(图片来源:全景视觉)
经济观察报 记者 陈伊凡
这是一场名为“秘密”的艺术展览。
展览的内容正是34.6万武汉市民的个人信息。这些信息加入特殊药水打印、涂改,在特殊紫外线照射下显影,在日光灯下将看不见,信息之详尽,令人不寒而栗:“谭*,女,28岁,电话号码:*;家庭住址:武昌和平大道融侨华府*,开红色宝马车,车牌号*;发动机号*,
2018年3月1日上午11:06在淘宝网购买了婴儿用品三件套、尿不湿一箱、奶粉三盒;
2018年3月2日下午13:23在淘宝网购买了一件女士外套、高跟鞋一双;
2018年3月4日下午20:00在淘宝网购买了《儿童教育》、《父母与孩子的关系》书籍。
……“数据化时代与每个公民之间的伦理关系、边界在哪里?”4月4日,在接受媒体采访时,邓玉峰说。为了举办这次展览,这位皮肤黝黑的青年艺术家花了大半年时间,从黑市购买了34.6万人的个人信息。
一周后,在大洋彼岸的美国,Facebook创始人兼CEO扎克伯格因数据泄露正在接受美国国会的质询。“你们的用户协议糟透了!”4月10日,在针对Facebook用户数据泄漏事件的听证会上,参议员John Kenndy对扎克伯格提出了质询,他希望能够给用户更多控制自己数据的权利。
一场全球性的数字经济的竞争正在展开。中国已在一些领域拥有了全球性企业,很多都产生在以数据为基础的领域,很多人说,中国的这些产业之所以发展快,一个原因是没有那么严格的隐私保护规定。
找不到的隐私条款
“有病吧!”
在那场“秘密”的展览当日,志愿者们按照展览上的电话号码给市民发送信息,称艺术家邓玉峰从黑市购买了他们的个人信息,邀请他们前来观看时,得到了以上回复。
用户数据是互联网公司运营非常重要的一部分,这部分的信息获取都是免费的,使用它的APP,就会要求用户填写一些资料,或者APP主动收集很多人的信息,“这个过程很多用户都是无意识的,但这就会变成互联网企业很重要的资产。”南都个人信息保护研究中心负责人娜迪娅告诉记者,而资产本身是具有流动性的,会牵扯到共享、转让等环节,在这个过程中就有可能会被泄漏。“道高一尺,魔高一丈。”大数据安全公司瀚思科技CEO高瀚昭如是说。有一回,他们给一家大型企业做安全监测,发现一个来自该企业某代理商的慢速爬虫在窃取其订单日志等用户信息。类似的案例发生过不止一次,“相当多的数据泄漏都是内部人员的泄密,其中实习和外包人员泄密居多。”据调查,全球光2017年上半年泄露或被盗的数据就有19亿条,超过了2016年全年被盗数据的总量。
安全的威胁不仅来自于售卖者,还有收集数据的平台。“很多时候我们是无可奈何,其实没有多少人希望在网上成为一个透明人,一个人所有需求、缺陷被各种app掌握,是件可怕的事情,但是注册时强制要输入这些信息,用户只好被迫接受,而非主动愿意。”在展览上,一名志愿者对媒体说。
APP就像身边一个个黑洞,将用户的信息尽可能吸纳进去。按照中国的《网络安全法》,用户对自己的信息享有知情权、选择权、删除权和更正权。而目前,鲜有企业能完全做到。“我们可能不定时将您的个人资料及其他信息分享和揭露给第三方”;“我们出于商业目的,将您的信息与他人分享或出售、出租”;
“基本上,任何事情都可能发生,我们是不会负责的。”
这些都是蒋琳和她的同事们在去年开始,对1550个APP进行测评时遇到的隐私保护条款。其中,最后一条来自一个名为“果库”的消费指南类APP,该款APP默认读取了用户的联系人信息、拨打电话、录音等敏感权限,而这句用浅灰色标注在协议最下方的话,一年后的今天仍赫然出现在其用户使用协议中。
作为南都个人信息保护研究中心的调查员,蒋琳说,“根据去年的调查,真正能够达标的企业极少,”透明度达到较高级别以上的只有不到10%,测评的APP里80%以上都“不及格”。
“你们为什么会知道我的手机号?”
