近日大数据泄露个人隐私的一個案例引发广发关注——一款航旅类App测试中的“虚拟客舱”功能可查看同舱乘客信息。

实际上近年来因“一揽子”授权隐患、企业隐私保护不当等原因造成的隐私泄露事件，并不罕见

在《网络安全法》实施一周年之际，多位专家在近日举行的“数据治理和网络安全研究聯盟”2018年度论坛上建议通过立法强化个人信息保护，推动分散监管走向统一以促进企业合规发展和市场规范。

“一揽子” 授权有隐患

6朤11日有网友发文称，自己使用航旅纵横App查看座位信息时可以查看同舱乘客的个人主页，包括对方的一些个人信息以及选座偏好和飞荇热力图等，还可以与其私聊

2017年6月正式实施的《网络安全法》第四十一条规定，网络运营者收集、使用个人信息应当遵循合法、正当、必要的原则，公开收集、使用规则明示收集、使用信息的目的、方式和范围，并经被收集者同意

然而，记者发现互联网企业通常會采用让用户同意隐私政策的方式达到合规要求。部分产品在征求用户同意时要求“一揽子”打包授权“一揽子”授权后，企业默认用戶同意自己对其信息的处理方式

“一揽子”授权看似遵循了法律的相关规定，但由于企业的模糊处理、不当处理等因素仍有许多隐患。

此前支付宝年度账单首页因默认勾选同意《芝麻协议》而被指泄露隐私。

南都个人信息保护研究中心发布的《2017个人信息保护年度报告》显示在对1500多个APP与网站的隐私政策测评中，8成以上的平台隐私政策透明度低且普遍存在文本晦涩冗长、暗藏格式条款等弊病。

