“双12”脚步临近,不少消费者在期待购物节促销狂欢的同时,也在担心个人信息被泄露、滥用。
工信部数据显示,2022年第三季度12321网络不良与垃圾信息举报受理中心共接到不良手机应用有效投诉3.65万件次,其中涉及信息安全问题的投诉1.83万件,占比50.1%;涉及个人信息及权限问题的投诉1.46万件,占比40.0%;涉及网络安全问题的投诉0.36万件,占比9.9%。
中国社会科学院法学研究所法治国情调研室主任、研究员吕艳滨指出,企业与用户之间存在严重不对等关系,使得网购消费者维权艰难,因此企业与有关部门应承担起更多责任,建立良性的个人信息保护体系,完善个人信息保护的认证机制应是有效方法之一。
“懂我”还是骚扰?个人信息使用“边界”难维持
一般来说,消费者留下姓名、电话与地址是完成一次网购交易的必要条件。但令消费者不满的是,许多网络店铺在交易完成后还会继续使用他们留下的信息,发送营销短信,甚至直接打电话索要好评,而此类现象在各类“购物节”前后尤为严重。
消费者郭晓(化名)就备受这类营销短信的骚扰,她的处理方式是使用短信屏蔽软件,通过设置“优惠券”“购物”“下单”等关键词,将相关短信过滤掉。但删短信还是耗费精力,她希望最好直接禁止商家的此类行为。事实上,消费者普遍认为交易结束后的理想状态应该是互不打扰,保持“边界感”。
更令消费者不安的是,有些营销短信和电话来自完全不认识的商家,但这些商家却对他们过往的记录和偏好了如指掌,而来路不明的短信里有时还包含着有电信诈骗嫌疑的链接。80后消费者董延春表示,自己平时饱受骚扰电话的困扰,却不清楚信息是从什么地方流出的。
今年8月央广网曾曝光电商平台个人信息遭泄露问题,报道称多家知名网购平台均有数据在网上公开叫卖,包括消费者的姓名、电话、地址、商品名称和快递单号等,有卖家自称每条个人信息0.35元,2000条起卖,如果购买量大,最低可打五折。
2021年11月1日起,《中华人民共和国个人信息保护法》(以下简称“个人信息保护法”)正式施行,已对App不当索权、非法推送商业信息、个人信息被不法泄露等侵害消费者个人信息安全的主要场景作出了相应约束。然而,相关规定在落地执行时也面临着现实困难。
据吕艳滨观察,平台与商家的消费者信息保护意识淡薄,“企业方仍未建立起个人信息保护合规的机制,没有对自己收集与使用信息的范围、必要性,以及风险作出充分的评估”。
信息换服务,索取应有度
在互联网时代,消费者授权或主动填写姓名、地址等信息来换取“送货上门”等对应服务,是较为常见的服务模式。对此,董延春很理解,但她表示,网购时不会把收货信息写得太详细,以尽量减少个人隐私的泄露。
有些手机App收集、分析用户数据,从而掌握用户偏好。但对这类“个性化服务”,许多消费者并不买账。出于对自己隐私的担心,郭晓一般不会给购物App打开相册、录音、摄像头和定位的权限,但在使用过程中她感觉大量App都在千方百计地试图获取这些权限。“比如,在填收货地的时候,明明可以直接输入填写,但软件一定要提示我定位权限没有打开,推荐我在后台设置中打开。”
今年10月,工信部发布了2022年第六批关于App侵害用户权益整治“回头看”发现的问题,在38款存在问题的App中,共有23款涉及过度索取用户信息,具体包括“欺骗误导用户提供个人信息”“违规收集个人信息”“超范围收集个人信息”“App强制、频繁、过度索取权限”4种问题。
中国消费者协会于11月1日发布的“个人信息保护法普法宣传”中也指出,目前侵害消费者个人信息的主要场景包括手机App过度索取消费者个人信息。主要表现为:超过必要范围收集个人信息,如不同意App获得调取非必要信息的权限,则该App无法正常使用;超范围利用所收集的个人信息,如App通过正常范围收集个人信息,却在个人信息未脱敏的状态下超出合理范围使用;未明确告知而收集信息。
