近日,十三屆全國人大常委會第三十次會議表決通過《中華人民共和國個人信息保護法》(以下稱《個人信息保護法》),其中明確:處理生物識別、醫療健康、金融賬戶、行蹤軌跡等敏感個人信息,應取得個人的單獨同意,對違法處理個人信息的應用程序,責令暫停或者終止提供服務。
這其中,以行蹤軌跡為代表的個人位置信息尤其值得關注。今年7月初,“滴滴出行”App因存在嚴重違法違規收集使用個人信息問題,遭國家網信辦審查并下架。
但實際上,偷偷收集個人行蹤信息的應用很多,甚至連一個手電筒APP都會要求獲取你的位置權限,而你不一定意識到這中間的陷阱。
都想知道你在哪
目前,獲取移動終端用戶所在地理坐標信息的移動位置服務 (Location-based service,LBS)已成為互聯網應用服務的一個基本項。
許多用戶并不會考慮合理與否,便默認讓APP獲取自己的定位權限。面對冗長和復雜的APP隱私政策,絕大多數人也沒有耐心讀完。
中消協于2018年發布的《100款APP個人信息收集與隱私政策測評報告》顯示,多達59款APP涉嫌過度收集“位置信息”。這其中,社交類、影音播放類、拍攝美化類等APP甚至比旅游住宿類應用更迫切想知道用戶的具體位置。
為什么想知道
這么多APP想知道你在哪,其背后的原因究竟是什么?
答案很簡單,為了實現更加精準的廣告和其他信息推送。
以谷歌隱私權和條款中的解釋為例,如果某用戶啟用了位置記錄功能,并且經常前往滑雪度假村,那之后在谷歌旗下視頻網站觀看視頻時將會接收有關滑雪裝備的廣告。這也就不難理解,為什么絕大部分影音播放類軟件都需要用戶的定位權限。
不僅如此,位置數據的背后,往往是用戶的個性習慣、健康狀況、社會地位等其他敏感信息。
來自意大利博洛尼亞大學以及英國倫敦大學的兩位研究人員曾開發一款應用程序,安裝在69名用戶的設備上,以實驗通過位置追蹤能夠收集多少用戶的個人信息。
在為期兩周的測試中,該應用共識別出大約2500個地點并收集5000條與人口統計學和個性有關的個人信息。研究人員表示,只需查看收集到的位置信息,就能推斷出志愿者的健康狀況、社會經濟狀況、種族和宗教信仰等敏感和隱私數據。
位置信息的隱私風險
可以說,區區一個位置權限,幾乎能打開用戶隱私“裸奔”的大門。
因此,多個國家和地區的相關法律法規都直接和間接規定了個人位置數據的搜集、使用和傳播須以數據主體的“告知-同意”——即在獲取用戶位置前,必須有彈框跳出讓用戶同意——為原則。不過,在具體的規則上,嚴格程度是很不一樣的。
實際上,“告知-同意”的規定也并非沒有漏洞,比如一旦同意授權后,隨著企業的業務發展,是否會將數據用于當時沒有列在隱私政策上的事項?用戶是不是明了自己位置信息所附帶的其他所有信息?在用戶停止使用App后,App會否刪除所有位置信息?
在我國,就已發生多起有關個人對App收集、處理個人位置信息有異議的訴訟案件,其中不乏一些耳熟能詳的APP。
從案件的審理結果看,公民就個人信息被侵犯提起訴訟不難,但要勝訴不易,主要難在證明損害結果。
以被業界譽為“個人信息保護第一案”的法學博士凌某怒告抖音案為例,即使原告出身法律領域并邀請了多位專家輔助人出庭,也是耗時一年半、前后經歷6次開庭才最終取得勝利。若換成一般公眾,這樣的維權成本是難以承擔的。
“知情-同意”并非侵權“免死金牌”
不過,隨著《個人信息保護法》的出臺,公益以及集體訴訟機制將有效降低個人的維權成本,并提高維權力度。法案中第七十條明確規定:“個人信息處理者違反本法規定處理個人信息,侵害眾多個人的權益的,人民檢察院、法律規定的消費者組織和由國家網信部門確定的組織可以依法向人民法院提起訴訟。”
一方面,監察機關可以獲得個人無法獲得的證據。其次,作為公權力機關,他們還可以約談企業,起到更大的威懾作用。比起單打獨斗,集體的力量會更加顯著。
上海社會科學院信息研究所副所長、副研究員丁波濤表示,用戶的知情和同意并非企業對個人信息侵犯的“免死金牌”。
《個人信息保護法》尤其強調了“賦予個人撤回同意的權利”,這意味著目前一些APP找不到(或很難找到)撤回同意信息選項的做法是違法的。“企業要在數據收集、使用和儲存的三個環節中,都要做到依法合規”,丁波濤強調。
另外,丁波濤認為,個人位置數據涉及交通運輸、電信以及城市治理等多個領域,不同領域間對數據處理的要求各不相同。需加快制定更多的行業法規和條例,逐步構建起對公民位置信息的保護體系。例如前段時間網信辦出臺的《汽車數據安全管理若干規定(征求意見稿)》就是我國首部關于汽車數據安全管理方面的法規,這將對智能汽車中的相關重要數據起到保護作用。
欄目主編:張陌文字編輯:尤莼潔題圖來源:圖蟲圖片編輯:曹立媛
