摘要
当APP“偷听”成为常态,我们不得不反思为什么,从APP的隐私政策角度,可以发现其中秘密,信息共享条款作为互联网企业间信息交换的重要条款,方便了用户,但是也带来了很多的问题,信息共享条款的滥用是导致信息泄露的最主要原因之一。在如今互联网时代,信息爆炸,个人信息的保护就更加重要,因此研究信息共享条款有助于保护用户的个人信息,也有助于互联网企业更好的规范自我。信息条款普遍性存在关联方定义模糊和关联公司之间存在内部默认共享,并且信息共享条款对现行规则的契合度普遍较低。目前导致信息共享条款与现行规定契合度低缘由包括网络运营商自我规制的不足和监管部门在互联网监管上存在困境。
关键词:APP 隐私政策 信息共享条款 个人信息保护
一、问题的提出:APP信息泄露事件频发
1993年在《纽约客》刊登过漫画家彼得施泰纳的一幅漫画,上面写着“在互联网上,没有人知道你是一条狗”。这句话表达的很清楚,意思就是在强调互联网作为虚拟的空间时,网民们可以在里面随意地匿名冲浪而不被他人知道你是谁,但是也许当时很少人会想到,互联网时代的到来也给我们隐私泄露按下了快捷键。
(一)APP“偷听”的技术背景
2019年3月21日IT时报发布了一篇文章,标题是《原来APP“偷听”,竟无需太高技术门槛?》1 ,这篇文章从技术层面解析了APP如何实现“偷听”,即通过技术手段分析了APP软件运营商如何侵犯用户的网络隐私权。具体来看,“偷听”主要分为监听、语音识别、关键词提取,到最终实现精准推送四个步骤,整个过程无需用户的授权同意。这其中最重要的一步是监听,即属于数据写入部分(计算机领域名词)。过去几十年时间里,我们用惯了万维网—HTML所统治的平台—来搜索内容,而谷歌、百度等搜索引擎会记住我们的IP地址和搜索关键词。具体是把我们的搜索数据存储在它们的服务器上,通过记住关键词的方式、并与我们用户本地的IP地址相联系,得出个人的大概信息。然后借用超强的运算力(依托超级计算机),搭建合适的推荐算法,给对应的用户推送所可能需要的信息(可以理解为广告),实现精准推送,这类操作现在基本上被运用在电商、外卖、资讯等平台上,并由此引发出大数据杀熟等一系列不公平的事件发生。但是随着互联网的到来和普及,在摩尔定律下,信息爆炸,特别是移动互联网的兴起,移动端的使用率已经远超万维网,早在2010年硅谷著名的《连线》杂志就宣称“万维网已死,互联网永生”,虽然在9年后的现在看来,这个预言已经不攻自破,但是我们可以预见到的是,计算机的中心已经不在电脑桌面上了,而更多的是在移动端。互联网的兴起,也带来了更多的问题,软件运营商们不在满足于关键词的提取,而开始关注于人,扩展用户信息的获取路径,特别是随着语音识别技术的兴起(弱人工智能2 的其中一种体现),许多APP应用程序开始通过语音识别技术来收取用户的个人数据,其中就包括了APP“偷听”。
所谓APP“偷听”是指未经过用户的授权,适用麦克风“监听”用户,特别是在APP被锁屏时,在手机后台依然可以“监听”用户讲话的内容,或者借用其他的关联APP来实现“偷听”。据澎湃新闻在《团队自编程序证实手机能偷听》一文中指出,他们完成了一场测试—用不到5个小时,通过程序员编写示例代码,模拟打造一款手机软件,安装在一部安卓手机中,再设置为允许该模拟软件使用手机录音权限,然后将手机屏幕锁屏—测试结果就是该模拟软件成功获取了团队的讲话内容,并传输给后台服务器转化成文字信息。3 该测试虽然不能代表APP“偷听”的铁证,但是证明了APP“偷听”在技术上是可行的。研究表明,以上是基于用户开放了某个APP的读取权限,但是如果没开放麦克风或者读图的权限,APP是否可能实现“偷听”,答案是可以。具体是:通过数据共享来实现信息的精准推送。简单地说,可能存在的情况是,A虽然没有获得用户的麦克风或者读图权限,但是完全可以通过有权限的B获得的信息,那么B是如何获得信息的呢,答案就是数据共享,即在很多APP隐私政策中发现了数据共享条款的存在。
(二)“偷听”技术背后的原因—与关联公司信息共享条款
时间回溯到123年前,那一年美国发明家贝尔实现世界上第一次电话通话,世界从此改变,电话这种信息技术扩展出了一种可实现即时交互的虚拟空间,使得非在场的人们第一次体会到了虚拟的世界。至信息时代起步后,人们就开始为隐私权、数据权利被侵害而困扰着,早期的共用同一个电话信道,使得家庭悄悄话变得毫无隐私可言,而后,随着交换机技术的到来,似乎化解了这尴尬的场面,但是直到现在,从窃取通信信息到各种个人信息和隐私数据的不正当获取,从骚扰推销的电话、各类推广诈骗短信轰炸到机器化的诈骗电话,信息技术被滥用的场景屡禁不止。随着网络时代的到来,为保护网络用户的隐私权和知情权,隐私政策披露成为应用程序运营商在个人信息保护领域进行自我规制的重要方式。通过分析APP隐私政策的披露情况来观测应用程序运营商保护用户个人信息的实际情况不失为一种好办法。
其中,我挑选了淘宝网的隐私政策其中关于信息共享条款—与关联公司之间共享:为方便我们基于淘宝平台账户向您提供产品与服务,推荐您可能感兴趣的信息,识别会员账号异常,保护淘宝网关联公司或其他用户或公众的人身财产安全免遭侵害,您的个人信息可能会与我们的关联公司和/或其指定的服务提供商共享—而淘宝网对于关联公司更是给出了具体的列表“我们关联公司提供的产品或服务,包括来自天猫、聚划算、天猫国际、天猫超市、盒马、饿了么、飞猪、阿里通信、淘必中、阿里云、菜鸟、淘票票、口碑、阿里体育、蚂蚁借呗、优酷、交易猫、蚂蚁花呗、阿里健康的信息。”4 我们可以把淘宝网的这些关联公司定义为阿里系APP,查阅了这些关联公司的隐私政策,无一例外的都是存在类似的向关联公司提供信息共享,而且关联方基本上都是这些公司,可见阿里系的APP建立了集体内部的数据共享系统。也就是说,借用APP数据共享来实现信息的获取,进而对自己所属的用户实现精准的信息推送,使得原本没有读取权限的APP获取了想要的信息。更致命的是,市场上出现了APP以出卖相关的用户个人数据来谋取经济利益,不要求APP之间存在关联性,只需要花钱即可买到想要的用户信息,这对网民来说太可怕了。当然如果本文探讨的太全面,不利于深入,因此着重探讨APP运营商对于用户信息不合理共享的乱象背后的原因。对此,笔者认为APP软件运营商对用户信息的不合理共享是对于用户隐私权和知情权的极大侵害,一家公司不可怕,可怕的是公司通过调整关联公司来实现数据的极大共享,从而把用户的个人数据扩展到整个APP群组,严重触及互联网用户隐私保护的底线。就好比有人说的一样,当手机APP比我妈还懂我时,意味着,作为个体,我已经失去了自由5 。
二、APP信息共享条款的合规性分析
