(湘潭大學(xué)法學(xué)院 湖南 湘潭 411100)

2018年新年伊始，支付寶“年度賬單”事件刷爆朋友圈，也讓“隱私協(xié)議”一詞抓住了大眾的眼球。支付寶推出了年度賬單回顧，用戶通過(guò)“上劃”這一動(dòng)作就可以查看自己的消費(fèi)賬單。用戶作出“上劃”賬單這一動(dòng)作的同時(shí)就意味著同意了芝麻服務(wù)協(xié)議，則芝麻信用就可以按照自己的“隱私協(xié)議”收集用戶信息。這無(wú)疑是支付寶利用用戶的“疏忽大意”使用戶“被動(dòng)”地同意其“隱私協(xié)議”的惡意事件。究其原因，無(wú)疑是大數(shù)據(jù)時(shí)代到來(lái)，信息能為企業(yè)帶來(lái)巨大的經(jīng)濟(jì)利益以及市場(chǎng)占有率，對(duì)信息的占有和控制成為了企業(yè)間新的爭(zhēng)奪焦點(diǎn)。然而，在實(shí)踐中，這類“不合規(guī)地”收集、抓取個(gè)人信息的現(xiàn)象較少。近年來(lái)，保護(hù)個(gè)人信息的呼聲高漲，以及《網(wǎng)絡(luò)安全法》等法律法規(guī)相繼頒布，都對(duì)企業(yè)合規(guī)提出更多要求。為了在收集更多信息的同時(shí)又不觸碰規(guī)則的底線，“隱私協(xié)議”便成為了企業(yè)合規(guī)的“利器”。

一、現(xiàn)行立法對(duì)個(gè)人信息的保護(hù)

近年來(lái)，我國(guó)加快了個(gè)人信息安全保護(hù)的立法和修法進(jìn)程。2017年11月4日，我國(guó)《反不正當(dāng)競(jìng)爭(zhēng)法》歷時(shí)24年后首次修訂，專設(shè)“互聯(lián)網(wǎng)專條”?！睹穹倓t》首次將“個(gè)人信息”“信息”和“網(wǎng)絡(luò)虛擬財(cái)產(chǎn)”納入其中。以及《網(wǎng)絡(luò)安全法》明確加強(qiáng)了對(duì)個(gè)人信息的保護(hù)，嚴(yán)格打擊網(wǎng)絡(luò)詐騙等。

此外，《信息安全技術(shù)個(gè)人信息安全規(guī)范》對(duì)個(gè)人信息的基本定義、原則和收集、存儲(chǔ)、傳輸?shù)确矫娑继岢隽嗽敿?xì)地要求。于其第四章明確提出了目的明確、權(quán)責(zé)一致、公開(kāi)透明、最少夠用以及確保安全等個(gè)人信息保護(hù)的基本原則。對(duì)信息的跨境傳輸、共享、公開(kāi)披露、轉(zhuǎn)讓、委托處理等均提出了詳細(xì)要求。①

二、隱私協(xié)議成為企業(yè)“合規(guī)”的利器

企業(yè)為了最大化地收集用戶信息，又不觸碰規(guī)則的底線，便紛紛推出隱私協(xié)議。以《支付寶服務(wù)協(xié)議》為例，其要求用戶提交的個(gè)人信息包括但不限于會(huì)員號(hào)、支付寶賬戶、密碼、數(shù)字證書、電話號(hào)碼、身份證件號(hào)碼及指紋信息等。前述信息有許多跟個(gè)人財(cái)產(chǎn)及隱私息息相關(guān)的信息，一旦泄露將給個(gè)人帶來(lái)無(wú)窮隱患。然而，在其隱私協(xié)議中明確規(guī)定：“使用身份要素進(jìn)行的任何操作、發(fā)出的任何指令均視為用戶本人做出。因用戶的原因造成的賬戶、密碼等信息被冒用、盜用或非法使用，由此引起的一切風(fēng)險(xiǎn)、責(zé)任、損失、費(fèi)用等應(yīng)由用戶自行承擔(dān)?！敝Ц秾毷且粋€(gè)相對(duì)封閉的網(wǎng)絡(luò)服務(wù)平臺(tái)，用戶在使用支付寶時(shí)，很難接觸到非支付寶推送的其他運(yùn)營(yíng)商(即在支付寶服務(wù)中的第三方服務(wù)商多為跟其有合作或經(jīng)其同意才能在支付寶平臺(tái)上提供服務(wù)的第三方)。因此，《支付寶服務(wù)協(xié)議》將用戶使用身份要素的任何指令均視為用戶做出，引起的一切風(fēng)險(xiǎn)由用戶自行承擔(dān)，無(wú)疑是其為獲得最大利益而設(shè)置“要約陷阱”。

