文 《法人》記者 肖岳

在互聯(lián)網(wǎng)浪潮和大數(shù)據(jù)時代下，以《網(wǎng)絡(luò)安全法》為代表的相關(guān)法律法規(guī)不斷出臺與落地，為用戶與企業(yè)的合法權(quán)益保駕護航，但基于技術(shù)的不斷迭代更新，用戶信息安全的保護往往需要監(jiān)管部門、企業(yè)和用戶自身共同維護，三方缺一不可

從“支付寶年度賬單事件”，到百度因涉嫌侵害消費者個人信息安全被江蘇省消保委起訴，再到工信部因用戶隱私問題約談百度、支付寶和今日頭條。新年伊始，“信息安全”這個本就不陌生的話題，又多次出現(xiàn)在公眾的視野中。

在此之前，有網(wǎng)民在中國政府網(wǎng)上留言稱：“在網(wǎng)絡(luò)平臺、手機APP注冊賬號后，由于很少使用或以后不會再使用，想把自己的賬戶注銷，但卻發(fā)現(xiàn)根本無法注銷?！?/p>

而根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》第四十三條規(guī)定：個人發(fā)現(xiàn)網(wǎng)絡(luò)運營者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個人信息的，有權(quán)要求網(wǎng)絡(luò)運營者刪除其個人信息。此類被強制的案例很快引起監(jiān)管部門的注意，工信部就此事回應(yīng)稱，根據(jù)《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》（工業(yè)和信息化部令第24號）第九款第四款規(guī)定：“電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者在用戶終止使用電信服務(wù)或者互聯(lián)網(wǎng)信息服務(wù)后，應(yīng)當(dāng)停止對用戶個人信息的收集和使用，并為用戶提供注銷號碼或賬號的服務(wù)?！?/p>

在有法可依的情況下，用戶權(quán)益仍被如此侵犯，可見互聯(lián)網(wǎng)個人隱私保護任重道遠。

應(yīng)用越界獲取用戶信息成新常態(tài)

2017年12月11日，江蘇省消費者權(quán)益保護委員會（以下簡稱“江蘇消保委”）對北京百度網(wǎng)訊科技有限公司違法獲取用戶信息權(quán)限及相關(guān)問題，提起消費民事公益訴訟。.2018年1月2日，南京市中級人民法院對此正式立案，隨后江蘇省消保委于1月5日進行了案件情況通報。

早在2017年7月，江蘇省消保委就曾對涉及購買類、閱讀類、支付類、旅游類等服務(wù)領(lǐng)域，并有一定代表性的27家手機App開發(fā)企業(yè)進行調(diào)查，發(fā)現(xiàn)普遍存在侵犯消費者個人信息安全的問題。

本土搜索巨頭百度位列其中，7月4日，江蘇省消保委就手機App侵犯個人信息安全問題向百度公司發(fā)送《關(guān)于手機應(yīng)用程序獲取權(quán)限問題的調(diào)查函》，要求其就旗下“手機百度”“百度瀏覽器”兩款手機App存在的相關(guān)問題派員前來接受約談。

江蘇省消保委稱，在多次催促、監(jiān)督下，2017年11月百度公司接受約談，但對于“手機百度”“百度瀏覽器”中“監(jiān)聽電話”“讀取短彩信”“讀取聯(lián)系人”等涉及消費者個人信息安全的相關(guān)權(quán)限拒不整改，也沒有明確措施提示消費者App所申請獲取權(quán)限的目的、方式和范圍并供消費者選擇。

基于此，江蘇消保委根據(jù)《消費者權(quán)益保護法》《網(wǎng)絡(luò)安全法》《江蘇省消費者權(quán)益保護條例》相關(guān)規(guī)定，依法向南京市中級人民法院提起訴訟，請求法院依法判令北京百度網(wǎng)訊科技有限公司停止其相關(guān)侵權(quán)行為。

百度隨后就被起訴一事向媒體做出回應(yīng)，百度指出：“已經(jīng)獲悉江蘇省消費者權(quán)益保護委員會提起訴訟一事。在保護公民個人信息方面，百度與消保委‘立場和根本出發(fā)點是一致的’。在過去幾個月間，百度與江蘇省消保委就手機應(yīng)用產(chǎn)品的隱私保護和用戶權(quán)限管理機制問題，進行了多輪溝通，對江蘇消保委方面的疑問進行了說明和澄清。”

