近日,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》(以下称《个人信息保护法》),其中明确:处理生物识别、医疗健康、金融账户、行踪轨迹等敏感个人信息,应取得个人的单独同意,对违法处理个人信息的应用程序,责令暂停或者终止提供服务。
这其中,以行踪轨迹为代表的个人位置信息尤其值得关注。今年7月初,“滴滴出行”App因存在严重违法违规收集使用个人信息问题,遭国家网信办审查并下架。
但实际上,偷偷收集个人行踪信息的应用很多,甚至连一个手电筒APP都会要求获取你的位置权限,而你不一定意识到这中间的陷阱。
都想知道你在哪
目前,获取移动终端用户所在地理坐标信息的移动位置服务 (Location-based service,LBS)已成为互联网应用服务的一个基本项。
许多用户并不会考虑合理与否,便默认让APP获取自己的定位权限。面对冗长和复杂的APP隐私政策,绝大多数人也没有耐心读完。
中消协于2018年发布的《100款APP个人信息收集与隐私政策测评报告》显示,多达59款APP涉嫌过度收集“位置信息”。这其中,社交类、影音播放类、拍摄美化类等APP甚至比旅游住宿类应用更迫切想知道用户的具体位置。
为什么想知道
这么多APP想知道你在哪,其背后的原因究竟是什么?
答案很简单,为了实现更加精准的广告和其他信息推送。
以谷歌隐私权和条款中的解释为例,如果某用户启用了位置记录功能,并且经常前往滑雪度假村,那之后在谷歌旗下视频网站观看视频时将会接收有关滑雪装备的广告。这也就不难理解,为什么绝大部分影音播放类软件都需要用户的定位权限。
不仅如此,位置数据的背后,往往是用户的个性习惯、健康状况、社会地位等其他敏感信息。
来自意大利博洛尼亚大学以及英国伦敦大学的两位研究人员曾开发一款应用程序,安装在69名用户的设备上,以实验通过位置追踪能够收集多少用户的个人信息。
在为期两周的测试中,该应用共识别出大约2500个地点并收集5000条与人口统计学和个性有关的个人信息。研究人员表示,只需查看收集到的位置信息,就能推断出志愿者的健康状况、社会经济状况、种族和宗教信仰等敏感和隐私数据。
位置信息的隐私风险
可以说,区区一个位置权限,几乎能打开用户隐私“裸奔”的大门。
因此,多个国家和地区的相关法律法规都直接和间接规定了个人位置数据的搜集、使用和传播须以数据主体的“告知-同意”——即在获取用户位置前,必须有弹框跳出让用户同意——为原则。不过,在具体的规则上,严格程度是很不一样的。
实际上,“告知-同意”的规定也并非没有漏洞,比如一旦同意授权后,随着企业的业务发展,是否会将数据用于当时没有列在隐私政策上的事项?用户是不是明了自己位置信息所附带的其他所有信息?在用户停止使用App后,App会否删除所有位置信息?
在我国,就已发生多起有关个人对App收集、处理个人位置信息有异议的诉讼案件,其中不乏一些耳熟能详的APP。
从案件的审理结果看,公民就个人信息被侵犯提起诉讼不难,但要胜诉不易,主要难在证明损害结果。
以被业界誉为“个人信息保护第一案”的法学博士凌某怒告抖音案为例,即使原告出身法律领域并邀请了多位专家辅助人出庭,也是耗时一年半、前后经历6次开庭才最终取得胜利。若换成一般公众,这样的维权成本是难以承担的。
“知情-同意”并非侵权“免死金牌”
不过,随着《个人信息保护法》的出台,公益以及集体诉讼机制将有效降低个人的维权成本,并提高维权力度。法案中第七十条明确规定:“个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。”
一方面,监察机关可以获得个人无法获得的证据。其次,作为公权力机关,他们还可以约谈企业,起到更大的威慑作用。比起单打独斗,集体的力量会更加显著。
上海社会科学院信息研究所副所长、副研究员丁波涛表示,用户的知情和同意并非企业对个人信息侵犯的“免死金牌”。
《个人信息保护法》尤其强调了“赋予个人撤回同意的权利”,这意味着目前一些APP找不到(或很难找到)撤回同意信息选项的做法是违法的。“企业要在数据收集、使用和储存的三个环节中,都要做到依法合规”,丁波涛强调。
另外,丁波涛认为,个人位置数据涉及交通运输、电信以及城市治理等多个领域,不同领域间对数据处理的要求各不相同。需加快制定更多的行业法规和条例,逐步构建起对公民位置信息的保护体系。例如前段时间网信办出台的《汽车数据安全管理若干规定(征求意见稿)》就是我国首部关于汽车数据安全管理方面的法规,这将对智能汽车中的相关重要数据起到保护作用。
栏目主编:张陌文字编辑:尤莼洁题图来源:图虫图片编辑:曹立媛