聯商專欄:
(一)事件回顧之一:支付寶年度賬單
聯商網于2018年1月3日晚間發布的《支付寶年度賬單“暗藏玄機” 用戶一不留神就中招》一文中寫道:
不少消費者都在朋友圈曬自己的支付寶賬單和年度關鍵詞,但是很多人可能沒有發現你可能不知不覺又簽了一個“服務協議”。
岳成律師事務所合伙人岳屾山在微博上曝出,支付寶賬單首頁有一行,“我同意《芝麻服務協議》。不但字特別小,而且已經幫你選擇好‘同意’了。”
問多位把支付寶作為第一貨幣的80后網友后所獲得的回復是:這樣做肯定不對,但也習以為常了!
到底“不對”在哪里?
據岳屾山介紹,這個賬單的查看和《芝麻服務協議》沒有關聯性,所以你選擇取消同意,依然能夠看到年度賬單。但如果你沒注意到,就會直接同意這個協議,允許支付寶收集你的信息包括在第三方保存的信息。
并且,當用戶發現這個協議已經默認后,無法取消。
根據岳屾山律師的解釋,這種做法已經涉嫌違反了《消費者權益保護法》(有關選擇權)和《互聯網交易管理辦法》(采用顯著的方式提醒消費者注意與消費者有重大利害關系的條款)的有關規定。
據報道:目前,螞蟻金服對頁面已經做了調整,取消了默認勾選項。同時如果有用戶已經點了默認勾選,可以在支付寶客戶端相關頁面選擇取消授權。
支付寶表示,用戶信息安全和隱私問題是芝麻信用的生命線,用戶信息的獲取,沉淀,使用和分享都會嚴格遵守相關法律法規的前提下,做到用戶知情和同意,做到不過度采集,更絕不會濫用數據。
我以為,不管用戶的態度如何,不管經營者如何“調整”或道歉,都不是問題的關鍵。這既是互聯網前時代的“個人隱私”保護問題,也是互聯網時代“數據權利”保護問題;政府、經營者、用戶都必須在“數據權利”保護的法律框架下行使各自的權利,并承擔相應的責任。
(二)事件回顧之二:谷歌的堅守
有人說:谷歌是這個世界上唯一一家公開承諾不做壞事的公司。這話雖然有點過,但反映了谷歌獲得了用戶的信任。 Google有句名言——“Don’t Be Evil!”,也就是“不作惡”、“不干壞事”的意思。業界也因此提出了一個大大的問號——不干壞事也能賺錢?!
據報道,谷歌也曾經像一個成長中孩子,因刊登不合法藥商的廣告犯過“錯”,罰過款,但此后谷歌就迅速建立了“自動廣告過濾機制”,以避免類似事件的再次發生。
實際上,一個公司的動機與價值觀特別重要,這有助于整個社會作出對不良行為采取寬容或抵制的決定。
下面有關谷歌的事件,就是谷歌價值觀的體現。《文匯報》2006 年3 月23 日第 4 版環球視窗有一篇文章《美國傳統安全法律遭遇因特網時代新挑戰Google官司牽出公民隱私之憂》(文匯報駐華盛頓記者牛震)報道了谷歌與美國司法部的官司事件。
事情經過是這樣的:
(1)2005年8月,美國司法部以打擊網上黃色犯罪為由,要求美四大網絡公司——美國在線、微軟、雅虎和 Google 提供有關網絡搜索的數據信息,其中包括隨機選擇的網址和用戶檢索結果的數據,以協助調查。對于政府的要求,Google 以外的三家公司很快加以滿足,惟獨 Google 公司堅決加以抵制,理由是這樣做將侵犯用戶的隱私,損害 Google 和用戶建立的信任,并可能泄露 Google搜索服務的商業機密。Google 創始人謝爾蓋·布林表示,保護用戶隱私是 Google 的義務。
(2)Google 拒絕合作后,美國司法部于2006年1 月將 Google 告上法庭,要求 Google必須提交搜索引擎鏈接的 100 萬個網址,以及一周內的所有搜索請求。
(3)1月 15 日,雙方對簿公堂。1998 年制定的《兒童網絡保護法》規定,為了防止兒童接觸互聯網色情內容,任何在商業網站上公布對少年兒童有害的黃色信息的行為屬于犯罪。但Google 明確表示:司法部的要求已經超出了職權范圍。他們與司法部周旋的一個重要武器就是 1986 年通過的聯邦《電子通信隱私法案》。根據相關規定,任何向公眾提供電子通信服務的機構都不能泄露通信內容,除非得到了用戶同意,以及持有搜查證或法庭裁決的執法機構。另外,搜索授權通常只能用于刑事案件調查。