對于被指監(jiān)聽電話一事，百度則回應(yīng)稱“旗下手機應(yīng)用‘沒有能力、也從來不會’申請這一權(quán)限”。

中國電子商務(wù)協(xié)會調(diào)解中心副主任喬聰軍在接受《法人》記者采訪時表示，首先從盡職盡責(zé)上，江蘇消保委代表用戶和消費者對百度提起公益訴訟值得肯定，雖然保護消費者權(quán)益是消保委的主要職責(zé)，但也并不是每個消保委都會積極地幫助消費者維權(quán)。

其次，江蘇消保委的介入也使得案件無論后續(xù)結(jié)果如何，都會產(chǎn)生更廣泛的法律效力，企業(yè)可以從中反思自身合規(guī)問題，同時也使得用戶或消費者的權(quán)益得到保障。

喬聰軍指出，在人們生活中，用戶基于使用需要，對下載的部分App中的一些約定或權(quán)限，往往都會選擇同意。但有些App對于一些權(quán)限的獲取與其所提供的正常服務(wù)并非必要關(guān)系。另外，往往同一款A(yù)pp，安卓系統(tǒng)用戶被獲取的權(quán)限高于蘋果系統(tǒng)用戶。

“其實關(guān)于App過度獲取用戶個人信息的問題，無論是媒體還是研究機構(gòu)，對此早就有過探討?！眴搪斳姼嬖V《法人》記者。

“和過去的個人信息保護相比，現(xiàn)在的情況也有些許不同?！被ヂ?lián)網(wǎng)觀察家郭濤在接受《法人》記者采訪時表示，在過去，可能用戶個人信息的獲取途徑僅僅局限于用戶注冊和使用一些App時，自己主動所填充的信息，但現(xiàn)在更多的是對于權(quán)限的過度獲取。

艾媒咨詢集團CEO張毅則指出，應(yīng)用過度獲取用戶權(quán)限目前并不少見，可能安裝個新聞客戶端，都要獲取你的諸多權(quán)限，并不僅局限于你登錄的手機號和地理位置等信息。而這些獲取是否有必要，目前并沒有一個明確的說法和規(guī)則與之對應(yīng)。

技術(shù)升級使個人信息保護捉襟見肘

無獨有偶，江蘇消保委對百度提起公益訴訟后，“支付寶年度賬單事件”再次使用戶個人信息保護這一話題備受關(guān)注。

事情起源于刷爆朋友圈的2017支付寶年度賬單，當(dāng)用戶打開賬單時，包括用戶的全年總消費額、芝麻分、線下支付次數(shù)等信息都可呈現(xiàn)在用戶面前。

而在賬單首頁的一行小字引起了一位律師的注意，他直指其中問題，由于“我同意《芝麻服務(wù)協(xié)議》”一行字號較小，且這一選項是被默認(rèn)為“同意”，使得用戶在未注意到選項的情況下，便會直接同意協(xié)議，而根據(jù)該《芝麻服務(wù)協(xié)議》的規(guī)定，此舉意味著用戶同意其向第三方收集并在適用的法律法規(guī)許可范圍內(nèi)向信息的使用者提供這些信息，已經(jīng)充分理解并知曉這些信息被提供和使用的風(fēng)險，包括但不限于……該等信息被本公司提供給第三方后被他人不當(dāng)利用的風(fēng)險、因您的信用狀況較好而造成您被第三方推銷產(chǎn)品或服務(wù)等打擾的風(fēng)險。

該事件發(fā)酵后，支付寶表示道歉，并稱這個做法“肯定是錯了”。

喬聰軍在接受《法人》記者采訪時表示，基于大數(shù)據(jù)時代的到來，以及物聯(lián)網(wǎng)等新的技術(shù)浪潮的涌現(xiàn)，數(shù)據(jù)所承載的內(nèi)容和作用也越發(fā)重要?？赡苤Ц秾氋~單此次事件并沒有實際對用戶產(chǎn)生多嚴(yán)重的危害，但在個人信息與數(shù)據(jù)泄露頻發(fā)的當(dāng)下，一個個鮮活的案例都在告誡人們，信息泄露所能引發(fā)的風(fēng)險并非小事。

喬聰軍指出，隨著技術(shù)的發(fā)展，可能服務(wù)商的有些行為是出于好意，本意是為了使用戶獲得更好的使用體驗和提升自身服務(wù)水平，但有些時候如何去把握一個“度”也并非易事。比如通過購物平臺搜索商品，可能之后會在打開網(wǎng)頁時看到跟用戶搜索過的商品有關(guān)的產(chǎn)品推薦，當(dāng)然這方便了用戶，但同時由于用戶所需不同，有些涉及隱私或用戶不愿意被別人看到的商品搜索記錄也會被推薦，當(dāng)然總體來說肯定還是方便了用戶的。