并且，在其隱私協(xié)議中，明確規(guī)定支付寶會(huì)基于提供服務(wù)或其他目的向合法存有支付寶用戶信息的第三方收集信息。支付寶認(rèn)為需要時(shí)，用戶需同意支付寶可以把用戶的信息提供給第三方。根據(jù)其隱私協(xié)議，支付寶還會(huì)向關(guān)聯(lián)公司、我們的供應(yīng)商或合作伙伴共享用戶的信息。而支付寶對(duì)因?yàn)榍笆龅谌降牟划?dāng)行為導(dǎo)致用戶信息泄露，用戶個(gè)人隱私、經(jīng)濟(jì)財(cái)產(chǎn)安全等遭受侵害這類風(fēng)險(xiǎn)背后的責(zé)任承擔(dān)問(wèn)題未作出明確地回答。

三、應(yīng)對(duì)之策

為了進(jìn)一步規(guī)范企業(yè)在抓取、收集、存儲(chǔ)、使用個(gè)人信息，以及后續(xù)的傳輸、轉(zhuǎn)讓、共享等環(huán)節(jié)中的處理、處置行為，遏制侵害個(gè)人信息的行為，最大程度地保障個(gè)人的合法的信息權(quán)益。我們不僅需要在立法層面給予支撐，還需要在行業(yè)規(guī)范、技術(shù)支持等多方面給予保障。

(一)完善“隱私協(xié)議”的標(biāo)準(zhǔn)

隱私協(xié)議應(yīng)當(dāng)是企業(yè)“合規(guī)”的重要體現(xiàn)，是企業(yè)約束自身行為和配合監(jiān)督管理的重要機(jī)制，是保障個(gè)人數(shù)據(jù)安全與規(guī)范處理的一道“防護(hù)墻”，而不應(yīng)是企業(yè)在個(gè)人信息保護(hù)日趨嚴(yán)格的形式下規(guī)避自身風(fēng)險(xiǎn)的重要手段。隱私協(xié)議應(yīng)清晰、準(zhǔn)確、完整地描述企業(yè)的個(gè)人信息處理行為。根據(jù)目的對(duì)應(yīng)的不同業(yè)務(wù)功能，詳細(xì)列出收集的個(gè)人信息類型；明確描述哪些類型的個(gè)人信息屬于特定業(yè)務(wù)功能所必需的；收集身份證、護(hù)照、駕照等法定證件信息和個(gè)人生物識(shí)別信息時(shí)，應(yīng)專門提醒個(gè)人信息主體此次收集活動(dòng)涉及的信息，并說(shuō)明處理目的、處理規(guī)則；不得使用概括性語(yǔ)言綜述所收集個(gè)人信息；說(shuō)明個(gè)人信息在使用過(guò)程中涉及的地理區(qū)域，如個(gè)人信息存儲(chǔ)和備份的地域，個(gè)人信息傳輸過(guò)程中涉及的地域范圍；如果個(gè)人信息存在跨境傳輸情況，需單獨(dú)列出或重點(diǎn)標(biāo)識(shí)；使用個(gè)人信息時(shí)，是否形成直接用戶畫像及其用途需要明確說(shuō)明；根據(jù)個(gè)人信息的使用情況，注明不同類型個(gè)人信息預(yù)計(jì)的保留時(shí)間；確需改變信息收集和使用的目的，應(yīng)當(dāng)說(shuō)明會(huì)征得用戶的同意等。

(二)信息收集、使用行業(yè)規(guī)范的確立

企業(yè)要切實(shí)履行信息安全義務(wù)，包括但不限于對(duì)信息處理、管控等技術(shù)人員的培訓(xùn)；建立內(nèi)部自查自糾、監(jiān)督、補(bǔ)救制度；保障個(gè)人信息主體的投訴渠道，并建立健全行之有效的問(wèn)責(zé)機(jī)制；②切實(shí)履行好大數(shù)據(jù)平臺(tái)、企業(yè)的責(zé)任，構(gòu)建一個(gè)以平臺(tái)、企業(yè)為基礎(chǔ)的技術(shù)融合、業(yè)務(wù)融合、信息融合，跨業(yè)務(wù)、跨部門的新的生態(tài)，在信息的收集、應(yīng)用當(dāng)中，要保護(hù)好各方的權(quán)益。推動(dòng)企業(yè)建立行業(yè)自律機(jī)制，完善自身的信息保護(hù)水平。③預(yù)防信息侵權(quán)現(xiàn)象的產(chǎn)生，就更多地要在平臺(tái)企業(yè)和上下游企業(yè)、和用戶之間訂立一些規(guī)則，比如科學(xué)利用三重授權(quán)原則；以及在行業(yè)內(nèi)部建立健全嚴(yán)格的管理規(guī)范和明確的處罰機(jī)制等。

