还有多少App在窥视个人隐私 支付宝年度账单事件背后
“默认同意”读取通讯录、照片等在互联网行业并不少见。(视觉中国/图)
原标题:还有多少App在窥视你的个人隐私 支付宝“2017年账单”事件背后
来源:南方周末
(本文首发于2018年1月11日《南方周末》)
互联网技术发展对个人隐私带来了巨大挑战,支付宝“2017年账单”事件也许只是压垮骆驼的那根稻草。网友的质疑和愤怒,从侧面反映出目前个人数据权益保护现状不容乐观。
对于用户数据的第一次收集和使用,App方正确做法应该是遵循默认拒绝原则,即默认不勾选。支付宝账单的“同意”服务协议行为属于滥用默认同意规则,违反了关于个人隐私保护的伦理共识。
“用户的隐私完全没有得到保护和尊重。”看到微博上对支付宝的质疑,一个小时前刚在微信朋友圈分享了自己支付宝年账单的周超感到愤怒。当天,他将手机上的App检查了一遍,将允许读取通讯录或短信的设置,统统修改为不允许。
2018年1月3日,支付宝面向其用户推出个性化的“2017支付宝年账单”。不少网友纷纷在社交媒体晒出了自己的年账单,一度引起刷屏。然而,很快有律师指出支付宝与芝麻信用间的“授权漏洞”,网友意识到自己可能“被同意了”一个名为《芝麻服务协议》的用户协议,事情因此急转直下,网友对支付宝侵犯个人隐私的质疑引起又一轮刷屏。
当天,芝麻信用和支付宝对此进行了纠正和公开道歉。但是围绕此事件及其衍生出的用户数据隐私、个人数据权益保护问题,还是引发众多专业人士的关注和讨论。
在对支付宝提出批评的同时,一些评论人士表示,在数据隐私未得到充分重视和保护的现状下,此事件带来大规模的网友对个人数据隐私的关注,或意味着用户数据隐私观念的觉醒,是该事件积极的一面。
那么芝麻信用和支付宝到底做错了什么?还有多少互联网智能手机应用(又称“App”)在窥视甚至侵犯你的数据隐私?在当前的互联网时代,又究竟该如何保护个人的数据权益?
支付宝账单引质疑被滥用的“默认同意”
“2017支付宝年账单”展示的信息主要为,用户在这一年通过支付宝购买各类商品和服务的统计记录。但在该账单中,有一个页面的信息来自芝麻信用提供的信用守约情况,而非来自支付宝的交易记录。
支付宝(中国)网络技术有限公司(以下简称“支付宝”)和芝麻信用管理有限公司(以下简称“芝麻信用”)是蚂蚁金融服务集团旗下的两家公司。因为两家公司相对独立,支付宝在调用芝麻信用的数据时,必须经过用户授权,因此支付宝在年度账单的首页设置了“我同意《芝麻服务协议》”这一选项。
这一设置引起了北京市岳成律师事务所岳屾山律师的注意。2018年1月3日13时许,岳屾山在微博指出,“我同意《芝麻服务协议》”这行字不但字号特别小,而且已经帮用户选择好“同意”了。若用户未注意到这行字,就会直接同意这个协议,允许支付宝收集用户的信息包括在第三方保存的信息。他还引用相关法规表示,芝麻信用“默认同意”的设置没有给用户了解条款的机会,用户“稍不注意就进坑了”。
“设坑使用户签署协议本质上属于欺骗。”2018年1月6日,湖南师范大学人工智能道德决策研究所所长李伦教授在接受南方周末采访时分析指出,对于数据的第一次收集和使用,正确做法应该是遵循默认拒绝原则,即默认不勾选。支付宝的上述行为属于滥用默认同意规则,违反了关于个人隐私保护的伦理共识。
在西南政法大学民商法学院教授张建文看来,此事件中,支付宝除了违背了基本的商业道德,更是违反了《中华人民共和国消费者权益保护法》中的相关规定,明显侵害了消费者的自主选择权。
2018年1月3日下午,中国消费者报微信公众号引用岳屾山的该条微博发布相关文章,使得舆论对支付宝的质疑进一步扩大。据财新网报道,当日下午央行支付司要求支付宝对此纠正并致歉。
当日23时许,芝麻信用在新浪微博发布“查看支付宝年账单时‘被同意《芝麻服务协议》’的情况说明”承认“这件事,肯定是错了”。此外,芝麻信用还表示:已经调整了页面,取消默认勾选;此前没有开通芝麻信用的用户,不会因此被收集信息。随后,支付宝转发了这条微博。