喬聰軍同時表示，技術(shù)的發(fā)展和應(yīng)用多樣化，對于用戶個人信息的保護也提出了更高的要求，以往用戶個人信息泄露較好推斷泄露渠道，從而倒查企業(yè)，但隨著技術(shù)發(fā)展，往往幾個無關(guān)緊要的信息，可能就會勾勒出用戶的一些信息全貌，這使得用戶被侵權(quán)后，往往權(quán)責(zé)問題更難劃分清楚。

喬聰軍強調(diào)，對用戶而言，企業(yè)或應(yīng)用商還是應(yīng)當(dāng)盡到告知義務(wù)，尊重用戶的選擇權(quán)和知情權(quán)，這樣用戶才會對產(chǎn)品和企業(yè)更加信賴。

中研普華研究員譚小龍在接受《法人》記者采訪時則表示，大數(shù)據(jù)時代下，隨著新技術(shù)的發(fā)展，通過大數(shù)據(jù)的分析和利用，企業(yè)可以分析市場整體的情況，有助于企業(yè)對公司產(chǎn)品的確定以及戰(zhàn)略的定位提供數(shù)據(jù)的支撐，同時基于大數(shù)據(jù)具有海量數(shù)據(jù)規(guī)模、快速數(shù)據(jù)搜尋與流動等特征，企業(yè)通過布局大數(shù)據(jù)戰(zhàn)略可以明顯地提高企業(yè)利潤等。

這些都是技術(shù)進步為企業(yè)帶來的好處，但從另一方面而言，大數(shù)據(jù)的爆發(fā)、較多企業(yè)的入局，也使得行業(yè)發(fā)展良莠不齊，同時數(shù)據(jù)的安全性亦無法保障。

“也因此在大數(shù)據(jù)時代下，個人隱私保護可以說是十分艱難的?！弊T小龍補充道，隨著網(wǎng)購越來越普及，互聯(lián)網(wǎng)越來越深入人心，在網(wǎng)購的過程中留下的個人信息，以及在瀏覽免費網(wǎng)址時留下的個人信息，都無法完全清除掉。而這些留下的信息中，有些可以得出個人的喜好，如果后續(xù)被別有用心的人利用，極有可能造成風(fēng)險。

張毅在接受《法人》記者采訪時則表示，其實大數(shù)據(jù)等只是影響個人信息安全的一個因素，但最主要的還是要服務(wù)商和運營商落實好相應(yīng)的責(zé)任，比如在用戶授權(quán)中詳細(xì)注明獲取哪些權(quán)限，并在顯著位置標(biāo)注等，從源頭做好用戶信息安全的防護。

信息使用及存儲監(jiān)管困局

隨著大數(shù)據(jù)的發(fā)展，對于其應(yīng)用與監(jiān)管，國內(nèi)現(xiàn)有的法規(guī)往往很難做到面面俱到。除了需要在相應(yīng)的法規(guī)下陸續(xù)出臺相應(yīng)的細(xì)則外，作為收集、儲存和使用大數(shù)據(jù)重要環(huán)節(jié)的企業(yè)，同樣不容忽視。

基于互聯(lián)網(wǎng)技術(shù)的發(fā)展，每個用戶通過各個途徑每天都勢必會產(chǎn)生大量的數(shù)據(jù)，而這些數(shù)據(jù)涵蓋飲食、出行、消費等方方面面，想要從個人角度憑一己之力來拒絕個人信息被獲取往往很難。

喬聰軍在接受《法人》記者采訪時表示，雖然《網(wǎng)絡(luò)安全法》對于規(guī)范網(wǎng)絡(luò)空間安全秩序和保障個人信息安全起到了重要的意義，但有些情況下仍需后續(xù)出臺細(xì)則來配套。比如《網(wǎng)絡(luò)安全法》第四十一條規(guī)定，“網(wǎng)絡(luò)運營者收集、使用個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意；網(wǎng)絡(luò)運營者不得收集與其提供的服務(wù)無關(guān)的個人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個人信息，并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶的約定，處理其保存的個人信息?！?/p>