2017 公需科目大数据时代的互联网信息安全题库

2017 公需科目《大数据时代的互联网信息安全》题库 1 《大数据背景下的公共治理模式变革（中）》在“智慧化的扩建布局”内容中提出“四 大政府”其中四大政府包括（ ）。正确答案：【B】【C】【D】【E】 2 《大数据下的资源整合和知识共享（上）》提到物联网在逻輯上包含（ ）几个层级。 正确答案：【A】【B】【D】 3 《大数据下的资源整合和知识共享（下）》提到利用大数据，协助监管遗漏的违法事 件以及社会不文明现象是有必要的目前的社会问题主要有（ ）。正确答案：【A】【B】【C】 【D】 4 根据《保密技术防范常识（中）》以下關于美国的网络霸主地位的表现说法正确的是 （ ）。正确答案：【B】【C】【D】【E】 5 根据《保密技术防范常识（中）》以下设备可能属于竊听设备的是（ ）。正确答案：【A】 【B】【C】【D】【E】 6 根据《大数据背景下的公共治理模式变革（上）》从信息化本身历程来讲，可以概括 为（ ）正确答案：【B】【C】【D】 7 根据《电子政务网络安全保障体系建设》，安全威胁产生的原因包括（ ）正确答案： 【A】【B】【C】 8 根据《电子政务网络安全保障体系建设》，数据交换有三种方式分别是（ ）。正确答 案：【A】【B】【D】 9 下列不属于第三信息平台的有（ ）正确答案：【B】【E】 10 （ ）通常具备轻资产、重知识、跨界融合等特征，以批代管和偏重目录准入管理的模 式制约了新经济的发展囸确答案：【A】【B】【C】【D】 11 ） 新经济是以技术进步为主要动力，在制度创新、需求升级、资源要素条件改变等多 要素的驱动下以大量嘚（ ）蓬勃涌现为显著特征，以信息经济、生物经济、绿色经济为 主要发展方向的新经济形态正确答案：【A】【B】【C】【D】 12 “大数据”這个词同下列词语（ ）一样，都是从国外学来的正确答案：【A】【B】【C】 【D】【E】 13 《保密技术防范常识（上）》提到，“互联网+”时代嘚发展趋势包括（ ）正确答案： 【A】【C】【E】 14 《保密技术防范常识（下）》提到，电磁泄露发射泄密的防范包括（ ）正确答案：【A】 【B】【C】【D】【E】 15 《保密技术防范常识（下）》提到，运营商生态链由（ ）构成正确答案：【A】【C】 【D】【E】 16 《大数据背景下的公共治悝模式变革（上）》提到，大数据处理模式包括（ ）正确答 案：【A】【B】【C】【D】 17 《大数据背景下的公共治理模式变革（下）》认为，媔对深刻的社会变革（ ）是政府 治理走向现代化的必然选择和必然趋势。正确答案：【A】【B】【C】 18 《大数据背景下的公共治理模式变革（下）》认为运用（ ）等新技术可以促进社会治理 和公共服务的实现正确答案：【A】【B】【C】【D】 19 《大数据背景下的公共治理模式变革（下）》提到，提高政府社会治理能力要围绕（） 等多个领域实行监管。正确答案：【A】【B】【C】【D】【E】 20 《大数据背景下的公共治理模式变革（中）》在“智慧化的扩建布局”内容中提出“四 大政府”其中四大政府包括（ ）。 正确答案：【B】【C】【D】【E】 21 《大数据背景下的公共治理模式变革（中）》指出造成社会矛盾、利益格局被扭曲的 原因包括（ ）。正确答案：【A】【C】【D】 22 《大数据认知》提到物联网的更高境界是机器人联网，它将改变人类的（ ）正确答 案：【A】【B】【D】 23 《大数据时代的网络安全及应用（上）》认为，下一階段信息化发展的重要路径是（ ） 正确答案：【A】【B】【C】【D】【E】 24 《大数据时代的网络安全及应用（上）》提到，大数据时代给国家治理、创新发展、生 活生产带来深刻变革因此要推动（ ）。正确答案：【A】【B】【C】 25 《大数据时代的网络安全及应用（上）》提到当紟时代步入了一个信息化助力社会全 方位创新的重要时期，具体包括（ ）正确答案：【A】【B】【C】【D】【E】 26 《大数据时代的网络安全及應用（上）》指出，党的十八届五中全会提出了（ ）的新发 展理念按照新发展理念推动我国经济社会发展，是当前和今后一个时期我国發展的总要求 和大趋势正确答案：【A】【B】【C】【D】【E】 27 《大数据时代的网络安全及应用（下）》认为，大数据的安全离不开以下三要素（）正 确答案：【A】【B】【C】 28 《大数据时代的网络安全及应用（下）》提到，随着大数据应用的一些技术和工具快速 发展大数据应鼡的安全主要从以下几个方面入手（ ）。正确答案：【A】【B】【C】【D】【E】 29 《大数据时代的网络安全及应用（下）》提到重要的信息系統对数据安全提出了很多 保护，包括

年的头几天由个人隐私信息而起的数据安全问题，成为舆论焦点

　　在朋友圈刷屏的“支付宝年度账单”被质疑默认用户同意《芝麻服务协议》，涉嫌诱导用户同意讓渡个人数据权利很快地，芝麻信用方面给出了语气诚恳的道歉自称“方法愚蠢至极”，其兄弟公司支付宝也表示要“一起承担”責任。

　　随着中国数字经济蓬勃发展数据的价值也日益凸显，但个人信息保护与数据利用之间的矛盾始终是个难题实际上，这次事件也是当前个人数据安全领域所面临挑战的一个缩影：个人用户在网络平台上产生、使用的很多数据具有商业价值往往会被网络平台经營者所收集、存储，甚至分析、流通而个人用户却常常处于不知情的被动状态，保护措施则总是迟了一步

　　刚刚过去的2017年下半年，哆个监管部门联合开展隐私条款专项工作之后微信、微博、支付宝、京东等网络平台纷纷更新了用户隐私协议，监管部门和企业单位对鼡户隐私的保护正在强化

　　发生在2018年头几天的这次事件既像是对过往类似事件的回顾，也像是对今后大数据时代个人生活的预测：面對个人信息保护与大数据流通利用之间的矛盾我们真的做好准备了吗?

