手机APP 收集用户个人敏感信息规制分析
——由“ZAO”软件隐私风波引发的思考
孙铁文
(北京工商大学,北京 100048)
摘 要: 近年来,个人信息被手机APP过度收集和不当使用的现象逐渐引起了消费者的重视,而今年一款名为“ZAO”的AI换脸软件,因为其 “霸道”的用户协议和隐私政策更是引起了极大的争议。通过对引发争议的个人信息收集条款进行分析,结合我国个人敏感信息保护的现状,认为我国有必要完善信息分类制度,给予个人敏感信息以特殊的保护。
关键词: 个人信息保护;个人敏感信息;规制
随着大数据时代的到来,个人信息的分析和利用促进了互联网行业的发展,极大方便了人们的生活,但是与此同时,频发的信息泄露事件也使得部分手机APP用户对收集用户个人信息的企业产生了信任危机。据调查,54%的网民认为个人信息泄露严重,84%的网民曾亲身感受到因个人信息泄露带来的不良影响,如何保护消费者的个人信息权利,避免个人敏感信息的不当使用,成为了亟需解决的难题。强化个人敏感信息的保护,规范个人信息的收集和处理规则刻不容缓。
1 “ZAO ” 隐私政策及用户协议存在的问题
AI换脸软件“ZAO”因其“换脸”操作简单、素材丰富、视频生成时间短等优点,在2019年8月末上线后引发了广泛的关注。对于许多年轻人来说,只需提供一张照片,便可以通过“ZAO”迅速生成以自己为主角的短视频,置身于影视剧或者综艺节目之中,这是一件有趣的事。也正因如此,该APP的下载量飙升,仅仅几天就登上了APP Store免费APP排行榜的第一位。然而,在“ZAO”爆红的第二天,有法律工作者指出,其用户协议和隐私政策疑似存在过度收集用户信息等问题,而且用户的个人敏感信息很有可能在没有被充分告知的情况下,被“ZAO”共享或者出售给第三方,主要问题体现在以下几方面。
1.1 涉嫌过度收集用户信息
“ZAO” 8月31日版本(即修改前的版本)的隐私协议提出,为确保用户身份真实性,提供安全保障,用户需提供身份证、驾驶证、社保卡、面部特征或者芝麻信用等个人敏感信息。作为一款视频制作类手机APP,“ZAO”要求用户提交面部识别信息来完成换脸视频的制作,这本无可厚非,但是要求用户提供类似芝麻信用的个人敏感信息,这与其产品的“换脸制作短视频”的主要功能并无实际联系,甚至可以说超出了合理的范围,有过度收集用户信息的可能。
1.2 未明确告知信息收集、使用的目的和方式
8月31日版本的“ZAO”用户协议第6条第2款要求用户将肖像授予“ZAO”及其关联公司全球范围内完全免费、不可撤销、永久、可转授权和可再许可的权利。但是 “完全免费、不可撤销、永久可转授权和再许可” 有“霸王条款”的嫌疑,这样的措辞并不符合我国《网络安全法》中关于信息收集正当性原则的要求,而且该条款也未能明确告知用户其肖像使用的目的和方式,无法切实保障用户的知情权。
1.3 没有体现对用户敏感信息的保护
根据8月31日版本的“ZAO”用户协议第6条,用户必须同意“ZAO”及其关联公司对用户的肖像和上传的内容进行部分或者全部的修改。但是用户的肖像,也就是个人生物识别信息,属于敏感信息的一种,因此如果需要对用户肖像进行变动,应有明确的限定和说明,让用户充分理解该条款的含义,否则可能会导致权利被滥用,从而导致侵权事件的发生。
步骤2 按顺序逐次比较两次装试序列Si和Sj中相互对应的任务节点th和tk(th,tk∈EngineTask),若th,tk关联的质量表相同,则比较下一任务节点;否则将th,tk及其对应的质量表分别添入Ψi,Ψj。
1.4 违反公平原则
