◎文/ 本刊记者 王砾尧

9月初，大洋彼岸刮了一场个人信息泄露的飓风。美国三大征信公司之一的Equifax称其数据在今年7月被网络罪犯攻破，1.43亿人的个人信息遭到泄漏，人数接近美国总人口的一半，同时有近21万人的信用卡卡号也被盗取。根据事后调查，信息泄露发生在5月到7月之间，但Equifax于7月29日才发现数据库遭到攻击。被黑的信息包括消费者的姓名、生日、社会安全号SSN、地址和驾照号等，此外，过去参与过信用报告纠纷的逾18万美国客户的个人识别信息也被曝光。这其中有信用卡号，信用卡过期日期，每张卡独特的密码及消费历史等信息。

业内普遍认为，这次泄露可能是历史上最大的网络攻击之一，影响之深远不可估量。有专家表示， 此次Equifax数据大规模泄露事故，不仅凸显了该公司在网络安全方面的马虎大意，更体现出了美国征信系统普遍存在的固有缺陷，如需要对过分依赖社会安全号码的信用报告系统进行改革等。

高度敏感信息成“猎物”

据美国社会安全局网站介绍，美国的社保号码是辨别和收集个人信息的“主要手段”。此外，该社保号码还用于开立银行户头、申请贷款并申请返税等。美国业界专家表示，社保号码在政府与私营层面应用广泛，利用它就可以轻易登入高度敏感的账户，使得攻击信贷征信机构等系统变得极为有吸引力。

美国全国消费者法律中心（National Consumer Law Center）的律师Chi Chi Wu表示，Equifax的安全漏洞使其成为黑客们唾手可得的攻击目标，这些事件以及Equifax公司随后对这些事件的处理方式，表明消费者已成为美国征信体系构建方式的受害者。

“这是在美国发展出来的判断消费者信用等级的一个怪异系统。有三家私营企业在经营着海量高度敏感的美国消费者信息，并从中牟利。这几家公司都是公开上市公司，因此它们的最高目标就是为投资者挣钱。”她认为，“美国消费者没有选择余地。不管我们愿不愿意，我们的信息都被记录进去了。此外，消费者不是他们的客户，但消费者的信息却成了这些信用报告机构的商品。”

隐私政策遭遇“霸王条款”

回头看国内的征信机构，虽然尚未出现类似美国的寡头型征信企业，但Equifax的隐私泄露事件也从侧面印证了央行迟迟不发个人征信机构牌照的担忧——用户个人隐私无法得到持续充分的保障。虽然除了央行的个人征信报告，我国目前还没有主流的应用广泛的信用产品，但如果从互联网产品角度出发观察，会有新的发现。因大多互联网产品与个人生活息息相关，随之而来的个人隐私泄露隐患也不可轻视。例如用微信聊天、淘宝购物、百度地图导航……当享受网络产品和服务带来便利的同时，我们可能并未阅读或读懂它们附上的隐私条款，对其如何收集、使用和转让我们的个人信息并不清楚，甚至会遭遇“霸王条款”。

网购信息泄露接到骚扰电话、航班信息泄露遭遇精准诈骗……“近年来，个人信息被过度采集、滥用以及非法交易带来了一系列问题，严重损害用户合法权益，同时也带来了一些社会问题。”中国电子技术标准化研究院院长赵波说。

隐私条款是企业收集、处理、使用用户信息的公开声明。然而，诸如“为改进服务，我们需要收集、分析您使用手机的情况，并可能与第三方共享等”语焉不详、笼统不清的条款内容比比皆是，让人不明就里：要改进什么服务、收集哪些信息、将共享给哪些第三方？

“有的天气类应用要收集用户的通信录，有的手电筒应用在安装时显示会调用手机的位置信息。”手机里有多个APP的北京市民魏先生说，有的APP安装时会问我是否同意将购物信息共享给第三方信用评价机构，如果点不同意，就会直接退出，无法使用该服务。

记者调查发现，一些网络服务没有给用户提供更正、删除其个人信息的途径，不给用户提供撤回授权、关闭权限、注销账户的方式。因此，有的网络服务用户一旦注册了，再也无法注销。

有网络信息安全专家和用户表示，这种协议实际上是企业利用自己的优势地位“强迫”用户同意，导致的结果是用户提供授权后“覆水难收”，这样的“霸王条款”，很可能危害用户信息安全。