但現(xiàn)實生活中，有些時候用戶的確是看到了用戶協(xié)議，但如果不同意，可能就無法使用該應(yīng)用。另外，在對于數(shù)據(jù)和信息的存儲等方面，主要還是以企業(yè)自律和行業(yè)自律為主，當(dāng)然行業(yè)里的從業(yè)者更了解技術(shù)的應(yīng)用及防護，這本無可厚非，但仍需要相關(guān)的規(guī)則出臺來輔佐行業(yè)的發(fā)展，當(dāng)然從相關(guān)部門的一些決策上也能看到，都是致力于個人信息保護的。

“2017年12月初，最高人民檢察院偵查監(jiān)督廳有關(guān)負(fù)責(zé)人曾指出，對電信網(wǎng)絡(luò)詐騙犯罪堅持做到“三個一律”：一律依法快捕快訴；一律組成專班集中辦理；對重點整治地區(qū)，一律加大源頭治理和綜合治理的力度?！眴搪斳娬f道，這些無論是政策或是決定的落實，對于促進行業(yè)健康發(fā)展，打擊侵犯用戶個人信息起到了至關(guān)重要的作用。

譚小龍則指出，從大數(shù)據(jù)技術(shù)而言，依靠使用大數(shù)據(jù)收集個人信息的企業(yè)自律，對于保護用戶個人信息安全肯定是遠遠不夠的，還需要統(tǒng)一的標(biāo)準(zhǔn)與監(jiān)管來對市場進行規(guī)范。否則由于技術(shù)漏洞或市場不規(guī)范所導(dǎo)致的個人信息安全泄露風(fēng)險將加大，同時也難免會有一些居心叵測的企業(yè)利用技術(shù)謀取暴利，甚至從事犯罪活動。

“與歐美國家相較而言，國內(nèi)對于個人隱私保護相關(guān)的法律是有的，但具體的措施較少，包括像行業(yè)自律其實也是很薄弱的。”郭濤指出，在《網(wǎng)絡(luò)安全法》的框架下，怎樣做到違法必究也是有待探討的問題。

張毅同時指出，在《網(wǎng)絡(luò)安全法》下，除了具體細(xì)則需要進一步完善和落地，事后的懲戒措施也應(yīng)更加明確。

界定與落實仍需細(xì)則配套

自2017年6月1日《網(wǎng)絡(luò)安全法》正式施行，這也是作為規(guī)范網(wǎng)絡(luò)空間安全秩序的基礎(chǔ)性法律，與此幾乎同步施行的還有最高人民法院和最高人民檢察院發(fā)布的《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》等，甚至在《民法總則》第127條中指出“法律對數(shù)據(jù)、網(wǎng)絡(luò)虛擬財產(chǎn)的保護有規(guī)定的，依照其規(guī)定”。這也使得數(shù)據(jù)是一種受到法律保護的財產(chǎn)形態(tài)得到了明確，可以說國內(nèi)目前對于個人信息和隱私保護的法律體系已初步完善。

喬聰軍在接受《法人》記者采訪時表示，雖然無論從國家層面還是立法層面，對于個人信息保護的舉措多有建樹，但往往較為分散，這也就導(dǎo)致具體到社會的實際生活中往往存在千差萬別。多種情況往往難以被一一細(xì)化地加以規(guī)定，這就需要一部專門的、綜合的保護個人信息的法律出臺，將企業(yè)等侵犯個人隱私事件發(fā)生后的民事、刑事、行政處罰綜合起來。

“目前有些情況就較難以判斷是否侵權(quán)?！眴搪斳娬f道，比如有些資訊類App在用戶安裝時會獲取用戶的相機權(quán)限，這是否算是對于用戶信息的過度獲取，但如果該App辯稱后續(xù)將拓展一些用戶自行錄制的新聞“小視頻”功能，是否還算過度獲取用戶信息呢，這恐怕很難界定。

在《網(wǎng)絡(luò)安全法》下，除了具體細(xì)則需要進一步完善和落地，事后的懲戒措施也應(yīng)更加明確

譚小龍則在接受《法人》記者采訪時指出，雖然《網(wǎng)絡(luò)安全法》第一條就指出“為了保障網(wǎng)絡(luò)安全，維護網(wǎng)絡(luò)空間主權(quán)和國家安全、社會公共利益，保護公民、法人和其他組織的合法權(quán)益，促進經(jīng)濟社會信息化健康發(fā)展，制定本法”，但隨著技術(shù)的更迭頻率較高，今后仍需有細(xì)則結(jié)合市場發(fā)展出臺，從而完善個人信息保護。