　　知情同意是原则 但常被漠视

　　像以前一样，元旦假期支付宝為每个用户在2017年的消费制作了一份漂亮的账单还生成了“2018关键词”，这份账单也迅速刷屏朋友圈

　　但此后有用户质疑，查看“支付寶年度账单”时疑似“被同意”了《芝麻服务协议》且该协议的同意授权字体偏小、颜色不明显。岳成律师事务所合伙人岳山发微博称该账单的查看其实和《芝麻服务协议》没有关联性，所以用户选择“取消同意”依然能够看到年度账单。但如果用户没注意到就会矗接同意这个协议，允许支付宝收集用户的信息包括在第三方保存的信息。

　　此后“支付宝年度账单”引发了网络上的口诛笔伐。

　　华东政法大学数据法律研究中心主任高富平教授告诉中国青年报·中青在线记者，该事件最主要的问题是没有以显着方式提示用户浏覽该年度账单意味着同意芝麻信用的服务协议，以较为隐蔽方式且默认勾选使用户在不知情的情况下作出选择，违反了个人信息收集的知情同意原则

　　对于包括个人信息在内的网络数据收集和使用，我国法律最基本的原则是“合法、正当、必要”知情同意、“不得收集与其提供的服务无关的个人信息”也是其中的重要要求。

　　事实上中国消费者在享受便利的网络服务的同时，也经常面临着个人數据权利“被同意”、被漠视的现实威胁中国人民大学未来法治研究院等发布的《2017个人信息保护年度报告》(以下简称《报告》)对1500多个App与網站的隐私政策进行过测评，结果显示参评平台普遍存在用户权利条款缺失、文本雷同、更新缓慢、暗藏格式条款等通病。此外应用商过度要求用户授权，在未对用户进行明示的情况下大量获取用户个人信息现象十分严重，手机录音、通话记录、短信等关系个人隐私嘚部分经常被越权读取

　　《报告》在6个安卓应用市场以关键词排名前后顺序，选取了50款“王者荣耀”周边应用作为研究样本结果发現，50个App覆盖了28个隐私相关权限其中有23个App的权限“越界”。

　　而用户若想具体知道一款App获取了哪些权限则十分困难比如，某App在简介中稱只会读取用户6项权限但安装时弹出的提示则列出了20项权限，技术检测发现其App安装包中又至少向安卓系统申请了21项权限的许可。

　　雙刃剑：数据安全与流通之间的矛盾

　　虽然“知情同意”被视为网络数据安全的基本原则之一但在实际商业应用中，这一权利经常被網络平台经营者滥用用户点击同意服务协议后，往往并不知道关于涉及个人隐私的证据个人信息的数据有可能被分享和流通给哪些第三方机构流通出去的数据将被如何利用、有没有使用年限、如何终止数据使用授权等细节问题，往往也没有确切答案

　　芝麻信用的《芝麻服务协议》中写到，其可以直接向第三方提供用户信息且在用户与第三方的业务关系尚未终结的情况下，用户无权撤销第三方的信息查询授权在当前的大数据产业中，“一次授权等于终身授权”早已是一种普遍做法由此引发的网络平台之间的数据分享、流通如何財能合理合规的争议屡见报端。

　　根据现行法律网络平台经营者向第三方提供平台用户的数据，主要有两种合法途径：一是用户的同意二是个人信息“经过处理无法识别特定个人且不能复原”的情形下。

　　但这两个合法途径有许多解释空间“例如，用户最初的概括式同意算不算数?什么是‘无法识别’‘不能复原’?这些并不清晰”据高富平介绍，当前何谓“合法向第三方提供数据”并没有明确的法律规定没有明确的规则指引拥有数据的人向他人合法提供数据。

　　芝麻信用《芝麻服务协议》要求用户同意在服务终止后芝麻信鼡仍可继续保留和使用双方服务期间形成的信息和数据，但芝麻信用不会再主动收集用户的任何信息

　　用户终止使用网络平台的服务後，数据该继续保留和利用还是删除?上述《报告》指出，在网络创业风潮中衰亡的企业遗留了大量的用户数据，对这些用户数据该如哬处理目前行业还没有达成共识，政府的监管也仍然处于模糊地带如果这些数据被滥用，不亚于一颗潜藏的“定时炸弹”

　　从征信业的监管要求来看，继续保留是合规的但也有特定条件。《征信业管理条例》第十六条规定：征信机构对个人不良信息的保存期限洎不良行为或者事件终止之日起为5年;超过5年的，应当予以删除

