齐爱民:重庆大学网络与大数据战略研究院院长
阿拉木斯:网规研究中心主任 中国网络空间安全协会理事
周慧虹:银行职员
史洪举:法官
期待公益诉讼承担起个人信息保护重任
大数据时代,企业采集用户个人信息的主要目的之一就是基于海量和领域交叉的用户信息,通过大数据技术对用户的消费行为进行分析,进而精准匹配投放商业广告,以达到“一对一”“千人千面”的营销效果。但在隐私政策缺失或无法真实发挥约束作用的现状下,通过手机App获取消费者个人信息使得个人信息泄露风险和相关安全隐患剧增。然而,由于普通消费者和网络服务提供商之间就个人信息的获取、利用等存在信息不对称,加之消费者在维权时经常面临举证难困境,这都使得消费者个人主体很难对App违规收集利用个人信息乱象起到遏制作用。
此前,App违规行为已经引起消费者协会和国家有关部门的重视。2017年12月,江苏省消费者权益保护委员会就百度违法获取用户信息权限及相关问题提起消费民事公益诉讼;2018年11月,中消协发布《100款App个人信息收集与隐私政策测评报告》,揭示出个人信息收集情况不容乐观;今年年初,中央网信办等四部门又联合开展App违法违规收集使用个人信息专项治理行动。在这样的大背景下,今年6月,上海市人民检察院组织开展了App违法收集个人信息问题的专项调查,并向存在相关违法情形的App开发者发出公益诉讼检察建议书。
可以说,对消费者个人信息的安全保护,始终面临着违法成本低与维权成本高的双重困境。在行政手段之外,针对个人信息保护的根本还在于立法与司法。从立法角度看,诸多手机App开发商、运营者之所以敢于过度收集用户个人信息,其中部分原因就在于法律不够健全。目前,我国对公民个人信息权利的保护始终是依附在隐私、网络安全等领域,尚未形成法定的独立权利,且大多是概括性、原则性规定,可操作性不强。因此,有必要加快专门立法进程,让个人信息保护步入法治化轨道。
从司法实践角度看,由于手机App过度收集用户个人信息的受害者比较分散,且个人维权成本较高,举证艰难,极少出现用户个人提起诉讼维权的情况。在这种情形下,确定最佳的个人信息保护方式和保护主体显得尤为重要。在寄希望企业自律和个人主体主动维权难以实现的情况下,为确保消费者个人信息的安全无虞,笔者认为由检察机关提起公益诉讼或许是目前为止最佳的选项。
公益诉讼一般指特定的国家机关、组织和个人根据法律法规的授权,对违反法律,侵犯国家利益、社会公共利益的行为,向法院提起诉讼,由法院追究违法者的法律责任。作为公权力代表的检察机关针对App违法收集和利用个人信息的行为提起公益诉讼,是一种公益诉讼领域的全新尝试,将对维护公共利益中的个人信息权利,规范App行业乱象产生积极影响。
第一,树立法律权威,引起互联网行业高度重视。以公权力介入民商法违法领域,将极大树立法律的权威,给App行业违法收集个人信息乱象以强大震慑,既体现出国家对于法律的高度执行力,也能让互联网行业予以高度重视,从而进一步推动相关企业主动建立和认真对待消费者个人信息中的合规性制度,有效推进个人信息保护工作。
第二,为行政执法保驾护航,提高执法效率和执行力。国家网信部门在处理违法收集利用个人信息案件时,往往由于处罚力度和执行力度的不足难以真正对违法企业产生实质性影响,以至于不法企业反复出现违法乱象。通过提起公益诉讼的方式,将为后续行政执法提供强大的法律后盾,强化执法效率和执行力。
第三,增加公共利益的维权路径,强化公民个人信息权利保障。通过检察机关针对App违法收集个人信息领域提起公益诉讼,有利于解决用户在互联网络中的弱势地位和举证艰难的困境。这种通过增加公民维权渠道的方式,对规范互联网行业的个人信息保护将有着重要的推动作用。
第四,推进个人信息保护立法进程,从根本上规制互联网行业个人信息收集使用乱象。目前我国已将个人信息保护法纳入立法规划,检察机关的公益诉讼实践是将来确定个人信息保护法具体规定的一项重要实践活动,对于个人信息保护法出台后可操作性的提高具有重大意义。(齐爱民)
破解个人信息收集使用“必要原则”困局
