把“数据饕餮”关进笼子
2018-02-01李云蝶
李云蝶
在数据保护这件事情上,“不能完全依赖于企业的承诺,他们的很多说法是靠不住的。”
“凝视手机过久,手机亦将回以凝视。”小小数英寸屏幕背后,虎视眈眈的互联网公司尤其是几大巨头,可能正在成长为“数据饕餮”,渴望窥探你的一切信息,电话、联系人、相册、浏览记录,甚至,听到你的声音,触摸你的指纹,掌管你的“钥匙”……
对这种无限度吞噬的担忧和质疑,在今年1月份集中爆发了。中国互联网行业最有实力的几家巨头,无一幸免。
元旦当天,吉利董事长李书福在某新年论坛上质疑微信的隐私保护和信息安全,称“马化腾肯定天天在看我们的微信”。
随后,1月3日,有律师发现,“支付宝年度账单有‘鬼,在不起眼位置附带《芝麻服务协议》。”有网友声讨,“附带的协议会允许支付宝收集你的信息,包括在第三方保存的信息。”
之后,有网友反映称,“和朋友聊天讨论西餐厅,今日头条马上给你推送西餐相关的广告和资讯,今日头条可能在用麦克风窃用户隐私。”
再之后,1月5日,江苏省消费者权益保护委员会召开新闻发布会,表示针对“百度涉嫌违法获取消费者个人信息及相关问题”已提起消费民事公益诉讼。这是全国首例关于手机APP的信息侵权公益诉讼。
虽然各家巨头在第一时间或回应、或认错、或辟谣,但仍然阻止不了一轮关于互联网公司数据获取没有边界和规则的声讨。
看起来,是时候该将一只只“数据饕餮”关进笼子里了。
“不能”还是“不愿”
多方矛盾下,一面是越发集中的个人信息安全事件推动普通用户的安全意识不断提升,另一方面是飞速发展的数字环境和越发激烈的商业竞争促使互联网公司数据收集手段和范围不断扩大,二者冲突在所难免。
值得注意的是,尽管各家公司都在第一时间作出回应,但除了试图撇清误会辟除谣言以外,多家公司将“技术不足”作为没有窃取用户隐私的理由之一。
今日头条在“致广大用户”的说明中否认“用麦克风窃取用户隐私”时提到,“从技术上看,目前声音信息的处理,也远达不到通过麦克风去获取个人隐私的水平”。
百度在江苏省消保委将其告上法庭一案作出的回应中,对于消保委所质疑“‘手机百度和‘百度浏览器在未取得用户同意的情况下,获取诸如‘监听电话、定位、读取短彩信、读取联系人、修改系统设置等各种权限”中的“监听电话”一项,百度回应,旗下手机应用“没有能力、也从来不会”申请这一权限。
有网友调侃称,这大概是互联网巨头们第一次公开承认自己“能力不够”。
用“我不行”来证明“我没做”,难免有些逻辑上混淆视听的嫌疑。大数据专家、WPP数字化分析经理李军对《财经国家周刊》记者说,“他们首先应该明确一点:数据的所有者一定是用户,这是不容置疑的,该拿不该拿,实际上就是基于用户有没有给你数据的授权。”
但他同时提醒,即便公司有“授权”这个动作,用户仍要注意在实际执行过程中避免诸多陷阱。
其中的一种行为是“含糊告知”,举个极端的例子,将协议条款无限拉长,实际协议条款达到一百多页,这种情况下,基本没有用户会仔细从头看到尾,经常选择性忽略重要信息,其效果约等于没有告知。
另一种情况下,尽管条款看似罗列清楚且数目合理,但背后却夹杂了很多隐含的意义和模糊的表述,通过一些难以察觉的默认选项和条款陷阱,让用户同意并从中谋利。
北大法学院副院长薛军对《财经国家周刊》记者直言,“不能完全依赖于企业的承诺,他们的很多说法是靠不住的。”
造好法律的笼子
数据作为数字经济时代的核心资源,与工业社会的煤炭、石油、天然气等能源同等重要,谁能拿到最多的数据,谁就是未来数字经济的霸主。
如此形势下,期待“数据饕餮”们自我监督是不现实的,还需要有更多的硬性约束。
一个普遍的共识是,法律正是最有效用和效力的硬性约束。
一直以来,我国立法层面始终十分重视“个人信息保护”和“数据安全”,相关的法律表述不在少数。
早在2012年底,在第十一届全国人大常委会第三十次会议上,就通过了《全国人民代表大会常务委员会关于加强网络信息保护的决定》,其中对“公民个人电子信息”的权限使用作出诸多要求。
最近的规范是2017年6月1日开始施行的《中华人民共和国网络安全法》,在第四章中,专门针对个人信息规定了严密的保护体系。
