百德信为先

周勇

公告

穷则独善其身,富则兼济天下。

统计

今日访问:275

总访问量:734217

支付宝年度账单事件启示:不能漠视“个人数据”和“数据权利”

支付宝年度账单事件启示:不能漠视“个人数据”和“数据权利”

联商专栏:

(一)事件回顾之一:支付宝年度账单

联商网于2018年1月3日晚间发布的《支付宝年度账单“暗藏玄机” 用户一不留神就中招》一文中写道:

不少消费者都在朋友圈晒自己的支付宝账单和年度关键词,但是很多人可能没有发现你可能不知不觉又签了一个“服务协议”。

岳成律师事务所合伙人岳屾山在微博上曝出,支付宝账单首页有一行,“我同意《芝麻服务协议》。不但字特别小,而且已经帮你选择好‘同意’了。”

问多位把支付宝作为第一货币的80后网友后所获得的回复是:这样做肯定不对,但也习以为常了!

到底“不对”在哪里?

据岳屾山介绍,这个账单的查看和《芝麻服务协议》没有关联性,所以你选择取消同意,依然能够看到年度账单。但如果你没注意到,就会直接同意这个协议,允许支付宝收集你的信息包括在第三方保存的信息。

并且,当用户发现这个协议已经默认后,无法取消。

根据岳屾山律师的解释,这种做法已经涉嫌违反了《消费者权益保护法》(有关选择权)和《互联网交易管理办法》(采用显著的方式提醒消费者注意与消费者有重大利害关系的条款)的有关规定。

据报道:目前,蚂蚁金服对页面已经做了调整,取消了默认勾选项。同时如果有用户已经点了默认勾选,可以在支付宝客户端相关页面选择取消授权。

支付宝表示,用户信息安全和隐私问题是芝麻信用的生命线,用户信息的获取,沉淀,使用和分享都会严格遵守相关法律法规的前提下,做到用户知情和同意,做到不过度采集,更绝不会滥用数据。

我以为,不管用户的态度如何,不管经营者如何“调整”或道歉,都不是问题的关键。这既是互联网前时代的“个人隐私”保护问题,也是互联网时代“数据权利”保护问题;政府、经营者、用户都必须在“数据权利”保护的法律框架下行使各自的权利,并承担相应的责任。

(二)事件回顾之二:谷歌的坚守

有人说:谷歌是这个世界上唯一一家公开承诺不做坏事的公司。这话虽然有点过,但反映了谷歌获得了用户的信任。 Google有句名言——“Don’t Be Evil!”,也就是“不作恶”、“不干坏事”的意思。业界也因此提出了一个大大的问号——不干坏事也能赚钱?!

据报道,谷歌也曾经像一个成长中孩子,因刊登不合法药商的广告犯过“错”,罚过款,但此后谷歌就迅速建立了“自动广告过滤机制”,以避免类似事件的再次发生。

实际上,一个公司的动机与价值观特别重要,这有助于整个社会作出对不良行为采取宽容或抵制的决定。

下面有关谷歌的事件,就是谷歌价值观的体现。《文汇报》2006 年3 月23 日第 4 版环球视窗有一篇文章《美国传统安全法律遭遇因特网时代新挑战Google官司牵出公民隐私之忧》(文汇报驻华盛顿记者牛震)报道了谷歌与美国司法部的官司事件。

事情经过是这样的:

(1)2005年8月,美国司法部以打击网上黄色犯罪为由,要求美四大网络公司——美国在线、微软、雅虎和 Google 提供有关网络搜索的数据信息,其中包括随机选择的网址和用户检索结果的数据,以协助调查。对于政府的要求,Google 以外的三家公司很快加以满足,惟独 Google 公司坚决加以抵制,理由是这样做将侵犯用户的隐私,损害 Google 和用户建立的信任,并可能泄露 Google搜索服务的商业机密。Google 创始人谢尔盖·布林表示,保护用户隐私是 Google 的义务。

(2)Google 拒绝合作后,美国司法部于2006年1 月将 Google 告上法庭,要求 Google必须提交搜索引擎链接的 100 万个网址,以及一周内的所有搜索请求。

(3)1月 15 日,双方对簿公堂。1998 年制定的《儿童网络保护法》规定,为了防止儿童接触互联网色情内容,任何在商业网站上公布对少年儿童有害的黄色信息的行为属于犯罪。但Google 明确表示:司法部的要求已经超出了职权范围。他们与司法部周旋的一个重要武器就是 1986 年通过的联邦《电子通信隐私法案》。根据相关规定,任何向公众提供电子通信服务的机构都不能泄露通信内容,除非得到了用户同意,以及持有搜查证或法庭裁决的执法机构。另外,搜索授权通常只能用于刑事案件调查。

