進入“無人區(qū)” 大數(shù)據(jù)法治要創(chuàng)“中國規(guī)則”

近日，北京，第二屆中國(北京)國際大數(shù)據(jù)產(chǎn)業(yè)博覽會舉行。微觀大數(shù)據(jù)展臺觀眾在咨詢。視覺中國供圖

2018年的頭幾天，由個人隱私信息而起的數(shù)據(jù)安全問題，成為輿論焦點。

在朋友圈刷屏的“支付寶年度賬單”被質(zhì)疑默認用戶同意《芝麻服務協(xié)議》，涉嫌誘導用戶同意讓渡個人數(shù)據(jù)權(quán)利。很快地，芝麻信用方面給出了語氣誠懇的道歉，自稱“方法愚蠢至極”，其兄弟公司支付寶也表示，要“一起承擔”責任。

隨著中國數(shù)字經(jīng)濟蓬勃發(fā)展，數(shù)據(jù)的價值也日益凸顯，但個人信息保護與數(shù)據(jù)利用之間的矛盾始終是個難題。實際上，這次事件也是當前個人數(shù)據(jù)安全領(lǐng)域所面臨挑戰(zhàn)的一個縮影：個人用戶在網(wǎng)絡(luò)平臺上產(chǎn)生、使用的很多數(shù)據(jù)具有商業(yè)價值，往往會被網(wǎng)絡(luò)平臺經(jīng)營者所收集、存儲，甚至分析、流通，而個人用戶卻常常處于不知情的被動狀態(tài)，保護措施則總是遲了一步。

剛剛過去的2017年下半年，多個監(jiān)管部門聯(lián)合開展隱私條款專項工作之后，微信、微博、支付寶、京東等網(wǎng)絡(luò)平臺紛紛更新了用戶隱私協(xié)議，監(jiān)管部門和企業(yè)單位對用戶隱私的保護正在強化。

發(fā)生在2018年頭幾天的這次事件既像是對過往類似事件的回顧，也像是對今后大數(shù)據(jù)時代個人生活的預測：面對個人信息保護與大數(shù)據(jù)流通利用之間的矛盾，我們真的做好準備了嗎？

知情同意是原則 但常被漠視

像以前一樣，元旦假期支付寶為每個用戶在2017年的消費制作了一份漂亮的賬單，還生成了“2018關(guān)鍵詞”，這份賬單也迅速刷屏朋友圈。

但此后有用戶質(zhì)疑，查看“支付寶年度賬單”時疑似“被同意”了《芝麻服務協(xié)議》，且該協(xié)議的同意授權(quán)字體偏小、顏色不明顯。岳成律師事務所合伙人岳山發(fā)微博稱，該賬單的查看其實和《芝麻服務協(xié)議》沒有關(guān)聯(lián)性，所以用戶選擇“取消同意”，依然能夠看到年度賬單。但如果用戶沒注意到，就會直接同意這個協(xié)議，允許支付寶收集用戶的信息，包括在第三方保存的信息。

此后，“支付寶年度賬單”引發(fā)了網(wǎng)絡(luò)上的口誅筆伐。

華東政法大學數(shù)據(jù)法律研究中心主任高富平教授告訴中國青年報·中青在線記者，該事件最主要的問題是沒有以顯著方式提示用戶，瀏覽該年度賬單意味著同意芝麻信用的服務協(xié)議，以較為隱蔽方式且默認勾選，使用戶在不知情的情況下作出選擇，違反了個人信息收集的知情同意原則。

對于包括個人信息在內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)收集和使用，我國法律最基本的原則是“合法、正當、必要”，知情同意、“不得收集與其提供的服務無關(guān)的個人信息”也是其中的重要要求。

事實上，中國消費者在享受便利的網(wǎng)絡(luò)服務的同時，也經(jīng)常面臨著個人數(shù)據(jù)權(quán)利“被同意”、被漠視的現(xiàn)實威脅。中國人民大學未來法治研究院等發(fā)布的《2017個人信息保護年度報告》（以下簡稱《報告》）對1500多個App與網(wǎng)站的隱私政策進行過測評，結(jié)果顯示，參評平臺普遍存在用戶權(quán)利條款缺失、文本雷同、更新緩慢、暗藏格式條款等通病。此外，應用商過度要求用戶授權(quán)，在未對用戶進行明示的情況下，大量獲取用戶個人信息現(xiàn)象十分嚴重，手機錄音、通話記錄、短信等關(guān)系個人隱私的部分經(jīng)常被越權(quán)讀取。

《報告》在6個安卓應用市場以關(guān)鍵詞排名前后順序，選取了50款“王者榮耀”周邊應用作為研究樣本，結(jié)果發(fā)現(xiàn)，50個App覆蓋了28個隱私相關(guān)權(quán)限,其中有23個App的權(quán)限“越界”。