上面从技术角度分析了APP“偷听”的技术特点,从而知道了隐私政策中关于信息共享的条款是这个问题的关键,那么接下来需要分析一下市面上的APP(选取的样本)的信息共享条款是怎么样的,现行规则是怎么样的,以及这些APP的信息共享条款在多大程度上遵守了现行的规则。
(一)信息共享条款
信息共享条款在制定之初,对于互联网企业来说是为了方便信息的交互,对于用户来说,是用信息共享来换取服务的一种便捷途径,很多APP的运营需要用户的基本信息,但是随着信息的爆炸,信息需要的越来越多,信息的泄露问题不断涌现出来,特别是其中对于信息共享的问题尤为突出,因此我们必须关注于信息共享条款上来。阅读样本中的10篇隐私政策,不难发现其中关于信息共享的条款,条款本身存在明显的问题。
1. 模糊的关联方定义
根据1986年1月1日生效的国际会计准则第24号(IAS 24)指出关联方的定义“关联方包括、和其他直接地或间接地控制报告企业的公司。”笔者通过分析中国2018年IOS下载量前十APP的隐私政策文本,发现各方对于关联方的定义不同,排除掉第三方(非关联方,包括软件服务提供商、智能设备提供商、系统服务提供商等)—考虑到这些第三方大部分的服务是需要基本的数据支持的,且这些这些第三方公司基本上属于国企或者央企,数据使用的公信力比私企更佳,数据共享后被滥用的可能性较小,因此把目标定位在关联方,即上文所言的、和其他直接地或间接地控制报告企业的公司、等企业—基本如表1所展示的那样,大部分APP的信息共享条款并不直接写明关联公司是哪些,但是基本上可以通过常识得出哪些是关联公司,这些APP同属于一个集团公司名下,具有很强的利益关联性,因此根据定义可以理解为关联公司。具体来说,其中腾讯视频、微信以及QQ三款软件系不会主动共享或者转让个人信息至第三方,当然腾讯集团除外,这三款均系腾讯集团的产品;另一款没有定义的就是支付宝、拼多多、今日头条;而其它的抖音、百度、爱奇艺、淘宝均是对关联公司进行了定义,具体化了关联公司,一般的关联公司均为本集团旗下的产品。比如:字节跳动集团下三家抖音、今日头条、西瓜视频等,在抖音中就列名了这三个名称;又如在百度集团下,爱奇艺、百度均系百度旗下产品;更有腾讯集团这样直接把关联公司写为“腾讯集团”。因此,可见各大平台对于关联方的定义不同,但是本质相同,就是自己集团旗下的产品可以实现内部共享。

▲表1 排名前十的APP隐私政策对于关联方的概括定义
2.关联公司之间信息的默认共享
依据本文对关联方的定义,我们对关联方之间的信息获取和信息共享进行了必要的研究。从隐私政策的内容来看,75%以上的APP都会从关联方或者第三人(金融机构、软件服务商、广告公司为主)获取用户个人信息,但是在共享前均非全部需要授权,而只是部分需要授权。部分需要授权的一般为外部第三方,而对于集团内部,无需用户授权或强制授权否则不允许使用APP,比如抖音这款产品,系字节跳动集团名下产品,而字节跳动名下产品主要包括了西瓜视频、今日头条、对闪等,因此抖音中的隐私政策就写明了对闪、西瓜视频、今日头条等关联方或者第三方等产品或服务(微博等)是可以直接共享的,而其他的产品(第三方)均需用户授权。总结来说,一般采用集团内部默认共享、外部第三方需要授权的模式6。
▲表2:关联公司之间信息的默认共享
(二)关于个人信息保护的现行规则
上面分析了信息共享条款本身存在的问题,包括其中对于关联方的定义模糊、以及关联公司之间的普遍共享,发现其中的一些普遍性存在的问题。接下来就需要分析一下国内对于个人信息保护的相关规定。
1. 个人信息保护的权利构成
根据维基百科的定义,个人信息(网络隐私)指在互联网上自行决定把和自身有关的信息,存储、重新利用、提供给第三方、展示的私隐权利。而MBA智库,给出的“网络隐私权”定义是指公民在网络环境下借助互联网而享有的个人生活安宁和私人信息不受他人侵害的权利,它是一般隐私权在网络环境下的引申,是依法受到保护的一种人格权,包括个人信息资料不受他人非法侵犯、知悉、搜集、复制、公开和利用,是禁止在网络上泄露与个人有关的敏感信息,包括事实、图像以及毁损的意见等,7其权利宗旨主要是在于排斥他人对自身隐私的非法窃取、传播。Don Tapscott所写的《BlockchainRevolution》一书第一章第15页第二段中形象的比喻:你就是你自己的数据。现在,身份是你的,但是你的身份在虚拟世界中的活动所产生的数据却是由他人所掌管的。在大多数的公司和机构眼中,你就是一堆的数据—这些数据来自你在互联网上的活动踪迹,包括浏览记录、搜索内容、下载内容等。它们收集你的数据并将其变成一个“虚拟的你”,并通过这个虚拟的身份给你提供很多难以想象的便利。不过这样的便利是需要付出代价的,那就是隐私权的侵犯,而隐私权是自由社会的基石8 。
2. 对个人信息保护的具体规则
对于个人信息保护规范,我们不得不提到的是FIPs原则,因为可以说目前各国的数据保护规范均源于早期的FIPs原则。早在1973年,美国就首次提出了“公平信息实践”的概念以及五项原则,对个人数据的透明性、使用限制、访问和更正、数据质量、安全性等五个方面做出了规定,这也成为美国国会次年通过的《隐私法》的基础。4年以后,FIPs原则的五项原则细化为八项原则,收集限制原则、数据质量原则、目的明确原则、使用限制原则、安全保障原则、公开性原则、个人参与原则和问责制原则9 。经过40多年的发展,世界范围内基本形成了五大国际原则,作为各国数据规范立法的借鉴原则:公开性原则、限制性原则、数据质量原则、责任与安全原则、个人信息权利保护原则。
而回顾中国的网络隐私保护立法历程,不难发现FIPs原则的身影,中国在2016年通过的《网络安全法》建立了七项基本保护原则,而在2017年国家标准委员会出台的推荐性国家标准中提出了《信息安全技术—个人信息安全规范》在法定规则基础上,提出了五项相对七项基本保护原则更高的要求。2018年9月第十三届全国人民代表大会常务委员会将《个人信息保护法》列入第一类立法规划。2019年4月新修订的《政府信息公开条例》在进一步保障公民获得政府信息的同时,也间接地对政府处理和保护公民个人信息提出了更高的要求。2019年12月24日发布的民法典三审稿强化了对于公民个人信息的保护,第6章“隐私权和个人信息的保护”第1038条进一步完善,增加第3款,即“信息收集者、控制者有下列行为,损害社会公共利益的,法律规定的机关和组织可以依据《中华人民共和国民事诉讼法》等法律规定,向人民法院提起诉讼:(一)违反法律规定获取公民个人信息;(二)泄露、篡改其收集、存储的个人信息;(三)未经被收集者同意,非法将个人信息提供给他人;(四)未采取合理措施,致使公民个人信息遗失。” 102019年12月30日,由国家互联网信息办公室、工信部等四部门联合印发《APP违法违规收集使用个人信息行为认定方法》明确了个人信息收集的认定标准。综上,对于《网络安全法》和《APP违法违规收集使用个人信息行为认定方法》,前者是基本要求,如表3,包括七项基本原则:限制收集、保证质量、明确目的、使用限制、安全保障、公开透明、个人申诉;后者是具体的认定方法,下文将主要围绕着这两项具体规定来分析。
