原标题:北大发布个人信息保护测评报告 互联网企业得分普遍偏低
提要:为用户提供清晰、完善和可控的个人信息保护政策,应受到所有将用户数据视为重要资源的企业的重视。然而,产品服务低于所声明的个人信息政策保护水平的现象,在互联网企业中普遍存在,令人担忧。
《财经》记者张瑶刘小米/文 李恩树/编辑
8月16日,北京大学互联网法律中心发布的《互联网企业个人信息保护抽样测评报告(2017)》(下称《报告》)显示,被抽样测评的79个国内外主流互联网产品中,以隐私政策所体现对个人信息的保护打分,超过80分(满分100分)的仅4家,34个应用产品综合表现低于50分。
根据测评结果,职业社交网站中智联招聘、大街网得分均低于40分,支付理财类别网站京东金融和婚恋社交类网站世纪佳缘低于30分,所有5家受测快递网站得分均低于50分。
《报告》强调,其仅对形式和用户可感知的体验作出测评,不能被视为对相关企业的个人信息保护水平的全面评价。然而,测评这些低分网站或应用中,不乏掌握用户简历、婚恋情况和经济情况等重要信息的网站,至少表明其在用户隐私政策的形式等上并未明确,值得担忧。
据了解,其测评标准通过个人信息保护政策形式、信息处理周期、用户申诉机制和安全维护等几个维度进行评价,设置19个可以执行的评价体系,测评重点为对互联网企业个人信息保护政策与产品服务的一致性评价。
《网络安全法》第22条第3款要求,“网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意”;第41条第1款要求,“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”
通过用户协议和隐私政策等方式,向用户明示网站将收集、使用和共享个人信息的方式,是获得用户授权的主要方式。然而,实践中更存在许多网站不提供隐私协议的情况。
5月31日,南方都市报与中国政法大学传播法研究中心联合发布的《用户信息保护政策透明度报告》显示,参与测评的1000家网站与APP中,没有一个能够达到隐私政策透明度“高”的标准,其中,有157个不提供隐私政策。
一个普遍的现象是,用户在注册网站或使用服务时,只能“同意”其隐私条款,否则将无法使用服务。
《报告》指出,面对个人信息或隐私政策,用户实际上普遍缺乏选择权。这固然有其合理性存在,许多互联网产品以提供免费服务获取用户个人信息或注意力为商业模式。然而对这一“同意或者退出”一刀切的合理性在国际上也备受争议,曾有建议禁止该条款。
信息收集合规正愈发受到监管部门重视。7月26日起,中央网信办等四部门“个人信息保护提升行动”,开始对微信、淘宝等十款网络产品和服务的隐私条款进行评审,重点内容包括是否明确告知使用个人信息的规则,例如形成用户画像及画像的目的,是否用于推送商业广告等;明确告知用户访问、删除、更正其个人信息的权利、实现方式、限制条件等。
然而,不论是四部委的个人信息保护提升行动,还是《报告》对于互联网企业隐私政策的测评,均无法对企业的个人信息实质保护水平、以及实际执行情况作出评价。而产品服务低于所声明的个人信息政策保护水平的现象普遍存在,却难以被发现。
8月15日,美国联邦贸易委员会宣布,由于欺骗消费者,Uber同意未来20年实施全面的隐私保护计划,并接受常规、独立隐私审核。Uber被指控用户数据未能得到合理检测和保护,缺乏员工监督导致他们能够随意获取消费者和司机的隐私数据,宣称会采取措施保护这些数据却未执行。
调查指控,Uber称数据“在我们的数据库安全存储”,实际上,Uber的安全防护不能防止未经授权从第三方云提取用户数据。例如,2014年5月,入侵者从第三方运行的数据库中,获得超过10万的姓名和司机驾照号码。
除了企业言行不一、不注重保护用户信息外,《报告》主持人、北京大学法学院教授张平指出,也存在某些技术模式和商业模式无法实现法律规定,而企业又必须做出承诺的问题。以近年来备受关注的区块链技术为例,其特征为去中心化、不可编辑、不可删除等。然而《网络安全法》规定,采集个人信息时需通知同意、转用信息时需增强告知,并赋予个人相应删除权,这可能对技术运营商造成无法合规的“技术原罪”。
由于个人信息收集已成为企业商业模式及其创新的重要内容,也有专家建议,将个人信息保护转向管控使用环节,并注重和保护企业合法利用数据的权利。
(编辑:daisongyang)
(原标题:北大发布个人信息保护测评报告 互联网企业得分普遍偏低)
热门跟贴