在刚刚结束的达沃斯论坛上,2015诺贝尔经济学奖得主、普林斯顿教授Sir Angus Deaton和创新工场董事长兼首席执行官李开复进行了一场关于人工智能和隐私治理的讨论,讨论的焦点直指当下互联网企业过度收集用户信息、侵犯用户隐私的行为。

  进入数字时代以来,数据的重要性早已深入人心,“数字时代的石油”成为大家对数据的共识。互联网企业广泛收集用户各类信息加以整理分析利用,从中攫取到巨大的经济效益。在这过程中,暴露出的个人数据安全、隐私保护等问题却不断被忽视。

  近年来,因App默认勾选、第三方数据采集等问题引发的纠纷频出。国际上,互联网巨头谷歌、脸书因数据安全问题被消费者诟病甚至被诉诸公堂;国内战场上,自“3Q大战”以来,“菜鸟顺丰之争”“大众点评诉百度地图案”“支付宝年度账单事件”等更是将问题不断暴露在公众视野中,用户开始不断聚焦自身隐私安全问题。怎么收集、如何使用、怎样监管成了大家最关心的问题。

  保护隐私成纸上谈兵

  “能否既玩消消乐又不让你读取我的通讯录?如果不提供地理位置读取授权,还能不能听首音乐?”谈起App默认勾选,复旦大学网络空间治理研究中心副主任沈逸提出了自己的困惑:安装App时有一份用户协议,点同意才能完成安装,不同意则不能安装。我想用这个软件,但我不想同意某些条款,可以有例外选择吗?“目前没有。那客观上就是某种霸王条款吗?”

  要么“信息裸奔”,要么“弃之不用”,这种“两难选择”是现在用户的常态,企业处于强势地位,用户更多时候只能被动接受。“我唯一能确认的事实就是用户协议上的勾是我打的,至于勾了之后这些数据会去哪里、能分析出什么来、会有怎样的损害?我一概不知。”沈逸说。

  《网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》(以下简称“一法一决定”)中明确规定:“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,必须明示收集、使用信息的目的、方式和范围。”可在企业实际采取数据过程中,此规定却形同虚设。

  去年8月至10月,全国人大常委会执法检查组对“一法一决定”的实施情况进行了检查。此次执法检查尝试委托社会调查中心进行民意调查,共有1万多人参与调查。

  这份调查报告显示,“一法一决定”关于用户个人信息保护的多项制度落实得并不理想:有52.1%的受访者认为上述规定执行得不好或者一般;有49.6%的受访者曾遇到过度收集用户信息现象,其中18.3%的受访者经常遇到过度采集用户信息现象;有61.2%的人遇到过有关企业利用自己的优势地位强制收集、使用用户信息,如果不接受就不能使用该产品或接受服务的“霸王条款”;有52.5%的人认为执法部门保护用户信息的成效一般或者不好。

  企业不断收集用户数据,数据泄漏或被滥用之后,用户就会面临潜在的欺诈风险,即使发现本人信息被泄露或者被滥用后,举报难、投诉难、立案难现象也比较普遍。中国互联网协会研究中心秘书长、北京市潮阳律师事务所律师胡钢指出,目前我国的个人信息保护并没有专责机关负责,这也就造成了“投诉无门”的现状。

  “法律虽然有一些原则性的规定,但是这些规定过于原则,所以执法中存在许多模糊地带。”中国信息安全研究院副院长左晓栋告诉中国青年报·中青在线记者,现在关于个人信息保护的一些法律法规大都分布在《民法总则》、《网络安全法》、《消费者权益保护法》等法律中,大都是一些原则性的规定,执法也是“九龙共治”,在这样的情况下,谈论隐私就是“纸上谈兵”。

  “安全会成为企业的竞争力”

  国内在不断推进立法执法进程,国际上也在不断讨论保护个人数据的方案。在达沃斯论坛的讨论中,Deaton教授提出,应该开发一套隐私数据授权交易系统,让每个用户拥有自己的数据,选择性授权给互联网公司,治理隐私数据侵权问题。

  比如说,一个用户可以不在乎隐私,可以卖自己的数据给最高的出价者;另一个用户可以只让自己的数据被自己信任的公司使用。如果用户能自由选择交易自己的数据,垄断型互联网公司就很难剥削用户,而且互联网公司彼此竞争会加剧,因而降低伤害用户利益的可能性。