(三)信息共享条款对于现行规则的契合度分析
简述完个人信息保护的国内法律法规,我们结合信息共享条款本身,来看看样本中的信息共享条款是否违反了这些相关的法律法规,特别是《网络安全法》和《APP违法违规收集使用个人信息行为认定方法》,换句话说样本中的信息共享条款在多大程度上遵守了《网络安全法》和《APP违法违规收集使用个人信息行为认定方法》的相关标准?将本章的契合度分析分为两个小问题,即这些信息共享条款多大程度上遵守了《网络安全法》,套用《APP违法违规收集使用个人信息行为认定方法》是否可以认定信息共享条款中存在APP违法违规的行为。
1. 信息共享条款是否遵守了《网络安全法》的基本要求
2016年通过的《网络安全法》可以说是一部具有标志性的法律,里面对于网络运营商个人信息保护的义务规定是最为全面、最为详细的,具体列举了七项具体要求,如下表所示:

▲表3:《网络安全法》对于网络运营商个人信息保护义务的相关规定
从内容上看,《网络安全法》七项基本原则也是学习了FIPs原则,同时也和世界经合组织出台的《隐私保护与个人数据跨境指引》基本理念是相一致的。对于美国的“公正信息处理原则”和 《隐私保护与个人数据跨境指引》都已成为世界普遍承认的个人信息保护基本标准,而中国的《网络安全法》也包含了这样的个人信息保护基本标准。

▲表4:样本中的APP信息共享条款符合《网络安全法》基本要求的情况汇总
通过图表4,我们可以发现的是作为中国APP下载量排名前十的软件,依然在信息共享方面没有全部遵守《网络安全法》的基本要求,更何况是去遵守更高层次的较高要求了。从数据层面看,基本上只有使用限制一栏是被样本中的10款APP包括在内了。从条款层面来讲,大部分的原则是被提到或者涉及到的。举例来说,某音APP的信息共享条款中首先列举的就是三大共享原则:授权同意原则、合法正当与最小必要原则以及安全审慎原则。第一个原则授权同意原则对应着《网络安全法》的使用限制原则,即未经被收集者同意,不得向他人提供个人信息。再如第二个原则合法正当与最小必要原则—共享的数据必须具有合法正当目的,且共享的数据以达到目的必要为限—符合《网络安全法》的明确目的原则、限制收集原则。在“实现安全与分析统计的共享信息”中提到要保障使用安全,但是共享信息条款未发现关于公开透明原则、个人申诉等原则的体现,特别是对于个人申诉原则缺失,让用户在发现自己的数据泄露或者被不正当共享的情况下,不知晓如何合法维权。但是提到要遵守某某原则,却在其他条款里面有违反原则之嫌,上文提到的某音对关联方的定义是有规定的,即对闪、西瓜视频、今日头条、抖音火山版等关联方或者第三方等产品或服务(微博等)、广告等服务提供商,条款中规定可以向上述这些APP进行共享信息,无需用户授权同意或者被霸王条款授权,不管哪种都明显违反了限制使用原则——未经被收集者同意,不得向他人提供个人信息。对于互联网企业来说,信息共享对外需要用户授权同意,对内默认同意的做法,是常态化的操作,但是依据《网络安全法》的规定,这样的操作是违反限制使用原则的。
2. 信息共享条款是否符合《违规行为认定方法》
2019年年底,国家互联网信息办公室、工信部等四部门联合印发《APP违法违规收集使用个人信息行为认定方法》中关于如何认定“未经同意向他人提供个人信息”,提供了三个认定的条款,虽然这三个认定方法系具体问题具体分析,但是本人认为这也是提供了一个参考,如下表5所示:

▲表5:《APP违法违规收集使用个人信息行为认定方法》关于未经同意提供信息
对比样本中的十个隐私政策,我们可以发现十款软件在信息共享给关联公司的时候,对于关联公司内部是默认共享,但是对于其他第三方是普遍需要用户同意。对于向关联公司共享信息,无需经过用户同意明,同时基本上未写明会进行匿名化处理。因此,在未进行匿名化处理的情况下,完全有可能将数据放到黑箱中去,也就是将数据传输到APP后台服务器上去,再向第三方提供其收集的个人信息。笔者认为这是互联网企业常用的数据交换手段。样本中的部分APP的信息共享条款符合认定方法的第一款和第二款,特别是对于关联公司的信息共享,大都满足了认定方法第一款第二款。也有部分的APP存在符合第三款的规定,可以认定为违规违法行为。举例来说,某APP对于信息共享条款只有4条内容,其中有一个条款非常值得注意“我们可能会将您的个人信息与我们的关联方共享”,里面即没有对于关联方的明确范围限制,也无需经过用户同意,更重要的是直接向关联方共享信息,并不会做匿名化处理,其通过APP客户端直接向第三方提供个人信息或者提供后台服务器向第三方提供个人信息,因此该款APP的信息共享条款符合《APP违法违规收集使用个人信息行为认定方法》中关于如何认定“未经同意向他人提供个人信息”的第一、二款,可以认定违法违规。
三、从网络实践看APP信息不合理共享背后的原因
前面经过必要的统计和法律分析,结合了我国目前的个人信息保护相关规定,笔者认为虽然国内对于数据保护的探讨由来已久,但是必须要指出的是,即便看起来这些网络隐私保护规范是可执行,但是基于FIPs的数据保护在法律实践中并不成功,数据保护一直在路上,而且现在正在变得越来越难。从个人的角度看,用户的知情权和选择权往往被忽视,隐私政策也变得越来越难以理解,至少对于普通民众来说,是越来越复杂和难懂。对于企业来说,隐私政策存在着高成本和彼此之间互不兼容的问题,可以得出的结论是,在相关法律不能达到有效规制的目标时,应该考虑到,技术的快速变迁和复杂的现实利益关联(特别是企业利润和技术发展之间的高度关联性)往往使得相对刚性的法律规制变得难以有效执行。13目前国内APP运营商存在用户信息不合理共享背后的原因有两点是值得注意的,一是网络运营商自我规制不足,二是互联网监管部门存在困境。
(一)网络运营商自我规制存在不足
从网络运营商自我规制的角度,我们可以发现其实至少隐私政策披露以及信息共享原则的出现,我们已经可以看见一些进步,但是从条款与现行规则的契合度来讲,我们还有很大的提升空间。在网络实践中,可以说网络运营商在处理用户个人信息的时候是在一个“黑箱”中操作的,这样的“黑箱”状态对于监管机构来说是很难弄懂的,更何况是对于普通老百姓,更是难上加难,难以理解“黑箱”里到底是怎么一个运行流程,因此网络隐私保护变得困难重重,这也可见网络运营商对于用户个人信息的保护缺乏必要的意识和行动,笔者认为用户信息保护应当成为网络运营商的自律意识和自律行动。