这是一名视频网站员工给用户打电话进行产品调研时曾被问到的问题。公司在开发新的产品时,都会进行用户调研,该员工称,注册网站会员时,需要输入手机号以获取验证码,因此网站能够获得用户的手机号,供他们进行用户调研。
这样的场景同样出现在几个视频APP中,当记者打开爱奇艺APP,注册页面要求用户输入手机号方能登录,下面有一行小字“我已阅读并同意《爱奇艺用户服务协议》”并默认勾选。尽管在华为手机安卓系统的应用市场上显示检测出其包括“读取联系人数据”、“直接拨打电话”、“录音”等功能,但在《用户协议》中,并未明确告知用户该APP都读取了哪些权限并作何用途。
优酷手机APP,则仅在首次进入页面时有显示“读取手机和电话权限,是为了提供保障账号数据安全,提供更懂你的内容推荐”,此外,在APP上,记者找不到查看用户协议和隐私政策的入口。
“如果您不同意本《隐私政策》的内容,将导致本软件及服务无法正常运行……当您使用‘今日头条’软件及相关服务时,则表示您同意且完全理解本《隐私条政策》的全部内容。’”这是号称基于数据挖掘推荐引擎的“今日头条”APP《隐私政策》内容。该APP仅在首次进入页面时,提示是否允许应用读取存储权限和位置权限,并在用户登录页面,以默认勾选的方式注明“我同意并阅读‘用户协议’和‘隐私条款’”。
“这里面有一些技术上的问题,有一些情况是,由于终端或系统设置的问题,有些权限是被捆绑在一起的,因功能需要开启某项权限的时候,另外几项权限也被自动打开,但企业可能也不会使用到这几项权限。”何延哲说,在一些情况下,企业方也未解释清楚,“用户如果存疑,可以打申诉电话询问客服,而不是单纯地猜测。”
记者发现,无论是支付宝、滴滴、淘宝网还是高德地图,在共享用户和个人信息条款中都提到了一些可能不经过用户同意的例外情况,其中包括学术研究、为了提高服务质量、授权第三方合作伙伴等。“个人信息的收集和处理过程应该经过信息主体的同意。目前已经生效的法律并未规定‘学术研究、合法的新闻报道、征信的信息’可以不通过用户就能公开,所以这一条款不合规。”邓学平对记者说。邓学平是京衡律师集团上海事务所合伙人律师,他曾是一位资深的检察官。
《个人信息保护法》(草案)第22条、第37条有如下表述:“学术研究有必要且无害于信息主体重大利益的,可以处理和利用个人信息,但研究人员或机构应当采取必要的保密措施,且不得超出特定目的”,邓学平称:“这并非正式立法,目前尚不具备法律效力。”
“出于社会公共利益目的的学术研究一般不会对具体的个人权益造成侵害,如果事事都同意,对个人的打扰可能太频繁,很难操作。当然研究本身也需要非常谨慎,需要做好个人信息的去标识化工作,可以评估研究过程对个人的影响,有些情形可能需要向主管部门披露,得到批准。”中国电子技术标准化研究院何延哲博士说,他更倾向于,学术研究机构应该更重视将个人信息保护好,管理好,而不是纠结于征得用户同意。
商业利益
“如何维持一个免费的商业模式?”参议员Orrin Hatch问扎克伯格。“我们卖广告。”
“是不是得给你钱,才能保住我自己的信息?”另一位参议员Bill Nelson追问。“这不是出售个人隐私,而是一种广告投放策略。”扎克伯格回答。
在大洋此岸,依托大数据的商业模式同样热门。
“我们会通过使用收集的信息的数据,向您提供更加相关的广告以替代普遍投放的广告。”“为了让您有更好的体验、改善我们的服务或您同意的其他用途,在符合相关法律法规的前提下,我们可能将通过某一项服务所收集的信息数据,以汇集信息数据或者个性化的方式,用于我们的其他服务。”
这是今日头条隐私政策中的内容。今日头条创始人、CEO张一鸣曾表示,今日头条是一个资讯分发平台,文字、图片、视频,甚至问答、直播等各种形式的资讯内容都可以通过今日头条的推荐系统找到对它感兴趣的用户,当然广告也可以精准推荐,“比如,家庭主妇会收到家常食谱的信息,体育爱好者会看到足球比赛推送。”
