于第一版,新版?zhèn)€人信息安全規(guī)范的修訂主要集中在三大方面:限制搜集信息的范圍,打破一攬子強(qiáng)制授權(quán);加強(qiáng)數(shù)據(jù)使用環(huán)節(jié)的規(guī)定;調(diào)整隱私政策模板。
“在參考國(guó)際現(xiàn)有標(biāo)準(zhǔn)借鑒國(guó)際經(jīng)驗(yàn)的基礎(chǔ)上,按照中國(guó)的法律法規(guī)調(diào)整,盡量做到接軌。”洪延青表示。
有些問(wèn)題也具有中國(guó)特色。“比如,在國(guó)外很少有一個(gè)APP想干很多事兒,平臺(tái)式的,上面放各種小程序,所以使用這樣的APP就面臨很多的個(gè)人信息授權(quán)。為了解決這個(gè)事兒,我們?cè)谛畔⑹占且徽鹿?jié)列出很多細(xì)則要求,就是打破一攬子授權(quán)同意。”洪延青說(shuō)。
據(jù)個(gè)人信息安全規(guī)范主要起草者之一、中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院的何延哲介紹,新版?zhèn)€人信息安全規(guī)范主要是增加了一些條款,比如“用戶畫像的使用限制”和“個(gè)性化展示及退出”,這部分也是起草過(guò)程中內(nèi)部討論最多的。
用戶畫像越準(zhǔn)確,廣告推送就越精準(zhǔn)。準(zhǔn)確的用戶畫像來(lái)源于個(gè)人信息。從利益驅(qū)動(dòng)來(lái)說(shuō),企業(yè)肯定期望收集的用戶個(gè)人信息越多越好。
那么,個(gè)人信息收集的度在哪里?
《個(gè)人信息安全規(guī)范》中明確,收集個(gè)人信息的度是:最小必要。而且,向用戶推送新聞信息,如果使用個(gè)性化展示的,應(yīng)標(biāo)明“個(gè)性化展示”或“定推”等字樣,而且應(yīng)提供簡(jiǎn)單直觀的退出或關(guān)閉個(gè)性化展示模式的選項(xiàng)。
但目前的一些APP產(chǎn)品的個(gè)性化推送,沒有為用戶提供更多選擇。只能等新的規(guī)范生效,靠監(jiān)管部門的推進(jìn)執(zhí)行下去。
02、將規(guī)范搜集信息的范圍
根據(jù)新規(guī),APP收集用戶的個(gè)人信息,必須是實(shí)現(xiàn)它的基本功能所必要的,不能超范圍收集。
據(jù)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心檢測(cè)部主管張志強(qiáng)介紹,在進(jìn)行APP審查和認(rèn)證中,他們把向用戶收集的信息分為必要信息、非必要(與產(chǎn)品功能)相關(guān)聯(lián)的信息和無(wú)關(guān)聯(lián)非必要信息。
張志強(qiáng)舉例,比如一款訂餐APP需要聯(lián)系人電話信息,因?yàn)闆]有這個(gè)信息,餐食無(wú)法送到本人手中,這就是必要信息。但是它還收集訂餐人的定位信息,用戶訂餐其實(shí)可以手動(dòng)輸入地址,實(shí)時(shí)定位信息不是必需的,但是這個(gè)定位信息能改善用戶體驗(yàn),加快送達(dá)效率,而且可以查到用戶附近相關(guān)的餐飲店?duì)顩r,改善提高服務(wù),和基本功能業(yè)務(wù)相關(guān),因此屬于非必要相關(guān)聯(lián)信息。
在非必要相關(guān)聯(lián)信息這一點(diǎn)上,很多用戶遇到過(guò)這樣的煩惱:選擇不同意,界面直接關(guān)閉,基本功能也不讓用;或者,不停地彈出界面反復(fù)循環(huán)詢問(wèn),用戶不勝其擾,只好選擇同意。
按照新規(guī),這個(gè)問(wèn)題將得到解決。新規(guī)明確規(guī)定,APP如果使用非必要相關(guān)聯(lián)的信息,需要征求用戶的同意。如果用戶選擇不同意,不可以影響基本功能的使用。
張志強(qiáng)表示,當(dāng)前App還普遍存在超范圍收集、強(qiáng)制授權(quán)、過(guò)度索權(quán)、功能捆綁等個(gè)人信息安全問(wèn)題。
“但是辨別這些需要專業(yè)技術(shù)門檻,超出了個(gè)體的判斷能力,所以這也是檢測(cè)認(rèn)證(的)價(jià)值和意義。”張志強(qiáng)強(qiáng)調(diào)。
2019年3月,中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心(CCRC)開始正式受理認(rèn)證申請(qǐng)。目前,網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心主導(dǎo)的APP安全認(rèn)證屬于自愿性認(rèn)證,并鼓勵(lì)搜索引擎、應(yīng)用商店等明確標(biāo)識(shí)并優(yōu)先推薦通過(guò)認(rèn)證的App。
張志強(qiáng)透露,目前已經(jīng)開展了第一批App安全認(rèn)證試點(diǎn),入圍第一批試點(diǎn)的App有9家企業(yè)16款產(chǎn)品,部分已完成認(rèn)證技術(shù)驗(yàn)證。
03、數(shù)據(jù)安全背后的博弈
在企業(yè)收集個(gè)人信息之后,用戶最擔(dān)心的是:會(huì)不會(huì)被泄露或轉(zhuǎn)賣?有沒有被濫用?
