个人信息保护立法或将迎来“加速度”
用户在初次查看2017支付宝年账单时,首页有一个勾选了“我同意《芝麻服务协议》”的默认选项,而且字体很小,很容易被用户忽略。
我国缺乏个人信息保护的统一法律。到目前为止,不仅缺少有关个人信息保护统一的专项立法,而且保护个人信息的立法规定分散、不全面,没有形成独立、统一的原则、目标和措施,难以为个人信息保护提供切实有效的法律保障。
□ 本报记者 蒲晓磊
1月3日,支付宝发布了年度账单。很快,微信朋友圈就被支付宝年度账单刷屏了。与刷屏速度同样快的,还有支付宝随后发出的道歉信。
用户在初次查看2017支付宝年账单时,首页有一个勾选了“我同意《芝麻服务协议》”的默认选项,而且字体很小,很容易被用户忽略。
支付宝的这一设计,引起了用户对个人隐私数据被利用的质疑。对此,芝麻信用于1月3日深夜在官方微博上道歉,并调整了页面,取消了默认勾选。
与支付宝同样陷入舆论漩涡的,还有百度。
1月5日,江苏省消费者权益保护委员会在官网发布消息称,针对北京百度网讯科技有限公司涉嫌违法获取消费者个人信息等相关问题,江苏省消保委于2017年12月11日提起消费民事公益诉讼。2018年1月2日,南京市中级人民法院已正式立案。
专家认为,支付宝与百度因为用户隐私问题而陷入舆论漩涡,凸显出社会对个人信息保护工作严峻形势的忧虑。
“人们越来越重视对个人信息的保护,此类问题很容易触发用户的神经。在这样的环境下,拥有大量用户的支付宝和百度,因为自身疏忽而牵扯到用户个人信息,自然会成为舆论焦点。”北京华讯律师事务所主任张韬近日在接受《法制日报》记者采访时说。
中国政法大学传播法研究,副主任朱巍认为,我国应加快个人信息保护法立法进程,对哪些个人信息可以使用、网络服务提供者有哪些义务、网络隐私侵权如何认定等作出明确规定。“据我了解,个人信息保护法已进入立法程序。”
支付宝被质疑靠默认勾选套取用户信息
1月3日,支付宝推出了2017支付宝年账单,对用户年度消费情况作出了统计。
但账单发布不久,就有用户对隐私数据提出质疑。
1月3日下午1点左右,岳成律师事务所合伙人岳屾山发布微博称,支付宝年度账单的查看和《芝麻服务协议》没有关联性,用户选择取消同意,依然能够看到年度账单。但如果用户没注意到,就会直接同意这个协议,允许支付宝收集用户信息包括在第三方保存的信息。
岳屾山认为,支付宝此举已违反了相关法律规定:根据消费者权益保护法,消费者有选择权,而不是商家替消费者选择;根据《互联网交易管理办法》的规定,经营者应当采用显著的方式提请消费者注意与消费者有重大利害关系的条款。同时对于信息收集,该规定要求经营者需要明示收集、使用信息的目的、方式和范围,并经被收集者同意。
1月3日晚上11点半左右,芝麻信用向公众致歉,称本来是希望充分尊重用户的知情权,让用户知道,只有在自己同意的情况下,支付宝年度账单才可以展示其信用免押内容,初衷没错,但方式愚蠢至极。
张韬指出,个人信息被泄露或者被滥用,会对个人造成重大的影响和不便,会干扰个人的工作、学习和生活,因此用户对个人信息的授权和二次利用等方面都会有一些防范心理。
“用户在使用相关功能的时候,其使用的目的和主要关注点,仅仅在于自己的年度账单以及在朋友圈或其他社交媒体上进行分享等,一般很难去想到默认同意以及后面的相关授权等。支付宝此次默认用户同意服务协议的行为,是出乎用户意料的,所以引起用户反感。”张韬分析。
但在浙江京衡律师事务所,合伙人李迎春看来,支付宝年度账单中的问题,不仅仅是“默认勾选”这一处。
“在支付宝的年度账单中,用户出行时选择的方式、最常去的消费场所等细节都被完整呈现出来,而这些信息的展示,并没有得到用户同意,也没有经过用户核实。可以说,支付宝对个人信息的保护并没有达到人们的预期。”李迎春对记者说。
百度因监听电话等行为被起诉
2018年第一周,围绕个人信息安全,可谓是一波未平一波又起。
支付宝因“默认勾选”所激起的风波还未平息,百度公司涉嫌违法获取消费者个人信息风波又席卷而来。
2017年7月4日,江苏省消保委就手机APP侵犯个人信息安全问题向百度公司发送《关于手机应用程序获取权限问题的调查函》,要求其就旗下“手机百度”“百度浏览器”等两款手机APP存在的相关问题派员前来接受约谈。
“但该企业仅书面对问题作了简单说明,并将权限通知及选择等义务推卸给手机操作系统,消极应对省消保委调查。”江苏省消保委指出。
