小赢卡贷:隐私和商业,有无和解的可能?
个人信息保护是发展数字经济的底线,却在数字经济的发展中一再沦陷。
在个人信息的沦陷中,移动APP出演了重要角色。移动APP收集使用个人信息的乱象几乎有目共睹——违规收集个人信息,违规使用个人信息,欺骗误导用户下载App,App强制、频繁、过度索取权限,超范围收集个人信息等,方式百出,这也使APP用户个人信息安全相关投诉量急剧上升。
2019年11、12月12321网络不良与垃圾信息举报受理中心共收到用户APP投诉4900余条,投诉内容涉及个人信息收集使用规则、权限申请、个人信息收集、个人信息使用、个性化服务、账号注销等多个方面。
个人信息,沦为移动APP的“唐僧肉”,而人们除了愤慨和自嘲,似乎并无他法。个人信息和商业利益究竟有无和解的可能?如果有,又是什么?
移动APP挑战个人信息保护
在讨论个人信息保护之前,首先要区分个人信息与个人隐私的差别。事实上,尽管个人信息与个人隐私有交叉之处,但两者并不尽一致。
1890年《哈佛法律评论》的《论隐私权》是现代隐私权的开篇之作,作者路易斯布兰代斯(LouisD.Brandeis)和塞缪尔沃伦(SamuelWarren)将隐私视为“个人有权保持个体私密以防止被呈现于公众之前,这是隐私权外延中最简单的情形”。
由此可见,隐私是一种免受外界干扰的独处的权利,即个人具有不可侵害的人格,对其思想、情绪和感受等自身事务的公开、揭露具有决定的权利。从这个角度来看,保护隐私的目的是为了保护人的尊严。
但个人信息却并非如此。在我国,个人信息保护的一开始就和互联网联系在一起。2012年12月28日,第十一届全国人民代表大会常务委员会第三十次会议通过了《全国人民代表大会常务委员会关于加强网络信息保护的决定》,而在此之前,我国并没有关于个人信息保护的法律。
2016年颁布的《网络安全法》进一步定义了个人信息定义:以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
2017年全国信息安全标准化技术委员会发布的《信息安全技术个人信息安全规范》延用了《网络安全法》中对个人信息的定义,并且把“反映特定自然人活动情况的各种信息,如姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等”纳入了个人信息的范畴。
然而,就是如此朴素的个人的基本信息,却在数字经济时代受到了巨大冲击。而首先向个人信息保护发起挑战的,就是移动APP。
尽管我国的法律法规已经对网络运营者(网络服务提供者)收集、存储、使用、共享、转让个人信息的行为做出了明确规定,但在巨大利益的驱使下,APP违法违规收集使用个人信息的问题依然十分突出。APP收集使用个人信息的乱象更是花样百出。
从隐私政策设置来看,大量App存在隐私政策未征得用户明示同意的情况。比如,未提示用户阅读隐私政策,又或者默认勾选同意。
APP隐私政策是保证用户知情权的重要手段和约束APP运营者行为的重要机制。根据中国消费者协会发布的《100款APP个人信息收集与隐私政策测评报告》,被测评的100款APP中有34款没有隐私政策,47款隐私政策内容不达标,59款未明确告知收集个人信息类型和用途,96款未明确告知用户如何撤回同意等。
在过度索权方面,个人信息保护的必要性原则要求网络运营者(网络服务提供者)不得收集与其提供的服务无关的个人信息,否则就属于过度索权。然而,APP过度索权依旧是一个普遍性的问题,不少APP收集个人信息的种类与其提供的服务并无必要关联,有的甚至明显超出了合理范围。
《100款APP个人信息收集与隐私政策测评报告》显示,出行导航、金融理财、拍摄美化、社交通信和影音播放等5类APP过度收集使用用户信息的情况较为严重。360手机卫士收集个人信息相关权限数达23项,用户拒绝开启则APP无法运行的权限则高达11项。
