澎湃Logo
下载客户端

登录

  • +1

如何救济“互联网+”时代被授权的隐私侵犯

赵志东/上海律师 孟也茹/吉林大学法学院本科生
2018-04-08 12:50
来源:澎湃新闻
澎湃研究所 >
字号

当地时间3月25日,美国社交媒体脸书公司创始人、首席执行官马克·扎克伯格在在6份英国报纸和3份美国报纸上,采用道歉信形式为5000万Facebook用户信息被英国数据公司剑桥分析泄露和利用一事道歉。

多达五千万的“脸书”(Facebook)用户信息数据遭到泄露一事,使这家美国社交媒体巨头面临着自创立以来最严重的危机。

当地时间3月21日,脸书创始人兼首席执行官扎克伯格首度打破沉默,在自己的脸书页面发表声明,承认公司在授权英国数据分析公司“剑桥分析”(Cambridge Analytica)使用用户数据一事上犯下错误。此前的3月17日,美国《纽约时报》和英国《卫报》旗下《观察家》报刊发的深度报道揭露,脸书上有多达五千万的用户信息数据在这些用户不知情的情形下被剑桥分析获取并利用,用来向这些用户精准投放广告,帮助2016年特朗普团队参选美国总统。更糟糕的是,脸书在两年前就知晓此事,但没有及时对外披露相关情形。

当地时间3月21日晚间,扎克伯克现身美国有限电视新闻网(CNN)正式致歉,说到动情处甚至声音颤抖。3月25日,脸书在美英两国九家主流报刊上刊登整版广告向民众道歉。但市场是无情的,至3月28日,泄密丑闻已令脸书市值减少约955亿美元。与此同时,众多用户群起责难,“卸载脸书”行动在互联网上涌动,广告商纷纷离去,多国展开调查……脸书走到了悬崖边上。

美国联邦贸易委员会(FTC)已着手调查此事,脸书如有违反政府保密协议的情况,将面临每例每日4万美元、总计两万亿美元的高额罚款。

自进入数字时代以来,互联网企业攫取利益的途径早已不仅局限于研发、推广和运营产品,广泛收集、分析和利用用户的各类信息是他们获得巨大经济利益的隐蔽手段,这其中就有很大一部分是经用户“授权”之后获取。企业较为普遍的做法是,在手机应用程序(App)中通过用户默认勾选、默认同意协议等方式采集用户数据。

近年来,因互联网企业不当搜集用户信息而引发的重大纠纷事件已有多起,国内如“支付宝年度账单事件”,国外如“脸书泄密事件”等。互联网企业在侵犯个人数据隐私方面日渐猖獗而无收敛之势,虽有部分企业已因触犯相关法律而自食苦果,但更多企业游走在法律边缘,抱着侥幸心理,通过各种途径收集用户个人信息,以达到开辟新业务或是获取更大经济乃至政治利益的目的。

互联网行业的特殊性和其发展的迅速程度,决定了一些企业的行为时常处于法律规制的“灰色地带”,加之该行业的发展给人们生活带来极大的便利和满满的科技感,都使得公众对很多尚未对具体个人利益造成严重损害的事件时常持“睁一只眼闭一只眼”的态度。不过这显然不是放纵互联网企业继续“窃取”个人信息的理由。

面对诸多仍在发生的恶劣行径,笔者认为,企业获取信息的操作方式、对此类行为的法律规制路径和未来可能的权利保护方向,都是亟待讨论解决的问题。

一、互联网企业如何被“授权”收集用户信息?

互联网企业获取用户个人信息,往往通过令人防不胜防的方式进行,通过接触脸书用户获取信息的剑桥分析正是如此。

据媒体披露,自2014年起,脸书的用户能看到一个名为“这是你的数字生活”的第三方小程序软件。这个程序的用户在做完性格测试并分享给好友后可以拿到5美元的“红包”。性格测试所搜集的信息包括用户的住址、性别、种族、年龄、工作经历、教育背景、人际关系网络、平时参加何种活动、发表了什么帖子、阅读了什么帖子、对什么帖子点过赞等。