而用戶若想具體知道一款App獲取了哪些權(quán)限則十分困難。比如，某App在簡介中稱只會讀取用戶6項權(quán)限，但安裝時彈出的提示則列出了20項權(quán)限，技術(shù)檢測發(fā)現(xiàn)，其App安裝包中又至少向安卓系統(tǒng)申請了21項權(quán)限的許可。

雙刃劍：數(shù)據(jù)安全與流通之間的矛盾

雖然“知情同意”被視為網(wǎng)絡(luò)數(shù)據(jù)安全的基本原則之一，但在實際商業(yè)應用中，這一權(quán)利經(jīng)常被網(wǎng)絡(luò)平臺經(jīng)營者濫用。用戶點擊同意服務協(xié)議后，往往并不知道涉及個人信息的數(shù)據(jù)有可能被分享和流通給哪些第三方機構(gòu)。流通出去的數(shù)據(jù)將被如何利用、有沒有使用年限、如何終止數(shù)據(jù)使用授權(quán)等細節(jié)問題，往往也沒有確切答案。

芝麻信用的《芝麻服務協(xié)議》中寫到，其可以直接向第三方提供用戶信息，且在用戶與第三方的業(yè)務關(guān)系尚未終結(jié)的情況下，用戶無權(quán)撤銷第三方的信息查詢授權(quán)。在當前的大數(shù)據(jù)產(chǎn)業(yè)中，“一次授權(quán)等于終身授權(quán)”早已是一種普遍做法，由此引發(fā)的網(wǎng)絡(luò)平臺之間的數(shù)據(jù)分享、流通如何才能合理合規(guī)的爭議屢見報端。

根據(jù)現(xiàn)行法律，網(wǎng)絡(luò)平臺經(jīng)營者向第三方提供平臺用戶的數(shù)據(jù)，主要有兩種合法途徑：一是用戶的同意，二是個人信息“經(jīng)過處理無法識別特定個人且不能復原”的情形下。

但這兩個合法途徑有許多解釋空間?！袄?，用戶最初的概括式同意算不算數(shù)？什么是‘無法識別’‘不能復原’？這些并不清晰?！睋?jù)高富平介紹，當前何謂“合法向第三方提供數(shù)據(jù)”并沒有明確的法律規(guī)定，沒有明確的規(guī)則指引擁有數(shù)據(jù)的人向他人合法提供數(shù)據(jù)。

芝麻信用《芝麻服務協(xié)議》要求用戶同意在服務終止后，芝麻信用仍可繼續(xù)保留和使用雙方服務期間形成的信息和數(shù)據(jù)，但芝麻信用不會再主動收集用戶的任何信息。

用戶終止使用網(wǎng)絡(luò)平臺的服務后，數(shù)據(jù)該繼續(xù)保留和利用，還是刪除？上述《報告》指出，在網(wǎng)絡(luò)創(chuàng)業(yè)風潮中衰亡的企業(yè)，遺留了大量的用戶數(shù)據(jù)，對這些用戶數(shù)據(jù)該如何處理，目前行業(yè)還沒有達成共識，政府的監(jiān)管也仍然處于模糊地帶。如果這些數(shù)據(jù)被濫用，不亞于一顆潛藏的“定時炸彈”。

從征信業(yè)的監(jiān)管要求來看，繼續(xù)保留是合規(guī)的，但也有特定條件?！墩餍艠I(yè)管理條例》第十六條規(guī)定：征信機構(gòu)對個人不良信息的保存期限，自不良行為或者事件終止之日起為5年；超過5年的，應當予以刪除。

觀韜中茂(上海)律師事務所合伙人、律師王渝偉表示，在除征信業(yè)以外的大多數(shù)行業(yè)，用戶終止使用網(wǎng)絡(luò)服務后，平臺都應該及時刪除數(shù)據(jù)，但在現(xiàn)實情況中，這一要求往往難以落實。網(wǎng)絡(luò)平臺到底有沒有數(shù)據(jù)備份和恢復？外界有沒有足夠的能力和人員去監(jiān)督？這些問題并沒有確切答案。

法治要跟上大數(shù)據(jù)的腳步

王渝偉認為，造成“有規(guī)定但難落實”情況的主要原因還在于，大數(shù)據(jù)產(chǎn)業(yè)出現(xiàn)的種種新問題，相應的法律規(guī)定總是難以跟上，諸如服務終止后數(shù)據(jù)是否應刪除這類細節(jié)問題并沒有相應的規(guī)定，而且執(zhí)法機構(gòu)也不見得具備相應的執(zhí)法和審查能力。

在高富平看來，如何獲取個人數(shù)據(jù)和信息一直是困擾包括芝麻信用在內(nèi)的許多公司的難題。“該事件說明，規(guī)范個人數(shù)據(jù)流通行為，為個人數(shù)據(jù)流通使用提供清晰的規(guī)則已迫在眉睫了?！?