“我覺得一方面是法規(guī)和細(xì)則的不斷細(xì)化與落地，另一方面從用戶自身也要提高信息保護意識?！惫鶟赋觯瑢τ脩舳?，其實更多的情況下在使用應(yīng)用或安裝應(yīng)用時并不會過于仔細(xì)地看用戶協(xié)議，同時對于其中一些術(shù)語可能也未必明白含義。

這也僅僅是基于這些應(yīng)用是大企業(yè)開發(fā)的，相對而言，對于用戶信息獲取等方面還是可靠的。但有些小的應(yīng)用開發(fā)者，則極有可能為了獲取用戶隱私權(quán)限不擇手段，因此用戶在安裝和使用應(yīng)用前，對于用戶協(xié)議等要養(yǎng)成留意觀察的習(xí)慣，培養(yǎng)自身對于隱私數(shù)據(jù)保護的習(xí)慣。

雖然對于用戶信息保護的方式難以窮盡，但用戶的知情權(quán)和選擇權(quán)是最重要也是最核心的

用戶知情權(quán)與選擇權(quán)更應(yīng)重視

“我能有什么辦法呢？”互聯(lián)網(wǎng)用戶小王無奈的向《法人》記者說道，有些App比如打車軟件或者送餐軟件，獲取用戶的地理位置都很正常，但是有些新聞客戶端甚至要獲取用戶的錄音甚至相機權(quán)限，這就有些讓人難以理解了，但如果拒絕往往App都不能使用。

喬聰軍指出，其實除了這些問題，用戶協(xié)議被弱化也是最為頻發(fā)的問題。在很多互聯(lián)網(wǎng)應(yīng)用產(chǎn)品的用戶協(xié)議中，可能洋洋灑灑幾千甚至上萬字，對用戶而言，即便是真的注意到了用戶協(xié)議，也未必會有耐心去讀完全部條文。另外，用戶也不可能都像法律專業(yè)人員一樣去逐條分析其中原委。就像此次“支付寶賬單”這一事件，最開始公開問題的是北京市岳成律師事務(wù)所的岳山律師，普通用戶則很難有這樣的意識。

“我認(rèn)為應(yīng)用提供方應(yīng)該將用戶協(xié)議比較核心的內(nèi)容進行簡要概括，或?qū)χ匾糠诌M行標(biāo)注呈現(xiàn)給用戶?！眴搪斳娬f道，因為用戶協(xié)議也是用戶與應(yīng)用提供方發(fā)生糾紛時解決問題的憑證，所以也應(yīng)對用戶提供更清晰的告知義務(wù)。目前很多應(yīng)用存在弱化用戶協(xié)議的問題，隨著國家層面對于個人信息保護的關(guān)注度和保護措施的加強完善，用戶協(xié)議問題也應(yīng)得到更多重視。

喬聰軍最后建議，雖然對于用戶信息保護的方式難以窮盡，但用戶的知情權(quán)和選擇權(quán)是最重要也是最核心的，這也應(yīng)依靠法律法規(guī)的不斷細(xì)化完善、行業(yè)和企業(yè)提高自律以及用戶自身對于信息安全意識的提高，完全依賴其中任何一方都會使信息保護捉襟見肘。

譚小龍在接受《法人》記者采訪時也表示，很多客戶在使用App的過程中，往往對于服務(wù)協(xié)議覺得很煩瑣，覺得不了解也沒有什么影響，法律意識相對較為淡薄，后續(xù)應(yīng)當(dāng)有相應(yīng)的細(xì)則來約束企業(yè)在App產(chǎn)品的固定或醒目位置標(biāo)注用戶服務(wù)協(xié)議，明確雙方責(zé)任。

“或者可以在用戶登錄軟件時，為用戶協(xié)議設(shè)定一個固定的強制用戶閱讀的時間，比如10S等，而只有過了這段時間，用戶才能登錄?！惫鶟赋觯@樣可以盡量避免用戶協(xié)議被弱化等問題。

“我覺得就像金融產(chǎn)品的廣告都會標(biāo)注‘投資有風(fēng)險’等字樣，其實近期頻發(fā)的圍繞用戶信息安全的這些事件，也從側(cè)面反映出了人們的安全意思不斷提高，同時也看到了有關(guān)部門代表消費者進行維權(quán)，體現(xiàn)出了盡職盡責(zé)?！睆堃阕詈笳f道。