“默认同意规则被滥用的情况非常普遍。”2018年1月6日,上海玛娜数据科技发展基金会创始人、副理事长张唯对南方周末表示,支付宝引发质疑的“默认同意”行为在互联网行业并不少见。
据媒体报道,2017年10月,携程在销售机票时默认勾选酒店券、接机券等销售行为引发消费者声讨。之后,携程对其机票产品进行了整改,推出“普通预订”窗口,该页面内所有的附加商品均为默认未勾选。
除了“默认搭售”之外,在湖北省荆州市一家物流公司工作的周超发现“默认读取”的现象也很常见,“现在几乎所有的App都会要求访问用户的通讯录,一些虽然可以选择不允许,但安装使用的时候都是被默认允许的状态”。周超曾在手机上下载过一款跑酷游戏App,安装完成后,提示要读取地址和通讯录,方可启动游戏。周超心想,一款游戏而已,为什么要访问通讯录?于是他选择了不允许读取,随即游戏界面自动退出。反复试了两三次后,周超卸载了这款游戏。
在北京一家互联网公司从事数据挖掘工作的刘强强,则遭遇过同样恶劣的“默认发布”行为。
2017年10月初,刘强强下载了一款名为“脉脉”的职场社交App。用了不到两周,一位同事收到包含刘强强的真实姓名在内的邀请其下载该软件的短信。“说我标注了他,要想查看需下载,压根没有的事,”看到同事发来的截图,刘强强感到气愤,“领导要是收到怎么办,还以为我在脉脉上找机会跳槽。”当天卸载了该软件并注销了账号。
2017年11月15日,国家工信部发布的一份手机App抽检结果公告显示,有31款软件涉及违规收集使用用户个人信息、恶意“吸费”等问题。
李伦认为,互联网技术的发展对个人隐私带来了巨大的挑战,支付宝年账单事件也许只是压垮骆驼的那根稻草。“在支付宝事件中,网友出现大规模的质疑和愤怒,其实从侧面反映出目前个人数据权益保护的现状不容乐观。”
数据资产时代脆弱的个人隐私权利
2017年12月25日,由全国人大常委会执法检查组委托中国青年报社社会调查中心所做的“万人调查报告”显示,有超过六成受访者遇到过互联网应用默认读取,甚至强制读取(不同意读取则无法使用软件)的情况。
张建文分析认为,造成这一现象的原因在于,在当前互联网服务中,服务提供商和用户之间存在明显不对等的关系。相对于用户而言,服务提供商明显占据优势地位,其在服务协议中事先设置“默认同意”,如果用户取消勾选同意,将不能享有该项服务内容,用户处于被动的地位,缺乏充分的自主选择权。另外,“默认同意”的法律定性及相应法律责任并不明晰,这给网络服务提供商“钻空子”“打擦边球”造成了可乘之机。
“个人隐私权在企业数据权力面前极为脆弱。”李伦也认同个人在互联网企业面前是处于弱势地位的。
李伦进一步分析指出,互联网应用侵犯用户数据权益的情况之所以普遍存在主要有三个方面的原因:一、企业对于商业利益的追求,新型互联网产业对于个人信息的依赖程度较高,对于用户的个人信息掌握越充分,越能做到精准营销;二、信息技术和数据技术使得隐私受到威胁的程度大为增加了,信息技术可以使原始数据的获取变得更加便利,而数据技术的进步则可以从杂乱的、碎片化的数据中还原出个人的信息。三、目前对于个人数据的权利归属尚未统一,因此实践中对其进行保护有所困难。
“数据就是资产,”张唯认为,个人信息确实越来越受到各个企业的关注。“特别是前几年,国家对于互联网行业采取了一种更加开放的、支持的态度,对于个人数据隐私保护的力度远远不够。这在某种程度上促成了很多企业对数据的不合理的获取。去年的网络安全法实施之后,这个情况有一些好转。”
2017年6月1日,《中华人民共和国网络安全法》正式实施,针对个人信息保护明确规定:网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
此外,《互联网交易管理办法》《移动互联网应用程序信息服务管理规定》等均对个人信息保护作出了规定。