8月31日版本的“ZAO”用户协议第6条,要求用户同意授予“ZAO”及其关联公司以及“ZAO”用户全球范围内完全免费、不可撤销、永久、可转授权和可再许可的权利,包括但不限于对用户内容进行修改与编辑,以及对修改前后的用户内容进行信息网络传播和由著作权人享有的全部著作财产权及邻接权利。这种格式化的用户协议,在没有进行标黑、加粗等明确标识的情况下,要求用户永久且不可撤销地将肖像授权给“ZAO”使用和传播,并且享有全部著作财产权,这实际超出了正常使用的范围,导致双方权利义务不对等,违反公平原则。
2 我国个人敏感信息保护存在的不足
2.1 个人敏感信息不规范收集的现象严重
综上所述,我国现行个人信息保护的法律制度在规范APP信息收集时无法起到预期的作用,对于消费者的保护有所欠缺,这一方面是由于现有的告知同意规则和信息分类制度无法保障用户的知情权,个人敏感信息被“一揽子”授权给了信息收集者;另一方面是因为缺乏完备的信息保护法律体系和切实有效的惩戒机制,因此无法有效约束违规收集的企业。
(1)完善个人信息分类制度,对一般个人信息和个人敏感信息划分不同的保护标准。
目前,在《民法总则》、《消费者权益保护法》、《网络安全法》、《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称两高解释)等法律法规和司法解释中都涉及了关于个人信息保护的内容,但是法律条文比较分散,缺乏统一的标准,很多只是原则性的规定,比如《民法总则》第111条规定:“自然人的个人信息受法律保护……不得非法收集、使用、加工、传输他人个人信息。”两高解释则明确了未经被收集者同意进行收集或者提供公民个人信息可能构成侵犯公民个人信息罪。而《网络安全法》虽然指出了个人信息收集的原则和应当经过被收集者的明示同意,但是对于明示同意的方式并未进一步说明,而且未明确区分个人敏感信息和一般个人信息,可操作性不强。
2.2 现行法律制度对个人敏感信息保护存在局限性
6.底蕴深厚、禀性独特,是“枫桥经验”创新发展的内在活力。枫桥是千年古镇,理学大师朱熹和儒学大师陈寿都曾在枫桥讲学研习。枫桥人爱讼争和刚直侠义两种禀性交融,孕育滋养了“枫桥经验”说理斗争的基本内涵。枫桥也是较早接受和传播新思想新文化的地方,早在1939年,周恩来同志就到枫桥大庙发表了《团结抗日,一致对外》演讲。新时期枫桥人民致力于推动经济社会科学发展,赢得了“枫桥经验”的发展创新。
1.1 资料来源 选取南通市第三人民医院2013年1月-2014年10月收治并切除的乳腺癌及癌旁非肿瘤组织共100例患者,所有患者均为女性,年龄20~80岁,平均(48±8)岁。其中浸润性导管癌患者81例,浸润性小叶癌患者11例,其他病理类型患者8例。根据AJCC分期,Ⅰ期患者23例,Ⅱ期患者52例,Ⅲ期患者15例,Ⅳ期患者10例。所有患者术前均未经放、化疗。手术切除后的标本立即置于液氮中,随后转入-80℃冰箱中保存。术后随访30个月。
2019年网信办等4部门开展的APP违法违规收集使用个人信息专项治理工作初见成效,APP专项治理工作组结合工作经验出台了《APP违法违规收集使用个人信息行为认定方法(征求意见稿)》(以下简称《认定方法》),对不当收集用户信息的现象进行了归纳和列举,可以说全面细致地界定了违法违规收集使用个人信息的行为,但是和《个人信息安全规范》一样,《认定方法》也是能对行政机关认定APP违法违规有一定参考价值,却不能直接作为行政机关采取强制措施的依据。
通过课程考核找到优秀的创新创业苗子,鼓励指导其参加创新创业比赛,更好培养锻炼他们,培养他们成为合格的双创人才。
2.3 个人敏感信息保护不足的结论
