“個人信息安全規(guī)范”針對三大問題出招

2018年1月10日，國家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡(luò)安全協(xié)調(diào)局約談“支付寶年度賬單事件”當(dāng)事企業(yè)，即螞蟻金服負責(zé)人。網(wǎng)絡(luò)安全協(xié)調(diào)局負責(zé)人指出，支付寶、芝麻信用收集使用個人信息的方式，不符合即將于5月1日實施的“個人信息安全規(guī)范”國家標(biāo)準(zhǔn)的精神，也違背了螞蟻金服與其他企業(yè)在2017年9月共同簽署的個人信息保護倡議書的承諾。

其實，彼時“個人信息安全規(guī)范”并未正式生效，但已成為有關(guān)部門監(jiān)管時的重要依據(jù)。

2017年12月，推薦性國家標(biāo)準(zhǔn)《信息安全技術(shù) 個人信息安全規(guī)范》（下稱《規(guī)范》）出臺，將于2018年5月1日起正式實施;在更早之前的2017年6月1日，《中華人民共和國網(wǎng)絡(luò)安全法》正式實施，其中有專門章節(jié)針對保護個人信息安全。

“在我個人看來，《規(guī)范》首先遵循了網(wǎng)絡(luò)安全法確立的個人信息保護框架，其次也提供了遵從網(wǎng)絡(luò)安全法關(guān)于個人信息保護要求的一個良好方案?！薄兑?guī)范》起草人之一、北京大學(xué)互聯(lián)網(wǎng)發(fā)展研究中心研究主管洪延青對《中國經(jīng)濟周刊》記者表示，不能說如果企業(yè)的做法與《規(guī)范》不符合就一定違反了網(wǎng)絡(luò)安全法對個人信息保護的相關(guān)要求，但如果企業(yè)按照《規(guī)范》去做，達到合規(guī)，則肯定會符合網(wǎng)絡(luò)安全法的規(guī)定。也就是說，如果企業(yè)沒有對《規(guī)范》合規(guī)，不能說其肯定觸犯了網(wǎng)絡(luò)安全法，其完全可以在《規(guī)范》之外自己制定一套符合網(wǎng)絡(luò)安全法對個人信息保護要求的制度，但其制定成本會遠遠大于對《規(guī)范》合規(guī)。

《規(guī)范》對目前互聯(lián)網(wǎng)行業(yè)取得用戶個人信息時發(fā)生的“默認勾選”“最小化原則”以及“跨界融合”三大常見問題進行了詳細規(guī)定，企業(yè)終于有標(biāo)準(zhǔn)可以參照了。

“默認勾選”綁架用戶

“支付寶年度賬單事件”中比較令人關(guān)注的是涉事企業(yè)在頁面中并不顯眼的地方安排了“我同意《芝麻服務(wù)協(xié)議》”的選項，并且提前替用戶勾選，用戶如果不同意，需要再點擊一下復(fù)選框。用戶如果稍有疏漏，就會“被自愿”地同意該協(xié)議，存在第三方和支付寶內(nèi)的個人信息便會被企業(yè)收集。

《規(guī)范》規(guī)定，有關(guān)數(shù)據(jù)控制方“在間接獲取個人信息時，作為接收方的企業(yè)有義務(wù)要求提供方對相關(guān)個人信息的來源進行說明并確認其合法性，同時還應(yīng)當(dāng)了解個人信息主體對于提供方的授權(quán)范圍，包括使用目的、個人信息主體是否授權(quán)同意轉(zhuǎn)讓、共享、公開披露等內(nèi)容，若接收方處理個人信息超出上述范圍的，還應(yīng)在合理期限內(nèi)另行征得個人信息主體的明示同意?！痹诖耸录?，支付寶對用戶的提示信息字體很小，并處在按鈕下方易被忽略的位置，且默認勾選也遠遠不能算是個人信息主體的“明示同意”。

類似于“默認勾選”的“綁架”做法其實不只存在于某一家企業(yè)，其似乎是互聯(lián)網(wǎng)行業(yè)的“頑疾”。

線上醫(yī)療企業(yè)丁香園創(chuàng)始人李天天曾在國外體驗過一種具有自助掛號功能的軟件，該軟件也會讓用戶選擇同意或不同意隱私政策，若不同意，則無法進入服務(wù)流程的下一步，也就是說無法實現(xiàn)自助掛號功能，線上醫(yī)療行業(yè)內(nèi)部對此條款稱為“知情同意”，但背后的一句話則是，“若不同意，則無法使用該服務(wù)”。也就是說，“知情同意”其實是“知情后必須同意，否則不提供服務(wù)”。值得注意的是，此種做法在目前國內(nèi)的線上醫(yī)療企業(yè)中也是相當(dāng)普遍，浙江省衛(wèi)生信息學(xué)會秘書長倪榮曾對《中國經(jīng)濟周刊》記者評價說：“這種‘知情同意其實是對消費者個人信息保護程度嚴(yán)重不到位的。”