(4)Google 抗争后占得上风。在舆论的压力面前,司法部只好作出重大让步,在15日庭审上,仅要求 Google 提交同用户搜索相关的 5 万个网址以及近 5000 个搜索项,并承诺只对其中的 1 万个网址和 1 千个搜索项进行研究。与最初的要求相比,司法部要求 Google 提供的信息量几乎缩小了 99.99%。而最终的结果是,司法部连 5000 个搜索项的要求也被拒绝了。

(5)对于法庭的判决,Google 公司表示满意。Google 的代理辩护律师尼科·翁在公司网站上发表声明称,“裁决表明,无论是政府机构,还是其他任何人,在要求互联网公司提交数据时都没有特权。”

(6)在 17 日判决宣布的当天,Google 在纳斯达克股票市场的行情一路上扬,每股收盘价为351.16 美元,较前一天上涨 4.2%。

(7)启示:不论是政府还是网络公司,保护隐私与网络安全同样重要。

(三)个人数据与数据权利

“数据权利”问题由来已久,其实不是一个新问题。记得有一位就业者,三十年来都没能找到一份固定的工作。最后他发现:在其个人档案里写着“有偷窃行为”的不良记录。就是这五个字,毁了他一生。但他本人不知道到底是“偷”了谁的东西?又是谁恶作剧般地把这要命的五个字写在了自己的档案材料里!从这个实例来说,保存在组织中“个人档案”,本人应该有权知晓其内容。如果有些人怀着偏见与恶意,无中生有地给别人写上莫须有的“罪名”,那就会在不知不觉中害死人。为了避免这种情况的出现,个人档案应该让本人知晓。这也是每个个人应有的“数据权利”。

在当下,有些经营者严重缺乏“数据权利”观念,或者藐视用户的数据权利,或者试图通过“个人数据”发财致富,想象的空间特别大。

2016年有人将位于上海市静安区的一套售后公房出售给自己的儿子,但房屋交易刚刚完成,儿子的手机就被打爆了,都是有关房屋装修、家具等与房子相关的电话广告。房子是通过位于上海市昌平路403号上海市静安区房地产交易中心交易的,这应该是一个事业编制的单位,老百姓把此类单位也看作是政府机构。但就是在这里完成的交易,有关交易信息不知道怎么会泄露出去的?是单位有组织的行为,还是该单位职工的个人行为,或是该单位的辅助机构,如房产评估中心等泄露了房屋交易信息,或者是网上公布了交易信息。不得而知!

由此可见,个人数据被滥用,甚至以此作为牟利手段的情况,在我国已经十分普遍。在互联网尤其是移动互联网背景下,在指纹支付、人脸识别的应用场景下,个人隐私已经从“固体信息”扩展到了“活体信息”,如在线注册一个电信的家庭宽带年度套餐,就要求通过摄像录入开眼、闭眼、抬头、低头、头部左右摇摆等“活体信息”。所有这些信息是怎么被使用的,用户一概不知情。这是一个非常非常严重的,令人非常非常担忧与困惑的问题。如果法律条款模糊不清,像“无理由退货”那样留足了想象的空间,经营者又不能像谷歌公司那样“自我守则”,后果不堪设想。

查人大复印报刊资料全文数据库(http://ipub.exuezhe.com),从1995年到2017年,未发现以“数据权利”为标题的文章。从中国知网查发现,2002年9月16日《法制日报》有一篇题为《关于网络消费者隐私的保护》的文章,其后15年,有关“数据权利”问题的文章逐年增多,总计达579篇,年均约40篇。

四川省社会科学院张伊雪的专业硕士论文《大数据时代个人数据安全监管法律问题研究》(2017.3)指出:“个人数据”这个概念,不同国家或地区,在使用上有一定差异。欧盟用“个人数据”,亚洲地区用“个人信息”,英美法系国家或地区用“个人隐私”。

欧盟早在1995年就颁布了《个人数据保护指令》,把“个人数据”定义为“可以定位或识别到特定自然人的所有数据”,这是一个很宽泛的定义。美国1984年颁布了《数据保护法》(Data Protection Law) ,详细规定了保护个人数据基本原则,美国在《隐私法》中也有涉及政府所持有的个人记录的有关使用规定。日本2003年颁布了《个人信息保护法》,并于2016年修订。

我国台湾于1995年颁布了《个人资料保护法》,规定:个人资料是指自然人之姓名、出生年月日、国民身份证统一编号、护照号码、特征、指纹、婚姻、家庭、教育、职业、病例、医疗、基因、性生活、健康检查、犯罪前科、联络方式、财务情况、社会活动及其他得以直接或间接方式识别该个人之资料。