用户同意企业对其个人敏感信息进行收集和处理应是建立在充分理解条款含义的基础上,按照个人的自由意志做出决定,但是现实中用户通常没有足够的选择权,手机APP不规范收集个人敏感信息的情况屡屡发生。2018年11月中国消费者协会曾对10类共100款常用APP的隐私政策进行测评,结果显示:在参与测评的APP中,有91款存在过度收集或使用个人信息的情况;59款未明确告知收集个人信息的类型,且收集敏感信息时未明确告知用户信息的用途;42款对外提供个人信息时不会单独告知并征得用户同意。2019年7月APP专项治理工作组通报了天天酷跑、探探等20款APP要求用户一次性同意开启多个收集个人信息权限的情况,如果用户不同意那么就无法使用该APP的全部功能。
3 强化个人敏感信息保护的必要性及措施
3.1 必要性
敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。与一般的个人信息相比,敏感信息往往具有独特性,和特定个体之间的联系非常紧密,其中蕴含的风险往往也更大,以面部识别信息为例,由于它是根据人的脸部特征信息进行身份识别,因此掌握该信息的一方往往可以通过面部识别信息,准确定位到与之相对应的某一个具体的人,如果该信息发生泄露,结合AI换脸等技术,可能会诱发新形式的网络诈骗犯罪,给其他公民造成严重的财产损失。因此,对于一般的个人信息和敏感个人信息应有所区分,尤其对于个人敏感信息,需采取更严格的保护措施。
全国信息安全标准化技术委员会发布的《信息安全技术个人信息安全规范》(以下简称《个人信息安全规范》)在个人信息收集、使用、保存等方面进行了较为详细的规定,但是由于《个人信息安全规范》只是推荐性国家标准,只是可以对企业制定隐私政策起到指引的作用,不属于正式的法律渊源。一旦发生纠纷,行政机关和消费者并不能直接以《个人信息安全规范》作为依据,因此对于企业来讲,约束力不强。
2017年4月13日山西省监察委员会根据《全国人民代表大会常务委员会关于在北京市、山西省、浙江省开展国家监察体制改革试点工作的决定》,实施了全国首例留置措施。2017年11月起,全国各试点地区不断深入对留置进行实践探索,为留置取代“两规”,促进反腐措施法治化创造条件,并在宪法修改后最终正式载入国家监察法中。由于留置措施在此前的法律制度体系内并无直接依据,因此有必要对这一法律概念进行词源梳理,为“留置”概念的重构引以旁证。
3.2 措施
这些测评结果和数据都反映出,目前我国手机APP的隐私政策中,很多是采用默示同意的方法获得用户的知情同意,未能给予用户足够的选择权,用户只能接受APP的隐私政策,否则将无法使用该软件。此外,过度收集用户个人信息的情况也比较严重,存在“一揽子”授权的情况,不加区分地要求用户将一般个人信息和个人敏感信息一概授权给信息收集方。
首先要建立个人信息分类制度。张新宝教授提出个人信息保护应遵循“两头强化,三方平衡”的原则,两头强化是指:在个人敏感信息与个人一般信息区分的基础上,强化个人敏感信息的保护和强化个人一般信息的利用,从而实现利益的平衡。我认为个人敏感信息应以列举式为基础,将个人身份信息、生物识别信息、健康信息、基因信息、性信息及种族信息明确规定为个人敏感信息。同时考虑到科技的发展可能会对列举的信息种类造成挑战,使其无法灵活应对社会的变化,应设置兜底条款,方便结合未来的实际情况进行变通,给个人敏感信息立法工作留有一定的空间。
此外,对于个人敏感信息的收集和处理规则,可以参考实践中其他国家的经验,如欧盟和美国对于个人敏感信息都有特殊的保护规则。欧盟《一般数据保护条例》第9条规定:“对揭示种族或民族出身,政治观点、宗教或哲学信仰,工会成员的个人数据,以及以唯一识别自然人为目的的基因数据、生物特征数据,健康、自然人的性生活或性取向的数据的处理应当被禁止。”即采取禁止处理原则,在通常的情况下禁止信息收集者对个人敏感信息进行任何形式的处理,除非符合法定例外的情况。而美国则采用三个层次的个人信息收集机制:一是对于可合理预期被收集、处理的个人信息,事先推定企业已获得消费者的同意授权;二是对于无法合理预期会被收集的一般个人信息,采用择出式同意(opt-out)的原则,即告知用户选择退出的机制;三是对于无法合理预期会被收集的敏感个人信息,采用择入式同意(opt-in)的原则,即需要获得用户明示同意。