“这些规定都是比较粗略的,对于现在比较模糊的个人信息的界定、个人信息的使用范围,如何才算是合规地传递个人信息,这些在目前的法律体系里面都没有细化的规定。因此,互联网企业也难以细化地进行相应的调整。”上海星瀚律师事务所主管律师阮霭倩对南方周末表示,虽然目前在国内,对于个人信息的保护,已经有一些相应的法律法规,但是缺乏一部系统的法律进行规范。
阮霭倩指出,另一方面,国内对于侵犯个人信息权益的违法行为的惩罚制度,目前也不是很完善。而在欧盟国家,若企业侵犯个人信息权利,可能会面临50万到2000万欧元不等的巨额罚款。
美国欧盟经验多方博弈中争取权益
尽管美国、欧盟等发达国家,对于个人数据权益的保护出台了更为系统的法律,但在实际中,互联网公司的自身发展与用户的隐私保护之间的纷争一直存在。业内人士指出,个人数据权益的保护可以说是在互联网公司与用户等各方的博弈中不断前进。
在欧盟,存在通用的数据信息保护条款,相应的权利的保护也更加严格。最广为人知的是数据的遗忘权,即用户在某平台注销了账户,其留在该平台上的所有历史数据记录需要被同步消除,后期在没有得到该用户的授权的情况下,平台不能继续给该用户提供相应的服务。
“这些条款规定确实是比较严格,有声音认为这其实束缚了产业的发展。”张唯指出,《欧盟数据保护一般规则》中的一些条款在美国并未得到认同和实施。
“美国对于隐私权的理解与欧盟不同,更多地建立在自由的基础上,以行业自律为主导。”据李伦介绍,对于个人数据权益保护,美国有多种形式的行业自律组织。其中,网络隐私认证计划颇具特色:网站提出申请,经过第三方隐私认证机构认证后,可以在其网页上放置“信任标志”,以此表示将遵守网络隐私保护和数据收集的原则,以及接受相应的监督。
对此,张唯认为,第三方评估可能会起到一定指引作用。在国内,若有第三方评估机构对互联网企业、对个人信息保护等行为进行评测,会给用户以提醒和支持作用。
尽管拥有丰富的行业自律组织,以及多部关于隐私权的法律法规,在美国,互联网企业与用户隐私保护之间的冲突仍然屡屡出现。李伦向南方周末介绍了Facebook的例子:2007年Facebook发布灯塔广告项目,用户在该项目的合作网站上的访问数据,都会显示在Facebook网站上。用户反应强烈,认为该项目侵犯了他们的隐私,不少隐私保护机构也提出了激烈的批评,两年后Facebook放弃了这一项目。2009年,Facebook修改了使用条款,对用户删除了的上传资料依然具有使用权,又激发了用户的抗议,最后Facebook放弃了这一条款,重新修改后征求用户的意见。
在张唯看来,由于美国互联网行业独特的竞争态势,美国对于个人数据权益的保护,也是一个多方利益博弈的过程。对于中国而言,不能完全照搬美国或欧盟的模式,既不能因为对个人数据的过度保护影响产业的发展,也不能因为要推动行业发展,就漠视个人的权利。
面对当前这个越来越以数据为基础的社会,如何才能保障个人的数据权益?
对此,阮霭倩指出,互联网企业在采集数据时要在合法的框架内进行,严格把控数据采集的界限,并建立相应的内控体系,防范信息被盗取。
张建文则建议,应当积极推动个人信息保护法的出台,通过专门的个人信息保护立法为用户的数据隐私提供全面有效的保护规范。此外,在执法层面,应当加强执法效果,对于违反用户数据隐私的违法行为予以严格执法。
对于用户自身而言,张唯提出,个人要明确认知和充分尊重自己的权利,知道在现有的法律框架下,是有法律对于自己的个人数据进行保护和保障的,在参与每个用户协议时,对自己的行为进行负责。但张唯也指出,要求个人都能够理解和认知所有的用户协议,严格来讲是不公平的。在现有的技术和产业格局下,更关键的是需要行业和政府对于个人信息权益保护的模式和规则进行完善。
“需要一些示范性的事件出现,比如这次的支付宝事件可能就会推动整个行业内对于用户规则这个层面进行一系列的修正。”张唯表示,作为行业领袖的支付宝如果能进一步加强对自身的约束,对于整个行业对个人信息权益保护的升级和优化,是有积极作用的。
(应采访对象要求,周超为化名)