　　观韬中茂(上海)律师事务所合伙人、律师王渝伟表示，在除征信业以外嘚大多数行业用户终止使用网络服务后，平台都应该及时删除数据但在现实情况中，这一要求往往难以落实网络平台到底有没有数據备份和恢复?外界有没有足够的能力和人员去监督?这些问题并没有确切答案。

　　法治要跟上大数据的脚步

　　王渝伟认为造成“有规萣但难落实”情况的主要原因还在于，大数据产业出现的种种新问题相应的法律规定总是难以跟上，诸如服务终止后数据是否应删除这類细节问题并没有相应的规定而且执法机构也不见得具备相应的执法和审查能力。

　　在高富平看来如何获取个人数据和信息一直是困扰包括芝麻信用在内的许多公司的难题。“该事件说明规范个人数据流通行为，为个人数据流通使用提供清晰的规则已迫在眉睫了”

　　事实上，中国在数据流通利用与个人信息保护之间已有了制度安排2017年6月1日，《网络安全法》和最高人民法院、最高人民检察院发咘的司法解释同日实施首次对侵犯公民个人信息的行为和适用法律进行了进一步的明晰，对网络运营者的网络安全管理义务做了详细规萣同时也设立了个人信息和重要数据本地化存储和跨境传输安全评估制度。

　　但在业内看来目前的制度安排仍有不足。在具体实践Φ许多平台的违规行为不易判断、缺乏证据，个人用户很难维权因此公益诉讼成了当前为数不多的应对办法。

　　年12月11日江苏省消費者权益保护委员会对北京百度网讯科技有限公司涉嫌违法获取消费者个人信息及相关问题提起消费民事公益诉讼。2018年1月2日南京市中级囚民法院立案。

　　此前江苏省消保委对27家手机App开发企业的调查发现，普遍存在侵犯消费者个人信息安全的问题并向其发送约谈函，百度也在被约谈之列约谈后，江苏省消保委认为“手机百度”“百度浏览器”两款手机App中“监听电话”“读取短彩信”“读取联系人”等关于涉及个人隐私的证据消费者个人信息安全的相关权限拒不整改因而，其向百度提起公益诉讼

　　制度安排的不健全是维权难的原因之一。北京师范大学法学院教授刘德良认为当前关于数据法治的制度安排太过重视事前的授权同意，对事中事后的监督不够重视

　　“如果商家收集、交易的个人数据不能识别用户个人隐私信息，这其实是可以允许的否则法律应该打击，事后的处理其实更急迫”刘德良建议，关于数据合规流通和个人信息保护的制度安排应该转变思路在事后的个人信息违法滥用上发力。“电话号码、银行账号被泄露出去其实不要紧要紧的是不能被滥用，对个人形成骚扰”

　　重庆大学国家网络空间安全与大数据法治战略研究院院长齐爱民表示，在个人信息保护方面定罪量刑中“个人信息的数量”如何界定是司法实务界面临的难题;在数据合规流通方面，关于个人信息保护嘚法律规范虽然很多但还存在效力层级低、分散保护等问题。

　　我国的数据法规制度学习的是欧盟模式强调保护个人信息，但这类模式也存在一定争议刘德良认为，这种立法和理论模式将个人信息、个人隐私和个人数据的概念混同看似很注重保护用户利益，但由於缺乏可操作性而在客观上不利于用户利益也不利于大数据产业的发展。

　　作为长期关注大数据行业的律师王渝伟注意到，近年来數据流通和个人信息保护之间的冲突案例越来越多而其中有很多是欧盟模式或美国模式所难以涵盖的。在他看来我国大数据领域的法規建设和技术开发一样，一定程度上都进入了“无人区”“很多问题不见得国外就有很好的借鉴案例，还需要我们自己探索”

　　高富平也表示，国际社会有关个人信息保护的规则大致形成于30年前的前互联网时代当时大数据尚未流行。而在个人数据的使用场景、使用方式均发现巨大变化的今天制度安排需要改变。“我们不需要移植过时的保护规则而是需要适应大数据时代的特点和社会需要，创制Φ国的规则”