个人网络信息安全不容忽视
发布时间:2017-09-19 , 发布人:华恒智信分析员
2017年6月1日,《网络安全法》开始实施。该法将个人信息保护列入重点保护范围,对隐私条款提出了明确的要求,要进一步完善个人信息保护规则。在随后3个多月时间里,这部互联网安全领域的重要法律,已促使互联网行业在个人信息等数据安全方面循势而动。中央多部门组织10家大型互联网企业就隐私政策进行评审后,目前高德地图、百度地图、淘宝、支付宝、京东等企业已经更新了隐私政策,9月5日,微信也上线了最新版的《微信隐私保护指引》。
多数隐私政策更新,涉及用户出行、网购、社交、线上支付等多个方面,明确了用户的权利,说明了企业自身收集、使用信息的规范。第一财经1℃记者浏览阅读企业发布的最新版隐私政策发现,政策的呈现方式、个人信息使用和保护的透明度以及用户自身的权利等方面都有新的变化和亮点。
记者从参与隐私政策评审的知情人士处获悉,与网络安全法相配套的有关实施细则、专门规章、行业标准等已进入制定和修订程序。未来一段时间内,互联网产品将在隐私政策、功能设置等方面迎来系统性重大调整。
此次互联网企业大规模调整更新隐私政策,不仅是对国家法律法规和政策的执行,更体现了企业保护个人信息和保护的责任义务,也表明了政府和行业保护隐私和信息安全的决心。维护用户的信息安全,保护个人隐私不受侵害,是移动互联网时代背景下不可避免的发展趋势。
个人信息安全不容忽视
8月16日,在中国互联网安全领袖峰会上,《互联网企业个人信息保护抽样测评报告(2017)》(以下简称“测评报告”)由北京大学互联网法律中心、中国科学技术法学会联合发布。测评报告的内容和结论引发业界关注。
2017版测评报告从19项测评指标、两个测评维度、选取17类79款互联网产品进行评分。被测评的互联网产品基本涵盖了目前各行业、领域的主流产品。微信、淘宝、支付宝、京东、百度地图等均被选中参评。据报告主要撰写者、北京大学法学院教授张平介绍, 测评报告结合《网络安全法》相关内容,将测评重点放在对互联网企业个人信息保护政策与产品服务的一致性评价上。
测评报告提出,报告仅针对相关企业网站发布的隐私政策形式,以及普通用户可感知的隐私或个人信息设置体验做出测评,并不视为对相关企业的个人信息保护水平的全面评价。测评结果显示,以QQ、微信为代表的即时通信类产品整体表现突出,且各产品之间的差异较小。这些国内即时通信产品,在个人信息保护政策的形式、申诉机制和安全维护方面均获得较高评分。网购类产品中,参与测评的产品包括京东、Amazon、唯品会、淘宝等,得分显示,Amazon和京东在个人信息保护政策的形式和申诉机制上评分较高,淘宝在处理周期方面的评分较高。
与这些获得高评分的产品相比,外卖类、租车类、快递类产品普遍获得较低分数。为此,测评报告提出,外卖类产品在完善独立的隐私政策,制定相应的信息处理规则,完善用户咨询、申诉和控制退出机制方面仍需加强。在快递类产品中,隐私保护政策及其实践相对薄弱,一些产品在 “安全与维护”方面有所欠缺。测评报告还提出,应用产品用户界面设计要求与隐私和个人信息保护的需求之间存在矛盾。该矛盾一方面是应用产品设计者希望用户界面更为简洁直观,避免频繁的弹窗提示“干扰”用户操作;另一方面,隐私和个人信息保护的重要原则又要求应用产品在收集、使用、转移或删除用户个人信息时通知用户并获得用户同意。