1. APP的信息共享条款满足基本要求的比例较低
从上文对于样本中十款APP的合规性分析可以得知,只有使用限制原则被十款软件全覆盖,其他的六项基本原则都没有被全覆盖,没有落实到位。要知道的是,根据相关性理论,如果APP的下载量越多,那么个人信息保护的力度会越大,信息共享条款也相应的更符合基本的要求。举重以明轻,对于下载量排名前十的APP都只有使用限制原则被遵守,那么可想而知,其他的下载量比不上这十款的APP也不会比这十款好到哪里去,只会对个人信息保护的力度更差,信息共享条款和现行规则的契合度更低,使得刚性规则难以执行到位。
2. 软件运营商违法违规行为背后的数据利益
根据上述信息共享条款,从具体内容上来看,我们不难看出,条款的主要内容是信息的共享,共享的对象是关联公司或其他公司,而举例淘宝可知“推荐您可能感兴趣的信息,识别会员账号异常,保护关联公司或其他用户或公众的人身财产安全免遭侵害”,即推荐信息、识别错误、保护交易安全这三点理由。笔者认为“推荐信息”是其中最重要的理由,至少对于软件运营商来说,特别是对于那些电商平台来说,这是非常重要的盈利推广方式,“天下熙熙,皆为利来;天下攘攘,皆为利往”,没有太多的方式比的上精准喂食更合适的了,古时有对症下药,现有精准扶贫,而软件运营商运用的也是对信息的捕获,把广告信息精准推送到客户的APP上,从而极大的提升了物品购买率或者说是推荐的成功率。在缺乏自律、规范和监管的情况下,一些占有巨量用户数据的网络公司和社交媒体难免会把用户数据拿来做实验,Facebook就是典型的一个例子。面对人类有史以来最大的数据集,脸书数据科学团队前负责人卡梅伦激动地说“我们头一回有了这么一个显微镜。有了它,不但可以十分细致地审视社会行为,这个细致成都我们以前从来都做不到,而且还能在几百万用户身上做实验。”可以说,对用户数据做实验其实就是对人进行监控,因为人就是数据,虽然现在的监控以及不是什么新鲜事,根据早些年斯诺登对于美国国家安全局的披露,该机构对于公众的电话监控一般并不涉及通话内容,因为仅凭通话的内容、时间、长度、频率、位置等元数据就可以知道很多信息。在巨大的蛋糕面前,网络运营商变得肆无忌惮,所谓的“以人为本”不过是噱头,本质上是把人即数据抓在手中,抢取的是数据,为的是运营商自己的利益,而背后就是资本的利益,而不是网民的利益,我们都知道资本是无情的。
(二)互联网监管部门存在监管上的困境
中国的立法对于网络隐私的监管部门没有具体的规定,从而导致了中国分散式的执法现状。这不同与欧盟的专门机构监管网络隐私,笔者认为权力分散的监管体制更容易出现问题。另外对于技术手段的运用,监管部门目前还跟不上时代的步伐,如今最前沿的技术手段一般在最大几个软件运营商手中,如果监管部门跟不上前沿的技术手段,那么也无法实现有效监管,使得软件运营商逃避监管成为可能。再者,事后监管占据绝大部分,更有一些事件是在社会引起最大反响的情况下,监管部门才对其进行相应的罚款,这种消极的执法态度让人失望。
1. 互联网监管权力相对分散
对于权力的过于分散,可能会导致几个部门不知道哪一块属于自己的监管范围,特别是在文义解释存在模糊的情况下,容易产生互相推脱的局面,最终导致无人监管的空白地的出现,而且几个部门也没有将用户信息保护作为自己的只要工作指责来抓和落实。历史已经证明,这样的事情发生不在少数。在欧美国家,对网络隐私的保护要比国内好,一个很重要的原因是它们有自己的专门机构,来监管网络隐私的流动,一旦发生问题,它们就需要出动,如果执法不力,受惩罚的将是它们,因此这样的集中监管有利于更好的实现网络隐私保护。另外,监管权力分散也导致网民维权路径的困难,网民不知道在遭遇个人信息泄露后,如何维权,向谁维权,可以说这点对于律师来说都是比较困难的,之前笔者就接触到一个朋友的咨询,朋友作为某公司的法人,在某APP上注册了相关的信息,过了几天后就被频繁的打电话骚扰询问是否需要公司融资借款的事宜,笔者咨询了律师,对方也没有明确给出具体的维权路径,只有向法院起诉一条,而且也不建议向法院起诉,因此笔者对个人信息泄露的维权途径委托比较失望。
2. 互联网监管手段相对落后
目前我国监管机构缺乏必要的技术力量对APP的用户信息状况进行有效的监管。随着互联网时代到来,监管部门的技术力量在拥有雄厚技术力量的互联网企业面前显得那么弱小,技术手段是那么的单一,如果监管部门不采取进一步的行动和改变,那么技术上的差距将会越来越大,这也将成为将来监管部门进行互联网监管的致命之处。
3. 互联网监管尚未形成积极和模块化的监管模式
2018年初的支付宝账单泄露事件在被媒体曝光后,引起了社会强烈的反响,中国人民银行才对其开出了罚单。14 这样的事后审查落后于媒体的事件不在少数,足可见监管部门对于突发的信息泄露事件响应过慢,在出现这样的泄露事件后对其进行处罚的执法不够积极。事后监管都是如此的消极态度,可见我国目前还未形成积极和固定模块化的监管模式,更别提加强事中监管和事前监管了。
文中备注:
[1]李丹琦、孙研:《“偷听”竟无需太高技术门槛》,《IT时报》2019年3月,第1-2页。
[2]华宇元典法律人工智能研究院:《让法律人读懂人工智能》,法律出版社2019年,第3页。
[3]曲子龙:《团队自编程序证实手机能偷听》,澎湃新闻2019年3月,第2页。
[4]参见淘宝隐私政策,
https://terms.alicdn.com/legalagreement/terms/suit_bu1_taobao/suit_bu1_taobao201703241622_61002.html,2019年12月13日访问。
[5]李丹琦、孙研:《“偷听”竟无需太高技术门槛》,《IT时报》2019年3月,第4页。
[6]顾理平、俞立根:《关联方信息共享与公民的隐私保护—基于手机APP的研究》,《现代传播》2019年第9期,第32页。
[7]参见MBA智库:
https://wiki.mbalib.com/wiki/网络隐私权,2019年12月13日访问。
[8]凯尔,孙铭,周沁园、[加]唐塔普斯科特、[加]亚历克斯·塔普斯科特等著:《区块链革命》,中信出版社2016年版,第56-59页。
[9]段伟文:《数据智能时代的伦理反射弧》,《信睿周报》2020年第一期,第2版。
[10]参见《民法典三审稿》1038条
[11]参见《网络安全法》第41-50条。
[12]参见《APP违法违规收集使用个人信息行为认定方法》第五条。
[13] 段伟文:《数据智能时代的伦理反射弧》,《信睿周报》2020年第一期,第3版。
[14]冯洋:《从隐私政策披露看网站个人信息保护—以访问量前500的中文网站为样本》,《当代法学》2019年第6期,第73页。