事實上，中國在數(shù)據(jù)流通利用與個人信息保護之間已有了制度安排。2017年6月1日，《網(wǎng)絡(luò)安全法》和最高人民法院、最高人民檢察院發(fā)布的司法解釋同日實施，首次對侵犯公民個人信息的行為和適用法律進行了進一步的明晰，對網(wǎng)絡(luò)運營者的網(wǎng)絡(luò)安全管理義務做了詳細規(guī)定，同時也設(shè)立了個人信息和重要數(shù)據(jù)本地化存儲和跨境傳輸安全評估制度。

但在業(yè)內(nèi)看來，目前的制度安排仍有不足。在具體實踐中，許多平臺的違規(guī)行為不易判斷、缺乏證據(jù)，個人用戶很難維權(quán)，因此公益訴訟成了當前為數(shù)不多的應對辦法。

2017年12月11日，江蘇省消費者權(quán)益保護委員會對北京百度網(wǎng)訊科技有限公司涉嫌違法獲取消費者個人信息及相關(guān)問題提起消費民事公益訴訟。2018年1月2日，南京市中級人民法院立案。

此前，江蘇省消保委對27家手機App開發(fā)企業(yè)的調(diào)查發(fā)現(xiàn)，普遍存在侵犯消費者個人信息安全的問題，并向其發(fā)送約談函，百度也在被約談之列。約談后，江蘇省消保委認為“手機百度”“百度瀏覽器”兩款手機App中“監(jiān)聽電話”“讀取短彩信”“讀取聯(lián)系人”等涉及消費者個人信息安全的相關(guān)權(quán)限拒不整改，因而，其向百度提起公益訴訟。

制度安排的不健全是維權(quán)難的原因之一。北京師范大學法學院教授劉德良認為，當前關(guān)于數(shù)據(jù)法治的制度安排太過重視事前的授權(quán)同意，對事中事后的監(jiān)督不夠重視。

“如果商家收集、交易的個人數(shù)據(jù)不能識別用戶個人隱私信息，這其實是可以允許的，否則法律應該打擊，事后的處理其實更急迫。”劉德良建議，關(guān)于數(shù)據(jù)合規(guī)流通和個人信息保護的制度安排應該轉(zhuǎn)變思路，在事后的個人信息違法濫用上發(fā)力?！半娫捥柎a、銀行賬號被泄露出去其實不要緊，要緊的是不能被濫用，對個人形成騷擾。”

重慶大學國家網(wǎng)絡(luò)空間安全與大數(shù)據(jù)法治戰(zhàn)略研究院院長齊愛民表示，在個人信息保護方面，定罪量刑中“個人信息的數(shù)量”如何界定是司法實務界面臨的難題；在數(shù)據(jù)合規(guī)流通方面，關(guān)于個人信息保護的法律規(guī)范雖然很多，但還存在效力層級低、分散保護等問題。

我國的數(shù)據(jù)法規(guī)制度學習的是歐盟模式，強調(diào)保護個人信息，但這類模式也存在一定爭議。劉德良認為，這種立法和理論模式將個人信息、個人隱私和個人數(shù)據(jù)的概念混同，看似很注重保護用戶利益，但由于缺乏可操作性而在客觀上不利于用戶利益，也不利于大數(shù)據(jù)產(chǎn)業(yè)的發(fā)展。

作為長期關(guān)注大數(shù)據(jù)行業(yè)的律師，王渝偉注意到，近年來數(shù)據(jù)流通和個人信息保護之間的沖突案例越來越多，而其中有很多是歐盟模式或美國模式所難以涵蓋的。在他看來，我國大數(shù)據(jù)領(lǐng)域的法規(guī)建設(shè)和技術(shù)開發(fā)一樣，一定程度上都進入了“無人區(qū)”，“很多問題不見得國外就有很好的借鑒案例，還需要我們自己探索”。

高富平也表示，國際社會有關(guān)個人信息保護的規(guī)則大致形成于30年前的前互聯(lián)網(wǎng)時代，當時大數(shù)據(jù)尚未流行。而在個人數(shù)據(jù)的使用場景、使用方式均發(fā)現(xiàn)巨大變化的今天，制度安排需要改變?！拔覀儾恍枰浦策^時的保護規(guī)則，而是需要適應大數(shù)據(jù)時代的特點和社會需要，創(chuàng)制中國的規(guī)則?！?