丰富多彩、应用广泛的App已经成为我们每个人须臾不离的生活工作助手,但与此同时,App也成为个人信息泄露和滥用的重灾区。有鉴于此,今年2月,中央网信办、工信部、公安部、市场监管总局四部门联合组织开展App违法违规收集使用个人信息专项治理行动,要求网络运营者遵循必要原则,不收集与所提供服务无关的个人信息,从而划定个人信息收集和利用的边界。
其实,个人信息收集使用的必要原则由来已久。早在1981年,欧洲理事会在《关于个人数据自动化处理的个人保护公约》中就规定:个人数据应出于明确、具体及合法的目的而收集,且对其处理目的而言,数据应适当、关联且不过量。必要原则在1995年欧盟《数据保护指令》被进一步强调,最终成为2018年《一般数据保护条例》(GDPR)的六项处理原则之一。
基于上述国际经验,我国网络安全法第41条亦明定收集、使用个人信息的必要原则。2018年,国家标准《个人信息安全规范》第5.2条再次给出三项衡量标准,即收集个人信息与实现产品或服务的业务功能之间的直接关联、最低频率和最少数量关系。
然而,在大数据时代,必要原则面临着巨大的挑战。正如维克托·迈尔-舍恩伯格在《大数据时代》一书中所指出的,大数据的价值不再来源于基本用途,而是源于其二次使用;更重要的是,许多数据在收集时并无意他用,最终却产生了诸多创新性用途,显然,数据收集者永远不可能提前告知收集时尚未想到的目的。以美国芝加哥通信公司为例,其收集用户位置信息的主要目的是确定手机信号覆盖情况。但在新的场景中,通过采集在特定地点所有手机用户的信息,它还能计算出开车经过特定广告牌的人数,进而估算出广告牌的价值,显然,这是收集目的的一次重大转变。
不唯如是,社会学家和医学专业人士都知道,当人们事前知道其信息将被收集和度量,就可能导致最终结果出现偏差,这是因为人们会不自觉地改变行为,甚至出于利益考虑而操纵或破坏数据。所以,在很多场景下,用户数据的被动收集和间接度量比主动收集和直接度量,更能实现收集的初衷,而这样的目的往往是无法向用户告知的。
2009年,在甲型H1N1流感爆发前几周,谷歌使用了亿万用户的检索词准确预测了流感发生的地区和州,如果严格遵循必要原则,这一尝试不但在技术上不可行,在成本上也是难以想象的。
这就要求我们一方面要践行必要原则,防范个人信息被无节制、无边际地收集和使用,另一方面,又要为后续创新容留空间,避免过分阻碍数字经济的发展,这确实是一个两难问题。这一难题不可能有一劳永逸的解答,但不妨从如下方面探索可能的解决之道。
其一,清晰、灵活地划定收集范围。必要原则的症结在于难以判断“究竟何为必要”,或者“究竟哪些个人信息与服务相关”。为此,监管者不妨尽量在事前列出与特定服务直接相连的个人信息范围。最近,全国信息安全标准化技术委员会制定的《移动互联网应用基本业务功能必要信息规范(V1.0)》便依照这一思路,明确了地图导航、网络约车、即时通讯社交、网络支付等16种服务所需的个人信息类型。但必须指出,在产品迅速迭代、服务日新月异的今天,上述规范不应视为相关App不能在上述范围之外另行收集、使用个人信息,而应理解为给企业额外增加了自证清白的负担。简言之,一旦在事后发生执法和纠纷,它们必须证明自己已充分告知了用户,并且相关信息的收集和使用符合其产品定位、商业惯例和商业道德。
其二,严谨、务实地解释“目的”。欧盟在GDPR的起草中,已经意识到数据的二次利用可能与原先目的无关,为此GDPR特别引入“兼容使用”概念。这意味着企业可以在既有目的之外,对数据作出后续处理。当然,这并非没有限制,监管者需要综合考量后续使用目的与原先目的之间的关联性、数据收集的场景、该场景下个人的合理预期、数据性质、后续使用产生的后果及现有的保障措施等。
其三,促进市场化的个人信息保护。如果我们把个人信息保护理解为一种服务,那么通过市场来让个人享受到更好的服务不失为激励相容的治理方式。美国一项针对30万款App的定量分析发现,较之收费App,免费App中收集个人敏感信息的现象更为频繁。就此而言,个人信息已经成为隐形的价格。以此观之,一些禁止网络运营者服务质量、价格差异的条款的规定,则缺失了洞见市场经济规律的眼力。恰恰相反,监管者应当鼓励App披露其定价策略和个人信息收集之间的关联,使得用户充分知情后作出审慎决定。