当APP“偷听”成为常态,我们不得不反思为什么,从APP的隐私政策角度,可以发现其中秘密,信息共享条款作为互联网企业间信息交换的重要条款,方便了用户,但是也带来了很多的问题,信息共享条款的滥用是导致信息泄露的最主要原因之一。在如今互联网时代,信息爆炸,个人信息的保护就更加重要,因此研究信息共享条款有助于保护用户的个人信息,也有助于互联网企业更好的规范自我。信息条款普遍性存在关联方定义模糊和关联公司之间存在内部默认共享,并且信息共享条款对现行规则的契合度普遍较低。目前导致信息共享条款与现行规定契合度低缘由包括网络运营商自我规制的不足和监管部门在互联网监管上存在困境。
关键词:APP 隐私政策 信息共享条款 个人信息保护
一、问题的提出:APP信息泄露事件频发
1993年在《纽约客》刊登过漫画家彼得施泰纳的一幅漫画,上面写着“在互联网上,没有人知道你是一条狗”。这句话表达的很清楚,意思就是在强调互联网作为虚拟的空间时,网民们可以在里面随意地匿名冲浪而不被他人知道你是谁,但是也许当时很少人会想到,互联网时代的到来也给我们隐私泄露按下了快捷键。
(一)APP“偷听”的技术背景
2019年3月21日IT时报发布了一篇文章,标题是《原来APP“偷听”,竟无需太高技术门槛?》1 ,这篇文章从技术层面解析了APP如何实现“偷听”,即通过技术手段分析了APP软件运营商如何侵犯用户的网络隐私权。具体来看,“偷听”主要分为监听、语音识别、关键词提取,到最终实现精准推送四个步骤,整个过程无需用户的授权同意。这其中最重要的一步是监听,即属于数据写入部分(计算机领域名词)。过去几十年时间里,我们用惯了万维网—HTML所统治的平台—来搜索内容,而谷歌、百度等搜索引擎会记住我们的IP地址和搜索关键词。具体是把我们的搜索数据存储在它们的服务器上,通过记住关键词的方式、并与我们用户本地的IP地址相联系,得出个人的大概信息。然后借用超强的运算力(依托超级计算机),搭建合适的推荐算法,给对应的用户推送所可能需要的信息(可以理解为广告),实现精准推送,这类操作现在基本上被运用在电商、外卖、资讯等平台上,并由此引发出大数据杀熟等一系列不公平的事件发生。但是随着互联网的到来和普及,在摩尔定律下,信息爆炸,特别是移动互联网的兴起,移动端的使用率已经远超万维网,早在2010年硅谷著名的《连线》杂志就宣称“万维网已死,互联网永生”,虽然在9年后的现在看来,这个预言已经不攻自破,但是我们可以预见到的是,计算机的中心已经不在电脑桌面上了,而更多的是在移动端。互联网的兴起,也带来了更多的问题,软件运营商们不在满足于关键词的提取,而开始关注于人,扩展用户信息的获取路径,特别是随着语音识别技术的兴起(弱人工智能2 的其中一种体现),许多APP应用程序开始通过语音识别技术来收取用户的个人数据,其中就包括了APP“偷听”。
所谓APP“偷听”是指未经过用户的授权,适用麦克风“监听”用户,特别是在APP被锁屏时,在手机后台依然可以“监听”用户讲话的内容,或者借用其他的关联APP来实现“偷听”。据澎湃新闻在《团队自编程序证实手机能偷听》一文中指出,他们完成了一场测试—用不到5个小时,通过程序员编写示例代码,模拟打造一款手机软件,安装在一部安卓手机中,再设置为允许该模拟软件使用手机录音权限,然后将手机屏幕锁屏—测试结果就是该模拟软件成功获取了团队的讲话内容,并传输给后台服务器转化成文字信息。3 该测试虽然不能代表APP“偷听”的铁证,但是证明了APP“偷听”在技术上是可行的。研究表明,以上是基于用户开放了某个APP的读取权限,但是如果没开放麦克风或者读图的权限,APP是否可能实现“偷听”,答案是可以。具体是:通过数据共享来实现信息的精准推送。简单地说,可能存在的情况是,A虽然没有获得用户的麦克风或者读图权限,但是完全可以通过有权限的B获得的信息,那么B是如何获得信息的呢,答案就是数据共享,即在很多APP隐私政策中发现了数据共享条款的存在。
(二)“偷听”技术背后的原因—与关联公司信息共享条款
时间回溯到123年前,那一年美国发明家贝尔实现世界上第一次电话通话,世界从此改变,电话这种信息技术扩展出了一种可实现即时交互的虚拟空间,使得非在场的人们第一次体会到了虚拟的世界。至信息时代起步后,人们就开始为隐私权、数据权利被侵害而困扰着,早期的共用同一个电话信道,使得家庭悄悄话变得毫无隐私可言,而后,随着交换机技术的到来,似乎化解了这尴尬的场面,但是直到现在,从窃取通信信息到各种个人信息和隐私数据的不正当获取,从骚扰推销的电话、各类推广诈骗短信轰炸到机器化的诈骗电话,信息技术被滥用的场景屡禁不止。随着网络时代的到来,为保护网络用户的隐私权和知情权,隐私政策披露成为应用程序运营商在个人信息保护领域进行自我规制的重要方式。通过分析APP隐私政策的披露情况来观测应用程序运营商保护用户个人信息的实际情况不失为一种好办法。
其中,我挑选了淘宝网的隐私政策其中关于信息共享条款—与关联公司之间共享:为方便我们基于淘宝平台账户向您提供产品与服务,推荐您可能感兴趣的信息,识别会员账号异常,保护淘宝网关联公司或其他用户或公众的人身财产安全免遭侵害,您的个人信息可能会与我们的关联公司和/或其指定的服务提供商共享—而淘宝网对于关联公司更是给出了具体的列表“我们关联公司提供的产品或服务,包括来自天猫、聚划算、天猫国际、天猫超市、盒马、饿了么、飞猪、阿里通信、淘必中、阿里云、菜鸟、淘票票、口碑、阿里体育、蚂蚁借呗、优酷、交易猫、蚂蚁花呗、阿里健康的信息。”4 我们可以把淘宝网的这些关联公司定义为阿里系APP,查阅了这些关联公司的隐私政策,无一例外的都是存在类似的向关联公司提供信息共享,而且关联方基本上都是这些公司,可见阿里系的APP建立了集体内部的数据共享系统。也就是说,借用APP数据共享来实现信息的获取,进而对自己所属的用户实现精准的信息推送,使得原本没有读取权限的APP获取了想要的信息。更致命的是,市场上出现了APP以出卖相关的用户个人数据来谋取经济利益,不要求APP之间存在关联性,只需要花钱即可买到想要的用户信息,这对网民来说太可怕了。当然如果本文探讨的太全面,不利于深入,因此着重探讨APP运营商对于用户信息不合理共享的乱象背后的原因。对此,笔者认为APP软件运营商对用户信息的不合理共享是对于用户隐私权和知情权的极大侵害,一家公司不可怕,可怕的是公司通过调整关联公司来实现数据的极大共享,从而把用户的个人数据扩展到整个APP群组,严重触及互联网用户隐私保护的底线。就好比有人说的一样,当手机APP比我妈还懂我时,意味着,作为个体,我已经失去了自由5 。
二、APP信息共享条款的合规性分析