3月29日,这家声称利用大数据进行用户行为画像,实现精准推送的公司因“在二三线城市的APP界面刊登虚假广告,明着合法,暗中违规二次跳转广告页面”而遭曝光。
但产业发展确实需要数据。阿里巴巴集团董事局主席马云不止一次提到,互联网的技术革命,未来的三十年才是真正的巨大机会所在,“数据将成为核心的资源”。
企业们需要的数据不局限于我们目前经常讨论的网购、电话号码等等数据。“过去一年,我们用户检测量从去年的3万,增长到现在的16万,同比增长了5倍多,这是今天中国最大的消费级基因检测数据库。”4月10日,在23魔方第四代基因检测产品的发布会上,CEO周坤宣布了这所公司目前累积的用户数据。Wegene的创始人陈刚也表示,“We gene的下一个目标是将解读的结果更加丰富、准确”。这些都依赖于足够多的数据。
这些边界在不断扩展中的数据以及日益扩大的商业应用,会带来严重的伦理问题。一个人的生物特征是非常重要的数据。当一家保险公司能够预测到你即将有大病的时候,他还会接受你的投保吗?“但在中国,总体来说会把科学发展放在这些不太确定的道德顾虑之前。”李开复此前曾表示。人工智能、大数据领域是他所创办的创新工场重点投资的领域。
“从我们对敏感权限获取的测评结果来看,几乎没有任何一家企业遵守了‘最小必要’原则。”蒋琳说,“很多企业常见的做法是能收集多少就收集多少,不要白不要,因为可能现在不用,但未来或许会用到”。
而如果APP读取了位置权限、结合时间、照片等信息,就能刻画出用户的日常行为,中国科学院计算技术研究所大安全方向总师、中国科学院计算所研究员、科研处副处长王元卓告诉记者。“现如今,个人隐私主要以数据、信息的方式存储,其产生、传播和使用都变得网络化、商业化。然而,我们的立法和执法显然还没有完全跟上这样的变化。”邓学平表示,这导致的现实困境是,公民个人信息保护更多的依赖像阿里、腾讯这样的互联网巨头的道德自觉。
监管选择题
“在大数据时代,一部分人以技术的名义公然践踏公众的基本权利,可是社会法律和管理机构却跟不上趟。”一位艺术评论家在看了邓玉峰的展览时发了如上朋友圈。
已正式生效的《网络安全法》对个人信息保护做出规定,明确了对个人信息收集、使用及保护的要求,并规定了个人对其个人信息进行更正或删除的权利。
2018年1月,国家标准《信息安全技术 个人信息安全规范》(以下简称“规范”)发布全文,进一步对个人信息的收集、保存、使用、委托处理、共享、转让和公开披露做了规定,对个人信息和个人敏感信息作了定义。这项国家标准被视为《网络安全法》的重要参考,“国家标准的发布目的,就是为了指导企业在国家法律框架下,更好地将个人信息保护工作落到实处,也就是给出了经广泛讨论和认可的最佳实践。”何延哲说。
从2016年国家标准《信息安全技术 个人信息安全规范》立项之后,何延哲的职业生涯就与信息安全更加紧密地结合在一起,他发的朋友圈里几乎都是与信息安全相关的话题。
何延哲也是该国家标准的起草人之一,他一方面希望能够化解民众对企业的误解,“用户如果存疑,可以打上面的申诉电话,而不是单纯猜测。”一面希望能使所有企业重视起用户的隐私保护,“如果隐私条款中没有申诉电话,表明他们不够规范”。
在标准制定中,进行多方面的参考、权衡,是他们面临的不小难题。这项国家标准从2016年开始立项,经历广泛的讨论和修订,例如对个人信息、个人敏感信息的界定,征得同意的方式,共享转让环节的规定等等进行多次的征求意见。
这项标准在制定期间参照了《网络安全法》等一系列中国在个人信息保护方面提出要求的法律法规,也参考了欧盟的《一般数据保护条例》,即GDPR、ISO29000系列等国际范围内的个人信息保护法律法规及标准,同时,从国内主要存在的个人信息保护现状和问题出发制定标准,更侧重标准的实用性。