其四,通过科技降低个人信息收集的需求。数据难以流通是各个App争相收集个人信息的重要原因。由于制度缺失和安全担忧,企业不愿意共享数据。数据孤岛的现实,迫使所有人都必须自力更生,凭借一己之力,尽可能多地从用户那里攫取数据。如今,通过“多方安全计算”技术,企业可以在原始数据不出域的情况下实现数据共享、计算、合作,从而在维护数据安全、保护用户隐私、挖掘数据价值之间取得了平衡,这必然大大缓解企业对取得个人数据的焦虑。
个人信息保护与数字经济发展并不矛盾,正如个人权利和企业利益并不矛盾一样。作为立法者和监管者,理应执其两端、统筹各方,最终实现共生共享共赢的网络空间。(许可)
众议
用公益诉讼保护个人信息应审慎
目前,在互联网个人信息保护这一领域,关于个人信息和数据到底是什么,是什么样的权利或权益,是财产权还是人身权,如何平衡保护和利用的关系等一些关键的、底层的问题,在整个国际范围内相关的制度和研究都远没有达到相对成熟的程度,还有很多关键核心问题需要得到破解和形成共识。去年欧洲虽然出台了《一般数据保护条例》(GDPR),但争议仍很大,尤其是在产业界。
单就过度收集个人信息本身而言,其一般不会产生直接危害后果,只有这种行为和非法使用、转让、披露等一起发生时,才会带来侵害后果。因此对过度乃至未告知收集等其他非法收集个人信息的规制,需要视不同情况具体来看。进一步来说,关于个人信息保护,远不像目前已经纳入公益诉讼范畴的生态环境和资源保护、食品药品安全等领域那样已经建立了比较成熟的法律和制度体系,执法部门有足够的法律依据和判断方法,因此用公益诉讼保护个人信息应审慎推进。在互联网这个快速发展变化的领域,在很多问题上需要看得更全面和更长远,并且进行过充分的论证,才可能得出经得起历史考验的法律解决方案,实现发展和规范的平衡。(阿拉木斯)
防止App越界需联动处置
App开发运营者过度收集个人信息,一旦保管与使用不当,极易为电信诈骗、窃取个人网上钱财等违法犯罪活动留下可乘之机。为从源头上查堵漏洞,必须采取有效措施,将App开发运营者对于个人信息的收集控制在最少够用原则范围之内。近日,《移动互联网应用基本业务功能必要信息规范(V1.0)》发布,针对不同行业、服务类别,进一步细化了原则标准,让最少够用等相关原则更具可衡量性与可操作性,此举有助于遏制有些App开发运营者“揣着明白装糊涂”,继续过度收集、使用个人信息。
在此基础上,对信息安全、网络消费等负有监管职能的各级机构还应携手联动,进一步完善工作协调机制,着力构筑起一张防护个人信息安全,维护消费者合法权益的大网,努力使非法收集、使用个人信息等行为无从遁形,让社会公众不再因个人信息被无端泄露而担惊受怕。(周慧虹)
压实应用商店和开发者责任
打击超范围收集用户个人信息和窃取隐私的App并非无法可依。根据有关规定,App未向用户明示并经同意,不得开启收集地理位置、读取通讯录等功能,不得开启与服务无关的功能,否则就将承担下架等责任。应用商店对此也负有监管等责任。同时,根据网络安全法,侵犯个人信息的,最高可处100万元罚款,并可责令其停业整顿,关闭网站、吊销证照。尤其是,根据刑法有关规定,非法获取行踪轨迹、通信内容等信息50条以上的,就可能构成侵犯公民个人信息罪。
向一些非法过度收集和利用个人信息的App说“不”,根本不能靠弱势的消费者自觉发现和抵制,更不能靠唯利是图的应用商店及App开发者良心发现。而应靠监管部门积极作为,科学应对,妥善处置。具体而言,除制订强制标准外,还应注重监测、下架、屏蔽违规App,追究开发者和应用商店的违法乃至刑事责任。进而压实应用商店的审核责任和开发者的主体责任,让其多些对规则和用户权利的尊重。让用户真正享受到科技进步带来的红利,而非在科技的发展下沦为毫无还手之力的“裸奔者”。(史洪举)