前言
上半年短短六个月的时间,多起值得关注的个人信息隐私保护事件相继粉墨登场,既有数据泄露事件、企业个人信息公关危机,也不乏重要法律规范的施行……在让人慨叹“热闹”的同时又值得引人深思。
1月
支付宝年度账单默认
勾选“同意”引起争议
新年初始,支付宝公布了一年一度的用户“个人账单”,这份账单在刷屏的同时也引起了隐私争议:账单首页中有一行不起眼的小字——“我同意《芝麻服务协议》”,且默认勾选了“同意”,而协议条款内容则涉及“你允许芝麻信用收集你的信息”。
此事一出即引起网友热议,蚂蚁金服不得不出面道歉并对账单进行修改,取消默认同意。支付宝也因此被相关部门约谈。
【简评】:
《网络安全法》规定网络运营者在收集、使用个人信息前,应当明确告知被收集者其处理个人信息的规则,并经被收集者同意。支付宝的此种做法蔑视了消费者的知情同意权,既违反法律规定,也遭受舆论谴责。
企业在明确告知消费者其处理个人信息规则的同时,也应注意为消费者提供主动选择同意与否的选项。
百度因侵害个人信息安全
被江苏消保委提起公益诉讼
1月7日,江苏省消保委向南京市中级人民法院提起诉讼,指控百度旗下手机百度、百度浏览器侵犯个人信息隐私。
此前江苏消保委经过调研发现百度旗下APP存在“未经用户允许、未明确告知用户就强行获得用户手机的读取通话、短信、存储信息内容,并将这些信息上传至服务器”的现象,要求百度整改。
百度在收到调查函后态度消极且未整改,消保委在此情况下提起了公益民事诉讼。3月15日,在百度整改合格后,江苏消保委撤回起诉。
【简评】:
这是我国第一例个人信息安全公益诉讼,虽然该案最终以撤诉告终,但它仍具有重要意义:它指出了一条有效约束企业个人信息保护工作的监督途径,有利于促使企业形成自律规范。个人信息保护工作是一项系统工程,需要国家、企业、社会等多方力量的共同努力。
3月
支付宝因个人信息使用不当遭处罚
3月22日,中国人民银行杭州中心支行对支付宝(中国)网络技术有限公司开出罚单。公告显示,支付宝涉及包括客户权益、产品宣传、个人信息保护等方面的共计7条违法行为,被给予警告并处罚款18万元。
其中,支付宝在个人信息保护方面的违法行为包括:(1)个人金融信息收集不符合最少、必需原则;(2)个人金融信息使用不当。
【简评】:
个人信息的收集、使用应当遵循合法、正当、必要的原则。企业所收集的信息类型应当与实现产品或服务的业务功能有直接关联,遵循最少、必要的信息收集原则。个人金融信息多属于个人敏感信息,对其收集、使用更应谨慎对待,应确保个人信息主体的明示同意是其在完全知情的基础上表示的。
4月
知乎弹窗提示隐私政策更新引起争议
4月底,知乎在其APP与网站上以弹窗形式提示用户阅读并同意其隐私政策。在该隐私政策中,知乎逐一告知其将如何处理用户的个人信息,并申明了保护用户隐私的承诺。
但此举却遭引网友质疑:知乎收集过多个人信息;知乎隐私政策的弹窗页面的“不同意”按钮形同虚设等。
【简评】:
知乎弹窗提示隐私政策更新是积极响应《个人信息安全规范》的要求,其态度应值得肯定。更新之后的隐私政策更加详细、明确地说明知乎处理个人信息的规则,但也存在不少争议之处,对《个人信息安全规范》存在一定程度的误读。
知乎对“不同意”按钮设计的欠妥也是引起用户不满的主要原因之一,如何在隐私保护与用户体验寻求合适平衡点是每个产品所必须重视的。
多家外卖平台用户信息遭泄露
4月,包括饿了么、美团、百度外卖在内等多家外卖平台的用户信息均被在某些QQ群中售卖,这些用户信息主要来自两方面:一是某些外卖骑手,二是一些代理运营外卖店的网络公司。
这些泄露的用户数据包含用户姓名、性别、联系方式、地址及订餐次数等。此后,饿了么、美团宣布在其平台默认开启隐私保护功能以防止类似事件的发生。
【简评】:
用户的外卖信息反映着个人偏好,属于隐私,其泄露将可能使用户生活安宁遭受扰乱,甚至危及安全。“内鬼”是此次泄露事件的源头之一,这说明外卖企业内部管理制度存在问题。
为防止数据泄露事件的发生,企业需主动承担更多的责任,完善内部管理制度,将隐私保护嵌入产品设计与服务之中,从源头防止数据泄露。
5月
三部新法规/标准施行:强调个人信息保护
5月份共有三部关于个人信息保护的新法规/标准施行,分别是国家推荐性标准《个人信息安全规范》(下称“《规范》”)、《快递暂行条例》(下称“《条例》”)、《银行业金融机构数据治理指引》(下称“《指引》”)。
