近日,大數據洩露個人隱私的一個案例引發廣發關注——一款航旅類App測試中的“虛擬客艙”功能可查看同艙乘客信息。
實際上,近年來因“一攬子”授權隱患、企業隱私保護不當等原因造成的隱私洩露事件,並不罕見。
在《網絡安全法》實施一週年之際,多位專家在近日舉行的“數據治理和網絡安全研究聯盟”2018年度論壇上建議,通過立法強化個人信息保護,推動分散監管走向統一,以促進企業合規發展和市場規範。
6月11日,有網友發文稱,自己使用航旅縱橫App查看座位信息時,可以查看同艙乘客的個人主頁,包括對方的一些個人信息,以及選座偏好和飛行熱力圖等,還可以與其私聊。
2017年6月正式實施的《網絡安全法》第四十一條規定,網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和範圍,並經被收集者同意。
然而,記者發現,互聯網企業通常會採用讓用戶同意隱私政策的方式達到合規要求。部分產品在徵求用戶同意時要求“一攬子”打包授權。“一攬子”授權後,企業默認用戶同意自己對其信息的處理方式。
“一攬子”授權看似遵循了法律的相關規定,但由於企業的模糊處理、不當處理等因素,仍有許多隱患。
此前,支付寶年度賬單首頁因默認勾選同意《芝麻服務協議》而被指洩露隱私。
南都個人信息保護研究中心發佈的《2017個人信息保護年度報告》顯示,在對1500多個APP與網站的隱私政策測評中,8成以上的平臺隱私政策透明度低,且普遍存在文本晦澀冗長、暗藏格式條款等弊病。
中國人民大學法學院教授張新寶指出,儘管用戶同意已經成為個人信息保護的公認原則,但由於信息和能力的不對稱,用戶不太可能瞭解個人信息收集的範圍和處理的方法,更難以預見可能遭到的損失。
以“服務”為名的隱私漠視
航旅縱橫的“虛擬客艙”功能遭質疑後,其回應稱,該功能是為了探索在線模式下用戶出行服務的創新可能。
大數據時代,數據收集和利用成為互聯網行業發展的基礎。有觀點認為,過分強調個人數據的控制可能會限制創新和服務。
調查發現,很多互聯網用戶沒有完整閱讀過隱私政策。原因之一在於,用戶即便知道某些條款可能會洩露隱私,但為正常使用服務“沒得選”,不得不“被同意”“被授權”。
更常見的是,無需用戶同意和授權,網絡平臺仍可以通過cookie等技術手段採集用戶數據,做出相應的“用戶畫像”,從而推送精準的定向廣告。
大數據營銷在創造價值的同時,也帶來一定的侵權風險。此前有消費者爆料,作為某網站的“熟客”卻受到“價格歧視”,比普通用戶承擔了更高的費用。
業內人士指出,企業基於消費者信息的“創新”服務,不能漠視用戶隱私,應該按照用戶群體中最敏感者的標準而設計產品。
“大數據時代,每個人都是數據主體,都可能因為信息洩露而受到侵害。如果沒有個人的參與,數據保護工作很難形成長效治理。”中國社科院法學研究所研究員周漢華認為,個人參與的核心就是對自己的數據有控制權。
推動分散式監管走向統一
今年5月初,推薦性國家標準《信息安全技術個人信息安全規範》正式實施,這被認為填補了實踐標準上的空白。
該《規範》明確,收集個人敏感信息時,平臺應徵得用戶明示同意,並建議區分核心功能和附加功能,以此打破“一攬子授權”的難題。
不過,多位專家提醒,還需進一步通過立法強化個人信息保護。
中國政法大學教授汪慶華便認為,我國目前採取的是一種分散式的立法,個人信息保護分散在很多法律中。如何讓分散式的監管走向統一,是我國個人信息保護立法面臨的緊迫問題。
閱讀更多 加米穀大數據 的文章