在江苏省消保委多次催促、公开监督下,百度公司于2017年11月接受约谈。
江苏省消保委称,但百度公司在最终提交的整改方案中,对“手机百度”“百度浏览器”中“监听电话”“读取短彩信”“读取联系人”等涉及消费者个人信息安全的相关权限拒不整改,也未有明确措施提示消费者APP所申请获取权限的目的、方式和范围并供消费者选择,无法有效保障消费者知情权和选择权。
为维护广大消费者的合法权益,江苏省消保委向南京市中级人民法院提起诉讼,请求法院依法判决百度公司停止其相关侵权行为。
江苏省消保委指出,就手机应用程序侵害个人信息安全,运用公益诉讼这一利器,旨在保护包括但不限于江苏的众多消费者的合法权益。此次公益诉讼的提起,不仅是要求百度公司停止相关违法侵权行为,更是要促进整个手机APP行业高度重视和自觉保护消费者的信息安全。只有安全的便捷,才符合广大消费者的切实需要,才能促进手机APP行业的健康发展。
数据信息应遵循先保护后利用原则
“事实上,支付宝的行为已经算是好的。将隐私条款隐藏在服务协议里,而服务协议又因为过于冗长而很少有人会细看,经常会勾选同意,这个现象在互联网行业中非常普遍。此外,微信上的投票、小游戏等,经常要求用户授权使用头像、昵称等信息,很多情况下,个人信息都是这样被企业获取的。”朱巍说。
在张韬看来,在个人信息的利用上,互联网企业与用户之间存在着一定的矛盾:企业希望尽可能多地获取用户信息来进行商业利用,个人用户希望其信息不被或者尽量少地被企业使用或者商业利用。
这样的矛盾,也是我国大数据产业发展过程中产生的矛盾。
“大数据产业的快速发展,为人们的工作、学习和生活带来了巨大便利,也降低了企业的运营成本。对个人信息保护采取什么样的态度,非常重要。如果保护过严,可能会不利于数据产业的发展,但如果保护过松,则不利于对个人信息的保护。因此,国家在立法以及制定产业政策的时候,应当兼顾保障用户权益和促进发展。”张韬说。
张韬认为,对于数据信息,应当遵循先保护后利用的原则。
“通过对数据信息的获取、使用和共享给予一定的限制,并对相关行业和产业进行积极引导,为数据保护及使用提供法律和制度保障。因为只有保护得好,才能让数据行业这个产业健康有序发展。”张韬说。
建议加快个人信息保护法立法进程
2017年12月24日,网络安全法执法检查报告提请十二届全国人大常委会第三十一次会议审议。报告提到,用户信息泄露呈现渠道多、窃取违法行为成本低、追查难度大等特点,用户个人信息保护工作形势严峻,建议通过加快个人信息保护法立法进程、加大打击力度等方式,进一步加大用户个人信息保护力度。
多位专家在接受采访时也认为,推动个人信息保护立法工作已到了非常紧迫的时刻。
“我国缺乏个人信息保护的统一法律。到目前为止,不仅缺少有关个人信息保护统一的专项立法,而且保护个人信息的立法规定分散、不全面,没有形成独立、统一的原则、目标和措施,难以为个人信息保护提供切实有效的法律保障。”全国人大代表、华南农业大学教授陈瑞爱认为,有必要通过制定个人信息保护法,从根本上解决问题,使个人信息保护工作步入法治化轨道。
全国人大常委会委员吕薇认为,个人信息安全和隐私保护越来越成为社会治理的重要问题。然而,虽然各方面都在呼吁,但在处理上和管理上还是没有更好的办法。因此,要尽快制定个人信息安全保护标准和操作程序,在必要的时候出台个人信息保护法。
专门立法的重要目的,就是要明确网络运营者收集用户信息的原则、程序,明确其对收集到的信息的保密和保护义务,不当使用、保护不力应当承担的责任以及监督检查和评估措施。
“对个人信息的使用,应当坚持合法性、正当性、必要性原则。例如,玩游戏是否必须要求用户授权头像、位置等信息?类似这些问题,都应当在立法过程中有所考虑。”朱巍说。
“在立法中,应当对电子商务以及其他互联网领域可能侵害到消费者、企业合法权益的情况进行明确具体的规定。比如,不得以默认同意的方式让用户去授权对数据的使用,也不能用这样的方式来取得用户其他相关财产权。”张韬说。
北京京师律师事务所专业事务部主任李大伟认为,对个人信息安全单独立法势在必行。不仅要完善个人信息主体范围、个人信息管理者范围以及调整范围,在将来的立法中,还要重视行政责任、刑事责任的规定,也要补充民事责任的内容,三者相辅相成,共同营造安全有序的网络社会环境。