  “我认为这个提议充分体现了用户对自身数据授权的自由选择,具有相当的可行性,并且已有部分企业开始尝试实行这样的方案。”重庆大学国家网络空间安全与大数据法治战略研究院院长齐爱民举例,亚马逊公司就已经开始实施基于cookies协议的隐私保护方案,用户可以按照自己的意愿勾选希望被收集的数据,这种意愿与享受亚马逊网站的购物服务没有任何关系,用户完全可以在不授权任何数据的情况下享受服务,而不是将享受服务与个人数据授权捆绑在一起。“基于cookies协议的特性,亚马逊网站会自动关闭个人数据收集和追索功能。”他说。

  而李开复觉得Deaton教授的想法过于理想化,中国、美国等国家都很难支持这样的方案,因为这样会阻碍数字经济的发展。他和Deaton教授最后取得的共识是,欧盟或许会强制执行。

  2015年,欧盟执行委员会通过一份《一般数据保护条例》(以下简称《条例》),《条例》规定,对于违反《条例》的行为,情节较轻的罚款上限是一千万欧元或前一年全球营业收入的2%,两者中取大者;对于严重的违法,罚款上限是两千万欧元或前一年全球营业收入的4%,两者中取大者。

  《条例》的通过令互联网巨头们纷纷动容,法律严格程度堪称目前的“世界之最”,各国对其评价不一,有的觉得矫枉过正,有的认为值得效仿。“企业收集数据改进产品或服务,这对用户来说是有益的。如果法律对企业限制太严格了,客观上不利于企业的发展,这其中就有一个平衡的问题。”左晓栋认为,现在互联网发展速度很快,部分互联网企业就像“脱缰野马”,野蛮发展,通过严格的法律法规来规范企业经营是必须的。法律法规的出台会使行业进行一轮轮洗牌,阵痛难以避免,但一定会在发展中找到企业和用户之间的平衡点。

  “企业依法守规地采集数据,及时提醒和告知用户对数据的所有权,只有这样用户才会更信赖企业。未来,安全也是企业的竞争力。”杭州安恒信息技术有限公司董事长范渊认为,欧盟对数据的立法保护值得借鉴,保护用户数据的安全会让互联网企业和数据应用者更具竞争力,“法律和制度的建设与企业发展是辩证的”,范渊说。

  如何完善“中国方案”

  “支付宝年度账单事件”发生后,支付宝对平台进行了全面排查,新设立客户中心及消费者权益保护中心事业群,全面负责包括个人信息权益在内的消费者权益保护工作,事业部负责人直接向公司总经理汇报。同时,建立个人信息保护工作的考核评价体系,到岗到人的责任追究机制,实现对重点人员岗位的考核。

  “我们也时刻如履薄冰、小心翼翼,原则没有细化之前,不知道红线在哪,也很担心踩到雷区。”蚂蚁金服首席隐私官聂正军表示,这次的事件也算是交了“学费”,监管部门更明确了细则,公司整改起来也更有底。

  一些可喜的变化正在发生。日前,由全国信息安全标准化技术委员会制定和归口管理的个人信息保护的国家标准《信息安全技术 个人信息安全规范》(GB/T35273-2017)(以下简称《规范》)正式发布,该《规范》将于2018年5月1日实施。

  左晓栋是《规范》起草小组的一员,据他介绍,《规范》内容涵盖个人信息的收集、保存、使用、共享转让以及安全事件处置等方方面面,是对原来网络安全原则的细化,起草过程中经历了企业、政府间多轮博弈,“虽仍有让自己感到遗憾的地方,但已经迈出了万里长征的一小步,可以看出监管部门越来越重视个人数据安全问题,情况会越来越好。”

  对于如何完善数据保护的“中国方案”,左晓栋认为,建立个人信息保护的专业部门、设立个人信息保护专员是当务之急。“设立投诉的渠道,快速地解决老百姓的举报,否则再多的法律法规标准不落地还是没用。”他说,这在国际上是有惯例可循的,信息保护专员的权力非常大,可以发起独立的调查,甚至发起对一些侵犯个人信息的机构、个人的起诉,快速解决问题。

  沈逸认为,政府应该更加积极有为,有效的个人数据保护是一件“吃力不讨好”的事,“没有什么利益价值”,但政府应该管起来,去找到和企业发展的平衡点,规定该规定的、让渡该让渡的,明确企业的权责,和企业做好管理成本的分摊,“现在就是谈太多价值和理念,但是对这个问题的公共性、它的主体、它的实操缺乏讨论。”

华人教育信息订阅号二维码