(三)個(gè)人信息保護(hù)技術(shù)手段的升級(jí)

善于利用信息失真、信息加密、限制發(fā)布、差分隱私保護(hù)等多種技術(shù)手段以確保被收集的個(gè)人信息的完整性，保證被收集的個(gè)人信息在存儲(chǔ)、傳輸、處置和使用的過(guò)程中不被惡意篡改；利用訪問(wèn)認(rèn)證、識(shí)別技術(shù)，對(duì)來(lái)訪用戶的身份、資格進(jìn)行驗(yàn)證。④反“匿名化”、嚴(yán)格規(guī)制信息關(guān)聯(lián)等措施同樣值得重視。

(四)強(qiáng)化個(gè)人的信息保護(hù)意識(shí)

大數(shù)據(jù)時(shí)代，個(gè)人信息被惡意抓取、盜用、濫用以及泄露，與個(gè)人保護(hù)意識(shí)的缺失有直接關(guān)聯(lián)。在辦理某些需要提供個(gè)人信息的事務(wù)、業(yè)務(wù)時(shí)，未與相關(guān)企業(yè)約定信息保密責(zé)任。在使用互聯(lián)網(wǎng)時(shí)，未加防范地將個(gè)人信息輸入、錄入，不注重保護(hù)，甚至不知道自身享有的信息權(quán)益，就可能將自己陷入信息被惡意泄露、濫用的風(fēng)險(xiǎn)中。即使發(fā)現(xiàn)自身的信息被濫用、泄露，甚至造成不良后果之時(shí)，諸多市民也因?yàn)樽陨淼木S權(quán)意識(shí)不高、法治素養(yǎng)的缺乏，助長(zhǎng)了這種違法行為的泛濫。因此，加強(qiáng)信息保護(hù)宣傳教育、開(kāi)展信息保護(hù)講座、提高個(gè)人信息保護(hù)意識(shí)刻不容緩。⑤

(五)完善個(gè)人信息保護(hù)的監(jiān)管機(jī)制

強(qiáng)化網(wǎng)絡(luò)安全監(jiān)管，切實(shí)保障個(gè)人信息，政府部門有無(wú)可推卸的責(zé)任。然而，政府監(jiān)管方面仍舊存在不少漏洞。一監(jiān)管機(jī)構(gòu)權(quán)責(zé)未明。個(gè)人信息與個(gè)人的財(cái)務(wù)、生理、隱私等各方各面息息相關(guān)，信息保護(hù)涉及面廣，應(yīng)由專業(yè)機(jī)構(gòu)統(tǒng)一監(jiān)管，而當(dāng)下的信息監(jiān)管機(jī)構(gòu)過(guò)于分散、權(quán)責(zé)不明。二缺少?gòu)?qiáng)制性的管理標(biāo)準(zhǔn)?！秱€(gè)人信息安全規(guī)范》作為國(guó)家推薦性標(biāo)準(zhǔn)，不具有強(qiáng)制約束力。除非個(gè)人主動(dòng)承諾、企業(yè)明確援引，或者相關(guān)法律法規(guī)有明確規(guī)定，才可以在個(gè)人、企業(yè)之間產(chǎn)生實(shí)質(zhì)性作用。三監(jiān)管措施不嚴(yán)，使得個(gè)人信息、隱私被惡意抓取、使用，更有甚者惡意更改個(gè)人相關(guān)信息；四行政處罰較低。違法成本過(guò)低，對(duì)于獲益者來(lái)說(shuō)，根本不足以遏制其違法行為。

【注釋】

①⑤史衛(wèi)民.大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)的現(xiàn)實(shí)困境與路徑選擇[J].情報(bào)雜志,2013,32(12):155-159+154.

②李卓卓,馬越,李明珍.數(shù)據(jù)生命周期視角中的個(gè)人隱私信息保護(hù)——對(duì)移動(dòng)APP服務(wù)協(xié)議的內(nèi)容分析[J].情報(bào)理論與實(shí)踐,2016,39(12):63-68.

③劉耀華.借歐美“隱私盾”協(xié)議 響我國(guó)網(wǎng)絡(luò)數(shù)據(jù)保護(hù)的警鐘[J].通信世界,2016(21):22-23.

④劉雅輝,張鐵贏,靳小龍,程學(xué)旗.大數(shù)據(jù)時(shí)代的個(gè)人隱私保護(hù)[J].計(jì)算機(jī)研究與發(fā)展,2015,52(01):229-247.