還有多少App在窺視個人隱私 支付寶年度賬單事件背后

“默認同意”讀取通訊錄、照片等在互聯網行業并不少見。（視覺中國/圖）

　　原標題：還有多少App在窺視你的個人隱私 支付寶“2017年賬單”事件背后

　　來源：南方周末

　　（本文首發于2018年1月11日《南方周末》）

　　互聯網技術發展對個人隱私帶來了巨大挑戰，支付寶“2017年賬單”事件也許只是壓垮駱駝的那根稻草。網友的質疑和憤怒，從側面反映出目前個人數據權益保護現狀不容樂觀。

　　對于用戶數據的第一次收集和使用，App方正確做法應該是遵循默認拒絕原則，即默認不勾選。支付寶賬單的“同意”服務協議行為屬于濫用默認同意規則，違反了關于個人隱私保護的倫理共識。

　　“用戶的隱私完全沒有得到保護和尊重。”看到微博上對支付寶的質疑，一個小時前剛在微信朋友圈分享了自己支付寶年賬單的周超感到憤怒。當天，他將手機上的App檢查了一遍，將允許讀取通訊錄或短信的設置，統統修改為不允許。

　　2018年1月3日，支付寶面向其用戶推出個性化的“2017支付寶年賬單”。不少網友紛紛在社交媒體曬出了自己的年賬單，一度引起刷屏。然而，很快有律師指出支付寶與芝麻信用間的“授權漏洞”，網友意識到自己可能“被同意了”一個名為《芝麻服務協議》的用戶協議，事情因此急轉直下，網友對支付寶侵犯個人隱私的質疑引起又一輪刷屏。

　　當天，芝麻信用和支付寶對此進行了糾正和公開道歉。但是圍繞此事件及其衍生出的用戶數據隱私、個人數據權益保護問題，還是引發眾多專業人士的關注和討論。

　　在對支付寶提出批評的同時，一些評論人士表示，在數據隱私未得到充分重視和保護的現狀下，此事件帶來大規模的網友對個人數據隱私的關注，或意味著用戶數據隱私觀念的覺醒，是該事件積極的一面。

　　那么芝麻信用和支付寶到底做錯了什么？還有多少互聯網智能手機應用（又稱“App”）在窺視甚至侵犯你的數據隱私？在當前的互聯網時代，又究竟該如何保護個人的數據權益？

　　支付寶賬單引質疑被濫用的“默認同意”

　　“2017支付寶年賬單”展示的信息主要為，用戶在這一年通過支付寶購買各類商品和服務的統計記錄。但在該賬單中，有一個頁面的信息來自芝麻信用提供的信用守約情況，而非來自支付寶的交易記錄。

　　支付寶（中國）網絡技術有限公司（以下簡稱“支付寶”）和芝麻信用管理有限公司（以下簡稱“芝麻信用”）是螞蟻金融服務集團旗下的兩家公司。因為兩家公司相對獨立，支付寶在調用芝麻信用的數據時，必須經過用戶授權，因此支付寶在年度賬單的首頁設置了“我同意《芝麻服務協議》”這一選項。

　　這一設置引起了北京市岳成律師事務所岳屾山律師的注意。2018年1月3日13時許，岳屾山在微博指出，“我同意《芝麻服務協議》”這行字不但字號特別小，而且已經幫用戶選擇好“同意”了。若用戶未注意到這行字，就會直接同意這個協議，允許支付寶收集用戶的信息包括在第三方保存的信息。他還引用相關法規表示，芝麻信用“默認同意”的設置沒有給用戶了解條款的機會，用戶“稍不注意就進坑了”。

　　“設坑使用戶簽署協議本質上屬于欺騙。”2018年1月6日，湖南師范大學人工智能道德決策研究所所長李倫教授在接受南方周末采訪時分析指出，對于數據的第一次收集和使用，正確做法應該是遵循默認拒絕原則，即默認不勾選。支付寶的上述行為屬于濫用默認同意規則，違反了關于個人隱私保護的倫理共識。

　　在西南政法大學民商法學院教授張建文看來，此事件中，支付寶除了違背了基本的商業道德，更是違反了《中華人民共和國消費者權益保護法》中的相關規定，明顯侵害了消費者的自主選擇權。

　　2018年1月3日下午，中國消費者報微信公眾號引用岳屾山的該條微博發布相關文章，使得輿論對支付寶的質疑進一步擴大。據財新網報道，當日下午央行支付司要求支付寶對此糾正并致歉。

　　當日23時許，芝麻信用在新浪微博發布“查看支付寶年賬單時‘被同意《芝麻服務協議》’的情況說明”承認“這件事，肯定是錯了”。此外，芝麻信用還表示：已經調整了頁面，取消默認勾選；此前沒有開通芝麻信用的用戶，不會因此被收集信息。隨后，支付寶轉發了這條微博。