剑桥分析通过这款小程序获取了大约27万用户的授权。事实上,这款程序在请求用户授权时,所要求访问的不仅是用户本人的脸书信息,还包括他们在脸书上的好友的个人资料。这样,当这些用户将测试结果分享出去时,他们的好友的个人资料就在未经同意的情形下被读取了。利用这些授权用户的朋友网络,剑桥分析总计获得了超过5000万脸书用户的个人资料,之后依据这些用户的使用习惯进行精准的信息投放。比如,某个美国公民给某个支持私人持枪的言论点了个赞,这个赞就会被后台捕捉,之后在其首页上就会出现有关“特朗普支持持枪”的新闻。

据报道,剑桥分析可能以这些数据为基础,预测并影响了全球多地政治活动中公众的选择,包括2016年美国总统选举以及英国“脱欧”公投。

无独有偶,国内不少App也通过这种“用户授权协议”获取用户个人信息。如央视近日报道的“Wi-Fi万能钥匙”,该应用界面的右下角有一行非常小的蓝色字体《Wi-Fi万能钥匙用户协议》,用户点击立即体验时,就等同于默认了这个用户协议。而在这个用户协议当中,有一项隐私政策的声明,里面描述了该软件将如何收集和使用消费者的个人信息及其他信息。这些信息包括最基本的信息,如用户使用的手机设备信息、使用服务器的IP地址、GPS定位等等。

最关键的一点是该软件会共享、转让、公开披露用户的个人信息,只有这样才能实现这个产品所谓的“核心服务功能”。这个看似点对点的服务,实际上是点对N,这家企业据此可以掌握更多的IP地址、GPS定位等信息,可以通过信息分享吸引客流量,进而发布各类广告,达到赚钱的目的。

此种“用户授权协议”似乎已经成为互联网行业的一种惯例甚至是默契。笔者最近在使用著名在线票务企业携程的App时也注意到,在代扣服务协议中,该软件以格式合同的形式让用户授权其“在服务使用和终止后保留相关信息数据,包括但不限于向第三方提供信息”。如此行为俨然已逾越了个人信息保护的边界,理当受到法律规制。

二、个人信息权如此被侵犯,法律如何规制?

首先,互联网企业通过协议迫使用户放弃个人信息权的行为无端扩大了自己的权利范围,违反了《合同法》关于格式条款的禁止性规定,应当认定无效

我国《合同法》第三十九条规定:“采用格式条款订立合同的,提供格式条款的一方应当遵循公平原则确定当事人之间的权利和义务,并采取合理的方式提请对方注意免除或者限制其责任的条款,按照对方的要求,对该条款予以说明。”

由此可知,企业与消费者在格式合同下的权利义务应当处于相一致、相对等状态,若是企业通过格式条款使自己的权利范围超越了原本的交易目的,那么就存在违反公平原则的嫌疑。对这种可能出现的权利侵犯情况,合同的提供者应当采取必要手段提请对方注意,这种注意需要达到一般理性人合理注意的范畴。这也就意味着,一个具有完全民事行为能力的用户在签订了这份事先准备好的协议之后,就已经对该协议中存在的可能侵犯自身权利的条款明确知悉并完全同意。

然而在此类以非常规渠道获取个人信息的纠纷事件当中,事实却并不是如法律要求的那么规范。以携程App为例,其所提供的代扣服务协议呈现于用户购买旅游相关产品(如机票、订酒店、旅行套餐等)的操作流程中,本次交易的目的应当是用户购买旅游产品,企业从销售该产品中获取利润,那么合同内容就应当围绕交易标的即该旅游产品展开,如用户的支付方式、产品的使用以及售后服务等。而企业要求用户授权其在合同关系终止后仍可保存用户信息,并拥有向第三方提供的权利,无疑已经超越双方原本的交易目的,肆意扩大了自身权利,系格式合同中标准的“霸王条款”。

不仅如此,携程App中多数面向用户的类似协议藏匿在用户不易注意到的位置,并通过设置成与主界面相似的色调来“伪装”。而这些“藏起来”的协议通常都已经被勾选,即使是用户根本没有注意到这个协议,也不影响其后续操作步骤的进行,因此用户很有可能在不知情的情况下就“纵容”了对方对其个人信息权的侵犯。这样,尽管协议中授权该企业不限期获取、保存用户信息的条款已经被加粗下划,前述隐藏设置仍违反了法律要求其提请对方注意的规定。

