索取應有度 個人信息保護須“防范先行”
“雙12”腳步臨近,不少消費者在期待購物節促銷狂歡的同時,也在擔心個人信息被泄露、濫用。
工信部數據顯示,2022年第三季度12321網絡不良與垃圾信息舉報受理中心共接到不良手機應用有效投訴3.65萬件次,其中涉及信息安全問題的投訴1.83萬件,占比50.1%;涉及個人信息及權限問題的投訴1.46萬件,占比40.0%;涉及網絡安全問題的投訴0.36萬件,占比9.9%。
中國社會科學院法學研究所法治國情調研室主任、研究員呂艷濱指出,企業與用戶之間存在嚴重不對等關系,使得網購消費者維權艱難,因此企業與有關部門應承擔起更多責任,建立良性的個人信息保護體系,完善個人信息保護的認證機制應是有效方法之一。
“懂我”還是騷擾?個人信息使用“邊界”難維持
一般來說,消費者留下姓名、電話與地址是完成一次網購交易的必要條件。但令消費者不滿的是,許多網絡店鋪在交易完成后還會繼續使用他們留下的信息,發送營銷短信,甚至直接打電話索要好評,而此類現象在各類“購物節”前后尤為嚴重。
消費者郭曉(化名)就備受這類營銷短信的騷擾,她的處理方式是使用短信屏蔽軟件,通過設置“優惠券”“購物”“下單”等關鍵詞,將相關短信過濾掉。但刪短信還是耗費精力,她希望最好直接禁止商家的此類行為。事實上,消費者普遍認為交易結束后的理想狀態應該是互不打擾,保持“邊界感”。
更令消費者不安的是,有些營銷短信和電話來自完全不認識的商家,但這些商家卻對他們過往的記錄和偏好了如指掌,而來路不明的短信里有時還包含著有電信詐騙嫌疑的鏈接。80后消費者董延春表示,自己平時飽受騷擾電話的困擾,卻不清楚信息是從什么地方流出的。
今年8月央廣網曾曝光電商平臺個人信息遭泄露問題,報道稱多家知名網購平臺均有數據在網上公開叫賣,包括消費者的姓名、電話、地址、商品名稱和快遞單號等,有賣家自稱每條個人信息0.35元,2000條起賣,如果購買量大,最低可打五折。
2021年11月1日起,《中華人民共和國個人信息保護法》(以下簡稱“個人信息保護法”)正式施行,已對App不當索權、非法推送商業信息、個人信息被不法泄露等侵害消費者個人信息安全的主要場景作出了相應約束。然而,相關規定在落地執行時也面臨著現實困難。
據呂艷濱觀察,平臺與商家的消費者信息保護意識淡薄,“企業方仍未建立起個人信息保護合規的機制,沒有對自己收集與使用信息的范圍、必要性,以及風險作出充分的評估”。
信息換服務,索取應有度
在互聯網時代,消費者授權或主動填寫姓名、地址等信息來換取“送貨上門”等對應服務,是較為常見的服務模式。對此,董延春很理解,但她表示,網購時不會把收貨信息寫得太詳細,以盡量減少個人隱私的泄露。
有些手機App收集、分析用戶數據,從而掌握用戶偏好。但對這類“個性化服務”,許多消費者并不買賬。出于對自己隱私的擔心,郭曉一般不會給購物App打開相冊、錄音、攝像頭和定位的權限,但在使用過程中她感覺大量App都在千方百計地試圖獲取這些權限。“比如,在填收貨地的時候,明明可以直接輸入填寫,但軟件一定要提示我定位權限沒有打開,推薦我在后臺設置中打開。”
今年10月,工信部發布了2022年第六批關于App侵害用戶權益整治“回頭看”發現的問題,在38款存在問題的App中,共有23款涉及過度索取用戶信息,具體包括“欺騙誤導用戶提供個人信息”“違規收集個人信息”“超范圍收集個人信息”“App強制、頻繁、過度索取權限”4種問題。
中國消費者協會于11月1日發布的“個人信息保護法普法宣傳”中也指出,目前侵害消費者個人信息的主要場景包括手機App過度索取消費者個人信息。主要表現為:超過必要范圍收集個人信息,如不同意App獲得調取非必要信息的權限,則該App無法正常使用;超范圍利用所收集的個人信息,如App通過正常范圍收集個人信息,卻在個人信息未脫敏的狀態下超出合理范圍使用;未明確告知而收集信息。