而几乎同一时间,最高人民法院與最高人民检察院也联合发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,对侵犯公民个人信息犯罪的定罪量刑标准和有关法律适用问题作了全面、系统的规定。
更多的表述还分散在各处,在2017年11月审议通过的《电子商务法》草案二审稿第20条中,明确对电子商务经营者收集、使用其用户的个人信息加以限制;在10月1日正式施行的《民法总则》第127条,也明确将“数据”作为一种受到法律保护的财产形态作出规定,让“数据资产”这一说法具有了法律文本基础。
不过,薛军认为,尽管国家立法层面比较重视,也有诸多条款,但最大的问题是关于个人信息保护的立法比较分散,没有一个专门的法律将其统一起来。
在他看来,一个统一的法规,能够综合、全面、完整地规定关于个人信息保护的制度框架,可以把违反规定的民事责任、行政责任、刑事责任统一规定起来。
以欧盟今年5月即将正式生效的《一般数据保护条例》(简称“GDPR”)为例,李军认为,其中一个直观表现就是,违规最高罚金可达公司全球总收益的4%,对于一个千亿级收入的公司来说,这相当于几十亿、甚至上百亿的罚款。
甚至,其中还有类似“数据遗忘权”的规定,规定信息主体有权要求信息控制者在所有服务器上删除与其有关的资料信息,这对于数据获取来说,无疑将带来巨大的成本,将数据保护落实到了具体的行动措施上。endprint
薛军告诉《财经国家周刊》记者,“我们国家也有计划制定一个单行的《个人信息保护法》,全国人大很有可能会列入立法规划,这对个人信息保护会有一定的促进作用。”
要原则也要有细则
当然,摆在立法者面前的,还有一个更加的现实问题:数字时代的一大特征就是,技术发展迭代飞速,而新法律的確立和实施需要通过一定的程序,势必出现时间差,那么,在法律的空窗期,要怎么解决不断产生的问题?
薛军给出了一个办法,他认为,“治理不一定要全部通过国家的立法,也可以通过软法补充。”
所谓“软法”,是指那些不能运用国家强制力保证实施的规范,由一些高校、学者、第三方机构主导的行业标准都可以算作软法,它更像是一种“公约”。
这些规范虽然没有严格的法律效应,但十分灵活,既可以一定程度上规范企业的行为,填补法律空窗期产生的问题,也有一定调理机制,可以随时修改。薛军称之为“多中心治理、多元共治的方式”。
事实上,在个人信息安全领域,目前已经有一些行业标准正在制定完善过程中,在薛军发给《财经国家周刊》记者的一份《信息安全技术个人信息安全规范》国家标准报批稿中,长达30多页的文件,涵盖了从个人信息收集、处理、到安全事件处置的各种细则,起草单位的成员也涵盖了从研究院到学校、企业等多种主体。
李军也说:“光讲原则是没有用的,一定要有细则,要有明确的边界和相应的惩罚措施,才能够真正起到约束和管理的作用。”
他将如今的个人信息安全风险与十几年前的“安然事件”作类比,认为有必要从企业的管理流程上进行更加坚决、直接、具体的规范。
2001年12月,美国最大的能源公司——安然公司突然申请破产保护后引发了一系列丑闻,其中最臭名昭著的,是2002年6月的世界通信会计事件,它彻底打击了美国投资者对资本市场的信心,也让美国国会和政府下定决心加速通过《萨班斯—奥克斯利法案》,该法案的另一个名称是“公众公司会计改革与投资者保护法案”,对在美国上市的公司提供了合规性要求,使上市公司不得不考虑控制IT风险在内的各种风险。
李军认为,在数据保护方面,可以仿照《萨班斯—奥克斯利法案》的处理方式,制定一套完整的数据保护规范,按照它去重新设计、完善整个数据操作、数据管理的流程系统组织架构,监管机构可以随时抽查,哪怕数据没有泄露,只要不按照标准规范去重新定义公司的整个数据管理框架,都要受到惩罚。
并且,随着企业不断发展,同样有必要加入新型管理者,而数据管理的职责,可以落实到“首席数据官”(Chief Data Officer,CDO)的身上,就像萨班斯法案最终落到了“首席财务官”(Chief Financial Officer,CFO)的身上一样。
在更远的未来,随着数据跨境流动的越发频繁,薛军预测,我们不仅要考虑到数据对个人的威胁,还要考虑到对国家安全是否会产生威胁,全球政府应该合作,形成类似国际公约的个人信息保护最低标准,不要形成监管洼地。endprint