此外,默认授权、捆绑授权、申请权限或收集个人敏感信息未同步告知目的、实际收集使用个人信息行为与声明不一致、信息滥用等层出不穷。侵权现象可见一斑。
让渡信息是沦陷的开始
他人或组织收集个人信息,无论是合法还是非法,其目的主要都是为了营利。可以说,个人信息和资本、劳动力一样是一种生产要素投入,一起构成了今天数字经济的基础。而个人信息的滥用和沦陷,则与用户和互联网企业都脱不了关系。
2018年,百度CEO李彦宏在中国发展论坛上曾表示,“中国的消费者在隐私保护的前提下,很多时候是愿意以一定的个人数据授权使用,去换取更加便捷的服务的”。事实上,用户让渡个人信息来获得服务便利正是个人信息沦陷的开始。
2009年,《华尔街日报》的科技记者朱莉娅安格温(JuliaAngwin)在一篇名为“PuttingYourBestFacesForward”的文章中分析了为什么Facebook能够在激烈的社交媒体大战中脱颖而出的重要原因。文章指出,就是因为用户“愿意用自己的个人信息换取一个基于信任的沟通平台”,与诸多的匿名平台相比,用真实身份信息注册的Facebook更获得用户的青睐。
在我国则表现在从QQ到微信的转换。很多年长的人不愿意使用QQ,更愿意用微信。很大程度上,就是因为微信上很多人都是实名的。用户愿意用自己的隐私换取基于信任的沟通平台。从互联网历史上来看,用户让渡个人信息来获得服务便利是个不争的事实。
从企业来看,对于绝大多数的平台而言,孤立的个人信息本身并无多大价值,重要的是企业将每个用户个人信息和一定的选择联系在一起的时候产生的价值,所以才会有了所谓的用户画像,那就是通过用户的特定行为来研判用户的商业价值体现。
于是,基于用户画像的基础,各大APP能够提供更实用、更合乎需求的内容,例如更相关的搜索结果;改进其服务,并开发新的服务;根据用户的兴趣向用户投放广告;进行用户行为分析和衡量,以便了解用户更多的使用情况。
然而,受商业偏好的影响,在数字经济高速发展的今天,企业开始收集越来越多不必要的信息,并且频繁造成了信息的泄漏、滥用。如今,用户数据泄露的规模与前数字经济时代相比呈指数级增长,而且规模也大幅度增加。现在,往往是以数千万甚至上亿计算被泄露的信息。
此外,信息技术的发展让人们在数字时代都成为“数字人”。个人信息与数据高度关联,牵一发而动全身。这使得立体化的个人数据更容易遭受侵害。
随着移动设备功能越来越强大,包括能够记录包括相册、个人视频、网页浏览历史以及个人通信记录等在内的众多信息,存储了数GB的个人数据的智能手机已成为了生活中普遍且重要的组成部分。这些个人信息一旦泄露,对立体化的个人造成的伤害都将是过去所不及的。
实际上,用户之所以重视个人信息保护,原因就在于技术放大了风险。
个人信息和商业利益有无和解的可能?
数字经济时代里,隐私成为以个体为中心的同心圆,越接近圆心是越不愿意让渡的隐私。在同心圆扩大半径的外围,个体产生交集,也产生了隐私的交换,并以此获得友谊、亲情、理解,甚至经济利益。
可以说,作为隐私的个人信息也是一种资源;而信息主体主要通过交换一定的隐私实现个人利益最大化,这就成为一种资源的再分配过程。从这个意义上来说,个人信息作为一种资源,也和其他的任何资源一样——社会福利最大化是其应有之义。个人信息作为一种资源重新分配想要获得最有效率的结果,即需要把追求社会福利的最大化作为隐私保护的目标和意义。
进一步来说,个人信息的保护本质上是个人数据保护与分享、收益与成本之间的权衡,个人信息的保护核心则成为一个成本和收益的平衡问题。
讨论个人信息保护时,自然也包括通过有效使用个人信息,促进就业、发展金融市场、维护公共安全和保持健康卫生等社会效益。同时,个人信息保护也有成本,包括由于个人信息让渡导致的个人安全感和尊严的心里损失和因为侵犯个人信息导致个人经济损失。
这意味着,在社会收益最大化的原则下,隐私保护的政策制定就是各类收益和成本的权衡。