對于這類(lèi)問(wèn)題,我國從2017年開(kāi)始施行的《網(wǎng)絡(luò )安全法》確立了網(wǎng)絡(luò )運營(yíng)者收集、使用個(gè)人信息必須遵循合法、正當、必要等原則。但隨著(zhù)用戶(hù)個(gè)人信息被搜集、存儲的機會(huì )越來(lái)越多,各類(lèi)侵犯用戶(hù)隱私信息的行為依然層出不窮,一些涉隱私的用戶(hù)數據泄露事件也頻頻發(fā)生,App過(guò)度索取權限、超范圍收集、使用個(gè)人信息等現象屢禁不止。
針對這類(lèi)現實(shí)問(wèn)題,前不久閉幕的全國兩會(huì )也傳出消息,《個(gè)人信息保護法》已被提上本屆全國人大立法日程。3月15日,國家市場(chǎng)監管總局、中央網(wǎng)信辦也聯(lián)合發(fā)布了《關(guān)于開(kāi)展App安全認證工作的公告》及實(shí)施規則,以規范App收集、使用用戶(hù)信息特別是個(gè)人信息的行為,加強個(gè)人信息安全保護。
不過(guò),中國青年報·中青在線(xiàn)記者采訪(fǎng)后了解到,這些監管政策在促進(jìn)隱私保護體系日趨完善的同時(shí),也面臨著(zhù)不小的阻力。各方也在尋找,除法律法規等力量以外,還有哪些市場(chǎng)和技術(shù)力量可以平衡隱私保護與數據效率這對矛盾?
屢禁不止!近七成用戶(hù)遭遇App過(guò)度獲取隱私權限
在搜索引擎中查看了大量關(guān)于雅思考試的內容后,武漢大學(xué)生林海手機中的購物App首頁(yè)就被雅思相關(guān)書(shū)籍和材料攻陷了?!伴_(kāi)始是驚訝,隨后是憤怒,然后又感到害怕?!彼@樣形容自己發(fā)現這一事實(shí)后的感受。
在當下,此類(lèi)現象屢見(jiàn)不鮮。另一位大學(xué)生楊小葉在手機上安裝了一款鏡子App,在無(wú)意間,她發(fā)現這個(gè)App竟然“合法”地訪(fǎng)問(wèn)了她的通訊錄。另一款功能單一的手電筒App甚至冠冕堂皇地要求獲得手機的錄音權限。
2018年7月17日至8月13日,中國消費者協(xié)會(huì )組織開(kāi)展的“App個(gè)人信息泄露情況”問(wèn)卷調查顯示,85.2%的受訪(fǎng)者表示遭遇過(guò)App個(gè)人信息泄露情況;67.2%的受訪(fǎng)者表示,自己所使用的App在其功能不必要的情況下獲取了手機中的隱私權限。
這項調查還顯示,讀取位置信息權限和訪(fǎng)問(wèn)聯(lián)系人權限,是安裝和使用手機App時(shí)遇到最多的情況,通話(huà)記錄、短信記錄、攝像頭、話(huà)筒錄音等權限也常常被App要求獲取。
中國政法大學(xué)傳播法研究中心副主任朱巍對App過(guò)度獲取隱私權限的行為深有體會(huì )。他曾在手機上安裝使用過(guò)一個(gè)著(zhù)名App,但因為經(jīng)常發(fā)送廣告,他就把這個(gè)App卸載了。但卸載之后,他還是能時(shí)不時(shí)地收到該App平臺發(fā)來(lái)的短信廣告,有時(shí)甚至還會(huì )根據他所在的城市推送相應的廣告。朱巍猜測,這可能是因為,自己在一開(kāi)始使用這個(gè)App時(shí),就在使用協(xié)議中允許其獲取過(guò)多的隱私權限。
觀(guān)韜中茂(上海)律師事務(wù)所合伙人王渝偉認為,由于許多企業(yè)積弊難改,自身合法合規和政府執法都需要時(shí)間和經(jīng)濟成本,再加上過(guò)度收集信息所獲取的經(jīng)濟收益誘人,這些因素都致使相關(guān)法律的推行困難。
騰訊公司法務(wù)部數據及隱私中心負責人黃曉林指出,App獲取用戶(hù)權限過(guò)多、過(guò)度的問(wèn)題由來(lái)已久,有些App超出必要范圍獲取用戶(hù)的敏感權限很不應該。但這些現象屢禁不止的原因在于,其所面臨的法律風(fēng)險可能遠遠小于可以獲得的商業(yè)利益。
黃曉林還補充說(shuō),有很多App集成了多種功能,甚至在未來(lái)的迭代升級中會(huì )具備更多功能,為了實(shí)現這些功能,App會(huì )要求獲取更多權限。在這種情況下,判斷其是否過(guò)度獲取用戶(hù)權限,是否合規,還需要針對每個(gè)App的具體功能來(lái)做具體判斷。
成效如何?App安全認證開(kāi)始實(shí)施
針對App過(guò)度獲取隱私權限等現象,3月15日“國際消費者權益日”當天,國家市場(chǎng)監管總局和中央網(wǎng)信辦聯(lián)合出臺了《關(guān)于A(yíng)pp安全認證的公告》,指定中國網(wǎng)絡(luò )安全審查技術(shù)與認證中心(ISCCC)為官方認證機構,依據《信息安全技術(shù)個(gè)人信息安全規范》來(lái)制定技術(shù)驗證規范,對App進(jìn)行安全認證。
