不放弃隐私,就不能使用手机APP?
专家认为这种规定不合理,个人信息保护法规需要细化
当你在手机上下载一个个好玩又好用的APP时,总会被询问“是否同意服务条款”,此时,你是否会看都不看、想都不想就点“同意”按钮?日前,市民李先生就在点“同意”时留心了一下。然而这一看,竟生出许多疑问。
不接受隐私条款就无法使用地图
李先生在下载安装最新版本的高德地图时,对其隐私权政策中关于使用高德接入第三方服务涉及用户个人信息的部分条款产生了疑问。
这份今年7月28日生效的高德隐私权政策如此规定:当您使用高德接入的第三方服务时,可能需要提交您的个人信息(部分情况下包括您的身份信息、联系方式、住宿信息、支付信息等个人敏感信息)。您授权我们将该信息提供给为您提供服务的第三方,并授权我们间接向第三方获取相关信息。若您拒绝我们收集此类信息,我们将无法为您提供相关功能和服务,但不会影响您对导航、定位及搜索等核心产品和服务功能的使用。
李先生对个人隐私问题比较敏感,因此点了“不同意”按钮,结果发现无法正常下载使用高德地图,使用导航等核心服务更是无从谈起。
本报记者就此情况致电高德客服。客服的解释是,隐私条款除了包含涉及第三方服务的信息,还包含高德本身对用户信息的收集(如用户地理位置、收藏的线路、使用习惯等)。因此,如果点击“不同意”按钮,就无法正常使用高德地图。如果想避免信息泄露或财产损失,具体操作是先点选“同意”,但在使用过程中不要绑定银行卡、支付宝等即可。
记者浏览高德地图页面,发现该APP包含的第三方服务除了使用率较高的共享单车外,点击“搜索附近”功能,还可以搜索美食、预订酒店等,这意味着除支付信息外,用户使用第三方服务预订酒店、票务等生成的订单相关信息(如电话等),均在授权范围之内。
很显然,在如此规定之下,只要用户想使用高德地图,就不得不被动接受该条款。那么,高德地图的这条隐私权政策是否合理?在大数据时代,公民个人信息的合法权益又该如何保护?记者就这些问题采访了相关专家。
隐私条款是不是“霸王条款”?
根据新华社报道,中央网信办、工信部、公安部、国家标准委等四部门组成的专家工作组于今年8月24日结束对首批10款网络产品和服务的隐私条款评审,规范其收集、保存、使用、转让用户个人信息的行为,督促整改不合法的条款。
而高德地图、百度地图均为首批被评审的网络产品。记者在百度地图官网查看其隐私政策,发现也有类似条款,同样,如果在手机客户端点击“不同意”,也无法正常下载使用。
“这种‘一揽子协议’显然是不合理的。”北京邮电大学互联网治理与法律研究中心常务副主任谢永江说,这种协议是要求用户一次性提供所有授权,是企业利用自己的优势地位对用户的一种“绑架”。
北京志霖律师事务所副主任赵占领与谢永江的观点一致,他认为这种做法与用户协议约定相矛盾。赵占领告诉记者,根据我国网络安全法规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则。他认为如果高德地图收集用户信息提供给第三方的目的是为了让用户更好地使用第三方服务,那就是必要的。但如果用户不想使用第三方服务,却要求用户仍旧点击“同意”,则必要性有待商榷。
当记者问及关于高德客服的解释是否合理时,谢永江认为,客服的解释不应单独在协议之外,应在客户点选“同意”之前就告知,“这种隐私告知不应该是零碎的”。
那么,当手机APP涉及第三方服务需要收集用户个人信息时,是否还有更合理的告知手段呢?专家提出了两种相对合理的告知方式。谢永江认为,这种涉及第三方服务的隐私条款,应该在服务协议中设置勾选菜单,使用户有权选择或拒绝勾选。赵占领则补充道,也可以当用户在使用第三方服务时弹出相应的隐私协议,让用户进行选择。
个人信息保护任重道远
近年来,用户个人信息频遭泄露、企业之间争夺用户数据等事件时有发生:今年6月,菜鸟网络与顺丰速运就用户数据产生纠纷;8月初,华为和腾讯因在用户数据方面存在分歧,发生了一次激烈博弈。然而在公共舆论对此类事件的关注和追踪当中,数据的根源——用户,似乎被有意无意地“遗忘”了。
亚太网络法律研究中心主任、北京师范大学法学院教授刘德良说:“我们的立法更应该关注对个人信息的利用环节,而不是收集和加工环节。”他进一步解释,个人信息可以分为两类,一类信息攸关名誉、尊严等(如裸照),需要严格保密,防止泄露、传播;另一类信息则是在社会交往活动中产生的,它的功能在于维系正常的社会、经济、文化等交往活动(如电话号码、身份证等),对于这类信息,法律规制的重点应该放在如何防止滥用个人信息而不是在严格保密上,如制定骚扰电话防治法、垃圾信息防治法等,有效遏制违法侵权行为。
事实上,网络安全法及《全国人民代表大会常务委员会关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》都对保护个人信息安全,企业如何收集、使用用户个人信息作了相关规定。如网络安全法第41条规定:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
然而,谢永江指出,我国法律对于究竟什么样的“同意”是合法、合规的,并没有明确规定,“如果这种隐私授权是不合法的,就不能构成‘同意’。在这种情况下,企业收集用户个人信息并提供给第三方是违法的。”
赵占领与谢永江均认为,网络安全法中规定的“合法、正当、必要”原则比较笼统,没有具体解释和客观衡量标准。“未来还应出台专门的个人信息保护法以及相应的行业标准,对个人信息保护的规定加以细化。”谢永江补充道。