近日,大数据泄露个人隐私的一个案例引发广发关注——一款航旅类App测试中的“虚拟客舱”功能可查看同舱乘客信息。
实际上,近年来因“一揽子”授权隐患、企业隐私保护不当等原因造成的隐私泄露事件,并不罕见。
在《网络安全法》实施一周年之际,多位专家在近日举行的“数据治理和网络安全研究联盟”2018年度论坛上建议,通过立法强化个人信息保护,推动分散监管走向统一,以促进企业合规发展和市场规范。
“一揽子” 授权有隐患
6月11日,有网友发文称,自己使用航旅纵横App查看座位信息时,可以查看同舱乘客的个人主页,包括对方的一些个人信息,以及选座偏好和飞行热力图等,还可以与其私聊。
2017年6月正式实施的《网络安全法》第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
然而,记者发现,互联网企业通常会采用让用户同意隐私政策的方式达到合规要求。部分产品在征求用户同意时要求“一揽子”打包授权。“一揽子”授权后,企业默认用户同意自己对其信息的处理方式。
“一揽子”授权看似遵循了法律的相关规定,但由于企业的模糊处理、不当处理等因素,仍有许多隐患。
此前,支付宝年度账单首页因默认勾选同意《芝麻服务协议》而被指泄露隐私。
南都个人信息保护研究中心发布的《2017个人信息保护年度报告》显示,在对1500多个APP与网站的隐私政策测评中,8成以上的平台隐私政策透明度低,且普遍存在文本晦涩冗长、暗藏格式条款等弊病。
中国人民大学法学院教授张新宝指出,尽管用户同意已经成为个人信息保护的公认原则,但由于信息和能力的不对称,用户不太可能了解个人信息收集的范围和处理的方法,更难以预见可能遭到的损失。
以“服务”为名的隐私漠视
航旅纵横的“虚拟客舱”功能遭质疑后,其回应称,该功能是为了探索在线模式下用户出行服务的创新可能。
大数据时代,数据收集和利用成为互联网行业发展的基础。有观点认为,过分强调个人数据的控制可能会限制创新和服务。
记者调查发现,很多互联网用户没有完整阅读过隐私政策。原因之一在于,用户即便知道某些条款可能会泄露隐私,但为正常使用服务“没得选”,不得不“被同意”“被授权”。
更常见的是,无需用户同意和授权,网络平台仍可以通过cookie等技术手段采集用户数据,做出相应的“用户画像”,从而推送精准的定向广告。
大数据营销在创造价值的同时,也带来一定的侵权风险。此前有消费者爆料,作为某网站的“熟客”却受到“价格歧视”,比普通用户承担了更高的费用。
业内人士指出,企业基于消费者信息的“创新”服务,不能漠视用户隐私,应该按照用户群体中最敏感者的标准而设计产品。
“大数据时代,每个人都是数据主体,都可能因为信息泄露而受到侵害。如果没有个人的参与,数据保护工作很难形成长效治理。”中国社科院法学研究所研究员周汉华认为,个人参与的核心就是对自己的数据有控制权。
推动分散式监管走向统一
今年5月初,推荐性国家标准《信息安全技术个人信息安全规范》正式实施,这被认为填补了实践标准上的空白。
该《规范》明确,收集个人敏感信息时,平台应征得用户明示同意,并建议区分核心功能和附加功能,以此打破“一揽子授权”的难题。
不过,多位专家提醒,还需进一步通过立法强化个人信息保护。
中国政法大学教授汪庆华便认为,我国目前采取的是一种分散式的立法,个人信息保护分散在很多法律中。如何让分散式的监管走向统一,是我国个人信息保护立法面临的紧迫问题。(记者 于灵歌)
作者:于灵歌