個人信息保護如何覓得「良方」

雖然社會各界對個人信息保護的呼聲日益強烈，許多企業仍沒有完全做好準備。

幾天前，「中國特供版Adobe Flash Player」被發現在用戶協議中存在「允許該程序收集用戶的上網信息」、「允許向第三方披露」及「免於被追究責任」等條款。隨後，Adobe公司及其發行合作夥伴重橙網路均未做出正面回應，卻悄悄更改了《Helper Service 服務協議》的內容，將之前的「收集用戶的上網信息」改成了「記錄用戶如何使用本程序的信息和用戶使用本程序的相關數據」，同時還去掉了將信息披露給第三方等內容。

上周，有用戶反映，在使用微信等社交平台賬號授權登陸大眾點評後，大眾點評會將用戶在酒店、餐廳的各類「行蹤」分享給社交平台好友，且難以取消。隨後，大眾點評方面回應稱將整改和升級產品，相關產品功能從7月10日起上線生效。

而在剛剛過去的6月，此類事件也發生了不少。出行類App航旅縱橫上線的一項「虛擬客艙」功能，在用戶未主動開啟功能的情況下，將含有乘客飛行地點、頻率和其他隱私信息的個人主頁，向同機其他用戶開放，彼此間還能私聊和打標籤。

我們的個人信息就這樣被互聯網公司搜集和使用，而大部分用戶對此毫無「還手之力」，甚至根本不知情。這引起了大家的討論:為什麼許多企業在個人信息保護中並沒有做好準備？在科技高速發展的未來，個人信息安全該如何保障？

7月12日，在2018中國互聯網大會個人信息保護論壇上，這些問題也成為了專家學者、相關企業負責人共同關注的焦點。

「防護牆」不結實，「越界」很容易

如果說個人信息是一座有商業價值的富礦，那麼相關法律就是相應的「防護牆」，甄別並防護不合理的商業開發。但是，目前這堵牆在中國還有不明晰、不完善的地方。

北京師範大學法學院院長盧建平表示，我國現有法律對「個人信息」的界定和表述還有待統一。他介紹，目前我國在個人信息保護方面，走的是一條逆常規的「刑法優先」，解決「燃眉之急」的路徑。與此同時，《個人信息保護法》猶抱琵琶半遮面，尚未出台。這意味著目前用於保護用戶個人信息的「防護牆」，尚沒有壓實，還很鬆散。

「防護牆」不結實，企業就很容易越界。騰訊社會研究中心聯合互聯網數據中心發布的《2017年度網路隱私安全及網路欺詐行為研究分析報告》指出，2017年下半年，安卓系統手機的App中有98.5%都在獲取用戶隱私許可權，比上半年增長2%。而獲取用戶手機隱私許可權的iOS應用在2017年下半年比例有所上升，達到81.9%，較上半年提高了12.6%。雖然絕大多數軟體獲取用戶隱私是出於用戶正常使用產品的目的。但報告也指出，有9%的安卓App在2017下半年存在越界獲取用戶隱私許可權的現象。這是因為，安卓手機上的信息收集很大程度上是靠App許可權來實現的。

超範圍收集個人信息幾乎已經成為業內許多公司業務員的「職業習慣」。360集團技術總裁、首席安全官譚曉生在對本公司公眾服務數據中心做調查時就發現，業務部門的產品經理或者總監總是儘可能多地收集用戶信息，收上來之後，卻並沒有真正全部用到。

超範圍收集用戶個人信息的行為雖然存在爭議，但如果不能收集有效的、充足的數據，對企業和用戶來說，也不一定是好事。

「個人信息保護難點是很多個人信息覆在一定的數據之上，例如數據的傳輸、數據的利用。」清華大學法學院院長申衛星認為，數據流動的需求不可避免會引起個人信息的侵害。

他認為，解決目前企業越界的問題，首先要制定一個當下文化能夠接受、與經濟發展水平相適應的個人隱私保護的行業標準，以此來規範所有的行業。同時，他倡導數據治理的「三個平衡」原則：個人權益保障和行業發展之間的平衡，公權力和私權利的平衡，法律與技術共同治理的平衡。