吕艳滨认为,个人信息监管强度是一个重要问题,消费者让渡的个人信息其实也是助力电商产业发展的重要资源。“但(监管)过强可能会令商业活力窒息,而过弱就会使个人权益遭受到损害,所以它是一个博弈的过程。”他指出,我国监管部门一直在行动,完善App调用信息的技术标准。
2021年5月1日起,国家网信办、工信部、公安部等联合发布的《常见类型移动互联网应用程序必要个人信息范围规定》正式施行,明确规范App收集个人信息活动。根据规定,网上购物类App以“购买商品”为基本功能服务,其必要个人信息包括:注册用户移动电话号码;收货人姓名(名称)、地址、联系电话;支付时间、支付金额、支付渠道等支付信息。
此外,个人信息保护法第六条规定,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
“从追逐利益的角度来说,收集到的用户信息越多对企业来说越有利。”中国人民大学信息学院副教授游伟表示,要解决问题,“首先要确定需要收集信息的最小范围,比如对于购买某些产品的行为哪些信息是必要的,而这需要从技术角度去实现用户信息与行为之间的对应关系。在这个过程中任何理解上或实施上的失误,都会导致无法实现个人信息保护法中“最小范围”的要求。”
专家建议采取个人信息保护认证机制
整体看来,在个人信息处理和保护问题上,主动权并不主要掌握在消费者手上。吕艳滨指出,企业与消费者之间存在严重的不对等关系。“移动互联网时代,后台运营由企业掌控,网购消费者作为用户,无法得知自己有哪些信息、在什么环节被对方掌握,在权益受到侵犯时举证困难、成本高昂,处于绝对的劣势。”
以网购中“大数据杀熟”现象为例。北京市消费者协会于9月公布的调查报告显示,七成多受访者认为仍然存在“大数据杀熟”现象,六成多受访者表示有过被大数据“杀熟”经历,但最终有近半(47.68%)受访者选择自认倒霉,只有极少(4.95%)受访者选择通过司法途径维权。
尽管个人信息保护法第十五条规定“基于个人同意处理消费者个人信息的,个人有权撤回其同意”。但在不少消费者看来,此类事后弥补、尝试追回的措施有效性难以得到保障。“似乎没有用,他们已经知道了这些信息,真想用的话就已经存下了。”董延春对中青报·中青网记者说。
游伟认为,与其将个人信息的使用权先授权给商家再收回,还不如在事前对提供个人信息授权的范围加以审慎考虑,或使用一次性的虚拟信息来降低影响。据游伟观察,现在能够看到一些电商平台和物流企业在积极尝试,将信息收集与使用保持在最小范围内。例如,淘宝、京东、拼多多等主流购物平台目前已相继推出隐私号码保护功能,收件人下单时的真实手机号码将被隐藏,商家、物流和消费者之间将通过系统生成的虚拟号码联系,交易完成一段时间后,该虚拟号便自动失效。
吕艳滨也指出,个人信息保护应当重在预防。“我们的个人信息一旦被收集走、传递给其他人,那么实际上就已经被泄露了,即便事后采取了惩治手段,也很难再去弥补。”
借鉴其他国家的经验,吕艳滨提出了设立个人信息保护领域认证机构的设想。“例如日本就有此类第三方机构,对企业的信息处理情况进行调查评估,同时公布名单告知消费者哪些企业已经过信息保护权威认证,可被信任。这些企业在办理业务时,相关部门会为其开绿灯,不过如果出现违规,受到的惩治也会比较严厉。”吕艳滨表示,这样的机制可以鼓励企业更加重视保护用户个人信息,并进行相应的风险控制、员工教育。“虽然目前无法直接将此类机构引入我国,但其中由专门机构负责个人信息保护合规认证的思路有助于防范工作,亦可作为参考。”
11月18日,市场监管总局、国家互联网信息办公室联合发布《关于实施个人信息保护认证的公告》(以下简称“公告”),并同时公布附件《个人信息保护认证实施规则》(以下简称“规则”),鼓励个人信息处理者通过认证方式提升个人信息保护能力,要求从事个人信息保护认证工作的认证机构应当经批准后开展有关认证活动。有分析认为,此次公告与规则的发布,是对个人信息保护法的落实,也是引入第三方专业力量以加强个人信息保护的有益尝试。
(王梓君 葛彤 李若一)