中國青年報·中青在線(xiàn)記者了解到,上述App安全認證相關(guān)通道已經(jīng)于3月21日正式開(kāi)通。認證秉承自愿原則,按照“技術(shù)驗證+現場(chǎng)核查+獲證后監督”的模式進(jìn)行,對于通過(guò)認證的App,將鼓勵搜索平臺和應用商店優(yōu)先推薦。針對App中涉及個(gè)人信息安全的具體技術(shù)驗證規范已經(jīng)制定完成,將會(huì )對參與驗證的機構公開(kāi)。
作為互聯(lián)網(wǎng)公司的隱私保護從業(yè)者,黃曉林對上述App認證持相對樂(lè )觀(guān)的態(tài)度,“對整個(gè)行業(yè),對個(gè)體和隱私保護(這方面),都會(huì )有更加正向的作用,會(huì )引領(lǐng)各家企業(yè)更加重視這方面的內容?!?br />
黃曉林也指出,目前市場(chǎng)上App數量眾多,企業(yè)能否花費足夠的時(shí)間和經(jīng)濟成本參與其中還有待觀(guān)察。但對占據大多數市場(chǎng)份額的App和企業(yè)來(lái)說(shuō),這是一種自我糾錯的過(guò)程,可能從源頭上推動(dòng)企業(yè)更加合規。他期待,這類(lèi)App安全認證工作可以在更多技術(shù)手段的幫助下,更加自動(dòng)化、高效率,甚至像殺毒軟件一樣普及,從而進(jìn)一步推動(dòng)App合規運營(yíng)。
作為長(cháng)期關(guān)注隱私保護領(lǐng)域的律師,王渝偉表示,App安全認證的做法屬于市場(chǎng)調節的治理方法,將使得隱私治理的手段更加多樣化。不過(guò)他也指出,盡管此次App安全認證的框架已定,但是仍存在許多邊界不夠明確的地方。例如,細則中出現了重大信息安全事件這一概念,但現行法律對于如何界定重大信息安全事件尚無(wú)明確規定。
中國網(wǎng)絡(luò )安全審查技術(shù)與認證中心(ISCCC)相關(guān)人員告訴中國青年報·中青在線(xiàn)記者,目前確無(wú)對上述概念的明確定義,將會(huì )參照部分個(gè)人信息安全相關(guān)的評估指南來(lái)作為評判的標準。從公開(kāi)的細則來(lái)看,目前對于通過(guò)認證的App主要的監管手段依然是以企業(yè)自查為主,輔之以社會(huì )監督,但真正交由第三方的監督卻十分有限。同時(shí),由于認證是自愿進(jìn)行,未通過(guò)認證的App如何管理依然沒(méi)有得到徹底有效的解決。
鼓勵制衡!技術(shù)界尋解決方案
對于因大數據技術(shù)的發(fā)展而帶來(lái)的隱私保護問(wèn)題,技術(shù)界也在關(guān)注并且研究相應的解決辦法。
3月23日,在中國計算機學(xué)會(huì )青年計算機科技論壇(CCF YOCSEF)舉辦的“人工智能時(shí)代,隱私和效率一定是不可調和的嗎?”專(zhuān)題討論中,有技術(shù)人員介紹稱(chēng),在杭州等地已經(jīng)在嘗試基于區塊鏈技術(shù)開(kāi)展隱私保護,大致的思路是利用公有鏈形式開(kāi)展數據交易,以聯(lián)盟鏈形式開(kāi)展數據加密保護。
對于區塊鏈技術(shù)在隱私保護領(lǐng)域的應用,中國人民大學(xué)教授孟小峰指出,去中心化、可溯源的區塊鏈技術(shù)是一個(gè)可以研究的隱私保護方向,其有利于在隱私泄露之后溯源、追責,但由于技術(shù)尚不成熟、效率不高等問(wèn)題,區塊鏈技術(shù)應用于隱私保護領(lǐng)域還處于探索階段,而且區塊鏈的使用成本也較高,監管部門(mén)或者企業(yè)會(huì )否采用尚無(wú)法確定。
作為技術(shù)界的實(shí)踐者,360行業(yè)安全研究中心主任裴志勇認為,采用區塊鏈或是大數據技術(shù)來(lái)監測隱私泄露情況在技術(shù)上都是可行的,但是在實(shí)際操作中則面臨著(zhù)成本過(guò)高和依然需要大量人力資源的問(wèn)題。
在上述專(zhuān)題討論會(huì )議上,裴志勇提出一個(gè)設想,將目前應用于云計算領(lǐng)域的“三方制衡原則”引入到App安全監管中:將涉隱私的個(gè)人數據所有者、運營(yíng)者和管理者相分離,避免一個(gè)主體既是裁判又是運動(dòng)員,把這種制衡的能力商業(yè)化,鼓勵一種能夠制衡企業(yè)利用用戶(hù)數據的產(chǎn)業(yè)快速發(fā)展,從而形成長(cháng)期持續的市場(chǎng)化監管。
作為法律學(xué)者,朱巍認可裴志勇提出的上述觀(guān)點(diǎn)?!安荒芤粋€(gè)人又當運動(dòng)員,又當裁判,政府不行,企業(yè)也不行?!彼J為,即將出臺的個(gè)人信息保護法需要作出底線(xiàn)規定,讓個(gè)人信息保護真正回歸到個(gè)人權利本身,在此基礎上,通過(guò)企業(yè)之間的相互競爭與制衡,尋找更多更可行的辦法。