還有多少App在窺視個人隐私 支付寶年度賬單事件背後

互聯網技術發展對個人隐私帶來了巨大(dà)挑戰，支付寶“2017年賬單”事件也許隻是壓垮駱駝的那根稻草。網友的質疑和憤怒，從側面反映出目前個人數據權益保護現狀不容樂觀。

對于用戶數據的第一(yī)次收集和使用，App方正确做法應該是遵循默認拒絕原則，即默認不勾選。支付寶賬單的“同意”服務協議行爲屬于濫用默認同意規則，違反了關于個人隐私保護的倫理共識。

“用戶的隐私完全沒有得到保護和尊重。”看到微博上對支付寶的質疑，一(yī)個小(xiǎo)時前剛在微信朋友圈分(fēn)享了自己支付寶年賬單的周超感到憤怒。當天，他将手機上的App檢查了一(yī)遍，将允許讀取通訊錄或短信的設置，統統修改爲不允許。

2018年1月3日，支付寶面向其用戶推出個性化的“2017支付寶年賬單”。不少網友紛紛在社交媒體(tǐ)曬出了自己的年賬單，一(yī)度引起刷屏。然而，很快有律師指出支付寶與芝麻信用間的“授權漏洞”，網友意識到自己可能“被同意了”一(yī)個名爲《芝麻服務協議》的用戶協議，事情因此急轉直下(xià)，網友對支付寶侵犯個人隐私的質疑引起又(yòu)一(yī)輪刷屏。

當天，芝麻信用和支付寶對此進行了糾正和公開(kāi)道歉。但是圍繞此事件及其衍生(shēng)出的用戶數據隐私、個人數據權益保護問題，還是引發衆多專業人士的關注和讨論。

在對支付寶提出批評的同時，一(yī)些評論人士表示，在數據隐私未得到充分(fēn)重視和保護的現狀下(xià)，此事件帶來大(dà)規模的網友對個人數據隐私的關注，或意味着用戶數據隐私觀念的覺醒，是該事件積極的一(yī)面。

那麽芝麻信用和支付寶到底做錯了什麽？還有多少互聯網智能手機應用（又(yòu)稱“App”）在窺視甚至侵犯你的數據隐私？在當前的互聯網時代，又(yòu)究竟該如何保護個人的數據權益？

支付寶賬單引質疑被濫用的“默認同意”

“2017支付寶年賬單”展示的信息主要爲，用戶在這一(yī)年通過支付寶購買各類商(shāng)品和服務的統計記錄。但在該賬單中(zhōng)，有一(yī)個頁面的信息來自芝麻信用提供的信用守約情況，而非來自支付寶的交易記錄。

支付寶（中(zhōng)國）網絡技術有限公司（以下(xià)簡稱“支付寶”）和芝麻信用管理有限公司（以下(xià)簡稱“芝麻信用”）是螞蟻金融服務集團旗下(xià)的兩家公司。因爲兩家公司相對獨立，支付寶在調用芝麻信用的數據時，必須經過用戶授權，因此支付寶在年度賬單的首頁設置了“我(wǒ)同意《芝麻服務協議》”這一(yī)選項。

這一(yī)設置引起了北(běi)京市嶽成律師事務所嶽屾山律師的注意。2018年1月3日13時許，嶽屾山在微博指出，“我(wǒ)同意《芝麻服務協議》”這行字不但字号特别小(xiǎo)，而且已經幫用戶選擇好“同意”了。若用戶未注意到這行字，就會直接同意這個協議，允許支付寶收集用戶的信息包括在第三方保存的信息。他還引用相關法規表示，芝麻信用“默認同意”的設置沒有給用戶了解條款的機會，用戶“稍不注意就進坑了”。

