每日最新頭條.有趣資訊

如何救濟“互聯網+”時代被授權的隱私侵犯

當地時間3月25日,美國社交媒體臉書公司創始人、首席執行官馬克·祖克柏在在6份英國報紙和3份美國報紙上,採用道歉信形式為5000萬Facebook用戶資訊被英國數據公司劍橋分析泄露和利用一事道歉。

多達五千萬的“臉書”(Facebook)用戶資訊數據遭到泄露一事,使這家美國社交媒體巨頭面臨著自創立以來最嚴重的危機。

當地時間3月21日,臉書創始人兼首席執行官祖克柏首度打破沉默,在自己的臉書頁面發表聲明,承認公司在授權英國數據分析公司“劍橋分析”(Cambridge Analytica)使用用戶數據一事上犯下錯誤。此前的3月17日,美國《紐約時報》和英國《衛報》旗下《觀察家》報刊發的深度報導揭露,臉書上有多達五千萬的用戶資訊數據在這些用戶不知情的情形下被劍橋分析獲取並利用,用來向這些用戶精準投放廣告,幫助2016年川普團隊參選美國總統。更糟糕的是,臉書在兩年前就知曉此事,但沒有及時對外披露相關情形。

當地時間3月21日晚間,扎克伯克現身美國有限電視新聞網(CNN)正式致歉,說到動情處甚至聲音顫抖。3月25日,臉書在美英兩國九家主流報刊上刊登整版廣告向民眾道歉。但市場是無情的,至3月28日,泄密醜聞已令臉書市值減少約955億美元。與此同時,眾多用戶群起責難,“解除安裝臉書”行動在互聯網上湧動,廣告商紛紛離去,多國展開調查……臉書走到了懸崖邊上。

美國聯邦貿易委員會(FTC)已著手調查此事,臉書如有違反政府保密協定的情況,將面臨每例每日4萬美元、總計兩兆美元的高額罰款。

自進入數字時代以來,互聯網企業攫取利益的途徑早已不僅局限於研發、推廣和運營產品,廣泛收集、分析和利用用戶的各類資訊是他們獲得巨大經濟利益的隱蔽手段,這其中就有很大一部分是經用戶“授權”之後獲取。企業較為普遍的做法是,在手機應用程式(App)中通過用戶默認勾選、默認同意協定等方式采集用戶數據。

近年來,因互聯網企業不當搜集用戶資訊而引發的重大糾紛事件已有多起,國內如“支付寶年度账單事件”,國外如“臉書泄密事件”等。互聯網企業在侵犯個人數據隱私方面日漸猖獗而無收斂之勢,雖有部分企業已因觸犯相關法律而自食苦果,但更多企業遊走在法律邊緣,抱著僥幸心理,通過各種途徑收集用戶個人資訊,以達到開辟新業務或是獲取更大經濟乃至政治利益的目的。

互聯網行業的特殊性和其發展的迅速程度,決定了一些企業的行為時常處於法律規製的“灰色地帶”,加之該行業的發展給人們生活帶來極大的便利和滿滿的科技感,都使得公眾對很多尚未對具體個人利益造成嚴重損害的事件時常持“睜一隻眼閉一隻眼”的態度。不過這顯然不是放縱互聯網企業繼續“竊取”個人資訊的理由。

面對諸多仍在發生的惡劣行徑,筆者認為,企業獲取資訊的操作方式、對此類行為的法律規製路徑和未來可能的權利保護方向,都是亟待討論解決的問題。

一、互聯網企業如何被“授權”收集用戶資訊?

互聯網企業獲取用戶個人資訊,往往通過令人防不勝防的方式進行,通過接觸臉書用戶獲取資訊的劍橋分析正是如此。

據媒體披露,自2014年起,臉書的用戶能看到一個名為“這是你的數字生活”的第三方小程式軟體。這個程式的用戶在做完性格測試並分享給好友後可以拿到5美元的“紅包”。性格測試所搜集的資訊包括用戶的住址、性別、種族、年齡、工作經歷、教育背景、人際關係網絡、平時參加何種活動、發表了什麽帖子、閱讀了什麽帖子、對什麽帖子點過讚等。

