近日,著名科普人士方舟子指控奇虎360公司通过其浏览器窃取用户的信息和隐私,工信部表示已经介入调查。
方舟子的指控有何依据?互联网公司如何“窃取”用户隐私?一位互联网行业资深人士告诉商报记者,“窃取”两字有待商榷,但互联网的免费商业模式背后的确需要大量利用用户个人信息。
追踪用户:
互联网软暴力
与传统媒体投放广告的模式不同,互联网广告公司常常会宣传“追踪目标用户”的概念。某著名互联网广告营销公司的竞争力就描述为,依靠技术平台,能够帮助客户“找到任何想找的人”。这类网站上会装上一种代码,以此跟踪浏览这些网站的用户。
不过,有人认为这种行为是“软暴力”。因为此类行为一般都做得很隐蔽,大部分用户甚至根本不知道自己在被追踪,有人认为,这种“不透明性”为恶意滥用个人隐私创造了土壤。
在欧美,此类行为正受到越来越多消费者权益保护组织的批评,欧盟和美国不断向谷歌、Facebook等网络巨头施加压力,要求它们修订隐私保护政策。相比之下,在国内,无论网民还是监管机构,对此类侵犯网民隐私的行为都较少关注。
我们使用手机大众点评,交换出去地理位置信息;我们使用QQ,交换出去好友关系;我们使用京东商城,交换出去联系方式。这些交换虽然难以用价格标示,却无一不让你觉得物有所值,否则你大可放弃它的服务。
在有关Cookie使用的声明中,大部分公司都发出提醒,用户可以将浏览器设置为拒绝Cookie。但是,真正理解此含义的用户凤毛麟角。因为这些冗长而咬文嚼字的条款几乎没人会认真去看。于是它们就默认用户接受了其对第三方公司的信息使用授权,接受了Cookie追踪。用户成为了最不知情的“知情人”。
《保护指南》将发布
上周有消息称,我国首部保护网上个人信息的行业规范已经编制完成,它将在商业网站和网民的利益之间寻求一个合理的平衡。工信部相关负责人表示,这份规范审批手续目前已经基本走完,“马上就会发布”。
这份规范的全称是《信息安全技术公共及商用服务信息系统个人信息保护指南》,其出发点是加强行业自律。工信部信息安全协调司副司长欧阳武表示,《指南》的编制借鉴了国外的做法,为使用个人信息的行为制定了八项原则,引导企业对照施行。
据欧阳武介绍,即将发布的《个人信息保护指南》,为商业网站确立了一系列合理使用个人信息的指导性原则。综合起来,就是公开、透明、知情、同意。在一系列合理使用的原则中,《指南》首先要求网站不得随意搜集信息,不得搜集与自己业务无关的信息。欧阳武表示,无论是为了提供电子邮件服务,还是开展网上支付,互联网服务提供商使用用户个人信息的目的必须明确,而且,一旦明确,就不得在用户不知情的情况下,扩大、变更使用范围和目的。相应的,网站须尽可能少地搜集用户信息,只搜集与自己业务密切相关的信息,并在使用后尽快删除。
在我国首个《个人信息保护指南》中,明确将个人信息分为个人一般信息和个人敏感信息,并提出了默许同意和明示同意的概念。
对于个人一般信息的处理,可以建立在默许同意的基础上,只要个人信息主体没有明确表示反对,便可收集和利用;
对于个人敏感信息,则需要建立在明示同意的基础上,在收集和利用之前,必须首先获得个人信息主体明确的授权。
《指南》
能否保护个人隐私?
那么什么是个人一般信息和个人敏感信息呢?对此,很多学者认为,在互联网上对用户信息进行搜集分析,不能把线上ID与线下真实身份进行匹配,否则即是对用户隐私的侵犯。
此外,互联网公司应该将用户的许可控制权处于最高地位。不被用户许可,或者即使企业与用户在事实上已进行信息与服务的交换,但用户不知情,或者不是“主观上”的等价交换的情况下,对用户个人信息的采集都涉嫌隐私侵犯。即便如此,用户仍然难免有丢失隐私的风险。
你知道你手机里的每个应用调用了多少个人信息吗?这些调用是否都是必需的?如果我们在安装软件时,仔细查看权限调用列表,一定会大吃一惊。
公开媒体信息称,一款名为“红袖书屋”的阅读应用,需要读取手机联系人数据,至于此数据与它的服务间有何关联,软件制作方未能给记者合理的解释;
一款取名“三国杀online”的游戏应用,需要知道用户精准(GPS)位置信息,但据记者了解,这与游戏服务本身并无直接关联;
一款下载量巨大的新闻资讯客户端,需要调用短信读取与发送的权限,但应用在使用过程中没有任何与之相关的服务。
[Q&A]
特邀采访对象:
上海普若律师事务所 吴秋发律师
上海商报:如何理解《指南》中的一般信息和个人敏感信息?
吴秋发:《信息安全技术 公共及商用服务信息系统个人信息保护指南》(简称《指南》)中规定,个人信息是指可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。个人信息可以分为个人敏感信息和个人一般信息。
个人敏感信息指一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息。个人一般信息是指除个人敏感信息以外的个人信息。
但我们可以看到现在还无法严格界定个人敏感信息和个人一般信息分类标准。
上海商报:如何理解默许同意和明示同意的概念?
吴秋发:《指南》对默许同意和明示同意进行了规定,默许同意是指在个人信息主体无明确反对的情况下,认为个人信息主体同意。明示同意即个人信息主体明确授权同意,并保留证据。
《指南》将个人信息分为“一般”和“敏感”两类,“一般”信息主体可以“默许同意”使用,不反对即有效;“敏感”信息则必须“明示同意”。
上海商报:那么什么是个人敏感信息和个人一般信息呢?
吴秋发:处理个人信息前要征得个人信息主体的同意,包括默许同意或明示同意两种同意的方式。收集个人一般信息时,可认为个人信息主体默许同意,如果个人信息主体明确反对,要停止收集或删除个人信息;而收集个人敏感信息时,要得到个人信息主体的明示同意。
上海商报:您认为《指南》能否解决网民丧失隐私的问题?
吴秋发:《指南》是由工信部牵头起草的,但是该指南只是指导性技术文件,并非国家强制性标准,不具有强制力。
刑法修正案《七》确定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”罪名,首次将公民个人信息纳入刑法保护范畴,规定要追究泄露、窃取和售卖公民个人信息行为的刑事责任。但是,这一犯罪主体是国家机关或者金融、电信、交通、交易、医疗等单位的工作人员。
除此之外,还存在互联网公司、房地产公司、物业公司、宾馆酒店等其他掌握个人信息的机构和单位。对它们使用信息涉嫌违法还没有具体的规定。