“設坑使用戶簽署協議本質上屬于欺騙。”2018年1月6日，湖南(nán)師範大(dà)學人工(gōng)智能道德決策研究所所長李倫教授在接受南(nán)方周末采訪時分(fēn)析指出，對于數據的第一(yī)次收集和使用，正确做法應該是遵循默認拒絕原則，即默認不勾選。支付寶的上述行爲屬于濫用默認同意規則，違反了關于個人隐私保護的倫理共識。

在西南(nán)政法大(dà)學民商(shāng)法學院教授張建文看來，此事件中(zhōng)，支付寶除了違背了基本的商(shāng)業道德，更是違反了《中(zhōng)華人民共和國消費(fèi)者權益保護法》中(zhōng)的相關規定，明顯侵害了消費(fèi)者的自主選擇權。

2018年1月3日下(xià)午，中(zhōng)國消費(fèi)者報微信公衆号引用嶽屾山的該條微博發布相關文章，使得輿論對支付寶的質疑進一(yī)步擴大(dà)。據财新網報道，當日下(xià)午央行支付司要求支付寶對此糾正并緻歉。

當日23時許，芝麻信用在新浪微博發布“查看支付寶年賬單時‘被同意《芝麻服務協議》’的情況說明”承認“這件事，肯定是錯了”。此外(wài)，芝麻信用還表示：已經調整了頁面，取消默認勾選；此前沒有開(kāi)通芝麻信用的用戶，不會因此被收集信息。随後，支付寶轉發了這條微博。

“默認同意規則被濫用的情況非常普遍。”2018年1月6日，上海瑪娜數據科技發展基金會創始人、副理事長張唯對南(nán)方周末表示，支付寶引發質疑的“默認同意”行爲在互聯網行業并不少見。

據媒體(tǐ)報道，2017年10月，攜程在銷售機票(piào)時默認勾選酒店(diàn)券、接機券等銷售行爲引發消費(fèi)者聲讨。之後，攜程對其機票(piào)産品進行了整改，推出“普通預訂”窗口，該頁面内所有的附加商(shāng)品均爲默認未勾選。

除了“默認搭售”之外(wài)，在湖北(běi)省荊州市一(yī)家物(wù)流公司工(gōng)作的周超發現“默認讀取”的現象也很常見，“現在幾乎所有的App都會要求訪問用戶的通訊錄，一(yī)些雖然可以選擇不允許，但安裝使用的時候都是被默認允許的狀态”。周超曾在手機上下(xià)載過一(yī)款跑酷遊戲App，安裝完成後，提示要讀取地址和通訊錄，方可啓動遊戲。周超心想，一(yī)款遊戲而已，爲什麽要訪問通訊錄？于是他選擇了不允許讀取，随即遊戲界面自動退出。反複試了兩三次後，周超卸載了這款遊戲。

在北(běi)京一(yī)家互聯網公司從事數據挖掘工(gōng)作的劉強強，則遭遇過同樣惡劣的“默認發布”行爲。

2017年10月初，劉強強下(xià)載了一(yī)款名爲“脈脈”的職場社交App。用了不到兩周，一(yī)位同事收到包含劉強強的真實姓名在内的邀請其下(xià)載該軟件的短信。“說我(wǒ)标注了他，要想查看需下(xià)載，壓根沒有的事，”看到同事發來的截圖，劉強強感到氣憤，“領導要是收到怎麽辦，還以爲我(wǒ)在脈脈上找機會跳槽。”當天卸載了該軟件并注銷了賬号。

2017年11月15日，國家工(gōng)信部發布的一(yī)份手機App抽檢結果公告顯示，有31款軟件涉及違規收集使用用戶個人信息、惡意“吸費(fèi)”等問題。

李倫認爲，互聯網技術的發展對個人隐私帶來了巨大(dà)的挑戰，支付寶年賬單事件也許隻是壓垮駱駝的那根稻草。“在支付寶事件中(zhōng)，網友出現大(dà)規模的質疑和憤怒，其實從側面反映出目前個人數據權益保護的現狀不容樂觀。”