我国香港于1997年颁布了《个人资料(隐私)条列》,规定:个人资料是指:①直接或间接与一名在世的个人有关的;②从该资料直接或间接地确定有关的个人的身份是切实可行的;③该资料的存在形式令语义查阅及处理均是切实可行的。

我国大陆从2012年颁布《全国人民代表大会常务委员会关于加强网络信息保护的决定》起,对个人数据的保护开始立法探索。

2013年工信部发布了《电讯和互联网用户个人信息保护规定》,2014年实施的《新消法》第二十九条则规定了收集使用信息的原则。

还有针对特定领域的规定,如《人口健康信息管理办法(试行)》第八条规定了个人健康信息采集的原则。《征信业管理条例》第十四条规定了数据采集中禁止采集的数据类型。2015年9月发布《关于促进大数据行动纲要的通知》后,全国各地成立了多个“数据交易所”和“数据交易中心”,制定了《大交易数据格式标准》《大数据交易行业规范》等行业自律规则。2017年6月1日生效的《网络安全法》也有类似的规定。

我国目前虽然已经把“个人数据”的保护写进了法律法规之中,但监管目标不明确,主要靠企业自律,没有专项立法,规制比较原则,可操作性不强,行业自律规范也不健全。所以,经营者如果“犯错”,数据主体要主张权益,很困难。

有研究(汪全胜,2009)显示:

个人数据包括以下内容: ①标识个人自然情况的信息, 诸如性别、出生日期等。②标识私人的并且与公共利益无关的活动的数据资料, 诸如日常生活、社会交往、夫妻之间的两性生活、教育背景等。③标识私人隐秘范围的数据资料, 诸如身体的隐秘部位、个人居所、旅客行李、学生书包、日记等。④与自然人上网有关的个人数据资料, 这类数据有些与以上所列举的数据有重叠的地方, 它是随着网络的普及, 公民个人从事上网行为所形成的有关个人的一些信息资料。

公民对其个人数据享有如下权利: ①个人数据的隐瞒权。公民对自己的个人数据有权隐瞒, 使其不为人所知。②个人数据的控制权。即数据主体有权决定将个人数据提供给何人使用、提供数据的内容, 并有权决定对方对其所提供数据的使用权限。③个人数据利用权。数据主体可以利用自己的个人数据, 满足自己精神上或物质上的需要。④个人数据支配权。权利人可以支配自己的个人数据, 准许或者不准许他人知悉或者利用自己的个人数据。⑤个人数据收益权。即数据主体有权要求数据合法持有者对其提供的有商业或新闻价值的个人数据支付报酬。⑥个人数据了解权。即数据所有权人有权知道其所提供的个人数据被使用的目的及情况。⑦个人数据的修改权。即数据主体可以根据自己的要求以及实际情况的变化, 对其提供的某些个人数据进行修改的权利。⑧个人数据保护权。即当自己的个人数据被泄露或者被侵害的时候, 有权寻求司法保护。

(四)总结

通过上述介绍与分析,有如下7点总结:

(1)无论是互联网公司还是其他公司,或者是政府机构,面对移动化、数据化、技术化的发展趋势,都是成长中的孩子,都有可能犯错。但是,一旦犯错,就要迅速响应,并及时纠错。

(2)政府要借鉴国际经验,并根据我国国情,制定或完善、细化有关“个人数据”与“数据权利”方面的法律法规,条件成熟时应该出台专项法律。

(3)政府监管的目标要明确,应该在倡导行业自律的基础上,加强依法监管。

(4)经营者要确立能获得社会认可的价值观,合规经营。

(5)行业应该提倡维护用户的“数据权利”,不该挖掘的数据不挖掘,不该经营的数据不经营,不该提升的数据不提升,不该宣扬的数据不宣扬,不该展示的数据不展示。

(6)掌握大量用户的“个人数据”的经营者,必须依法建立和完善保护“数据权利”的安全体系。

(7)数据权利保护的重点监控对象不仅仅是互联网公司,还包括电讯、银行、保险、理财、医疗、学校、政府等机构,还有手机生产厂商也特别值得重点监控。

我想,支付宝以及阿里应该懂得什么叫“个人数据”和“数据权利”,即使我国有关此问题的法律法规和行业自律体系都不是很完备,但作为一家有规模、影响力、有抱负、有理想的大公司,一定能从“犯错”中吸取教训,及时纠正,获得用户更持久的信任。

(来源:联商高级顾问团主任、上海商学院教授周勇,本文仅代表作者个人观点,不代表联商网立场,转载务必注明出处和作者!)

文章为作者独立观点,不代表联商专栏立场。

联商专栏原创文章由作者授权发表,转载须经作者同意,并同时注明来源:联商专栏+周勇。