這兩天刷屏的兩會記者“微(fan )表(bai) 情(yan) ”事件,當事兩位記者的信息被迅速公開,讓人在感嘆網絡力量強大的同時,不禁思考如果我們是事件中的當事者,情何以堪。在網絡時代,購物、打車、叫餐、通訊,我們的信息無時無刻不在被搜集和使用,有句話叫“大數據比你自己更懂你“,最近一篇“大數據殺熟”的文章,顯示不少商家,對老客戶采取了不同的定價措施,更是引起熱議。在互聯網時代,數據和信息已經是最重要的消費者權益,在315這一天,討論消費者權益保護,繞不開用戶數據和個人信息。
一、天下沒有免費的午餐
微信掃描公眾號,立刻送礦泉水、濕巾或者免費打印照片,看似“福利”的同時,實際已經誘使你許可商家使用、共享你作為微信用戶的昵稱、頭像和部分數據。你的個人信息無形中已經被采集和使用。
那么,什么是個人信息呢?國家標準化委員會制定的《信息安全技術跟信息安全規范》(GB/T 35273—2017)(以下簡稱“《個人信息安全規范》”)在2018年1月24日正式公布,并將于2018年5月1日正式實施。根據《個人信息安全規范》,個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息。在《個人信息安全規范》的附錄B中,更是以舉例列示的方式,介紹了個人敏感信息。具體見下表:
根據上述規范,郵箱地址、系統賬號都是個人敏感信息,一旦泄露,極易引起個人名譽、身心健康受到損害,所以各位消費者們,一定要珍惜自己的個人信息,重視互聯網時代的數據安全,不要輕易把自己的重要信息“賤賣”了哦。
同時,根據《個人信息安全規范》,收集個人敏感信息,應取得個人信息主體的明示同意,應確保個人信息主體的明示同意是在其完全知情的基礎上自愿給出的、具體的、清晰明確的愿望表示。按照這一標準來評判,目前國內的相當部分互聯網運營主體、商家,即便如BAT這樣的互聯網巨頭,在個人信息的采集、使用上,距離法律合規都有不小的差距,不信,請往下看。
二、支付寶的“陽謀”
2018年1月,支付寶推出的“年度賬單”頁面,針對芝麻信用的附加業務功能,采用“默認勾選”的方式誘使用戶在瀏覽賬單的同時簽訂《芝麻服務協議》受到了廣大網友的批評和質疑。在1月3日,芝麻信用官方微博公開承認“我們錯了”、“愚蠢至極”,并在年度賬單中的“默認同意”改為了用戶的“主動同意”。1月6日,國家互聯網信息辦公室網絡安全協調局因此約談了支付寶(中國)網絡技術有限公司、芝麻信用管理有限公司的有關負責人。
這一事件也引發了對于用戶的知情同意采取何種方式進行表示,以及個人信息收集的必要性問題的思考。
三、不同信息類型下的“用戶同意”
1、收集個人一般信息時的授權同意
《個人信息安全規范》規定,采集個人一般信息,最低程度應當取得個人信息主體的授權同意。獲得授權同意時,應當向個人信息主體明確告知提供產品或服務分別收集的個人信息類型,以及收集、使用個人信息的規則(例如收集和使用個人的信息的目的、收集方式、頻率、存放地域、存儲期限、自身的數據安全能力、對外共享、轉讓、公開披露的有關情況等)。目前,不少互聯網商家在注冊頁面時以“默認勾選”方式征求用戶同意,這種設置不顯眼的“默認勾選”與《個人信息安全規范》規定的“個人信息安全基本原則”第C項“選擇同意原則”存在沖突,技術上軟件能實現“默認勾選”,顯然同時也能做到“留給客戶自行勾選”,以“默認”方式替用戶選擇實際上侵犯了用戶的選擇自由,更何況根據《個人信息安全規范》,授權同意僅適用于個人一般信息,而實踐中,個人一般信息和個人敏感信息難以明確區分并且可能相互依存,而后者將適用我們接下來介紹的“明示同意”。
2、收集個人敏感信息時的明示同意
《個人信息安全規范》規定,收集個人敏感信息,應取得個人信息主體的明示同意。明示同意是指個人信息主體通過書面聲明或主動做出肯定性動作,對其個人信息進行特定處理做出明確授權的行為。所謂“肯定性動作”,包括個人信息主體主動作出聲明(電子或紙質形式) 、主動勾選、主動點擊“同意”、“注冊”、“發送”、“撥打”等。現實中,軟件、APP一般會在注冊、登陸頁面下方提供《隱私政策》、《用戶協議》等相關文本供用戶瀏覽和勾選同意。
然而根據《個人信息安全規范》附錄C,無論是核心業務功能還是附加業務功能,在取得個人信息主體對個人敏感信息收集、使用行為的同意時,相關功能界面均采取彈窗式,這一點或者成為未來對個人信息安全監管和執法的倡導性要求,各互聯網企業和個人信息控制者應當予以充分的重視。
3、核心業務功能和附加業務功能的區別
《個人信息安全規范》對核心業務功能和附加業務功能所必需收集的個人敏感信息。個人信息主體如何同意的方式,還做出了區別規定。對于核心業務功能,應告知所需收集的個人敏感信息以及拒絕同意帶來的影響,允許個人信息主體“一攬子”選擇是否提供或同意;對于附加功能,收集前應向個人信息主體逐一說明為完成何種附加功能所必需,并允許個人信息主體逐項選擇是否同意,當個人信息主體拒絕時,可不提供相應的附加功能,但不得以此為由停止提供核心業務功能,即避免“捆綁式同意”。舉例說明之,QQ的核心功能是即時通訊(聊天),若需開啟語音、拍照等附加功能,則需另行授權和同意,又比如用戶除了用微信聊天外,還想使用微信錢包,則有必要對個人財產信息進行單獨的明示同意,如用戶拒絕為上述附加功能提供個人信息,騰訊也不得因此停止基本的通訊、聊天等核心功能。
四、結語
毋庸置疑,在這個信息時代,任何人不可能如同“孤島”一般存在,個人信息不再是私人領域的絕對所屬,必然進入公共領域所用之,但個人仍然對其信息的收集、利用享有權威的決定權。在針對個人信息被過度采集、濫用以及非法交易暴露出的種種問題,不僅需要從法律法規完善,更需要各類企業的自覺尊重公民信息的權利,以及公民提高保護個人信息的意識等多維度共同努力解決,不可謂不任重而道遠。