《规范》从人力到技术两方面为企业个人信息保护的合规工作提供了指引;《条例》规定快递运单只记录必需的信息,明确快递企业搜集用户信息的行为边界,为企业设定相关法律责任。
《指引》分别从数据治理架构、数据管理、数据质量控制、数据价值实现、监督管理等方面规范银行业金融机构数据治理工作,有助于推动银行业由高速增长向高质量发展转变。
【简评】:
三部法规/标准的施行回应了当下个人信息保护所出现的棘手问题。《规范》细化了《网络安全法》的相关原则性规定,虽然它仅属于国家推荐性标准,但它在多种场合下将对企业产生拘束力,而且该标准的权威性也得到业界认可。
《条例》为遏制当下快递行业个人信息泄露严重、使用不当的状况注入一剂强心剂,增强个人信息保护,引导快递行业的健康发展。
数据是影响金融行业发展的重要因素,数据治理激励机制的健全是金融行业健康发展的保障,《指引》的出台及时地引导企业加强数据治理,保护信息安全。
“百行征信”正式揭牌:
避免个人信息滥采滥用
5月23日,由中国互联网金融协会牵头、8家市场机构入股的个人征信联合机构(百行征信有限公司)在深圳揭牌。百行征信的揭牌将有利于解决我国个人征信企业间“信息孤岛”、个人信息滥采滥用等问题。
在隐私保护方面,百行征信会坚持“最低、适用”原则采集个人信用信息,在保障个人信息主体的同意权和知情权的前提下,只采集个人借贷数据以及个人身份识别信息等支持类信息,且主要应用于借贷等经济交易场景。
百行征信的成立将促进互联网金融行业的健康有序发展。
【简评】:
征信业是能对个人信息进行产业化共享的行业。由于用户数据是互联网企业的重要资产,由各个企业进行共享的做法难以行通,且有些企业的征信标准并不规范,因此,由企业自愿通过第三方进行用户信息共享成为可行的方式。
百行征信公司的成立将有效解决“信息孤岛”、个人信息滥采滥用等长期制约我国个人征信业发展的问题。
6月
中消协启动App信息
收集与隐私政策测评活动
6月14日,中消协宣布启动App信息收集与隐私政策测评活动。
近几年来,手机App应用发展迅猛,为消费者提供便利的同时也带来了诸多隐私保护问题,如一些App未获用户授权收集个人信息、收集过多个人信息等,使得用户个人信息安全受到严重挑战。
为了帮助消费者了解各类App消费者个人信息收集以及隐私保护措施情况,中消协决定开展App消费者个人信息保护情况测评活动。
【简评】:
中消协此次App信息收集与隐私政策测评活动是继去年四部委隐私条款评审工作后的又一重要测评活动。此类测评活动的常规化能够有效发挥社会监督的力量,促使企业主动规范个人信息处理活动。
“航旅纵横”APP社交功能引起隐私争议
6月,“航旅纵横”APP推出“虚拟客舱功能”,通过该功能,用户可以查看同舱乘客的历史飞行地点及频率等信息,还可以与同舱乘客私聊。
该功能一推出即遭受争议,引发公众关于隐私泄漏问题的担忧。航旅纵横随后将该功能由默认开启状态修改为默认关闭状态。
【简评】:
工具类APP的社交功能往往为用户隐私保护的雷区,因为社交功能是此类APP的附加功能,如果APP默认开启附加功能,且未经用户知情同意收集个人信息,则违反“合法、正当、必要”的个人信息处理原则。
产品功能的设计需考虑用户隐私保护,需进行个人信息安全影响评估,评价功能给用户个人信息造成的风险,并制定相应防范措施。
A站被黑客攻击致近千万条数据外泄
6月13日凌晨,AcFun弹幕视频网在其官网发布《关于AcFun受黑客攻击致用户数据外泄的公告》。
公告称,此次泄露的用户数据包含用户ID、用户昵称、加密存储的密码等信息,所有用户密码都经过加密,没有明文密码。
事发之后,AcFun已经搜集了相关证据并报警,同时第一时间联合内部和外部的技术专家成立了安全专项组,排查问题并升级了系统安全等级。
【简评】:
A站数据泄露事件是上半年国内发生的第二起重大数据泄露事件,此次数据泄露事件的主要原因是A站自身的安全漏洞被黑客攻击,这是数据泄露的常见方式。
掌握大量用户数据的互联网公司应当承担更多责任,既要加强安全技术防范措施,也应当完善内部的数据管理制度,定期排查可疑因素,将数据泄露风险降至最低。
结语
“热闹”的六个月已经过去,下半年个人信息隐私保护是继续风起云涌还是归于平静?我们不得而知。
经验与教训告诫我们:惟有怀揣着认真负责的态度对待个人信息隐私保护的每一项工作,数据的安全与繁荣才会离我们更近一些。
来源:腾讯集团数据及隐私中心