上面从技术角度分析了APP“偷听”的技术特点,从而知道了隐私政策中关于信息共享的条款是这个问题的关键,那么接下来需要分析一下市面上的APP(选取的样本)的信息共享条款是怎么样的,现行规则是怎么样的,以及这些APP的信息共享条款在多大程度上遵守了现行的规则。
(一)信息共享条款
信息共享条款在制定之初,对于互联网企业来说是为了方便信息的交互,对于用户来说,是用信息共享来换取服务的一种便捷途径,很多APP的运营需要用户的基本信息,但是随着信息的爆炸,信息需要的越来越多,信息的泄露问题不断涌现出来,特别是其中对于信息共享的问题尤为突出,因此我们必须关注于信息共享条款上来。阅读样本中的10篇隐私政策,不难发现其中关于信息共享的条款,条款本身存在明显的问题。
1. 模糊的关联方定义
根据1986年1月1日生效的国际会计准则第24号(IAS 24)指出关联方的定义“关联方包括、和其他直接地或间接地控制报告企业的公司。”笔者通过分析中国2018年IOS下载量前十APP的隐私政策文本,发现各方对于关联方的定义不同,排除掉第三方(非关联方,包括软件服务提供商、智能设备提供商、系统服务提供商等)—考虑到这些第三方大部分的服务是需要基本的数据支持的,且这些这些第三方公司基本上属于国企或者央企,数据使用的公信力比私企更佳,数据共享后被滥用的可能性较小,因此把目标定位在关联方,即上文所言的、和其他直接地或间接地控制报告企业的公司、等企业—基本如表1所展示的那样,大部分APP的信息共享条款并不直接写明关联公司是哪些,但是基本上可以通过常识得出哪些是关联公司,这些APP同属于一个集团公司名下,具有很强的利益关联性,因此根据定义可以理解为关联公司。具体来说,其中腾讯视频、微信以及QQ三款软件系不会主动共享或者转让个人信息至第三方,当然腾讯集团除外,这三款均系腾讯集团的产品;另一款没有定义的就是支付宝、拼多多、今日头条;而其它的抖音、百度、爱奇艺、淘宝均是对关联公司进行了定义,具体化了关联公司,一般的关联公司均为本集团旗下的产品。比如:字节跳动集团下三家抖音、今日头条、西瓜视频等,在抖音中就列名了这三个名称;又如在百度集团下,爱奇艺、百度均系百度旗下产品;更有腾讯集团这样直接把关联公司写为“腾讯集团”。因此,可见各大平台对于关联方的定义不同,但是本质相同,就是自己集团旗下的产品可以实现内部共享。

▲表1 排名前十的APP隐私政策对于关联方的概括定义
2.关联公司之间信息的默认共享
依据本文对关联方的定义,我们对关联方之间的信息获取和信息共享进行了必要的研究。从隐私政策的内容来看,75%以上的APP都会从关联方或者第三人(金融机构、软件服务商、广告公司为主)获取用户个人信息,但是在共享前均非全部需要授权,而只是部分需要授权。部分需要授权的一般为外部第三方,而对于集团内部,无需用户授权或强制授权否则不允许使用APP,比如抖音这款产品,系字节跳动集团名下产品,而字节跳动名下产品主要包括了西瓜视频、今日头条、对闪等,因此抖音中的隐私政策就写明了对闪、西瓜视频、今日头条等关联方或者第三方等产品或服务(微博等)是可以直接共享的,而其他的产品(第三方)均需用户授权。总结来说,一般采用集团内部默认共享、外部第三方需要授权的模式6。
▲表2:关联公司之间信息的默认共享(二)关于个人信息保护的现行规则
上面分析了信息共享条款本身存在的问题,包括其中对于关联方的定义模糊、以及关联公司之间的普遍共享,发现其中的一些普遍性存在的问题。接下来就需要分析一下国内对于个人信息保护的相关规定。
1. 个人信息保护的权利构成
根据维基百科的定义,个人信息(网络隐私)指在互联网上自行决定把和自身有关的信息,存储、重新利用、提供给第三方、展示的私隐权利。而MBA智库,给出的“网络隐私权”定义是指公民在网络环境下借助互联网而享有的个人生活安宁和私人信息不受他人侵害的权利,它是一般隐私权在网络环境下的引申,是依法受到保护的一种人格权,包括个人信息资料不受他人非法侵犯、知悉、搜集、复制、公开和利用,是禁止在网络上泄露与个人有关的敏感信息,包括事实、图像以及毁损的意见等,7其权利宗旨主要是在于排斥他人对自身隐私的非法窃取、传播。Don Tapscott所写的《BlockchainRevolution》一书第一章第15页第二段中形象的比喻:你就是你自己的数据。现在,身份是你的,但是你的身份在虚拟世界中的活动所产生的数据却是由他人所掌管的。在大多数的公司和机构眼中,你就是一堆的数据—这些数据来自你在互联网上的活动踪迹,包括浏览记录、搜索内容、下载内容等。它们收集你的数据并将其变成一个“虚拟的你”,并通过这个虚拟的身份给你提供很多难以想象的便利。不过这样的便利是需要付出代价的,那就是隐私权的侵犯,而隐私权是自由社会的基石8 。
2. 对个人信息保护的具体规则
对于个人信息保护规范,我们不得不提到的是FIPs原则,因为可以说目前各国的数据保护规范均源于早期的FIPs原则。早在1973年,美国就首次提出了“公平信息实践”的概念以及五项原则,对个人数据的透明性、使用限制、访问和更正、数据质量、安全性等五个方面做出了规定,这也成为美国国会次年通过的《隐私法》的基础。4年以后,FIPs原则的五项原则细化为八项原则,收集限制原则、数据质量原则、目的明确原则、使用限制原则、安全保障原则、公开性原则、个人参与原则和问责制原则9 。经过40多年的发展,世界范围内基本形成了五大国际原则,作为各国数据规范立法的借鉴原则:公开性原则、限制性原则、数据质量原则、责任与安全原则、个人信息权利保护原则。
而回顾中国的网络隐私保护立法历程,不难发现FIPs原则的身影,中国在2016年通过的《网络安全法》建立了七项基本保护原则,而在2017年国家标准委员会出台的推荐性国家标准中提出了《信息安全技术—个人信息安全规范》在法定规则基础上,提出了五项相对七项基本保护原则更高的要求。2018年9月第十三届全国人民代表大会常务委员会将《个人信息保护法》列入第一类立法规划。2019年4月新修订的《政府信息公开条例》在进一步保障公民获得政府信息的同时,也间接地对政府处理和保护公民个人信息提出了更高的要求。2019年12月24日发布的民法典三审稿强化了对于公民个人信息的保护,第6章“隐私权和个人信息的保护”第1038条进一步完善,增加第3款,即“信息收集者、控制者有下列行为,损害社会公共利益的,法律规定的机关和组织可以依据《中华人民共和国民事诉讼法》等法律规定,向人民法院提起诉讼:(一)违反法律规定获取公民个人信息;(二)泄露、篡改其收集、存储的个人信息;(三)未经被收集者同意,非法将个人信息提供给他人;(四)未采取合理措施,致使公民个人信息遗失。” 102019年12月30日,由国家互联网信息办公室、工信部等四部门联合印发《APP违法违规收集使用个人信息行为认定方法》明确了个人信息收集的认定标准。综上,对于《网络安全法》和《APP违法违规收集使用个人信息行为认定方法》,前者是基本要求,如表3,包括七项基本原则:限制收集、保证质量、明确目的、使用限制、安全保障、公开透明、个人申诉;后者是具体的认定方法,下文将主要围绕着这两项具体规定来分析。