　　“默認同意規則被濫用的情況非常普遍。”2018年1月6日，上海瑪娜數據科技發展基金會創始人、副理事長張唯對南方周末表示，支付寶引發質疑的“默認同意”行為在互聯網行業并不少見。

　　據媒體報道，2017年10月，攜程在銷售機票時默認勾選酒店券、接機券等銷售行為引發消費者聲討。之后，攜程對其機票產品進行了整改，推出“普通預訂”窗口，該頁面內所有的附加商品均為默認未勾選。

　　除了“默認搭售”之外，在湖北省荊州市一家物流公司工作的周超發現“默認讀取”的現象也很常見，“現在幾乎所有的App都會要求訪問用戶的通訊錄，一些雖然可以選擇不允許，但安裝使用的時候都是被默認允許的狀態”。周超曾在手機上下載過一款跑酷游戲App，安裝完成后，提示要讀取地址和通訊錄，方可啟動游戲。周超心想，一款游戲而已，為什么要訪問通訊錄？于是他選擇了不允許讀取，隨即游戲界面自動退出。反復試了兩三次后，周超卸載了這款游戲。

　　在北京一家互聯網公司從事數據挖掘工作的劉強強，則遭遇過同樣惡劣的“默認發布”行為。

　　2017年10月初，劉強強下載了一款名為“脈脈”的職場社交App。用了不到兩周，一位同事收到包含劉強強的真實姓名在內的邀請其下載該軟件的短信。“說我標注了他，要想查看需下載，壓根沒有的事，”看到同事發來的截圖，劉強強感到氣憤，“領導要是收到怎么辦，還以為我在脈脈上找機會跳槽。”當天卸載了該軟件并注銷了賬號。

　　2017年11月15日，國家工信部發布的一份手機App抽檢結果公告顯示，有31款軟件涉及違規收集使用用戶個人信息、惡意“吸費”等問題。

　　李倫認為，互聯網技術的發展對個人隱私帶來了巨大的挑戰，支付寶年賬單事件也許只是壓垮駱駝的那根稻草。“在支付寶事件中，網友出現大規模的質疑和憤怒，其實從側面反映出目前個人數據權益保護的現狀不容樂觀。”

　　數據資產時代脆弱的個人隱私權利

　　2017年12月25日，由全國人大常委會執法檢查組委托中國青年報社社會調查中心所做的“萬人調查報告”顯示，有超過六成受訪者遇到過互聯網應用默認讀取，甚至強制讀取（不同意讀取則無法使用軟件）的情況。

　　張建文分析認為，造成這一現象的原因在于，在當前互聯網服務中，服務提供商和用戶之間存在明顯不對等的關系。相對于用戶而言，服務提供商明顯占據優勢地位，其在服務協議中事先設置“默認同意”，如果用戶取消勾選同意，將不能享有該項服務內容，用戶處于被動的地位，缺乏充分的自主選擇權。另外，“默認同意”的法律定性及相應法律責任并不明晰，這給網絡服務提供商“鉆空子”“打擦邊球”造成了可乘之機。

　　“個人隱私權在企業數據權力面前極為脆弱。”李倫也認同個人在互聯網企業面前是處于弱勢地位的。

　　李倫進一步分析指出，互聯網應用侵犯用戶數據權益的情況之所以普遍存在主要有三個方面的原因：一、企業對于商業利益的追求，新型互聯網產業對于個人信息的依賴程度較高，對于用戶的個人信息掌握越充分，越能做到精準營銷；二、信息技術和數據技術使得隱私受到威脅的程度大為增加了，信息技術可以使原始數據的獲取變得更加便利，而數據技術的進步則可以從雜亂的、碎片化的數據中還原出個人的信息。三、目前對于個人數據的權利歸屬尚未統一，因此實踐中對其進行保護有所困難。

　　“數據就是資產，”張唯認為，個人信息確實越來越受到各個企業的關注。“特別是前幾年，國家對于互聯網行業采取了一種更加開放的、支持的態度，對于個人數據隱私保護的力度遠遠不夠。這在某種程度上促成了很多企業對數據的不合理的獲取。去年的網絡安全法實施之后，這個情況有一些好轉。”

　　2017年6月1日，《中華人民共和國網絡安全法》正式實施，針對個人信息保護明確規定：網絡產品、服務具有收集用戶信息功能的，其提供者應當向用戶明示并取得同意；涉及用戶個人信息的，還應當遵守本法和有關法律、行政法規關于個人信息保護的規定。