“雖然目前在中國(guó)數(shù)據(jù)泄露還沒有嚴(yán)重的處罰和索賠的案例,但實(shí)際從規(guī)則上來(lái)說(shuō),根據(jù)《網(wǎng)絡(luò)安全法》,數(shù)據(jù)泄露屬于違法行為,轉(zhuǎn)賣更是犯罪行為,會(huì)被追究法律責(zé)任。”一直關(guān)注數(shù)據(jù)安全領(lǐng)域的北京安理律師事務(wù)所合伙人王新銳律師說(shuō),“對(duì)于很多互聯(lián)網(wǎng)公司來(lái)說(shuō),數(shù)據(jù)(包括個(gè)人信息)是最重要的資產(chǎn),企業(yè)肯定不會(huì)主動(dòng)泄露,不會(huì)被黑客偷走,這一點(diǎn),從商業(yè)利益上來(lái)說(shuō),是有很大動(dòng)力的。”
比如,據(jù)騰訊守護(hù)者計(jì)劃安全專家徐一可介紹,過(guò)去十年,騰訊陸續(xù)建立了七大實(shí)驗(yàn)室,專注安全技術(shù)研究及安全攻防體系搭建,其核心目的之一就是保障用戶的個(gè)人信息安全。
不過(guò),“使用的目的和范圍,和收集的時(shí)候不一樣,這才是最大的問(wèn)題”。王新銳接著說(shuō),“如果發(fā)現(xiàn)有些APP不太對(duì)勁兒,感覺超出了范圍收集或使用你的個(gè)人信息,最好退出,或者舉報(bào)。”
在《個(gè)人信息安全規(guī)范》征求意見稿中,王新銳提到的這些問(wèn)題得到了細(xì)化。
“在使用上,無(wú)論國(guó)際標(biāo)準(zhǔn),還是國(guó)內(nèi)法律法規(guī)的要求,你收集了哪些個(gè)人信息,用在什么方面,目的是什么,都要明確透明。如果收集信息后,改變使用目的,需要再次向用戶征求同意,并且,敏感權(quán)限需要設(shè)置關(guān)閉功能。”《個(gè)人信息安全規(guī)范》主要起草人洪延青說(shuō)道。此外,如果沒有征得用戶同意,企業(yè)不得將用戶信息共享,即使是隸屬于同一家公司的不同產(chǎn)品。
比如,用戶比較熟悉的QQ,其“通訊錄權(quán)限”、“通話權(quán)限”、“短信權(quán)限”等敏感權(quán)限設(shè)置了用戶授權(quán)的互動(dòng)界面,QQ安全團(tuán)隊(duì)負(fù)責(zé)人也演示了如何在應(yīng)用場(chǎng)景下通過(guò)用戶授權(quán),和如何在產(chǎn)品設(shè)置內(nèi)關(guān)閉敏感權(quán)限的訪問(wèn)。作為起步較早的互聯(lián)網(wǎng)公司,由于在數(shù)據(jù)安全上積累了較多經(jīng)驗(yàn),騰訊有關(guān)技術(shù)部門參與了《個(gè)人信息安全規(guī)范》的起草。
2019年1月,中央網(wǎng)信辦、工信部、公安部、市場(chǎng)監(jiān)管總局發(fā)布了聯(lián)合公告,成立APP專項(xiàng)治理工作組,受理對(duì)APP違法違規(guī)收集使用個(gè)人信息的舉報(bào)(受理舉報(bào)的微信公號(hào)是“APP個(gè)人信息舉報(bào)”)。對(duì)發(fā)現(xiàn)問(wèn)題的APP,必須整改。
但是在整改的過(guò)程中,也會(huì)遇到難題。“有時(shí)候發(fā)現(xiàn)需要整改的地方正好是這家企業(yè)業(yè)務(wù)發(fā)展的主要模式。企業(yè)以生存和發(fā)展為第一目標(biāo),如果直接影響到他們的核心利益,在推進(jìn)的過(guò)程中會(huì)遇到阻力。”張志強(qiáng)說(shuō)。
對(duì)于這一點(diǎn),王新銳認(rèn)為:“也不一定是說(shuō)企業(yè)在作惡或者很霸道,因?yàn)槟壳霸趪?guó)內(nèi)APP提供的服務(wù)基本都是免費(fèi)的,向國(guó)外一樣全面開啟付費(fèi)或者會(huì)員制不現(xiàn)實(shí),那么這個(gè)模式造成企業(yè)主要靠廣告盈利活下去,造成了中國(guó)企業(yè)更需要用戶信息。所以,在保證運(yùn)營(yíng)收益的情況下,又能提供安全便捷免費(fèi)的服務(wù),關(guān)鍵是把握這個(gè)度。”
“……數(shù)據(jù)安全背后是多重力量博弈,不是一個(gè)簡(jiǎn)單的是非判斷,牽扯到多方利益平衡,要充分能理解各方立場(chǎng),才能保持可持續(xù)發(fā)展。”律師王新銳強(qiáng)調(diào)。
張志強(qiáng)的團(tuán)隊(duì)在認(rèn)證時(shí)也有平衡的考慮。比如,如果反反復(fù)復(fù)出現(xiàn)授權(quán)同意的界面,也會(huì)影響到用戶的體驗(yàn)。所以在考慮到合乎標(biāo)準(zhǔn)要求的同時(shí),也會(huì)兼顧用戶體驗(yàn)層面的產(chǎn)品設(shè)計(jì)。