獲取信息“最小化原則”將打倒一大片互聯(lián)網(wǎng)企業(yè)？

除“默認勾選”外，支付寶的做法實際上也不符合《規(guī)范》中的“最小化原則”。

所謂“最小化原則”包含數(shù)量和存儲時間兩個概念上的“最小化”?！兑?guī)范》規(guī)定數(shù)據(jù)控制方“自動采集個人信息的頻率應(yīng)是實現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能所必需的最低頻率;間接獲取個人信息的數(shù)量應(yīng)是實現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能所必需的最低頻率;個人信息保存期限應(yīng)為實現(xiàn)目的所必需的最短時間”。也就是說，既然不勾選同意《芝麻服務(wù)協(xié)議》也可生成個性化年度賬單，支付寶應(yīng)在盡可能少量、低頻收集個人信息的前提下實現(xiàn)賬單功能，連對用戶出示同意《芝麻服務(wù)協(xié)議》的選項都 “多此一舉”。

按照洪延青的說法，網(wǎng)絡(luò)安全法中的正當(dāng)性和必要性原則給出了一個大的框架，此為《規(guī)范》中“最小化原則”的司法背書來源。

“最小化原則”可能會“打倒一大片”互聯(lián)網(wǎng)企業(yè)，原因在于目前不少企業(yè)所遵循的不是“最小化原則”，而是“最大化原則”。

“最小化原則肯定是法律精神，但在國內(nèi)互聯(lián)網(wǎng)企業(yè)中，之前推行的一套做法其實是嚴(yán)重違背這個精神的?！币晃毁Y深投資人士對《中國經(jīng)濟周刊》記者表達了自己的擔(dān)憂，他表示，從商業(yè)利益角度出發(fā)，數(shù)據(jù)控制方只有盡可能多地獲得用戶海量，且類型多樣的數(shù)據(jù)，才能生成最準(zhǔn)確的用戶畫像，進而產(chǎn)生更精確的營銷內(nèi)容，比如“精準(zhǔn)推送”。

然而，若企業(yè)減少收集用戶個人信息的頻率和數(shù)量，也縮短了存儲時間，是否意味著用戶所能享受到的個性化服務(wù)變得不那么“貼心”？中國政法大學(xué)知識產(chǎn)權(quán)研究中心特約研究員李俊慧對此持否定態(tài)度，“用戶個人信息與大數(shù)據(jù)分析有相關(guān)性但沒有必然聯(lián)系，互聯(lián)網(wǎng)企業(yè)精準(zhǔn)營銷更多是基于大數(shù)據(jù)分析，只是在其使用的設(shè)備中予以推送展示，對個人敏感信息并不一定需要使用，因此精準(zhǔn)營銷與個人信息保護并不沖突。”

丁香園創(chuàng)始人李天天的回答則更加直接：“如果由于監(jiān)管限制，導(dǎo)致業(yè)務(wù)無法開展或者影響品質(zhì)，我認為還是應(yīng)該服從監(jiān)管?！彼硎?，以醫(yī)療行業(yè)為例，美國的監(jiān)管十分嚴(yán)格，但確實避免了很多問題。

APP演變成多功能平臺，“一攬子”授權(quán)不可取

如今，隨著“跨界融合”，不少應(yīng)用已不再具備單一功能，而是在基本服務(wù)之上疊加了各種其他功能，演變成聚合性平臺。

以微信和支付寶兩款人們常用的APP為例，微信最初以社交功能切入市場，隨后演變出支付、理財、生活繳費等疊加功能，同時也搭載了大眾點評、美團外賣、京東優(yōu)選等第三方服務(wù);支付寶此前以支付功能入局，此后也開發(fā)出包括紅包在內(nèi)的社交和聊天功能，疊加了如余額寶、芝麻信用等金融服務(wù)?！拔乙呀?jīng)說不清楚微信究竟還是不是聊天工具了，好像不是?！币晃粡?012年微信發(fā)布不久便開始使用微信的用戶對記者說。

在扎克伯格出席聽證會期間也被問道，“Facebook是一家電視公司嗎？”扎克伯格回應(yīng)說，我認為我們是一家科技公司。

多功能聚合性平臺也對個人信息保護帶來了隱患。當(dāng)某個平臺擁有多項功能時，從減少成本的角度出發(fā)，平臺可能會采取“一攬子”協(xié)議的做法，即在用戶最初使用平臺提供的服務(wù)時，采用較為明顯的方式對隱私政策以及收集個人信息的類別和用途做出較為詳細的展示，當(dāng)用戶點擊“同意”后，則被視為該用戶在使用所有類別的功能時都同意了這一版本的條款。

針對“一攬子”授權(quán)“綁架用戶”的嫌疑，《規(guī)范》做出了改善的建議：將核心功能與附加功能區(qū)分。洪延青在解讀這一條款時稱，即便點擊了隱私政策長文本的同意，并不意味著附加功能同時一并打開，在現(xiàn)實使用中，還是需要再次點擊同意?！耙约磿r通信APP為例，其核心功能是聊天，在實現(xiàn)這一核心功能時需要收集敏感信息或是普通個人信息，用戶為了使用都需要提供。但其中的理財?shù)裙δ?，明顯屬于附加功能，如果用戶只想聊天，不想使用理財功能，就不能認為同意了隱私政策就意味著開通理財功能時不需要再次征詢。”