呂艷濱認為,個人信息監管強度是一個重要問題,消費者讓渡的個人信息其實也是助力電商產業發展的重要資源。“但(監管)過強可能會令商業活力窒息,而過弱就會使個人權益遭受到損害,所以它是一個博弈的過程。”他指出,我國監管部門一直在行動,完善App調用信息的技術標準。
2021年5月1日起,國家網信辦、工信部、公安部等聯合發布的《常見類型移動互聯網應用程序必要個人信息范圍規定》正式施行,明確規范App收集個人信息活動。根據規定,網上購物類App以“購買商品”為基本功能服務,其必要個人信息包括:注冊用戶移動電話號碼;收貨人姓名(名稱)、地址、聯系電話;支付時間、支付金額、支付渠道等支付信息。
此外,個人信息保護法第六條規定,處理個人信息應當具有明確、合理的目的,并應當與處理目的直接相關,采取對個人權益影響最小的方式。收集個人信息,應當限于實現處理目的的最小范圍,不得過度收集個人信息。
“從追逐利益的角度來說,收集到的用戶信息越多對企業來說越有利。”中國人民大學信息學院副教授游偉表示,要解決問題,“首先要確定需要收集信息的最小范圍,比如對于購買某些產品的行為哪些信息是必要的,而這需要從技術角度去實現用戶信息與行為之間的對應關系。在這個過程中任何理解上或實施上的失誤,都會導致無法實現個人信息保護法中‘最小范圍’的要求。”
專家建議采取個人信息保護認證機制
整體看來,在個人信息處理和保護問題上,主動權并不主要掌握在消費者手上。呂艷濱指出,企業與消費者之間存在嚴重的不對等關系。“移動互聯網時代,后臺運營由企業掌控,網購消費者作為用戶,無法得知自己有哪些信息、在什么環節被對方掌握,在權益受到侵犯時舉證困難、成本高昂,處于絕對的劣勢。”
以網購中“大數據殺熟”現象為例。北京市消費者協會于9月公布的調查報告顯示,七成多受訪者認為仍然存在“大數據殺熟”現象,六成多受訪者表示有過被大數據“殺熟”經歷,但最終有近半(47.68%)受訪者選擇自認倒霉,只有極少(4.95%)受訪者選擇通過司法途徑維權。
盡管個人信息保護法第十五條規定“基于個人同意處理消費者個人信息的,個人有權撤回其同意”。但在不少消費者看來,此類事后彌補、嘗試追回的措施有效性難以得到保障。“似乎沒有用,他們已經知道了這些信息,真想用的話就已經存下了。”董延春說。
游偉認為,與其將個人信息的使用權先授權給商家再收回,還不如在事前對提供個人信息授權的范圍加以審慎考慮,或使用一次性的虛擬信息來降低影響。據游偉觀察,現在能夠看到一些電商平臺和物流企業在積極嘗試,將信息收集與使用保持在最小范圍內。例如,淘寶、京東、拼多多等主流購物平臺目前已相繼推出隱私號碼保護功能,收件人下單時的真實手機號碼將被隱藏,商家、物流和消費者之間將通過系統生成的虛擬號碼聯系,交易完成一段時間后,該虛擬號便自動失效。
呂艷濱也指出,個人信息保護應當重在預防。“我們的個人信息一旦被收集走、傳遞給其他人,那么實際上就已經被泄露了,即便事后采取了懲治手段,也很難再去彌補。”
借鑒其他國家的經驗,呂艷濱提出了設立個人信息保護領域認證機構的設想。“例如日本就有此類第三方機構,對企業的信息處理情況進行調查評估,同時公布名單告知消費者哪些企業已經過信息保護權威認證,可被信任。這些企業在辦理業務時,相關部門會為其開綠燈,不過如果出現違規,受到的懲治也會比較嚴厲。”呂艷濱表示,這樣的機制可以鼓勵企業更加重視保護用戶個人信息,并進行相應的風險控制、員工教育。“雖然目前無法直接將此類機構引入我國,但其中由專門機構負責個人信息保護合規認證的思路有助于防范工作,亦可作為參考。”
11月18日,市場監管總局、國家互聯網信息辦公室聯合發布《關于實施個人信息保護認證的公告》(以下簡稱“公告”),并同時公布附件《個人信息保護認證實施規則》(以下簡稱“規則”),鼓勵個人信息處理者通過認證方式提升個人信息保護能力,要求從事個人信息保護認證工作的認證機構應當經批準后開展有關認證活動。有分析認為,此次公告與規則的發布,是對個人信息保護法的落實,也是引入第三方專業力量以加強個人信息保護的有益嘗試。