數據資(zī)産時代脆弱的個人隐私權利

2017年12月25日，由全國人大(dà)常委會執法檢查組委托中(zhōng)國青年報社社會調查中(zhōng)心所做的“萬人調查報告”顯示，有超過六成受訪者遇到過互聯網應用默認讀取，甚至強制讀取（不同意讀取則無法使用軟件）的情況。

張建文分(fēn)析認爲，造成這一(yī)現象的原因在于，在當前互聯網服務中(zhōng)，服務提供商(shāng)和用戶之間存在明顯不對等的關系。相對于用戶而言，服務提供商(shāng)明顯占據優勢地位，其在服務協議中(zhōng)事先設置“默認同意”，如果用戶取消勾選同意，将不能享有該項服務内容，用戶處于被動的地位，缺乏充分(fēn)的自主選擇權。另外(wài)，“默認同意”的法律定性及相應法律責任并不明晰，這給網絡服務提供商(shāng)“鑽空子”“打擦邊球”造成了可乘之機。

“個人隐私權在企業數據權力面前極爲脆弱。”李倫也認同個人在互聯網企業面前是處于弱勢地位的。

李倫進一(yī)步分(fēn)析指出，互聯網應用侵犯用戶數據權益的情況之所以普遍存在主要有三個方面的原因：一(yī)、企業對于商(shāng)業利益的追求，新型互聯網産業對于個人信息的依賴程度較高，對于用戶的個人信息掌握越充分(fēn)，越能做到精準營銷；二、信息技術和數據技術使得隐私受到威脅的程度大(dà)爲增加了，信息技術可以使原始數據的獲取變得更加便利，而數據技術的進步則可以從雜(zá)亂的、碎片化的數據中(zhōng)還原出個人的信息。三、目前對于個人數據的權利歸屬尚未統一(yī)，因此實踐中(zhōng)對其進行保護有所困難。

“數據就是資(zī)産，”張唯認爲，個人信息确實越來越受到各個企業的關注。“特别是前幾年，國家對于互聯網行業采取了一(yī)種更加開(kāi)放(fàng)的、支持的态度，對于個人數據隐私保護的力度遠遠不夠。這在某種程度上促成了很多企業對數據的不合理的獲取。去(qù)年的網絡安全法實施之後，這個情況有一(yī)些好轉。”

2017年6月1日，《中(zhōng)華人民共和國網絡安全法》正式實施，針對個人信息保護明确規定：網絡産品、服務具有收集用戶信息功能的，其提供者應當向用戶明示并取得同意；涉及用戶個人信息的，還應當遵守本法和有關法律、行政法規關于個人信息保護的規定。

此外(wài)，《互聯網交易管理辦法》《移動互聯網應用程序信息服務管理規定》等均對個人信息保護作出了規定。

“這些規定都是比較粗略的，對于現在比較模糊的個人信息的界定、個人信息的使用範圍，如何才算是合規地傳遞個人信息，這些在目前的法律體(tǐ)系裏面都沒有細化的規定。因此，互聯網企業也難以細化地進行相應的調整。”上海星瀚律師事務所主管律師阮霭倩對南(nán)方周末表示，雖然目前在國内，對于個人信息的保護，已經有一(yī)些相應的法律法規，但是缺乏一(yī)部系統的法律進行規範。

阮霭倩指出，另一(yī)方面，國内對于侵犯個人信息權益的違法行爲的懲罰制度，目前也不是很完善。而在歐盟國家，若企業侵犯個人信息權利，可能會面臨50萬到2000萬歐元不等的巨額罰款。

美國歐盟經驗多方博弈中(zhōng)争取權益

盡管美國、歐盟等發達國家，對于個人數據權益的保護出台了更爲系統的法律，但在實際中(zhōng)，互聯網公司的自身發展與用戶的隐私保護之間的紛争一(yī)直存在。業内人士指出，個人數據權益的保護可以說是在互聯網公司與用戶等各方的博弈中(zhōng)不斷前進。