據(jù)了解，京東目前通行的《京東隱私政策》就在向《規(guī)范》的要求靠攏?！靶碌恼邨l款對于用戶的隱私保護做到了具體化和透明化，用戶對個人信息的掌控力度更高;在收集、使用、存儲和傳輸用戶信息的時候，京東會明確告知用戶相關(guān)信息的使用目的和范圍，包括如果將用戶信息用于新的目的或范圍將重新獲取用戶同意，提供如何關(guān)閉位置、通知等授權(quán)的具體操作步驟等?！本〇|首席安全官李德浩對《中國經(jīng)濟周刊》記者說。

但接下來的問題是，在聚合化趨勢日益明顯的互聯(lián)網(wǎng)行業(yè)，巨頭們都不愿將自身定位為某個領(lǐng)域，從事單一業(yè)務(wù)的企業(yè)。京東早已不再是單純的零售平臺，BAT莫不如此?！笆裁词呛诵墓δ埽裁词歉郊庸δ?，普遍認可的理解是核心功能是用戶注冊產(chǎn)品或服務(wù)的基本需求，除此之外為用戶提升體驗而設(shè)計的功能則是附加功能?！本〇|法律研究院秘書長嚴(yán)少敏曾在一篇署名文章中如此區(qū)分核心與附加功能。以B2C電商為例，其核心功能簡單說是實現(xiàn)網(wǎng)上購物所必需的功能，而智能化的搜索詞提示和個性化推薦功能，則是為了滿足縮小搜索目標(biāo)范圍以及體驗“逛店”感受的，也應(yīng)當(dāng)被認定為核心功能。

值得注意的是，《規(guī)范》并未采取“一刀切”的方法來認定某一數(shù)據(jù)控制方的核心業(yè)務(wù)是什么?！拔覀兊臉?biāo)準(zhǔn)當(dāng)時沒有想規(guī)定什么叫核心和附加，就是想故意留一個口子，希望通過市場競爭或者社會監(jiān)督能夠起到這樣的作用?！焙檠忧嗾f。

未來不排除有的企業(yè)為減少用戶授權(quán)次數(shù)，以期用一次授權(quán)獲得用戶對更多項功能的隱私授權(quán)，就將核心功能定得很多，附加功能定得很少，而實質(zhì)上它本身只是個通訊軟件，而另外一些通訊軟件則只將通訊和社交功能定為核心功能，其他功能一律定為附加功能。對此，洪延青稱，相信一定會有社會監(jiān)督機構(gòu)或者監(jiān)管機構(gòu)約談相關(guān)企業(yè)時說，“你為什么定得不一樣？”這樣通過市場競爭和比較，逐漸形成行業(yè)慣例。

個人信息保護法“在路上”

盡管《規(guī)范》為數(shù)據(jù)控制方提供了一系列既遵循網(wǎng)絡(luò)安全法，又切實可行的做法，但其法律效力卻并不高。據(jù)了解，國家標(biāo)準(zhǔn)分為強制性和推薦性兩種，而《規(guī)范》屬于后者，無強制力。

李俊慧告訴《中國經(jīng)濟周刊》記者，《規(guī)范》并不屬于法律或法規(guī)，其層級低于法律、法規(guī)。如果法律、法規(guī)的要求與標(biāo)準(zhǔn)不一致，則以法律、法規(guī)為準(zhǔn)。對于法律、法規(guī)未明確的事項，該標(biāo)準(zhǔn)作為一項推薦性標(biāo)準(zhǔn)，可以作為評估企業(yè)相關(guān)個人信息保護措施的參照。

盡管我國已經(jīng)存在一部網(wǎng)絡(luò)安全法，但其解決的主要是與網(wǎng)絡(luò)安全相關(guān)的問題，涉及面比較廣泛，雖然網(wǎng)絡(luò)安全法中有專門針對個人信息安全保護的章節(jié)，但由于立法目的不同，可能對個人信息的保護并不全面，因此一直有聲音呼吁制定一部專門的個人信息保護法。

2018年2月，全國人大常委會法工委經(jīng)濟法室主任王瑞賀曾在接受媒體采訪時透露，全國人大常委會法工委正在會同有關(guān)方面對個人信息保護立法的有關(guān)問題進行研究論證。2017年全國兩會期間，吳曉靈等40余位全國人大代表向大會提交了《關(guān)于制定<中華人民共和國個人信息保護法>的議案》，建議盡快制定《中華人民共和國個人信息保護法》，同時將《中華人民共和國個人信息保護法（草案）》作為附件提交。

有分析認為，作為正式法律，個人信息保護法完全可以將《規(guī)范》當(dāng)中對識別和關(guān)聯(lián)路徑、“最小化原則”以及將核心與附加功能進行區(qū)分等內(nèi)容確定為未來正式的法律條款。