不少用戶(hù)在跨平臺使用智能設備應用程序時(shí),經(jīng)常有這樣的困惑:在某個(gè)平臺搜過(guò)的內容,為什么到了另一個(gè)平臺也會(huì )被推送??jì)Υ嬖诟黝?lèi)應用程序中的個(gè)人信息能否得到妥善保管? 11月1日,個(gè)人信息保護法正式實(shí)施,個(gè)人信息安全將得到全方位保護。筑牢信息使用的安全邊界,需要監管體系、企業(yè)責任與用戶(hù)意識等層面的共同推進(jìn)。
還在瀏覽樓盤(pán)信息,就接到銷(xiāo)售電話(huà);注冊完會(huì )員,推銷(xiāo)短信就鋪天蓋地;搜索過(guò)一個(gè)物品,就頻頻收到類(lèi)似產(chǎn)品廣告……這些體驗讓許多用戶(hù)很困惑:誰(shuí)動(dòng)了我的個(gè)人信息?為什么手機這么“懂”我?
個(gè)人信息須妥善保管
隨著(zhù)移動(dòng)互聯(lián)的飛速發(fā)展,各類(lèi)手機App、應用小程序,已經(jīng)成為人們社交、日常生活、學(xué)習工作中必不可少的一部分。那么,海量的個(gè)人信息都被存儲到了哪里?
綠盟科技集團副總裁李晨介紹,各類(lèi)應用程序后端都會(huì )有一個(gè)數據存儲環(huán)境,數據庫中存儲了海量的應用數據與個(gè)人信息。比如,人們使用各種社交App,在上面發(fā)布的文字或者圖片都會(huì )產(chǎn)生數據,經(jīng)過(guò)處理和網(wǎng)絡(luò )傳輸,最終存儲到后端的數據庫。數據庫一般位于企業(yè)數據中心,或者云服務(wù)商提供的“云端”。數據庫系統和里面的數據,由商家、應用程序的運營(yíng)者來(lái)維護和保管。
個(gè)人信息是否會(huì )被“任性”使用?
李晨表示,企業(yè)收集的個(gè)人信息是否能得到有效保護,一定程度上取決于企業(yè)的數據安全管控水平。今年9月1日正式實(shí)施的數據安全法,還有國家及行業(yè)的相關(guān)標準要求,都要求企業(yè)提升數據安全管控能力。不過(guò),技術(shù)的持續發(fā)展,對企業(yè)數據安全能力提出了更高要求。不同企業(yè)的數據安全建設水平參差不齊,導致部分用戶(hù)的個(gè)人信息依然面臨被非法獲取、濫用、泄露等風(fēng)險。
類(lèi)似隱患還包括人臉等生物信息。根據App專(zhuān)項治理工作組發(fā)布的《人臉識別應用公眾調研報告》,64.39%的受訪(fǎng)者認為人臉識別技術(shù)有被濫用的趨勢,30.86%的受訪(fǎng)者已經(jīng)因為人臉信息被泄露、濫用等遭受損失或者隱私被侵犯。這類(lèi)風(fēng)險也從線(xiàn)上延伸到線(xiàn)下,此前,曾有媒體報道售樓處肆意收集、辨識人臉信息。不久前,最高人民法院發(fā)布司法解釋?zhuān)幏度四樧R別應用。
信息收集不得超出范圍
每次下載App或者授權個(gè)人信息使用時(shí),北京市民劉女士都會(huì )瀏覽隱私政策條款,不過(guò),她發(fā)現,這些說(shuō)明或十分冗長(cháng),或非常隱蔽,“對普通用戶(hù)不是很友好”。
隱私政策被認為是網(wǎng)絡(luò )服務(wù)提供者(企業(yè))與用戶(hù)之間的合同,用于聲明企業(yè)如何收集、使用以及保護用戶(hù)的個(gè)人信息。
北京云嘉律師事務(wù)所副主任趙占領(lǐng)表示,網(wǎng)絡(luò )安全法規定,網(wǎng)絡(luò )運營(yíng)者收集、使用個(gè)人信息,應當遵循合法、正當、必要的原則。收集個(gè)人信息的范圍,應當跟提供的產(chǎn)品和服務(wù)有直接關(guān)聯(lián),不能超出這個(gè)必要的范圍。同時(shí),收集用戶(hù)的敏感個(gè)人信息時(shí),應當經(jīng)過(guò)用戶(hù)的明示同意,而不僅僅是簡(jiǎn)單的默認勾選用戶(hù)協(xié)議這種一攬子方式。
目前,仍有一些應用程序存在超范圍收集個(gè)人信息的問(wèn)題,例如,收集過(guò)多個(gè)人信息、過(guò)度索取權限、強制用戶(hù)使用定向推送功能、私自向第三方共享用戶(hù)信息,以及無(wú)法注銷(xiāo)賬號等。
對于個(gè)人用戶(hù)來(lái)說(shuō),一方面,無(wú)法確定企業(yè)在收集了自己的個(gè)人信息之后會(huì )如何使用、如何保護,是否被泄露或濫用。即便有所顧慮,在面對“不給權限不讓用App”“頻繁申請權限”“過(guò)度索取權限”等問(wèn)題時(shí),也往往會(huì )選擇妥協(xié)。同時(shí),遇到個(gè)人信息侵權問(wèn)題時(shí),由于缺少保護意識,維權成本高、時(shí)間長(cháng)、舉證困難,一些人會(huì )選擇放棄維權。
2019年以來(lái),中央網(wǎng)信辦等四部門(mén)持續在全國范圍開(kāi)展App違法違規收集使用個(gè)人信息專(zhuān)項治理,已檢測App數萬(wàn)款,對問(wèn)題較為嚴重的千余款App采取了公開(kāi)曝光、約談、下架等處理處罰措施,發(fā)現并監督整改了一大批強制授權、過(guò)度索權、超范圍收集個(gè)人信息問(wèn)題的App,治理卓有成效。
只共享必要的個(gè)人信息
在某購物App中搜索了電視這一產(chǎn)品后,浙江杭州的王女士發(fā)現,隨手打開(kāi)的另一個(gè)App中也出現了相關(guān)產(chǎn)品的推薦,“其他App是怎么知道我搜索了電視的?”