　　此外，《互聯網交易管理辦法》《移動互聯網應用程序信息服務管理規定》等均對個人信息保護作出了規定。

　　“這些規定都是比較粗略的，對于現在比較模糊的個人信息的界定、個人信息的使用范圍，如何才算是合規地傳遞個人信息，這些在目前的法律體系里面都沒有細化的規定。因此，互聯網企業也難以細化地進行相應的調整。”上海星瀚律師事務所主管律師阮靄倩對南方周末表示，雖然目前在國內，對于個人信息的保護，已經有一些相應的法律法規，但是缺乏一部系統的法律進行規范。

　　阮靄倩指出，另一方面，國內對于侵犯個人信息權益的違法行為的懲罰制度，目前也不是很完善。而在歐盟國家，若企業侵犯個人信息權利，可能會面臨50萬到2000萬歐元不等的巨額罰款。

　　美國歐盟經驗多方博弈中爭取權益

　　盡管美國、歐盟等發達國家，對于個人數據權益的保護出臺了更為系統的法律，但在實際中，互聯網公司的自身發展與用戶的隱私保護之間的紛爭一直存在。業內人士指出，個人數據權益的保護可以說是在互聯網公司與用戶等各方的博弈中不斷前進。

　　在歐盟，存在通用的數據信息保護條款，相應的權利的保護也更加嚴格。最廣為人知的是數據的遺忘權，即用戶在某平臺注銷了賬戶，其留在該平臺上的所有歷史數據記錄需要被同步消除，后期在沒有得到該用戶的授權的情況下，平臺不能繼續給該用戶提供相應的服務。

　　“這些條款規定確實是比較嚴格，有聲音認為這其實束縛了產業的發展。”張唯指出，《歐盟數據保護一般規則》中的一些條款在美國并未得到認同和實施。

　　“美國對于隱私權的理解與歐盟不同，更多地建立在自由的基礎上，以行業自律為主導。”據李倫介紹，對于個人數據權益保護，美國有多種形式的行業自律組織。其中，網絡隱私認證計劃頗具特色：網站提出申請，經過第三方隱私認證機構認證后，可以在其網頁上放置“信任標志”，以此表示將遵守網絡隱私保護和數據收集的原則，以及接受相應的監督。

　　對此，張唯認為，第三方評估可能會起到一定指引作用。在國內，若有第三方評估機構對互聯網企業、對個人信息保護等行為進行評測，會給用戶以提醒和支持作用。

　　盡管擁有豐富的行業自律組織，以及多部關于隱私權的法律法規，在美國，互聯網企業與用戶隱私保護之間的沖突仍然屢屢出現。李倫向南方周末介紹了Facebook的例子：2007年Facebook發布燈塔廣告項目，用戶在該項目的合作網站上的訪問數據，都會顯示在Facebook網站上。用戶反應強烈，認為該項目侵犯了他們的隱私，不少隱私保護機構也提出了激烈的批評，兩年后Facebook放棄了這一項目。2009年，Facebook修改了使用條款，對用戶刪除了的上傳資料依然具有使用權，又激發了用戶的抗議，最后Facebook放棄了這一條款，重新修改后征求用戶的意見。

　　在張唯看來，由于美國互聯網行業獨特的競爭態勢，美國對于個人數據權益的保護，也是一個多方利益博弈的過程。對于中國而言，不能完全照搬美國或歐盟的模式，既不能因為對個人數據的過度保護影響產業的發展，也不能因為要推動行業發展，就漠視個人的權利。

　　面對當前這個越來越以數據為基礎的社會，如何才能保障個人的數據權益？

　　對此，阮靄倩指出，互聯網企業在采集數據時要在合法的框架內進行，嚴格把控數據采集的界限，并建立相應的內控體系，防范信息被盜取。

　　張建文則建議，應當積極推動個人信息保護法的出臺，通過專門的個人信息保護立法為用戶的數據隱私提供全面有效的保護規范。此外，在執法層面，應當加強執法效果，對于違反用戶數據隱私的違法行為予以嚴格執法。

　　對于用戶自身而言，張唯提出，個人要明確認知和充分尊重自己的權利，知道在現有的法律框架下，是有法律對于自己的個人數據進行保護和保障的，在參與每個用戶協議時，對自己的行為進行負責。但張唯也指出，要求個人都能夠理解和認知所有的用戶協議，嚴格來講是不公平的。在現有的技術和產業格局下，更關鍵的是需要行業和政府對于個人信息權益保護的模式和規則進行完善。

　　“需要一些示范性的事件出現，比如這次的支付寶事件可能就會推動整個行業內對于用戶規則這個層面進行一系列的修正。”張唯表示，作為行業領袖的支付寶如果能進一步加強對自身的約束，對于整個行業對個人信息權益保護的升級和優化，是有積極作用的。

　　（應采訪對象要求，周超為化名）