(4)Google 抗爭后占得上風。在輿論的壓力面前,司法部只好作出重大讓步,在15日庭審上,僅要求 Google 提交同用戶搜索相關的 5 萬個網址以及近 5000 個搜索項,并承諾只對其中的 1 萬個網址和 1 千個搜索項進行研究。與最初的要求相比,司法部要求 Google 提供的信息量幾乎縮小了 99.99%。而最終的結果是,司法部連 5000 個搜索項的要求也被拒絕了。
(5)對于法庭的判決,Google 公司表示滿意。Google 的代理辯護律師尼科·翁在公司網站上發表聲明稱,“裁決表明,無論是政府機構,還是其他任何人,在要求互聯網公司提交數據時都沒有特權。”
(6)在 17 日判決宣布的當天,Google 在納斯達克股票市場的行情一路上揚,每股收盤價為351.16 美元,較前一天上漲 4.2%。
(7)啟示:不論是政府還是網絡公司,保護隱私與網絡安全同樣重要。
(三)個人數據與數據權利
“數據權利”問題由來已久,其實不是一個新問題。記得有一位就業者,三十年來都沒能找到一份固定的工作。最后他發現:在其個人檔案里寫著“有偷竊行為”的不良記錄。就是這五個字,毀了他一生。但他本人不知道到底是“偷”了誰的東西?又是誰惡作劇般地把這要命的五個字寫在了自己的檔案材料里!從這個實例來說,保存在組織中“個人檔案”,本人應該有權知曉其內容。如果有些人懷著偏見與惡意,無中生有地給別人寫上莫須有的“罪名”,那就會在不知不覺中害死人。為了避免這種情況的出現,個人檔案應該讓本人知曉。這也是每個個人應有的“數據權利”。
在當下,有些經營者嚴重缺乏“數據權利”觀念,或者藐視用戶的數據權利,或者試圖通過“個人數據”發財致富,想象的空間特別大。
2016年有人將位于上海市靜安區的一套售后公房出售給自己的兒子,但房屋交易剛剛完成,兒子的手機就被打爆了,都是有關房屋裝修、家具等與房子相關的電話廣告。房子是通過位于上海市昌平路403號上海市靜安區房地產交易中心交易的,這應該是一個事業編制的單位,老百姓把此類單位也看作是政府機構。但就是在這里完成的交易,有關交易信息不知道怎么會泄露出去的?是單位有組織的行為,還是該單位職工的個人行為,或是該單位的輔助機構,如房產評估中心等泄露了房屋交易信息,或者是網上公布了交易信息。不得而知!
由此可見,個人數據被濫用,甚至以此作為牟利手段的情況,在我國已經十分普遍。在互聯網尤其是移動互聯網背景下,在指紋支付、人臉識別的應用場景下,個人隱私已經從“固體信息”擴展到了“活體信息”,如在線注冊一個電信的家庭寬帶年度套餐,就要求通過攝像錄入開眼、閉眼、抬頭、低頭、頭部左右搖擺等“活體信息”。所有這些信息是怎么被使用的,用戶一概不知情。這是一個非常非常嚴重的,令人非常非常擔憂與困惑的問題。如果法律條款模糊不清,像“無理由退貨”那樣留足了想象的空間,經營者又不能像谷歌公司那樣“自我守則”,后果不堪設想。
查人大復印報刊資料全文數據庫(http://ipub.exuezhe.com),從1995年到2017年,未發現以“數據權利”為標題的文章。從中國知網查發現,2002年9月16日《法制日報》有一篇題為《關于網絡消費者隱私的保護》的文章,其后15年,有關“數據權利”問題的文章逐年增多,總計達579篇,年均約40篇。
四川省社會科學院張伊雪的專業碩士論文《大數據時代個人數據安全監管法律問題研究》(2017.3)指出:“個人數據”這個概念,不同國家或地區,在使用上有一定差異。歐盟用“個人數據”,亞洲地區用“個人信息”,英美法系國家或地區用“個人隱私”。
歐盟早在1995年就頒布了《個人數據保護指令》,把“個人數據”定義為“可以定位或識別到特定自然人的所有數據”,這是一個很寬泛的定義。美國1984年頒布了《數據保護法》(Data Protection Law) ,詳細規定了保護個人數據基本原則,美國在《隱私法》中也有涉及政府所持有的個人記錄的有關使用規定。日本2003年頒布了《個人信息保護法》,并于2016年修訂。
我國臺灣于1995年頒布了《個人資料保護法》,規定:個人資料是指自然人之姓名、出生年月日、國民身份證統一編號、護照號碼、特征、指紋、婚姻、家庭、教育、職業、病例、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