(三)信息共享条款对于现行规则的契合度分析
简述完个人信息保护的国内法律法规,我们结合信息共享条款本身,来看看样本中的信息共享条款是否违反了这些相关的法律法规,特别是《网络安全法》和《APP违法违规收集使用个人信息行为认定方法》,换句话说样本中的信息共享条款在多大程度上遵守了《网络安全法》和《APP违法违规收集使用个人信息行为认定方法》的相关标准?将本章的契合度分析分为两个小问题,即这些信息共享条款多大程度上遵守了《网络安全法》,套用《APP违法违规收集使用个人信息行为认定方法》是否可以认定信息共享条款中存在APP违法违规的行为。
1. 信息共享条款是否遵守了《网络安全法》的基本要求
2016年通过的《网络安全法》可以说是一部具有标志性的法律,里面对于网络运营商个人信息保护的义务规定是最为全面、最为详细的,具体列举了七项具体要求,如下表所示:

▲表3:《网络安全法》对于网络运营商个人信息保护义务的相关规定
从内容上看,《网络安全法》七项基本原则也是学习了FIPs原则,同时也和世界经合组织出台的《隐私保护与个人数据跨境指引》基本理念是相一致的。对于美国的“公正信息处理原则”和 《隐私保护与个人数据跨境指引》都已成为世界普遍承认的个人信息保护基本标准,而中国的《网络安全法》也包含了这样的个人信息保护基本标准。

▲表4:样本中的APP信息共享条款符合《网络安全法》基本要求的情况汇总
通过图表4,我们可以发现的是作为中国APP下载量排名前十的软件,依然在信息共享方面没有全部遵守《网络安全法》的基本要求,更何况是去遵守更高层次的较高要求了。从数据层面看,基本上只有使用限制一栏是被样本中的10款APP包括在内了。从条款层面来讲,大部分的原则是被提到或者涉及到的。举例来说,某音APP的信息共享条款中首先列举的就是三大共享原则:授权同意原则、合法正当与最小必要原则以及安全审慎原则。第一个原则授权同意原则对应着《网络安全法》的使用限制原则,即未经被收集者同意,不得向他人提供个人信息。再如第二个原则合法正当与最小必要原则—共享的数据必须具有合法正当目的,且共享的数据以达到目的必要为限—符合《网络安全法》的明确目的原则、限制收集原则。在“实现安全与分析统计的共享信息”中提到要保障使用安全,但是共享信息条款未发现关于公开透明原则、个人申诉等原则的体现,特别是对于个人申诉原则缺失,让用户在发现自己的数据泄露或者被不正当共享的情况下,不知晓如何合法维权。但是提到要遵守某某原则,却在其他条款里面有违反原则之嫌,上文提到的某音对关联方的定义是有规定的,即对闪、西瓜视频、今日头条、抖音火山版等关联方或者第三方等产品或服务(微博等)、广告等服务提供商,条款中规定可以向上述这些APP进行共享信息,无需用户授权同意或者被霸王条款授权,不管哪种都明显违反了限制使用原则——未经被收集者同意,不得向他人提供个人信息。对于互联网企业来说,信息共享对外需要用户授权同意,对内默认同意的做法,是常态化的操作,但是依据《网络安全法》的规定,这样的操作是违反限制使用原则的。
2. 信息共享条款是否符合《违规行为认定方法》
2019年年底,国家互联网信息办公室、工信部等四部门联合印发《APP违法违规收集使用个人信息行为认定方法》中关于如何认定“未经同意向他人提供个人信息”,提供了三个认定的条款,虽然这三个认定方法系具体问题具体分析,但是本人认为这也是提供了一个参考,如下表5所示:

▲表5:《APP违法违规收集使用个人信息行为认定方法》关于未经同意提供信息
对比样本中的十个隐私政策,我们可以发现十款软件在信息共享给关联公司的时候,对于关联公司内部是默认共享,但是对于其他第三方是普遍需要用户同意。对于向关联公司共享信息,无需经过用户同意明,同时基本上未写明会进行匿名化处理。因此,在未进行匿名化处理的情况下,完全有可能将数据放到黑箱中去,也就是将数据传输到APP后台服务器上去,再向第三方提供其收集的个人信息。笔者认为这是互联网企业常用的数据交换手段。样本中的部分APP的信息共享条款符合认定方法的第一款和第二款,特别是对于关联公司的信息共享,大都满足了认定方法第一款第二款。也有部分的APP存在符合第三款的规定,可以认定为违规违法行为。举例来说,某APP对于信息共享条款只有4条内容,其中有一个条款非常值得注意“我们可能会将您的个人信息与我们的关联方共享”,里面即没有对于关联方的明确范围限制,也无需经过用户同意,更重要的是直接向关联方共享信息,并不会做匿名化处理,其通过APP客户端直接向第三方提供个人信息或者提供后台服务器向第三方提供个人信息,因此该款APP的信息共享条款符合《APP违法违规收集使用个人信息行为认定方法》中关于如何认定“未经同意向他人提供个人信息”的第一、二款,可以认定违法违规。
三、从网络实践看APP信息不合理共享背后的原因
前面经过必要的统计和法律分析,结合了我国目前的个人信息保护相关规定,笔者认为虽然国内对于数据保护的探讨由来已久,但是必须要指出的是,即便看起来这些网络隐私保护规范是可执行,但是基于FIPs的数据保护在法律实践中并不成功,数据保护一直在路上,而且现在正在变得越来越难。从个人的角度看,用户的知情权和选择权往往被忽视,隐私政策也变得越来越难以理解,至少对于普通民众来说,是越来越复杂和难懂。对于企业来说,隐私政策存在着高成本和彼此之间互不兼容的问题,可以得出的结论是,在相关法律不能达到有效规制的目标时,应该考虑到,技术的快速变迁和复杂的现实利益关联(特别是企业利润和技术发展之间的高度关联性)往往使得相对刚性的法律规制变得难以有效执行。13目前国内APP运营商存在用户信息不合理共享背后的原因有两点是值得注意的,一是网络运营商自我规制不足,二是互联网监管部门存在困境。
(一)网络运营商自我规制存在不足
从网络运营商自我规制的角度,我们可以发现其实至少隐私政策披露以及信息共享原则的出现,我们已经可以看见一些进步,但是从条款与现行规则的契合度来讲,我们还有很大的提升空间。在网络实践中,可以说网络运营商在处理用户个人信息的时候是在一个“黑箱”中操作的,这样的“黑箱”状态对于监管机构来说是很难弄懂的,更何况是对于普通老百姓,更是难上加难,难以理解“黑箱”里到底是怎么一个运行流程,因此网络隐私保护变得困难重重,这也可见网络运营商对于用户个人信息的保护缺乏必要的意识和行动,笔者认为用户信息保护应当成为网络运营商的自律意识和自律行动。