海問(wèn)律師事務(wù)所合伙人楊建媛分析,目前引發(fā)手機用戶(hù)隱私泄露擔憂(yōu)的,主要是跨平臺的廣告推送、個(gè)性化內容推薦?!翱缙脚_的廣告推送或內容推薦,相當一部分發(fā)生在大型互聯(lián)網(wǎng)平臺的關(guān)聯(lián)公司或授權合作伙伴之間?!睏罱ㄦ抡f(shuō),查閱一些大型互聯(lián)網(wǎng)平臺的隱私權政策,會(huì )發(fā)現其中有“與關(guān)聯(lián)公司間共享”“與授權合作伙伴共享”等條款。從技術(shù)手段看,每臺手機設備都有唯一的標識符,用戶(hù)在同一臺手機設備上使用不同的應用程序時(shí),應用程序追蹤獲取到這個(gè)唯一的標識符,便有可能精準地進(jìn)行跨平臺廣告推送和效果追蹤;此外,用戶(hù)在瀏覽網(wǎng)頁(yè)時(shí),瀏覽器的cookie技術(shù)也會(huì )記錄使用足跡。
在精準營(yíng)銷(xiāo)的時(shí)代,跨平臺廣告推送和個(gè)性化內容推薦越來(lái)越頻繁,用戶(hù)是否需要為此擔憂(yōu)?楊建媛表示,個(gè)人信息保護法規定,通過(guò)自動(dòng)化決策方式向個(gè)人進(jìn)行信息推送、商業(yè)營(yíng)銷(xiāo),應當同時(shí)提供不針對其個(gè)人特征的選項,或者向個(gè)人提供便捷的拒絕方式?!缎畔踩夹g(shù) 個(gè)人信息安全規范》指出,收集個(gè)人信息后個(gè)人信息處理者宜立即進(jìn)行去標識化處理。不過(guò),在大數據時(shí)代,如果數據存儲不當或者訪(fǎng)問(wèn)、使用權限管理不嚴格,借助數據挖掘、關(guān)聯(lián)匹配技術(shù),經(jīng)過(guò)去標識化處理的信息,仍然有暴露個(gè)人敏感身份信息的風(fēng)險。為防范這些風(fēng)險,應借助法律手段嚴格規范互聯(lián)網(wǎng)公司收集、存儲、共享、使用個(gè)人信息的行為,即便是關(guān)聯(lián)公司之間也應只共享必要的個(gè)人信息。另外,用戶(hù)也要加強隱私保護意識,安裝和使用應用程序時(shí)注意閱讀隱私權條款,比如,一些應用程序的個(gè)性化廣告推薦選項是默認開(kāi)啟的,用戶(hù)可以選擇關(guān)閉。
我國目前已形成一套相對完善的個(gè)人信息保護法律體系,涵蓋民法典、刑法、未成年人保護法、電商法、網(wǎng)絡(luò )安全法、廣告法、消費者權益保護法、數據安全法及個(gè)人信息保護法等。筑牢個(gè)人信息使用的安全邊界,離不開(kāi)監管要求、企業(yè)責任與用戶(hù)意識等層面的共同推進(jìn)。
李晨建議,監管機構應加大監管和處罰力度,并為用戶(hù)提供便利的維權渠道;企業(yè)應承擔起保護用戶(hù)個(gè)人信息的責任與義務(wù),遵守個(gè)人信息保護相關(guān)法律法規,謹守合規紅線(xiàn);用戶(hù)則應提升自身個(gè)人信息保護意識,提升數字素養。