劍橋分析通過這款小程式獲取了大約27萬用戶的授權。事實上,這款程式在請求用戶授權時,所要求訪問的不僅是用戶本人的臉書資訊,還包括他們在臉書上的好友的個人資料。這樣,當這些用戶將測試結果分享出去時,他們的好友的個人資料就在未經同意的情形下被讀取了。利用這些授權用戶的朋友網絡,劍橋分析總計獲得了超過5000萬臉書用戶的個人資料,之後依據這些用戶的使用習慣進行精準的資訊投放。比如,某個美國公民給某個支持私人持槍的言論點了個讚,這個讚就會被後台捕捉,之後在其首頁上就會出現有關“川普支持持槍”的新聞。

據報導,劍橋分析可能以這些數據為基礎,預測並影響了全球多地政治活動中公眾的選擇,包括2016年美國總統選舉以及英國“脫歐”公投。

無獨有偶,國內不少App也通過這種“用戶授權協定”獲取用戶個人資訊。如央視近日報導的“Wi-Fi萬能鑰匙”,該應用界面的右下角有一行非常小的藍色字體《Wi-Fi萬能鑰匙用戶協定》,用戶點擊立即體驗時,就等同於默認了這個用戶協定。而在這個用戶協定當中,有一項隱私政策的聲明,裡面描述了該軟體將如何收集和使用消費者的個人資訊及其他資訊。這些資訊包括最基本的資訊,如用戶使用的手機設備資訊、使用伺服器的IP地址、GPS定位等等。

最關鍵的一點是該軟體會共享、轉讓、公開披露用戶的個人資訊,只有這樣才能實現這個產品所謂的“核心服務功能”。這個看似點對點的服務,實際上是點對N,這家企業據此可以掌握更多的IP地址、GPS定位等資訊,可以通過資訊分享吸引客流量,進而發布各類廣告,達到賺錢的目的。

此種“用戶授權協定”似乎已經成為互聯網行業的一種慣例甚至是默契。筆者最近在使用著名在線票務企業攜程的App時也注意到,在代扣服務協定中,該軟體以格式合約的形式讓用戶授權其“在服務使用和終止後保留相關資訊數據,包括但不限於向第三方提供資訊”。如此行為儼然已逾越了個人資訊保護的邊界,理當受到法律規製。

二、個人資訊權如此被侵犯,法律如何規製?

首先,互聯網企業通過協定迫使用戶放棄個人資訊權的行為無端擴大了自己的權利範圍,違反了《合約法》關於格式條款的禁止性規定,應當認定無效

我國《合約法》第三十九條規定:“採用格式條款訂立合約的,提供格式條款的一方應當遵循公平原則確定當事人之間的權利和義務,並采取合理的方式提請對方注意免除或者限制其責任的條款,按照對方的要求,對該條款予以說明。”

由此可知,企業與消費者在格式合約下的權利義務應當處於相一致、相對等狀態,若是企業通過格式條款使自己的權利範圍超越了原本的交易目的,那麽就存在違反公平原則的嫌疑。對這種可能出現的權利侵犯情況,合約的提供者應當采取必要手段提請對方注意,這種注意需要達到一般理性人合理注意的範疇。這也就意味著,一個具有完全民事行為能力的用戶在簽訂了這份事先準備好的協定之後,就已經對該協定中存在的可能侵犯自身權利的條款明確知悉並完全同意。

然而在此類以非常規管道獲取個人資訊的糾紛事件當中,事實卻並不是如法律要求的那麽規範。以攜程App為例,其所提供的代扣服務協定呈現於用戶購買旅遊相關產品(如機票、訂酒店、旅行套餐等)的操作流程中,本次交易的目的應當是用戶購買旅遊產品,企業從銷售該產品中獲取利潤,那麽合約內容就應當圍繞交易標的即該旅遊產品展開,如用戶的支付方式、產品的使用以及售後服務等。而企業要求用戶授權其在合約關係終止後仍可保存用戶資訊,並擁有向第三方提供的權利,無疑已經超越雙方原本的交易目的,肆意擴大了自身權利,系格式合約得標準的“霸王條款”。

不僅如此,攜程App中多數面向用戶的類似協定藏匿在用戶不易注意到的位置,並通過設定成與主界面相似的色調來“偽裝”。而這些“藏起來”的協定通常都已經被勾選,即使是用戶根本沒有注意到這個協定,也不影響其後續操作步驟的進行,因此用戶很有可能在不知情的情況下就“縱容”了對方對其個人資訊權的侵犯。這樣,儘管協定中授權該企業不限期獲取、保存用戶資訊的條款已經被加粗下劃,前述隱藏設定仍違反了法律要求其提請對方注意的規定。