我國香港于1997年頒布了《個人資料(隱私)條列》,規定:個人資料是指:①直接或間接與一名在世的個人有關的;②從該資料直接或間接地確定有關的個人的身份是切實可行的;③該資料的存在形式令語義查閱及處理均是切實可行的。
我國大陸從2012年頒布《全國人民代表大會常務委員會關于加強網絡信息保護的決定》起,對個人數據的保護開始立法探索。
2013年工信部發布了《電訊和互聯網用戶個人信息保護規定》,2014年實施的《新消法》第二十九條則規定了收集使用信息的原則。
還有針對特定領域的規定,如《人口健康信息管理辦法(試行)》第八條規定了個人健康信息采集的原則。《征信業管理條例》第十四條規定了數據采集中禁止采集的數據類型。2015年9月發布《關于促進大數據行動綱要的通知》后,全國各地成立了多個“數據交易所”和“數據交易中心”,制定了《大交易數據格式標準》《大數據交易行業規范》等行業自律規則。2017年6月1日生效的《網絡安全法》也有類似的規定。
我國目前雖然已經把“個人數據”的保護寫進了法律法規之中,但監管目標不明確,主要靠企業自律,沒有專項立法,規制比較原則,可操作性不強,行業自律規范也不健全。所以,經營者如果“犯錯”,數據主體要主張權益,很困難。
有研究(汪全勝,2009)顯示:
個人數據包括以下內容: ①標識個人自然情況的信息, 諸如性別、出生日期等。②標識私人的并且與公共利益無關的活動的數據資料, 諸如日常生活、社會交往、夫妻之間的兩性生活、教育背景等。③標識私人隱秘范圍的數據資料, 諸如身體的隱秘部位、個人居所、旅客行李、學生書包、日記等。④與自然人上網有關的個人數據資料, 這類數據有些與以上所列舉的數據有重疊的地方, 它是隨著網絡的普及, 公民個人從事上網行為所形成的有關個人的一些信息資料。
公民對其個人數據享有如下權利: ①個人數據的隱瞞權。公民對自己的個人數據有權隱瞞, 使其不為人所知。②個人數據的控制權。即數據主體有權決定將個人數據提供給何人使用、提供數據的內容, 并有權決定對方對其所提供數據的使用權限。③個人數據利用權。數據主體可以利用自己的個人數據, 滿足自己精神上或物質上的需要。④個人數據支配權。權利人可以支配自己的個人數據, 準許或者不準許他人知悉或者利用自己的個人數據。⑤個人數據收益權。即數據主體有權要求數據合法持有者對其提供的有商業或新聞價值的個人數據支付報酬。⑥個人數據了解權。即數據所有權人有權知道其所提供的個人數據被使用的目的及情況。⑦個人數據的修改權。即數據主體可以根據自己的要求以及實際情況的變化, 對其提供的某些個人數據進行修改的權利。⑧個人數據保護權。即當自己的個人數據被泄露或者被侵害的時候, 有權尋求司法保護。
(四)總結
通過上述介紹與分析,有如下7點總結:
(1)無論是互聯網公司還是其他公司,或者是政府機構,面對移動化、數據化、技術化的發展趨勢,都是成長中的孩子,都有可能犯錯。但是,一旦犯錯,就要迅速響應,并及時糾錯。
(2)政府要借鑒國際經驗,并根據我國國情,制定或完善、細化有關“個人數據”與“數據權利”方面的法律法規,條件成熟時應該出臺專項法律。
(3)政府監管的目標要明確,應該在倡導行業自律的基礎上,加強依法監管。
(4)經營者要確立能獲得社會認可的價值觀,合規經營。
(5)行業應該提倡維護用戶的“數據權利”,不該挖掘的數據不挖掘,不該經營的數據不經營,不該提升的數據不提升,不該宣揚的數據不宣揚,不該展示的數據不展示。
(6)掌握大量用戶的“個人數據”的經營者,必須依法建立和完善保護“數據權利”的安全體系。
(7)數據權利保護的重點監控對象不僅僅是互聯網公司,還包括電訊、銀行、保險、理財、醫療、學校、政府等機構,還有手機生產廠商也特別值得重點監控。
我想,支付寶以及阿里應該懂得什么叫“個人數據”和“數據權利”,即使我國有關此問題的法律法規和行業自律體系都不是很完備,但作為一家有規模、影響力、有抱負、有理想的大公司,一定能從“犯錯”中吸取教訓,及時糾正,獲得用戶更持久的信任。
(來源:聯商高級顧問團主任、上海商學院教授周勇,本文僅代表作者個人觀點,不代表聯商網立場,轉載務必注明出處和作者!)