结合我国实际情况,我认为完全禁止企业进行个人敏感信息的处理有些过于严苛,因此可以根据各类手机APP的实际情况,制定该种类APP收集个人敏感信息的标准范围,并根据实际情况进行更新。如果企业因为采用了某些新技术或者开发了新功能,确实需要在标准之外收集某些敏感信息,在相关部门进行备案登记之后方可进行收集和处理。
⑥争取将水资源费作为汉江中下游生态补偿的稳定资金来源。目前,国务院正在积极筹备出台“南水北调中线工程管理条例”,水利部也正在制定“跨流域调水管理办法”,南水北调中线工程水资源费的收取与使用是其中的重要内容。建议积极向中央呼吁,将收取的水资源费的部分资金采取中央财政转移支付方式用于对汉江中下游的生态补偿,解决汉江中下游治理工程运行费问题以及相关生态环境治理问题,并以条款的形式纳入上述条例与办法当中,使之成为汉江中下游生态补偿的稳定资金来源。
(2)明确应用平台的隐私政策基本审核义务。
除了从法律层面上规范手机APP的个人敏感信息收集规则之外,手机应用平台也应该对APP的隐私政策负有最基本的审核义务,如要求进入其平台的APP必须在商店下载界面展示其用户隐私政策,并且收集的个人敏感信息不得超出该种类APP法定的范围(经备案审查合格的除外),这样可以从源头减少过度收集用户个人信息的现象。同时,对于经举报核实存在问题的手机APP,平台应迅速将其下架或采取临时性屏蔽等措施,通知和促使其尽快修改隐私政策,防止更多用户的信息被不合理地收集。
4 结语
“ZAO”事件仅仅是我国手机APP对用户个人信息过度收集和不当使用的一个缩影,事情发酵后“ZAO”迅速修改了其用户协议和隐私政策,然而文本纵然可以轻松更改,用户失去的信任和信心却需要企业付出更大的努力才能唤回。所以对于企业来讲,与其亡羊补牢,不如一开始就做到信息收集合法合规,既保护了用户的利益,也可以促进企业的良性发展。当然,对于个人敏感信息的保护更离不开法律的保障,当前分散的个人信息保护规定已经落后于社会的发展速度,因此必须引起重视,完善相关的法律制度以保护消费者的权益。
参考文献
[1] 中国网民权益保护调查报告2016:54%的网民认为个人信息泄露严重[EB/OL].[2019-08-21].http://www.isc.org.cn/zxzx/xhdt/listinfo-33759.html..
[2] 中国消费者协会.100款App个人信息收集与隐私政策测评报告[EB/OL].[2019-08-21].http://www.cca.org.cn/jmxf/detail/28310.html.
[3] APP专项治理工作组.10款APP存在无隐私政策等问题[EB/OL].[2019-08-22].http://www.cqn.com.cn/pp/content/2019-07/11/content_7305807.htm.
[4] 戴正,邵丹.互联网企业隐私政策风险下个人信息保护对策研究[J].哈尔滨学院学报,2019,(2):79-83.
[5] 国家标准GB/T 35273-2017信息安全技术个人信息安全规范[S].
[6] 张新宝.从隐私到个人信息:利益再衡量的理论与制度安排[J].中国法学,2015,(3):38-59.
中图分类号: D9
文献标识码: A
doi: 10.19311/j.cnki.1672-3198.2019.32.080
作者简介: 孙铁文(1995-),女,满族,北京人,北京工商大学经济法研究生,研究方向:财税金融法。