也就是說,上引條款違反了法律的禁止性規定,應當根據《合約法》第四十條認定無效。

其次,互聯網企業在收集、利用個人數據時,並未明確該行為的目的、方式和範圍,這不符合法律法規的要求,應當予以整改。

2017年6月起施行的《網絡安全法》第四十一條規定:“網絡運營者收集、使用個人資訊,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用資訊的目的、方式和範圍,並經被收集者同意。”2012年12月通過的《全國人民代表大會常務委員會關於加強網絡資訊保護的決定》中早有相似規定。這意味著,企業收集和使用資訊並不是被完全禁止的,但顯然應當遵循適當的規範。公共管理部門等政府機構可以為了方便社會管理而記錄個人資訊,商業組織也可以為了促進交易而留存客戶資訊。但是此種良性資訊利用方式必須在必要的限制之下,那就是雙方對數據資訊的內容、資訊將被利用的目的和範圍等事宜都悉數知曉。這種資訊使用的關係是直接、透明的。

然而在一些互聯網企業收集、利用資訊的過程中,由於協定所約定的資訊利用目的、方式模糊,提供資訊方並不能得知其個人資訊即將以何種方式被分析利用,而資訊使用方也可能在約定不明確的鋪墊下無限制地利用個人資訊,逡巡於法律的邊緣。因此,即使互聯網企業以提請公眾注意的方式公示了原協定條款,也有可能由於規定不明確、不詳細而導致最終面臨整改的窘境。

三、“互聯網+”時代,公民個人資訊將如何受到保護?

當前,隨著個人資訊受侵犯的範圍不斷擴大,此類事件糾紛的暴露程度不斷加深,人們對資訊保護的關注度也在不斷提高。2017年3月15日通過的《民法總則》明確將個人資訊權納入民法基本法的範疇,明確了個人資訊受保護的基礎地位。目前,關於個人資訊保護的一些法條大都分布在《民法總則》、《網絡安全法》、《消費者權益保護法》等法律中,這些規定大多是原則性規定,相比實踐中變化多端的狀況來講,似乎並不具備太強的可操作性。

值得欣喜的是,由全國資訊安全標準化技術委員會制定和管理的個人資訊保護方面的國家標準《資訊安全技術 個人資訊安全規範》已正式發布,將於2018年5月1日實施。該《規範》內容涵蓋個人資訊的收集、保存、使用、共享、轉讓以及安全事件處置等方方面面,是對之前網絡安全原則的細化。政府在維護數據安全方面已顯示了積極有為的態度,今後更應該努力找到公民數據安全和產業發展之間的平衡點,明確企業權利的限度和企業責任範圍,推動企業的數據運用在規則許可的範圍內良性運轉。

互聯網企業也應當意識到,數據安全和企業信用將是其核心競爭力。在美國,一個用戶可以不在乎自己的隱私,將自己的數據出賣給最高出價者。網上零售巨頭亞馬遜公司就已經開始實施基於cookies(儲存在用戶本地終端上的數據,通常經過加密)協定的隱私保護方案,用戶可以按照自己的意願勾選希望被收集的數據。這種意願與享受亞馬遜網站的購物服務沒有任何關係,用戶完全可以在不授權任何數據的情況下享受服務。未來,數據資訊可能成為一種普通的產品,其買賣仍需要完全遵循契約精神,但鑒於數據的特殊性,數據提供方和服務方之間的權利義務關係必須明確。這樣,數據安全就將是賣方考量是否交易的重要因素。因此,數據安全未來也將成為互聯網企業的核心競爭力。

就擁有大量個人資訊的公眾來講,在享受著數字時代帶來的便利的同時,他們也應該考慮,自身隱私是更應該主張保護的利益。當法律已經賦予公眾說“不”的權利時,放縱互聯網企業對個人資訊的收取是不明智的。數據的匯集意味著企業的巨大利益,權利要求的匯集則意味著公民權益維護的更大可能。只有自上而下的強製監管和自下而上的公民權利意識覺醒雙管齊下,才能推動相關企業善用公民個人的資訊數據,並推動社會的方方面面向現代化、科技化、規範化的方向轉變。

獲得更多的PTT最新消息
按讚加入粉絲團