在歐盟，存在通用的數據信息保護條款，相應的權利的保護也更加嚴格。最廣爲人知(zhī)的是數據的遺忘權，即用戶在某平台注銷了賬戶，其留在該平台上的所有曆史數據記錄需要被同步消除，後期在沒有得到該用戶的授權的情況下(xià)，平台不能繼續給該用戶提供相應的服務。

“這些條款規定确實是比較嚴格，有聲音認爲這其實束縛了産業的發展。”張唯指出，《歐盟數據保護一(yī)般規則》中(zhōng)的一(yī)些條款在美國并未得到認同和實施。

“美國對于隐私權的理解與歐盟不同，更多地建立在自由的基礎上，以行業自律爲主導。”據李倫介紹，對于個人數據權益保護，美國有多種形式的行業自律組織。其中(zhōng)，網絡隐私認證計劃頗具特色：網站提出申請，經過第三方隐私認證機構認證後，可以在其網頁上放(fàng)置“信任标志(zhì)”，以此表示将遵守網絡隐私保護和數據收集的原則，以及接受相應的監督。

對此，張唯認爲，第三方評估可能會起到一(yī)定指引作用。在國内，若有第三方評估機構對互聯網企業、對個人信息保護等行爲進行評測，會給用戶以提醒和支持作用。

盡管擁有豐富的行業自律組織，以及多部關于隐私權的法律法規，在美國，互聯網企業與用戶隐私保護之間的沖突仍然屢屢出現。李倫向南(nán)方周末介紹了Facebook的例子：2007年Facebook發布燈塔廣告項目，用戶在該項目的合作網站上的訪問數據，都會顯示在Facebook網站上。用戶反應強烈，認爲該項目侵犯了他們的隐私，不少隐私保護機構也提出了激烈的批評，兩年後Facebook放(fàng)棄了這一(yī)項目。2009年，Facebook修改了使用條款，對用戶删除了的上傳資(zī)料依然具有使用權，又(yòu)激發了用戶的抗議，最後Facebook放(fàng)棄了這一(yī)條款，重新修改後征求用戶的意見。

在張唯看來，由于美國互聯網行業獨特的競争态勢，美國對于個人數據權益的保護，也是一(yī)個多方利益博弈的過程。對于中(zhōng)國而言，不能完全照搬美國或歐盟的模式，既不能因爲對個人數據的過度保護影響産業的發展，也不能因爲要推動行業發展，就漠視個人的權利。

面對當前這個越來越以數據爲基礎的社會，如何才能保障個人的數據權益？

對此，阮霭倩指出，互聯網企業在采集數據時要在合法的框架内進行，嚴格把控數據采集的界限，并建立相應的内控體(tǐ)系，防範信息被盜取。

張建文則建議，應當積極推動個人信息保護法的出台，通過專門的個人信息保護立法爲用戶的數據隐私提供全面有效的保護規範。此外(wài)，在執法層面，應當加強執法效果，對于違反用戶數據隐私的違法行爲予以嚴格執法。

對于用戶自身而言，張唯提出，個人要明确認知(zhī)和充分(fēn)尊重自己的權利，知(zhī)道在現有的法律框架下(xià)，是有法律對于自己的個人數據進行保護和保障的，在參與每個用戶協議時，對自己的行爲進行負責。但張唯也指出，要求個人都能夠理解和認知(zhī)所有的用戶協議，嚴格來講是不公平的。在現有的技術和産業格局下(xià)，更關鍵的是需要行業和政府對于個人信息權益保護的模式和規則進行完善。

“需要一(yī)些示範性的事件出現，比如這次的支付寶事件可能就會推動整個行業内對于用戶規則這個層面進行一(yī)系列的修正。”張唯表示，作爲行業領袖的支付寶如果能進一(yī)步加強對自身的約束，對于整個行業對個人信息權益保護的升級和優化，是有積極作用的。