谨防个人信息泄露新陷阱
2018-06-14钟涛
■钟涛
就在五四青年节当天,天天P图通过引入几个民国范的头像模板,推出了“我的前世青年照——百年前的你竟然长这样”迅速引爆微信朋友圈。目前,天天P图已经收集8 000多万张用户照片。其实,每逢一些特殊节日,都会有一些第三方应用以性格测试、人品调查等各种“应景”的方式有意无意地搜集用户信息。
对此,国内电商智库——电子商务研究中心针对本热点话题中反映的问题提出以下点评。
问题一:天天P图收集用户照片,是否适当、合法?
1.对此,电子商务研究中心法律权益部助理分析师贾路路认为,互联网公司收集和使用用户的个人信息,要建立在用户授权同意的前提下。
天天P图收集了用户照片,同时也收集了照片中的时间、位置等信息,能够对用户进行迅速定位,你的家在哪里,公司在哪里,五一节放假去哪个地方等等;而且照片中还可能会携带手机信息,比如你是用的高档手机,可能会被用来大数据营销,被不法分子利用还可能会用来诈骗等。
根据《网络安全法》第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。用户有权知道,天天P图收集了我们照片中哪些信息,收集的目的,以及使用的方式和范围。而且,就在5月1日刚刚生效的推荐性国家标准《信息安全技术个人信息安全规范》也规定,收集个人信息时需要得到用户授权同意,而且收集的如果是个人敏感信息,还需明示同意。然而天天P图收集个人用户照片时,并没有任何个人信息授权的提示,显然违反了法律的相关规定。早前的微信朋友圈“星座性格测试”也涉及盗取用户个人信息,泄露人数也达千万,但随即引起腾讯封杀。或许,天天P图会面临相似命运。
2.对此,河北社科院法学研究所刘勇博士认为,天天P图应筑牢用户个人信息保护的“安全堤”,遵循合法、正当、必要的原则收集、使用用户个人信息。
天天P图在提供该产品时,并未主动向用户展示其隐私条款,用户无法阅读、了解其收集、使用用户个人信息的目的、方式和范围,且在获取用户信息时未征求和取得用户的明确授权,涉嫌违反《国家网络安全法》第二十二条和《消费者权益保护法》第二十九条等规定。
天天P图应筑牢用户个人信息保护的“安全堤”,遵循合法、正当、必要的原则收集、使用用户个人信息,建立健全用户个人信息安全内控机制,采取一切合理可行的措施,保护用户个人信息。
3.对此,浙江垦丁律师事务所联合创始人律师麻策表示:建议相关主管部门应当加以严厉查处。
我国网络安全法规定收集、使用个人信息时应当公开收集、使用规则并经被收集者同意。而朋友圈一再出现的上传照片生成匹配画像的模式,很多都只是让用户直接上传照片,却没有向这些用户事先说明收集照片的业务合法性,甚至该类工具会直接调用用户微信昵称、姓名、头像等内容,从而生成比对照片。另外,这些工具也没有说明上传照片日后的用途,而事实上这些海量照片会成为这些工具的图片库,以作进一步的数据画像。这些不事先公开收集规则并获用户同意的营销方式其实是严重违反个人信息保护的相关规定的,也无法保护用户日后对于该类照片信息的删除、撤回等权利,建议相关主管部门应当加以严厉查处。
目前有很多互联网公司为吸粉,采取互动游戏,个性分析,H5页面、答题、调查、拼团、一元购等方式,攫取用户个人信息,但没有对用户提示个人信息已被收集以及日后数据使用规则,如果收集的信息可形成用户数据画像并指向可识别对象,可能构成非法收集信息行为。麻律师个人揣测该类营销的本意是为了推广而不是诈骗。关键是这类公司一般都是初创公司(这类公司才需要大量吸粉),而他们本身不具备数据安全意识和技术配备,一旦数据泄漏被黑后果会非常严重,可谓“螳螂补蝉黄雀在后”,这个产业链太深了。
麻策提醒广大用户网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。网络服务提供者和其他企业事业单位收集、使用公民个人电子信息,应当公开其收集、使用规则。
4.对此,上海汉盛律师事务所高级合伙人李旻律师曾发表意见,企业收集个人信息的行为,要遵守《网络安全法》。
《网络安全法》在如何更好地对个人信息进行保护这一问题上有了相当大的突破。它确立了网络运营者在收集、使用个人信息过程中的合法、正当、必要原则。形式上,进一步要求通过公开收集、使用规则,明示收集、使用信息的目的、方式和范围,经被收集者同意后方可收集和使用数据。《网络安全法》加大了对网络诈骗等不法行为的打击力度,特别对网络诈骗严厉打击的相关内容,切中了个人信息泄露乱象的要害,充分体现了保护公民合法权利的立法原则。
问题二:天天P图使用用户信息时,需要注意什么?
1.贾路路认为,如果天天P图不具备保密的能力,那么他就没有资格收集用户的信息。
根据《网络安全法》第四十条规定,网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。用户有权知道,天天P图对收集的个人信息采取了哪些保密措施,如果天天P图不具备保密的能力,那么他就没有资格收集用户的信息。
2.上海信本律师事务所主任高兴发认为,从规范、合法运行的角度,我们善意提示并建议服务商依法改进。
根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》第二条规定:网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。网络服务提供者和其他企业事业单位收集、使用公民个人电子信息,应当公开其收集、使用规则。《民法总则》第一百一十一条规定:自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
在用户体验天天P图“我的前世青年照”过程中,服务商会收集到用户的照片以及照片中的时间、位置等信息,但是在此链接上并没有公开信息收集、使用原则,没有明示收集、使用信息的目的、方式和范围,亦未经被收集者同意,违反了信息收集应当遵守的合法、正当、必要原则,不利于用户个人信息安全,与上述法律规定相悖,也不符合网络服务提供者在收集、使用用户信息时应遵循的规定。从规范、合法运行的角度,我们善意提示并建议服务商依法改进。
问题三:用户在提供个人信息时,应该注意什么?
上海安全协会专委会副主任张威曾发表观点认为:互联网没有“删除键”,用户需提高防范意识。
现在对于社交网络的个人信息获取确实比较泛滥,利用人性的弱点实现一些不道德的目的,很多人也因此上当受骗,这种危害广大网民了解较少,从而不太注意,防范意识比较差。我们研究的黑客或者黑产(黑色产业),这些人形容现在的网民都叫做“肉鸡”,可以向稻子一样收割……2015年,腾讯微信就发布过《微信公众平台关于禁止发布签类测试信息的公告》,就是为了限制上述那种泛滥的个人信息采集行为。
另外,据电子商务研究中心监测诸多案例获悉,绝大多数新型的网络骗术都与个人信息的泄漏有关。
他们或者是充分利用已经窃取到的受害者个人信息实施网络诈骗,或者就是以受害者的个人信息为网络诈骗的攻击目标,个人信息的非法交易也恰恰是造成网络诈骗犯罪泛滥的根本原因。
另据“电子商务消费纠纷调解平台”近年来受理的全国数十万起电商投诉案件大数据表明,包括天猫、淘宝、京东、唯品会、当当网、苏宁易购、国美在线、1号店等在内的电商平台,以及窝窝团、美团、大众点评、百度糯米、携程、去哪儿、支付宝等在内的生活服务O2O平台,均屡屡因用户平台信息泄露,被盗号灰色产业链不法分子频频通过“撞库”方式盗号,造成平台上账户被盗,带来巨大经济损失,成为了历年网购、O2O“重灾区”。