张平表示,仍有大量应用产品的用户服务协议、隐私或个人信息保护政策上,留给用户的选择空间很小,即“要么接受,要么离开”。张平对此提出建议,大数据时代,个人信息保护应该把目光从信息采集阶段转向信息使用阶段,着眼于信息的应用场景或者处理信息的算法的公平性或透明性问题上。未来在保护个人信息和隐私的同时,也要顺应时代变化,思考如何做到大数据产业发展与个人信息保护的平衡,做到人工智能时代个人权利保护与信息分享利益的平衡。
隐私政策调整
在《网络安全法》实施不久后,7月28日,高德地图发布《高德隐私权政策》;
8月21日,淘宝更新《法律声明及隐私权政策》,百度地图更新《百度地图隐私政策》;
8月23日,支付宝发布更新版的《支付宝隐私权政策》,并于9月22日生效;
8月27日,京东最新版的《京东隐私政策》生效;
9月5日,微信上线最新版的《微信隐私保护指引》……
很多隐私政策内容涉及技术层面的问题,很专业也很复杂。但拿给用户看,不能太专业,也不能过长。如何解决这个问题呢?目前各大互联网企业隐私政策调整中,在呈现方式上,都选用简单通俗的语言说明问题,同时用加粗、下划线、首屏显示重点内容等形式,让用户一目了然。
“我们收集的信息、信息的存储、信息安全、我们如何使用信息、对外提供、你的权利……”,《微信隐私保护指引》首屏部分,先是呈现了重点内容,后用更通俗的语言设置目录链接。且在整个的隐私政策中,用简单的步骤和语言说明,使用户清晰明了各部分的意思表达,以及具体如何实践操作。
百度地图在隐私权政策的开头部分,罗列了8点重要内容,并在整篇政策中用加大标题、重点部分加粗等形式;淘宝用加粗以及下划线的方式,将政策中的重点内容突出显示出来。
除了形式上的变化,“注销权”是此次大多数政策更新中的一个亮点,用户可以自由选择是否注销帐号,且政策中明确说明了注销的具体步骤。
比如,微信隐私政策中的第六款“你的权利”,明确指出用户有注销帐号的权利,兼顾用户选择权及相关利益;京东隐私政策同样增加了帐号的注销功能,并提供给了用户30天的“后悔期”;支付宝政策给出了相关的规定,用户如果连续12个月没有登录帐号的话,将被注销。
1℃记者对比京东发布最新版隐私政策发现, 京东在提示中明确了“注销后悔期”。也就是如果用户申请注销京东账户,京东将给用户自注销之日起一个月的“后悔期”,期间,用户可以随时申请恢复已经注销的京东账户。如果用户在“后悔期”内没有要求恢复京东账户,京东将对用户的个人信息进行删除或匿名化处理。
《京东账户注销须知》中也规定,注销后,用户的个人信息只会在京东商城的前台系统中去除,使其保持不可被检索、访问的状态,或对其进行匿名化处理。根据规定,相关交易记录须在京东后台保存5年甚至更长的时间。不管是共享或转让用户个人信息,京东隐私政策都要求“事先获得用户明确的同意或授权”。
除此之外,京东提示,可能会向合作伙伴等第三方共享用户订单信息、账户信息、设备信息以及位置信息,以保障为用户提供的服务顺利完成。但京东规定,合作伙伴无权将共享的个人信息用于任何其他用途。合作伙伴包括商品或技术服务的供应商、第三方商家、委托京东进行推广的合作伙伴。对与京东共享个人信息的公司、组织和个人,京东会与其签署保密协定,要求他们按照京东的说明、京东隐私政策以及其他任何相关的保密和安全措施来处理个人信息。
当然,除了“注销权”之外,也有部分隐私政策明确了用户拥有的其他权利。用户如何访问、更改、删除自己的信息也有明确的说明。
微信、京东、淘宝、支付宝等隐私政策,基本上都对个人信息的收集、使用、对外提供以及安全保护方面做出了相关规范。
