近日,十三屆全國人大常委會第三十次會議表決通過《中華人民共和國個(gè)人信息保護(hù)法》(以下稱《個(gè)人信息保護(hù)法》),其中明確:處理生物識別、醫(yī)療健康、金融賬戶、行蹤軌跡等敏感個(gè)人信息,應(yīng)取得個(gè)人的單獨(dú)同意,對違法處理個(gè)人信息的應(yīng)用程序,責(zé)令暫?;蛘呓K止提供服務(wù)。
這其中,以行蹤軌跡為代表的個(gè)人位置信息尤其值得關(guān)注。今年7月初,“滴滴出行”App因存在嚴(yán)重違法違規(guī)收集使用個(gè)人信息問題,遭國家網(wǎng)信辦審查并下架。
但實(shí)際上,偷偷收集個(gè)人行蹤信息的應(yīng)用很多,甚至連一個(gè)手電筒APP都會要求獲取你的位置權(quán)限,而你不一定意識到這中間的陷阱。
都想知道你在哪
目前,獲取移動終端用戶所在地理坐標(biāo)信息的移動位置服務(wù) (Location-based service,LBS)已成為互聯(lián)網(wǎng)應(yīng)用服務(wù)的一個(gè)基本項(xiàng)。
許多用戶并不會考慮合理與否,便默認(rèn)讓APP獲取自己的定位權(quán)限。面對冗長和復(fù)雜的APP隱私政策,絕大多數(shù)人也沒有耐心讀完。
中消協(xié)于2018年發(fā)布的《100款A(yù)PP個(gè)人信息收集與隱私政策測評報(bào)告》顯示,多達(dá)59款A(yù)PP涉嫌過度收集“位置信息”。這其中,社交類、影音播放類、拍攝美化類等APP甚至比旅游住宿類應(yīng)用更迫切想知道用戶的具體位置。
為什么想知道
這么多APP想知道你在哪,其背后的原因究竟是什么?
答案很簡單,為了實(shí)現(xiàn)更加精準(zhǔn)的廣告和其他信息推送。
以谷歌隱私權(quán)和條款中的解釋為例,如果某用戶啟用了位置記錄功能,并且經(jīng)常前往滑雪度假村,那之后在谷歌旗下視頻網(wǎng)站觀看視頻時(shí)將會接收有關(guān)滑雪裝備的廣告。這也就不難理解,為什么絕大部分影音播放類軟件都需要用戶的定位權(quán)限。
不僅如此,位置數(shù)據(jù)的背后,往往是用戶的個(gè)性習(xí)慣、健康狀況、社會地位等其他敏感信息。
來自意大利博洛尼亞大學(xué)以及英國倫敦大學(xué)的兩位研究人員曾開發(fā)一款應(yīng)用程序,安裝在69名用戶的設(shè)備上,以實(shí)驗(yàn)通過位置追蹤能夠收集多少用戶的個(gè)人信息。
在為期兩周的測試中,該應(yīng)用共識別出大約2500個(gè)地點(diǎn)并收集5000條與人口統(tǒng)計(jì)學(xué)和個(gè)性有關(guān)的個(gè)人信息。研究人員表示,只需查看收集到的位置信息,就能推斷出志愿者的健康狀況、社會經(jīng)濟(jì)狀況、種族和宗教信仰等敏感和隱私數(shù)據(jù)。
位置信息的隱私風(fēng)險(xiǎn)
可以說,區(qū)區(qū)一個(gè)位置權(quán)限,幾乎能打開用戶隱私“裸奔”的大門。
因此,多個(gè)國家和地區(qū)的相關(guān)法律法規(guī)都直接和間接規(guī)定了個(gè)人位置數(shù)據(jù)的搜集、使用和傳播須以數(shù)據(jù)主體的“告知-同意”——即在獲取用戶位置前,必須有彈框跳出讓用戶同意——為原則。不過,在具體的規(guī)則上,嚴(yán)格程度是很不一樣的。
實(shí)際上,“告知-同意”的規(guī)定也并非沒有漏洞,比如一旦同意授權(quán)后,隨著企業(yè)的業(yè)務(wù)發(fā)展,是否會將數(shù)據(jù)用于當(dāng)時(shí)沒有列在隱私政策上的事項(xiàng)?用戶是不是明了自己位置信息所附帶的其他所有信息?在用戶停止使用App后,App會否刪除所有位置信息?
在我國,就已發(fā)生多起有關(guān)個(gè)人對App收集、處理個(gè)人位置信息有異議的訴訟案件,其中不乏一些耳熟能詳?shù)腁PP。
從案件的審理結(jié)果看,公民就個(gè)人信息被侵犯提起訴訟不難,但要勝訴不易,主要難在證明損害結(jié)果。
以被業(yè)界譽(yù)為“個(gè)人信息保護(hù)第一案”的法學(xué)博士凌某怒告抖音案為例,即使原告出身法律領(lǐng)域并邀請了多位專家輔助人出庭,也是耗時(shí)一年半、前后經(jīng)歷6次開庭才最終取得勝利。若換成一般公眾,這樣的維權(quán)成本是難以承擔(dān)的。
“知情-同意”并非侵權(quán)“免死金牌”
不過,隨著《個(gè)人信息保護(hù)法》的出臺,公益以及集體訴訟機(jī)制將有效降低個(gè)人的維權(quán)成本,并提高維權(quán)力度。法案中第七十條明確規(guī)定:“個(gè)人信息處理者違反本法規(guī)定處理個(gè)人信息,侵害眾多個(gè)人的權(quán)益的,人民檢察院、法律規(guī)定的消費(fèi)者組織和由國家網(wǎng)信部門確定的組織可以依法向人民法院提起訴訟。”
一方面,監(jiān)察機(jī)關(guān)可以獲得個(gè)人無法獲得的證據(jù)。其次,作為公權(quán)力機(jī)關(guān),他們還可以約談企業(yè),起到更大的威懾作用。比起單打獨(dú)斗,集體的力量會更加顯著。
上海社會科學(xué)院信息研究所副所長、副研究員丁波濤表示,用戶的知情和同意并非企業(yè)對個(gè)人信息侵犯的“免死金牌”。
《個(gè)人信息保護(hù)法》尤其強(qiáng)調(diào)了“賦予個(gè)人撤回同意的權(quán)利”,這意味著目前一些APP找不到(或很難找到)撤回同意信息選項(xiàng)的做法是違法的。“企業(yè)要在數(shù)據(jù)收集、使用和儲存的三個(gè)環(huán)節(jié)中,都要做到依法合規(guī)”,丁波濤強(qiáng)調(diào)。
另外,丁波濤認(rèn)為,個(gè)人位置數(shù)據(jù)涉及交通運(yùn)輸、電信以及城市治理等多個(gè)領(lǐng)域,不同領(lǐng)域間對數(shù)據(jù)處理的要求各不相同。需加快制定更多的行業(yè)法規(guī)和條例,逐步構(gòu)建起對公民位置信息的保護(hù)體系。例如前段時(shí)間網(wǎng)信辦出臺的《汽車數(shù)據(jù)安全管理若干規(guī)定(征求意見稿)》就是我國首部關(guān)于汽車數(shù)據(jù)安全管理方面的法規(guī),這將對智能汽車中的相關(guān)重要數(shù)據(jù)起到保護(hù)作用。
欄目主編:張陌文字編輯:尤莼潔題圖來源:圖蟲圖片編輯:曹立媛