这两天刷屏的两会记者“微(fan )表(bai) 情(yan) ”事件,当事两位记者的信息被迅速公开,让人在感叹网络力量强大的同时,不禁思考如果我们是事件中的当事者,情何以堪。在网络时代,购物、打车、叫餐、通讯,我们的信息无时无刻不在被搜集和使用,有句话叫“大数据比你自己更懂你“,最近一篇“大数据杀熟”的文章,显示不少商家,对老客户采取了不同的定价措施,更是引起热议。在互联网时代,数据和信息已经是最重要的消费者权益,在315这一天,讨论消费者权益保护,绕不开用户数据和个人信息。
一、天下没有免费的午餐
微信扫描公众号,立刻送矿泉水、湿巾或者免费打印照片,看似“福利”的同时,实际已经诱使你许可商家使用、共享你作为微信用户的昵称、头像和部分数据。你的个人信息无形中已经被采集和使用。
那么,什么是个人信息呢?国家标准化委员会制定的《信息安全技术跟信息安全规范》(GB/T 35273—2017)(以下简称“《个人信息安全规范》”)在2018年1月24日正式公布,并将于2018年5月1日正式实施。根据《个人信息安全规范》,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。在《个人信息安全规范》的附录B中,更是以举例列示的方式,介绍了个人敏感信息。具体见下表:
根据上述规范,邮箱地址、系统账号都是个人敏感信息,一旦泄露,极易引起个人名誉、身心健康受到损害,所以各位消费者们,一定要珍惜自己的个人信息,重视互联网时代的数据安全,不要轻易把自己的重要信息“贱卖”了哦。
同时,根据《个人信息安全规范》,收集个人敏感信息,应取得个人信息主体的明示同意,应确保个人信息主体的明示同意是在其完全知情的基础上自愿给出的、具体的、清晰明确的愿望表示。按照这一标准来评判,目前国内的相当部分互联网运营主体、商家,即便如BAT这样的互联网巨头,在个人信息的采集、使用上,距离法律合规都有不小的差距,不信,请往下看。
二、支付宝的“阳谋”
2018年1月,支付宝推出的“年度账单”页面,针对芝麻信用的附加业务功能,采用“默认勾选”的方式诱使用户在浏览账单的同时签订《芝麻服务协议》受到了广大网友的批评和质疑。在1月3日,芝麻信用官方微博公开承认“我们错了”、“愚蠢至极”,并在年度账单中的“默认同意”改为了用户的“主动同意”。1月6日,国家互联网信息办公室网络安全协调局因此约谈了支付宝(中国)网络技术有限公司、芝麻信用管理有限公司的有关负责人。
这一事件也引发了对于用户的知情同意采取何种方式进行表示,以及个人信息收集的必要性问题的思考。
三、不同信息类型下的“用户同意”
1、收集个人一般信息时的授权同意
《个人信息安全规范》规定,采集个人一般信息,最低程度应当取得个人信息主体的授权同意。获得授权同意时,应当向个人信息主体明确告知提供产品或服务分别收集的个人信息类型,以及收集、使用个人信息的规则(例如收集和使用个人的信息的目的、收集方式、频率、存放地域、存储期限、自身的数据安全能力、对外共享、转让、公开披露的有关情况等)。目前,不少互联网商家在注册页面时以“默认勾选”方式征求用户同意,这种设置不显眼的“默认勾选”与《个人信息安全规范》规定的“个人信息安全基本原则”第C项“选择同意原则”存在冲突,技术上软件能实现“默认勾选”,显然同时也能做到“留给客户自行勾选”,以“默认”方式替用户选择实际上侵犯了用户的选择自由,更何况根据《个人信息安全规范》,授权同意仅适用于个人一般信息,而实践中,个人一般信息和个人敏感信息难以明确区分并且可能相互依存,而后者将适用我们接下来介绍的“明示同意”。
2、收集个人敏感信息时的明示同意
《个人信息安全规范》规定,收集个人敏感信息,应取得个人信息主体的明示同意。明示同意是指个人信息主体通过书面声明或主动做出肯定性动作,对其个人信息进行特定处理做出明确授权的行为。所谓“肯定性动作”,包括个人信息主体主动作出声明(电子或纸质形式) 、主动勾选、主动点击“同意”、“注册”、“发送”、“拨打”等。现实中,软件、APP一般会在注册、登陆页面下方提供《隐私政策》、《用户协议》等相关文本供用户浏览和勾选同意。
然而根据《个人信息安全规范》附录C,无论是核心业务功能还是附加业务功能,在取得个人信息主体对个人敏感信息收集、使用行为的同意时,相关功能界面均采取弹窗式,这一点或者成为未来对个人信息安全监管和执法的倡导性要求,各互联网企业和个人信息控制者应当予以充分的重视。
3、核心业务功能和附加业务功能的区别
《个人信息安全规范》对核心业务功能和附加业务功能所必需收集的个人敏感信息。个人信息主体如何同意的方式,还做出了区别规定。对于核心业务功能,应告知所需收集的个人敏感信息以及拒绝同意带来的影响,允许个人信息主体“一揽子”选择是否提供或同意;对于附加功能,收集前应向个人信息主体逐一说明为完成何种附加功能所必需,并允许个人信息主体逐项选择是否同意,当个人信息主体拒绝时,可不提供相应的附加功能,但不得以此为由停止提供核心业务功能,即避免“捆绑式同意”。举例说明之,QQ的核心功能是即时通讯(聊天),若需开启语音、拍照等附加功能,则需另行授权和同意,又比如用户除了用微信聊天外,还想使用微信钱包,则有必要对个人财产信息进行单独的明示同意,如用户拒绝为上述附加功能提供个人信息,腾讯也不得因此停止基本的通讯、聊天等核心功能。
四、结语
毋庸置疑,在这个信息时代,任何人不可能如同“孤岛”一般存在,个人信息不再是私人领域的绝对所属,必然进入公共领域所用之,但个人仍然对其信息的收集、利用享有权威的决定权。在针对个人信息被过度采集、滥用以及非法交易暴露出的种种问题,不仅需要从法律法规完善,更需要各类企业的自觉尊重公民信息的权利,以及公民提高保护个人信息的意识等多维度共同努力解决,不可谓不任重而道远。