小紅書網易考拉等18款APP侵犯用戶隱私 光整改還不夠

7月2日，工信部通報今年一季度電信服務質量情況。

通報內容顯示，2019年一季度用戶個人信息保護檢查發現，獵豹瀏覽器、小紅書、網易考拉、融360等18款APP存在未經用戶同意收集個人信息的問題。此外，上述APP還存在誤導用戶同意收集使用個人信息的問題，工信部已責令相關企業整改。

未經用戶同意受集個人信息，一般有兩種情況，一種是用戶使用某款APP時，APP要求用戶給予某些個人信息以便於權限的開啟，用戶在“不授權則無法使用”的情況下，無奈選擇同意。然而，APP就此不僅獲得了用戶授權權限，還繼續“擴展”至未經用戶同意的權限上，形成了明顯的行為越界。

另一種情況則更為惡劣，繞開使用用戶個人信息的必要告知，直接“後台”打開用戶的個人信息，如同在別人家臥室開了個暗門，其他人可任意出入，此舉徹底剝奪了用戶對於APP使用其個人信息的知情權和否決權。這兩種情況筆者都曾經遇到過，相信有此遭遇的人也不在少數。

當數據成為“生意”

執法“上限”尚有差距

在互聯網時代，“連接一切”成為不少互聯網企業的口頭禪，尤其是大數據策略的普遍運用，更使得用戶行為數據成為企業眼中的香餑餑。數據沉澱、數據分析、數據共享，具備了大量市場價值，進而誕生出數據交易市場。據中商產業研究院發布的《2018-2023年中國大數據產業市場前景及投資機會研究報告》數據顯示，2017年中國大數據產業規模達到4700億元，同比增長30%；其中，大數據硬體產業的產值為234億元，同比增長39%。隨著大數據在各行業的融合應用不斷深化，預計2018年中國大數據市場產值將突破6000億元，達到6200億元。數據交易市場已經成為誘人的蛋糕。

然而，在數據產業化、商業化的同時，如何界定用戶個人隱私保障與企業獲取用戶行為數據的邊界？

APP動輒要求用戶授權個人信息方可使用的現象普遍化，由此造成用戶在APP使用上的兩難困境該如何破界？這些都成為日益突出的信息產業發展痛點。

坦率而言，未經用戶同意收集個人信息的恐怕不止上述18家企業，由於市面上的APP數量眾多，此次工信部采取的是對100家互聯網企業106項互聯網服務抽查的方式，並未完全覆蓋所有APP，所有可能會存在“漏網者”。

也因此，對於互聯網企業侵犯用戶隱私的現象，“線上執法”還有可探索空間。

根據2017年6月1日實施的《網絡安全法》第六十四條規定， 網絡運營者、網絡產品或者服務的提供者侵害個人信息依法得到保護的權利的，由有關主管部門責令改正，可以根據情節單處或者並處警告、沒收違法所得、處違法所得一倍以上十倍以下罰款，沒有違法所得的，處一百萬元以下罰款，對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款；情節嚴重的，並可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照。

此外，竊取或者以其他非法方式獲取、非法出售或者非法向他人提供個人信息，尚不構成犯罪的，由警察機關沒收違法所得，並處違法所得一倍以上十倍以下罰款，沒有違法所得的，處一百萬元以下罰款。

《網絡安全法》對於企業侵犯用戶個人信息的行為，企業罰款上限不超過一百萬，個人罰款上限不超過十萬元，屬於性質更為惡劣的非法獲取、出售或非法向他人提供用戶個人信息，違法所得罰款上限也沒超過十倍。就此而言，與企業從以上行為可能獲取的各種收益相比，處罰力度依然距離公眾預期有差距。

企業侵犯用戶隱私的行為

執法上限還需完善

現實執法與相關法律之間還存在一定脫節，也是目前面臨的一大問題。今年3.15期間，中國消費者報刊登的消費者侵權典型案例中，小紅書因將隱私設置成默認允許其他人加為好友，並瀏覽到好友個人隱私信息，致使消費者關注的筆記以及興趣愛好被陌生人了解，容易導致消費者個人信息泄漏，被嘉定區市場監管局按《《消費者權益保護法》處於5萬元罰款。

從這個案例中可以看出，小紅書侵犯用戶個人隱私，市場監管部門是基於《消費者權益保護法》來處罰，其罰款上限不超過五十萬元，相比《網絡安全法》罰款上限尚有明顯差距。那麽，對於類似案例，是否可以形成電信主管部門、市場監管部門及其他有關部門的聯合執法，有效銜接有關用戶隱私安全保障的相關法律，並遵循“對違法行為處罰以法律規定上限為準”的從嚴處罰原則，從而形成對企業的威懾效應？

再如，谷歌因涉嫌侵犯用戶隱私，連續遭到歐盟和美國的調查，根據歐盟去年生效的新數據隱私保護條例（GDPR）規定，一旦谷歌侵權行為被查實，歐盟對其可處以的罰款數額可為其全球年收入的4%或2000萬歐元，以數額最高者為準。

唯有通過痛到骨髓的重罰，才能達到企業違法成本超過收益的正向效果，從而建立企業不敢逾越的制度紅線。

對企業侵犯用戶隱私的行為，我以為執法上限還需完善。同時，數據主體（用戶）也可向法院提起企業侵犯其隱私權益的訴訟，要求就其行為獲得賠償及其他權利救濟。

如此一來，企業一旦出現侵犯個人隱私的行為，就會面臨行政重罰、民事訴訟等一系列嚴重後果，形成對其違法行為的製裁合力。而這些更為有效、更有利於激活公民維權的法律制度，可為《網絡安全法》等相關法規持續賦能，也為日常執法提供更有力度的行動依據，這值得立法和執法部門去探討。

紅星新聞特約評論員 遠山 圖據東方IC

編輯 劉靜