微信隐私政策从使用功能角度出发,逐条说明了用户在使用相关功能时会收集哪些信息,并在此基础上解释如何存储信息,在什么时候使用信息。如果用户的个人信息被提供给第三方,则用户将失去了对其个人信息的控制。现在针对个人信息共享、转让的安全技术手段尚不成熟,因此此类行为容易导致大规模的个人信息泄露。在《微信隐私保护指引》中,微信明确不主动对外提供或从外部获取用户的个人信息,这就确保了对用户个人信息的使用、处理是在一个闭环、安全的环境下进行的。
淘宝详细说明了其通过直接方式和间接方式获得的用户个人信息,同时详尽地解释了如何共享、转让、公开披露信息。
百度地图、京东、支付宝等产品的隐私政策,同样将自身在实际运行过程中公开其是如何收集、使用用户信息的,提高了透明度。
立法规范、执法打击
对于微信、支付宝、京东对隐私政策作出调整,业内专家向1℃记者表示,《网络安全法》正式实施以来,已经出现了很多新的变化,既体现在规则方面,也体现在执法方面。在此之前,还没有一部专门规制个人信息安全的法律,相关条文仅散见于各个法律法规中。
《网络安全法》虽然全面,但是一部综合性法律,很多内容需要细化落地,因此制定专门的实施细则和专门条例成为当务之急。目前,各个实施细则和专门条例的制定已排上日程,或者已经开始制定。在个人信息安全保护领域,数据出境问题需要制定专门规章,个人信息保护国家标准、个人信息匿名化等等一系列标准也需要更加细化和具备可操作性,这些标准也应该制定。关于网络安全法的执法工作,也需要相关的依据。
在执法环节,国家层面的执法已经开展。 8月25日,全国人大常委会决定,为了解网络安全法、全国人大常委会关于加强网络信息保护的决定(简称“一法一决定”)实施情况,查找问题,剖析原因,推进法律实施中重点、难点问题的解决,对多个省区开展执法检查。重点检查开展“一法一决定”宣传教育情况;制定“一法一决定”配套法规规章情况;治理网络违法有害信息,维护网络空间良好生态情况;落实公民个人信息保护制度,查处侵犯公民个人信息及相关违法犯罪情况等。
8月15日,2017中国互联网安全领袖峰会上,中央网信办网络安全协调局副局长高林透露,2017年国家网络安全宣传周将于今年9月18日-24日举行。中央网信办会同工信部、公安部、国家标准委等四部门,正在对包括淘宝、微信在内的首批10款网络产品开展隐私条款专项工作,相关评审结果也有望在9月中下旬公布。隐私条款专项工作将分批选取重点网络产品和服务,对其隐私条款进行分析梳理。首批评审的十款网络产品和服务均为大众最常使用的,包括微信、新浪微博、淘宝、京东商城、支付宝、高德地图、百度地图、滴滴、航旅纵横、携程网。
1℃记者从参与此次评审的知情人士处获悉,在评审中,参加评审的10个企业都派出了一定人数的专业人员。这次评审已于8月24日结束。根据评审,将作出相关的政策调整,所涉及的范围不只是参加评审的这10家企业,将涉及几百上千家互联网企业。
前述知情人士分析称,个人信息安全问题长期存在,但受重视的程度是一个逐步提高的过程。特别是徐玉玉案等热点社会事件的发生,让越来越多的人关注个人信息安全问题。非法倒卖个人数据,无疑已经给个人和社会造成非常恶劣的影响。国内互联网企业基本都涉及对数据的利用,特别是对个人信息的利用。行业发展速度快,新的问题出现,也的确需要一些规则对这种行为进行规制。企业有利用数据的需求和能力,企业也想有规则,有了规则就可以在规则框架下做事情。互联网企业,特别是大型互联网公司,实际非常欢迎规则的建立。
一个矛盾是,行政监管要求互联网企业更多披露个人信息收集使用情况,然而很多内容涉及企业商业秘密。如何处理这个棘手问题,成为焦点。在监管压力下,企业只能放弃自己的一些商业秘密,把这些内容披露出来。但如何把控这一行为的尺度,还有待在今后的实践中观察和衡量。
来源:第一财经