1. APP的信息共享条款满足基本要求的比例较低
从上文对于样本中十款APP的合规性分析可以得知,只有使用限制原则被十款软件全覆盖,其他的六项基本原则都没有被全覆盖,没有落实到位。要知道的是,根据相关性理论,如果APP的下载量越多,那么个人信息保护的力度会越大,信息共享条款也相应的更符合基本的要求。举重以明轻,对于下载量排名前十的APP都只有使用限制原则被遵守,那么可想而知,其他的下载量比不上这十款的APP也不会比这十款好到哪里去,只会对个人信息保护的力度更差,信息共享条款和现行规则的契合度更低,使得刚性规则难以执行到位。
2. 软件运营商违法违规行为背后的数据利益
根据上述信息共享条款,从具体内容上来看,我们不难看出,条款的主要内容是信息的共享,共享的对象是关联公司或其他公司,而举例淘宝可知“推荐您可能感兴趣的信息,识别会员账号异常,保护关联公司或其他用户或公众的人身财产安全免遭侵害”,即推荐信息、识别错误、保护交易安全这三点理由。笔者认为“推荐信息”是其中最重要的理由,至少对于软件运营商来说,特别是对于那些电商平台来说,这是非常重要的盈利推广方式,“天下熙熙,皆为利来;天下攘攘,皆为利往”,没有太多的方式比的上精准喂食更合适的了,古时有对症下药,现有精准扶贫,而软件运营商运用的也是对信息的捕获,把广告信息精准推送到客户的APP上,从而极大的提升了物品购买率或者说是推荐的成功率。在缺乏自律、规范和监管的情况下,一些占有巨量用户数据的网络公司和社交媒体难免会把用户数据拿来做实验,Facebook就是典型的一个例子。面对人类有史以来最大的数据集,脸书数据科学团队前负责人卡梅伦激动地说“我们头一回有了这么一个显微镜。有了它,不但可以十分细致地审视社会行为,这个细致成都我们以前从来都做不到,而且还能在几百万用户身上做实验。”可以说,对用户数据做实验其实就是对人进行监控,因为人就是数据,虽然现在的监控以及不是什么新鲜事,根据早些年斯诺登对于美国国家安全局的披露,该机构对于公众的电话监控一般并不涉及通话内容,因为仅凭通话的内容、时间、长度、频率、位置等元数据就可以知道很多信息。在巨大的蛋糕面前,网络运营商变得肆无忌惮,所谓的“以人为本”不过是噱头,本质上是把人即数据抓在手中,抢取的是数据,为的是运营商自己的利益,而背后就是资本的利益,而不是网民的利益,我们都知道资本是无情的。
(二)互联网监管部门存在监管上的困境
中国的立法对于网络隐私的监管部门没有具体的规定,从而导致了中国分散式的执法现状。这不同与欧盟的专门机构监管网络隐私,笔者认为权力分散的监管体制更容易出现问题。另外对于技术手段的运用,监管部门目前还跟不上时代的步伐,如今最前沿的技术手段一般在最大几个软件运营商手中,如果监管部门跟不上前沿的技术手段,那么也无法实现有效监管,使得软件运营商逃避监管成为可能。再者,事后监管占据绝大部分,更有一些事件是在社会引起最大反响的情况下,监管部门才对其进行相应的罚款,这种消极的执法态度让人失望。
1. 互联网监管权力相对分散
对于权力的过于分散,可能会导致几个部门不知道哪一块属于自己的监管范围,特别是在文义解释存在模糊的情况下,容易产生互相推脱的局面,最终导致无人监管的空白地的出现,而且几个部门也没有将用户信息保护作为自己的只要工作指责来抓和落实。历史已经证明,这样的事情发生不在少数。在欧美国家,对网络隐私的保护要比国内好,一个很重要的原因是它们有自己的专门机构,来监管网络隐私的流动,一旦发生问题,它们就需要出动,如果执法不力,受惩罚的将是它们,因此这样的集中监管有利于更好的实现网络隐私保护。另外,监管权力分散也导致网民维权路径的困难,网民不知道在遭遇个人信息泄露后,如何维权,向谁维权,可以说这点对于律师来说都是比较困难的,之前笔者就接触到一个朋友的咨询,朋友作为某公司的法人,在某APP上注册了相关的信息,过了几天后就被频繁的打电话骚扰询问是否需要公司融资借款的事宜,笔者咨询了律师,对方也没有明确给出具体的维权路径,只有向法院起诉一条,而且也不建议向法院起诉,因此笔者对个人信息泄露的维权途径委托比较失望。
2. 互联网监管手段相对落后
目前我国监管机构缺乏必要的技术力量对APP的用户信息状况进行有效的监管。随着互联网时代到来,监管部门的技术力量在拥有雄厚技术力量的互联网企业面前显得那么弱小,技术手段是那么的单一,如果监管部门不采取进一步的行动和改变,那么技术上的差距将会越来越大,这也将成为将来监管部门进行互联网监管的致命之处。
3. 互联网监管尚未形成积极和模块化的监管模式
2018年初的支付宝账单泄露事件在被媒体曝光后,引起了社会强烈的反响,中国人民银行才对其开出了罚单。14 这样的事后审查落后于媒体的事件不在少数,足可见监管部门对于突发的信息泄露事件响应过慢,在出现这样的泄露事件后对其进行处罚的执法不够积极。事后监管都是如此的消极态度,可见我国目前还未形成积极和固定模块化的监管模式,更别提加强事中监管和事前监管了。
文中备注:
[1]李丹琦、孙研:《“偷听”竟无需太高技术门槛》,《IT时报》2019年3月,第1-2页。
[2]华宇元典法律人工智能研究院:《让法律人读懂人工智能》,法律出版社2019年,第3页。
[3]曲子龙:《团队自编程序证实手机能偷听》,澎湃新闻2019年3月,第2页。
[4]参见淘宝隐私政策,
https://terms.alicdn.com/legalagreement/terms/suit_bu1_taobao/suit_bu1_taobao201703241622_61002.html,2019年12月13日访问。
[5]李丹琦、孙研:《“偷听”竟无需太高技术门槛》,《IT时报》2019年3月,第4页。
[6]顾理平、俞立根:《关联方信息共享与公民的隐私保护—基于手机APP的研究》,《现代传播》2019年第9期,第32页。
[7]参见MBA智库:
https://wiki.mbalib.com/wiki/网络隐私权,2019年12月13日访问。
[8]凯尔,孙铭,周沁园、[加]唐塔普斯科特、[加]亚历克斯·塔普斯科特等著:《区块链革命》,中信出版社2016年版,第56-59页。
[9]段伟文:《数据智能时代的伦理反射弧》,《信睿周报》2020年第一期,第2版。
[10]参见《民法典三审稿》1038条
[11]参见《网络安全法》第41-50条。
[12]参见《APP违法违规收集使用个人信息行为认定方法》第五条。
[13] 段伟文:《数据智能时代的伦理反射弧》,《信睿周报》2020年第一期,第3版。
[14]冯洋:《从隐私政策披露看网站个人信息保护—以访问量前500的中文网站为样本》,《当代法学》2019年第6期,第73页。