用戶想說「不」很不容易

一方面，企業「翻牆」「越界」現象越來越多；而另一方面，許多用戶對自身隱私信息的安全保障「無能為力」。

陳霜是一名司法工作人員，談到自己下載軟體的經歷，她說，「如果不允許（開放許可權申請）的話，有些軟體就不能下載，想用的話就必須同意。」不讓渡部分隱私權就無法使用App，陳霜的經歷很多用戶都遇到過，這也一度成為很多人無法對用戶許可權申請說「不」的原因。

據了解，為解決這種情況，安卓系統在6.0系統開發後，將敏感許可權申請獨立出來，App開發者需要某一項許可權時，必須在App內動態申請。但是，這樣是否就能保證用戶的知情權和隱私權不被侵害呢？現實情況可能並不理想。

曾經從事過3年左右安卓系統開發工作的步耳（化名）介紹，用戶一旦授權過一次，App就可以無限次使用該許可權，除非用戶在系統設置中，特意找到相應的App，收回該許可權，但也意味著不能使用相應的功能。

申衛星在論壇中還提到一個不可忽視的現狀：「現在所有的互聯網企業在自己的協議里都會有告知的信息，但現在不是過去對信息告知不充分的情況，而是信息告知過於充分，信息超載，讓用戶不堪其煩，不得不點擊同意，導致這個信息告知其實是不充分的。」

據華為終端雲服務應用市場業務部部長張凡統計，現在App隱私許可權申請的內容平均約為1.6萬~1.7萬字。他還提到，未來軟體功能越來越多，交互越來越複雜，用戶安裝一個應用很可能需要點擊更多的「同意」。

這樣來看，隱私許可權條款冗雜，讓人眼花繚亂，一旦點擊「同意」，用戶許可權又可能被無限次使用，用戶還是不可避免會陷入「無知」和「無力」的狀態中。而面對這樣的問題，負責技術把關的企業，將怎樣改進？

張凡對此也做出了回應，他介紹，歐盟的GDPR（《通用數據保護條例》）以及我國最新發布的《個人信息保護法（草案）2017版》有了進一步優化，一些必要的場景是不需要用戶同意的，比如說涉及到國家安全、全體公民利益。他認為這樣的方式值得支持。

個人信息保護沒有「速效葯」

那麼，通過技術改進，或者專門的個人信息保護法律，是不是就能「根治」現存的問題呢？在實際操作中，或許並沒有那麼簡單。

中國互聯網協會個人信息保護工作委員會主任委員周漢華說，「個人信息保護需要有效的內部組織架構，培育良性運行外部環境，並循序漸進。如果打破次序，不是先從風險管理角度切入，由易到難，而是反其道而行之，或者一步追求最終目標，勢必加大內生機制的形成難度，欲速則不達，事與願違。」他還強調，強制性法律的實施效果普遍不理想。

中國人民大學法學院副院長楊東也指出，個人信息保護重要的不在於立法保護本身，而在於有一套保障機制體系，有一個具體的落實政策才是最關鍵的。吉林大學法學院院長蔡立東也有同樣的觀點。他認為，「個人信息的範圍和個人信息的保護方式不能脫離國家治理的模式選擇和國家治理能力、治理體系現代化的現實需求。」同時，他還指出，「如果所有的個人信息都上升為權利保護，權利機制一旦啟動，（企業）個人信息的收集和利用將面臨新的問題。」

實際上，這也是目前個人信息保護推進過程中的痛點。因為用戶個人信息保護和企業數據流動之間始終存在著難以平衡的矛盾。周漢華指出，「數據時代，開發的力度越大，數據面臨的風險就越大，失衡現象就愈發嚴重和常見。」

對此，申衛星提出了解決方案：「知情同意是平衡個人權利保護和行業對數據的需求發展很好的工具，但告知要充分，知情同意也要有相應的同意能力。知情同意應該有一定的例外，但例外必須有嚴格的限制。」

(責任編輯：王擎宇)

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！