本报简介互联网公司侵害个人信息乱象
随着我国互联网迅速发展,一些公司对公民个人信息的侵害手段也在不断翻新。随着今年年初支付宝年度账单等热点事件的发酵,从而再次引发社会对个人信息安全的高度关注。
新年伊始,支付宝年度账单刷爆朋友圈,但账单在“服务协议”中默认允许支付宝收集用户信息包括在第三方保存的信息,一时引发全民声讨,也将“个人信息安全”再度推上风口浪尖。
从网购、网约车、共享单车到手机游戏,人们生活的各个角落几乎都被网络覆盖,尤其是各类手机应用软件(下称App)的广泛应用,已经使传统的生产生活方式产生深刻变革,同时,人们在网络上的一举一动都能被数据化,对个人信息安全的担忧也达到前所未有的状态。
而支付宝年度账单事件非其一家之态,一直以来都是互联网行业的常态。除了此种方式外,随着技术日新月异的发展,互联网公司搜集、滥用用户个人信息,侵犯公民个人隐私的现象更是五花八门。
为用户默认勾选引众怒
1月3日,支付宝发布年度账单,为消费者总结过去一年的消费情况和未来一年的年度关键词,这样的形式深受用户喜爱,从而引发朋友圈晒账单狂潮。
但随即,北京市岳成律师事务所高级合伙人岳屾山律师在微博发出质疑。他发现,在账单首页有不明显的小字体显示,支付宝为用户默认勾选了同意《芝麻服务协议》的选项。“如果你没注意到,就会直接同意协议,允许支付宝收集你的信息,包括在第三方保存的信息。”
该《芝麻服务协议》内容显示,“您同意我们向第三方收集并在适用的法律法规许可内向信息使用者依法提供这些信息时,您已经充分理解并知晓该等信息被提供和使用的风险。这些风险包括但不限于:纳入这些信息对您的信用评级(评分)、信用报告等结果可能产生的不利影响,该等信息被本公司依法提供给第三方后被他人不当利用的风险,因您的信用状况较好而造成您被第三方向您推销产品或服务等打扰的风险。”
这样的方式与内容,引发广大网友的不满和质疑,在网络上发酵,芝麻信用官方连夜发表致歉声明并对其进行修正。“芝麻信用”表示,这样的推广方式“初衷没错”,但“愚蠢至极”,此前没有开通“芝麻信用”的客户,这次在年度账单中不管是默认勾选还是主动同意,都不会因此成为“芝麻信用”的用户。
北京市法学会电子商务法治研究会会长、北京市律师协会消费者权益保护专业委员会主任邱宝昌在接受民主与法制社记者采访时表示,从消费者权益保护的角度看,支付宝用小字默认勾选,使消费者很容易忽视,侵害了消费者的知情权和选择权。
邱宝昌还表示,同时这也侵害了个人信息安全权,还涉及隐私权、财产安全、人身安全。
中国人民大学法学院副院长、金融科技与互联网安全研究中心主任杨东表示,支付宝此次行为,因关联向第三方收集信息,所以涉及对信息的二次收集问题,虽然与首次收集相比,二次收集在可能造成的损害程度上一般相对较小,但也不排除会造成非常大的危害的情况,而且二次搜集利用也是要经过消费者同意的。
杨东分析称,在互联网行业内,支付宝是相对较老实的网络经营者,此次事件从其本意上看还是想得到消费者同意。而大多数网络经营者都是在用户不知情的情况下对个人信息收集并利用。
越界收集信息是行业常态
邱宝昌也认为,这样的现象在互联网行业是普遍存在的,一直都是“温水煮青蛙”,这次被律师爆出来得到了广泛关注。“所以在谴责支付宝的同时,其他企业也不能例外。”
按照2012年12月28日通过的《全国人大常委会关于加强网络信息保护的决定》(下称《决定》)第2条规定,网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。同时还要公开其收集、使用规则。
“根据《决定》内容,合法性、正当性和必要性,是互联网公司收集和利用公民个人信息应当遵循的原则,这三个原则在后来2014年3月15日修订的新版《消费者权益保护法》中也得到体现。”邱宝昌说。
尽管如此,不少行业专家观点和相关的专业调研报告结果显示,互联网经营者越界获取公民信息也是常态。
全国人大常委会执法检查组委托中国青年报社社会调查中心所做的“万人调查报告”显示,有49.6%的受访者曾遇到过度收集用户信息现象,其中18.3%的受访者经常遇到过度采集用户信息现象;有61.2%的人遇到过有关企业利用自己的优势地位强制收集使用用户信息,如果不接受就不能使用该产品或接受服务的“霸王条款”;有52.5%的人认为执法部门保护用户信息的成效一般或者不好。
DCCI互联网数据中心联合360手机卫士对中国Android手机App的隐私状况跟踪,对近700个手机App进行专项检测,在其发布的《2017年中国Android手机隐私安全报告》中显示,相比2016年,核心隐私权限中的越界获取“通话记录”和越界“读取彩信记录”出现大幅度增长。
“互联网经营者收集信息与其功能之间要有必要性,比如地图类App收集位置信息就比较正常。音乐软件要收集通讯录、通话记录等信息就不正常。”邱宝昌说,“互联网经营者必须要考虑收集的合法性、正当性和必要性,明确告诉消费者收集信息的目的、用途、方式和范围等,还要以醒目的方式提醒。”
他还强调,互联网公司对信息的收集合不合法要分情况。如果收集的是不必要的信息,即使经过消费者同意,其收集行为也是不合法的。
侵害手段层出不穷
互联网技术的发展是日新月异的,对公民个人信息,除了越界收集、过度获取等常见现象,其他侵害方式和手段也层出不穷,只有想不到,没有做不到。
2017年,随着共享经济的浪潮到来,共享单车也大热起来,人们只要用手机微信扫描二维码便可开锁骑车,极大方便了人们出行,但同时出现了不法分子用虚假二维码覆盖原二维码的违法行为,用户一旦没有发现,就会跳转到含有木马的假租车软件上,被盗取个人信息和银行卡信息。
去年“3·15”晚会上,用户使用免费的充电桩被强装软件、盗取信息的现象也被曝光。
除了在共享经济领域,不法分子还盯上了热门手机游戏《王者荣耀》。去年6月,360手机卫士紧急发布消息称,国内已出现冒充“王者荣耀”辅助工具的手机勒索病毒。安装该软件后,病毒将会对手机中照片、下载、云盘等目录下的个人文件进行加密,并索要赎金。
除此之外,大量的信息泄露和信息买卖案件也不断被爆出。全国人大常委会副委员长王胜俊在作上述《实施情况报告》时指出,当前在一些地方,利用网络非法采集、窃取、贩卖和利用用户信息已形成黑色产业链。从公安部门近期破获的案件看,用户信息泄露呈现渠道多、窃取违法行为成本低、追查难度大等特点,而且违法分子使用的手段不断升级,因用户信息泄露引发的“精准诈骗”案件增多,给人民群众财产安全造成严重危害。
事实上,除了上述的《决定》《消费者权益保护法》外,从去年6月1日开始施行的《网络安全法》,以及《刑法修正案(九)》中都有对企业和个人收集、使用公民信息,以及非法获得和买卖信息的相应规定。
尽管如此,互联网企业对公民个人信息的侵害行为仍大量存在。对此,杨东认为,现在的数据是比石油还宝贵的存在。邱宝昌说:“一切都是利益惹的祸。”