2017年7月至9月,在中央网信办、工信部、公安部和国家标准委等四部门指导下,信安标委组织了对10款常用APP隐私条款的评审工作,这些APP也陆续修订完善了隐私政策,给用户更多的隐私相关的提示和选择,也上线了注销账户功能。“隐私政策虽不是个人信息保护的全部,但是企业展示个人信息保护措施的窗口,通过评审,能提升了企业的责任感,提升了全社会的隐私保护意识,是一个正向的引导和推动作用。”何延哲看来,隐私条款制定起来并不容易,需要结合产品特点长期优化,“有些APP涉及的功能太多了,所以我们希望他们能够区分核心功能和附加功能。核心功能用户肯定要同意,不然不能用。附加功能是可以让用户选择的。”
此外,何时需“明示同意”,何时需“授权同意”,也经过多次讨论,最终确定,对个人敏感信息,要求明示同意,对于非敏感信息则是“授权同意”。《网络安全法》起草人之一、北京大学互联网发展研究中心高级顾问洪延青在一次公开场合解释道,目前承认“授权同意”,是希望互联网企业做到明示同意,但如果现实大量的场景做不到明示同意的话,还是需要用到授权同意的。“从这一点上我们的标准实际上比欧盟松得多,跟相对宽松的美国相对是看齐的。”
去年夏天的那场测评,何延哲和他的同事们协助那10款APP的企业进行隐私条款的修改。
虽然随着大数据发展,对于隐私保护的重视不断加强,但关于个人隐私保护的侵权诉讼案件却不多。“最大的问题就是因为我们国家现在还没有一个关于个人信息保护相关的专门立法。”中国首席数据官联盟专家组成员,法律顾问,观韬中茂(上海)律师事务所合伙人王渝伟说,尽管对于个人信息保护的细则规定得相对来说非常全面了,但由于只是一个推荐性的国家标准的规范,并不具有直接的强制执行力。
“在个人信息保护方面,《网络安全法》仍然是大而化之,缺乏对个人信息从收集、存储、使用、救济等全流程的保障机制。”在邓学平看来,虽然很多立法都有保护公民个人信息的立场宣示,但在具体的保护方式、保护手段方面却往往付之阙如,相关职能部门更是鲜少主动执法。
这种“大而化之”的做法,也并非没有理由。
何延哲称,个人信息保护领域的很多问题尚未有定论,比如个人信息的权属问题、关于征得同意的方式方法问题等等,最好是能够在专门的个人信息保护法中明确。同时,正是因为这些争议,也造成了立法本身的难度增加。“对于立法而言,只能将其中的部分信息纳入保护范围,如何划分这个界限就考验着立法者的智慧。”傅达林,解放军西安政治学院军事法学系理论军法教研室副主任早在一篇《个人信息保护如何突破立法藩篱》的文章中表达过类似观点。
欧盟的GDPR被称为史上最严苛的数据保护规定,而美国的个人信息保护则侧重于行业自律。“欧美国家在个人数据的保护立法政策上选择了不同的模式,这将是未来我国立法模式选择的方向。”王渝伟说,“尽管我国制定的个人信息安全规范的国家标准是参考了GDPR,但同时也加入了符合中国国情的做法,我认为中国会采取一种介于美国和欧洲之间的规定,因为如果过于严苛,会限制行业的发展。”
一个折中的方式是在大数据发展的阶段,可以通过软性监管的方式,何延哲称,目前我国个人信息保护方面尚未发布专门的法律,但个人信息保护的问题尚需得到重视,那么国家标准的发布在指导实践与供监管机构参考方面都有很高的价值。在他看来,在数字经济蓬勃发展的形势下,倡导企业使用标准、规范自行自律,也是一种可行的监管方式。
作为监管方,在大数据发展和隐私保护上,这道选择题依然难解。
“信息时代我们每个人将再也没有秘密,数据可以看出一个人的生活方式,消费高低、喜欢趋向、具体位置、政治、性格等等等等!我们的生活变成了别人的数据,我们的数据变成了别人的选择,我们的选择变成了别人的权力,这可能是我们人类有史以来最囹圄的时代。”当Facebook被曝泄露5000万用户数据的消息传出后,邓玉峰在朋友圈里写下这样一段话。