企业整改减少泄露风险

今年7月，为落实《网络安全法》对个人信息保护提出的明确要求，由中央网信办、工信部、公安部、国家标准委组织开展了个人信息保护提升行动之隐私条款专项工作，对微信、新浪微博、淘宝网、京东商城、支付宝、高德地图、百度地图、滴滴出行、航旅纵横、携程网10款网络产品和服务的隐私条款进行评审。

9月24日是“个人信息保护主题日”，这一天评审结果正式公布，经评审，以上10款网络产品和服务在隐私政策方面都有不同程度提升。据悉，此次评审旨在督促企业整改违法违规行为，让用户拥有对自己个人信息的知情权和控制权。

据了解，这些企业一边接受评审，一边进行整改、提高，改版后的很多条款将减少用户信息泄露风险：

支付宝和微信等均通过弹窗展示隐私条款重点内容及收集信息类型，以便用户在最短时间内了解其最关心的问题；用户点击隐私条款目录即可跳到具体条款，易于用户选择和阅读。

滴滴出行细化了获取用户信息的具体内容及对应的产品功能，并允许用户做出选择。“用户如不同意采集个人信息，将仅影响某个对应功能无法使用，不会影响APP主功能叫车服务。”滴滴出行副总裁魏东辉说。

航旅纵横、京东商城等给用户撤回同意、删除个人信息、注销号码或账号的权利，用户撤回同意和注销账号的，企业将不再保存、处理该个人信息。

在与用户隐私联系最紧密的足迹功能中，百度地图给用户提供了丰富的设置开关，可以选择记录“打开地图时的位置”“导航结束时的位置”，也可以“清空所有足迹”。

“京东明确指出将遵循合理、相关、必要原则收集个人信息，不会收集法律法规禁止收集的信息。”京东商城副总裁曲越川说，京东会全面采取合理可行的措施，避免收集无关的个人信息。

中国电子技术标准化研究院副院长杨建军表示，评审认为10款产品和服务在隐私政策方面均有不同程度提升，10款产品和服务均做到了收集，使用个人信息规则，并征求用户明确授权。这其中有5款产品和服务在满足以上功能基础上还提供了更加便利的在线一站式撤回和关闭授权，在线访问，删除个人信息，在线注销账户等功能。

评审专家认为，通过此次专项评审工作，网络产品服务提供商原本缺失或者不完整的隐私条款变得更加完整，并且告知、提示用户；原本语言不详的、晦涩难懂的、避重就轻的隐私条款文本将变得更加易读和规范。

首批参加评审的10家互联网企业还发布倡议书，表示将尊重用户知情权、控制权，遵守用户授权，强调用户信息安全等。同时这些企业表示，坚决杜绝与个人信息黑色产业链的任何交易及往来，积极配合监管机构监督检查，主动接受社会各方监督。

中央网信办网络安全协调局局长赵泽良表示，此次评审行动是在个人信息保护上迈出的非常重要的一步，未来还要调动更多企业，对自己的隐私政策主动进行评估，也会适时鼓励、指导来进行隐私政策的评估，范围上也会进一步扩大。

信息采集使用要有“明白账”

隐私条款是用户了解企业如何采集收集个人信息的一个主要窗口，同时也是用户行使个人信息控制权的一个主渠道。北京大学互联网发展研究中心高级顾问洪延青表示，互联网时代用户希望“我的信息我做主”，网络产品和服务企业收集了用户哪些信息、如何保存使用、如何转让等，必须给用户一本“明白账”。

中国信息安全研究院副院长左晓栋建议，隐私信息保护涉及用户切身利益，用户在使用互联网服务过程中，要认真了解隐私政策，这也是事后主张自己权益的重要依据。

网络产品和服务的隐私条款是对用户的承诺，也是政府执法的重要依据。“下一步相关部门将组织开展对参评产品和服务的抽查检测。”中国电子技术标准化研究院副院长杨建军说，目的是推动互联网企业更加重视个人信息保护，形成社会引导和示范效应，带动行业个人信息保护水平整体提升。

“未来将按照网络安全法要求，进一步加强个人信息保护工作。”赵泽良表示，下一步还要鼓励更多企业参与到评审中，企业要把保护个人信息作为自己的责任。