也就是说,上引条款违反了法律的禁止性规定,应当根据《合同法》第四十条认定无效。

其次,互联网企业在收集、利用个人数据时,并未明确该行为的目的、方式和范围,这不符合法律法规的要求,应当予以整改。

2017年6月起施行的《网络安全法》第四十一条规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”2012年12月通过的《全国人民代表大会常务委员会关于加强网络信息保护的决定》中早有相似规定。这意味着,企业收集和使用信息并不是被完全禁止的,但显然应当遵循适当的规范。公共管理部门等政府机构可以为了方便社会管理而记录个人信息,商业组织也可以为了促进交易而留存客户信息。但是此种良性信息利用方式必须在必要的限制之下,那就是双方对数据信息的内容、信息将被利用的目的和范围等事宜都悉数知晓。这种信息使用的关系是直接、透明的。

然而在一些互联网企业收集、利用信息的过程中,由于协议所约定的信息利用目的、方式模糊,提供信息方并不能得知其个人信息即将以何种方式被分析利用,而信息使用方也可能在约定不明确的铺垫下无限制地利用个人信息,逡巡于法律的边缘。因此,即使互联网企业以提请公众注意的方式公示了原协议条款,也有可能由于规定不明确、不详细而导致最终面临整改的窘境。

三、“互联网+”时代,公民个人信息将如何受到保护?

当前,随着个人信息受侵犯的范围不断扩大,此类事件纠纷的暴露程度不断加深,人们对信息保护的关注度也在不断提高。2017年3月15日通过的《民法总则》明确将个人信息权纳入民法基本法的范畴,明确了个人信息受保护的基础地位。目前,关于个人信息保护的一些法条大都分布在《民法总则》、《网络安全法》、《消费者权益保护法》等法律中,这些规定大多是原则性规定,相比实践中变化多端的状况来讲,似乎并不具备太强的可操作性。

值得欣喜的是,由全国信息安全标准化技术委员会制定和管理的个人信息保护方面的国家标准《信息安全技术 个人信息安全规范》已正式发布,将于2018年5月1日实施。该《规范》内容涵盖个人信息的收集、保存、使用、共享、转让以及安全事件处置等方方面面,是对之前网络安全原则的细化。政府在维护数据安全方面已显示了积极有为的态度,今后更应该努力找到公民数据安全和产业发展之间的平衡点,明确企业权利的限度和企业责任范围,推动企业的数据运用在规则许可的范围内良性运转。

互联网企业也应当意识到,数据安全和企业信用将是其核心竞争力。在美国,一个用户可以不在乎自己的隐私,将自己的数据出卖给最高出价者。网上零售巨头亚马逊公司就已经开始实施基于cookies(储存在用户本地终端上的数据,通常经过加密)协议的隐私保护方案,用户可以按照自己的意愿勾选希望被收集的数据。这种意愿与享受亚马逊网站的购物服务没有任何关系,用户完全可以在不授权任何数据的情况下享受服务。未来,数据信息可能成为一种普通的产品,其买卖仍需要完全遵循契约精神,但鉴于数据的特殊性,数据提供方和服务方之间的权利义务关系必须明确。这样,数据安全就将是卖方考量是否交易的重要因素。因此,数据安全未来也将成为互联网企业的核心竞争力。

就拥有大量个人信息的公众来讲,在享受着数字时代带来的便利的同时,他们也应该考虑,自身隐私是更应该主张保护的利益。当法律已经赋予公众说“不”的权利时,放纵互联网企业对个人信息的收取是不明智的。数据的汇集意味着企业的巨大利益,权利要求的汇集则意味着公民权益维护的更大可能。只有自上而下的强制监管和自下而上的公民权利意识觉醒双管齐下,才能推动相关企业善用公民个人的信息数据,并推动社会的方方面面向现代化、科技化、规范化的方向转变。

    责任编辑:李旭
    校对:徐亦嘉
    澎湃新闻报料:021-962866
    澎湃新闻,未经授权不得转载
    +1
    收藏
    我要举报
            查看更多

            扫码下载澎湃新闻客户端

            沪ICP备14003370号

            沪公网安备31010602000299号

            互联网新闻信息服务许可证:31120170006

            增值电信业务经营许可证:沪B2-2017116

            © 2014-2024 上海东方报业有限公司

            反馈