2018年的頭幾天，由個(gè)人隱私信息而起的數(shù)據(jù)安全問(wèn)題，成為輿論焦點(diǎn)。

在朋友圈刷屏的“支付寶年度賬單”被質(zhì)疑默認(rèn)用戶(hù)同意《芝麻服務(wù)協(xié)議》，涉嫌誘導(dǎo)用戶(hù)同意讓渡個(gè)人數(shù)據(jù)權(quán)利。很快地，芝麻信用方面給出了語(yǔ)氣誠(chéng)懇的道歉，自稱(chēng)“方法愚蠢至極”，其兄弟公司支付寶也表示，要“一起承擔(dān)”責(zé)任。

隨著中國(guó)數(shù)字經(jīng)濟(jì)蓬勃發(fā)展，數(shù)據(jù)的價(jià)值也日益凸顯，但個(gè)人信息保護(hù)與數(shù)據(jù)利用之間的矛盾始終是個(gè)難題。實(shí)際上，這次事件也是當(dāng)前個(gè)人數(shù)據(jù)安全領(lǐng)域所面臨挑戰(zhàn)的一個(gè)縮影：個(gè)人用戶(hù)在網(wǎng)絡(luò)平臺(tái)上產(chǎn)生、使用的很多數(shù)據(jù)具有商業(yè)價(jià)值，往往會(huì)被網(wǎng)絡(luò)平臺(tái)經(jīng)營(yíng)者所收集、存儲(chǔ)，甚至分析、流通，而個(gè)人用戶(hù)卻常常處于不知情的被動(dòng)狀態(tài)，保護(hù)措施則總是遲了一步。

剛剛過(guò)去的2017年下半年，多個(gè)監(jiān)管部門(mén)聯(lián)合開(kāi)展隱私條款專(zhuān)項(xiàng)工作之后，微信、微博、支付寶、京東等網(wǎng)絡(luò)平臺(tái)紛紛更新了用戶(hù)隱私協(xié)議，監(jiān)管部門(mén)和企業(yè)單位對(duì)用戶(hù)隱私的保護(hù)正在強(qiáng)化。

發(fā)生在2018年頭幾天的這次事件既像是對(duì)過(guò)往類(lèi)似事件的回顧，也像是對(duì)今后大數(shù)據(jù)時(shí)代個(gè)人生活的預(yù)測(cè)：面對(duì)個(gè)人信息保護(hù)與大數(shù)據(jù)流通利用之間的矛盾，我們真的做好準(zhǔn)備了嗎？

知情同意是原則 但常被漠視

像以前一樣，元旦假期支付寶為每個(gè)用戶(hù)在2017年的消費(fèi)制作了一份漂亮的賬單，還生成了“2018關(guān)鍵詞”，這份賬單也迅速刷屏朋友圈。

但此后有用戶(hù)質(zhì)疑，查看“支付寶年度賬單”時(shí)疑似“被同意”了《芝麻服務(wù)協(xié)議》，且該協(xié)議的同意授權(quán)字體偏小、顏色不明顯。岳成律師事務(wù)所合伙人岳山發(fā)微博稱(chēng)，該賬單的查看其實(shí)和《芝麻服務(wù)協(xié)議》沒(méi)有關(guān)聯(lián)性，所以用戶(hù)選擇“取消同意”，依然能夠看到年度賬單。但如果用戶(hù)沒(méi)注意到，就會(huì)直接同意這個(gè)協(xié)議，允許支付寶收集用戶(hù)的信息，包括在第三方保存的信息。

此后，“支付寶年度賬單”引發(fā)了網(wǎng)絡(luò)上的口誅筆伐。

華東政法大學(xué)數(shù)據(jù)法律研究中心主任高富平教授告訴中國(guó)青年報(bào)·中青在線(xiàn)記者，該事件最主要的問(wèn)題是沒(méi)有以顯著方式提示用戶(hù)，瀏覽該年度賬單意味著同意芝麻信用的服務(wù)協(xié)議，以較為隱蔽方式且默認(rèn)勾選，使用戶(hù)在不知情的情況下作出選擇，違反了個(gè)人信息收集的知情同意原則。

對(duì)于包括個(gè)人信息在內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)收集和使用，我國(guó)法律最基本的原則是“合法、正當(dāng)、必要”，知情同意、“不得收集與其提供的服務(wù)無(wú)關(guān)的個(gè)人信息”也是其中的重要要求。

事實(shí)上，中國(guó)消費(fèi)者在享受便利的網(wǎng)絡(luò)服務(wù)的同時(shí)，也經(jīng)常面臨著個(gè)人數(shù)據(jù)權(quán)利“被同意”、被漠視的現(xiàn)實(shí)威脅。中國(guó)人民大學(xué)未來(lái)法治研究院等發(fā)布的《2017個(gè)人信息保護(hù)年度報(bào)告》（以下簡(jiǎn)稱(chēng)《報(bào)告》）對(duì)1500多個(gè)App與網(wǎng)站的隱私政策進(jìn)行過(guò)測(cè)評(píng)，結(jié)果顯示，參評(píng)平臺(tái)普遍存在用戶(hù)權(quán)利條款缺失、文本雷同、更新緩慢、暗藏格式條款等通病。此外，應(yīng)用商過(guò)度要求用戶(hù)授權(quán)，在未對(duì)用戶(hù)進(jìn)行明示的情況下，大量獲取用戶(hù)個(gè)人信息現(xiàn)象十分嚴(yán)重，手機(jī)錄音、通話(huà)記錄、短信等關(guān)系個(gè)人隱私的部分經(jīng)常被越權(quán)讀取。

《報(bào)告》在6個(gè)安卓應(yīng)用市場(chǎng)以關(guān)鍵詞排名前后順序，選取了50款“王者榮耀”周邊應(yīng)用作為研究樣本，結(jié)果發(fā)現(xiàn)，50個(gè)App覆蓋了28個(gè)隱私相關(guān)權(quán)限,其中有23個(gè)App的權(quán)限“越界”。

而用戶(hù)若想具體知道一款A(yù)pp獲取了哪些權(quán)限則十分困難。比如，某App在簡(jiǎn)介中稱(chēng)只會(huì)讀取用戶(hù)6項(xiàng)權(quán)限，但安裝時(shí)彈出的提示則列出了20項(xiàng)權(quán)限，技術(shù)檢測(cè)發(fā)現(xiàn)，其App安裝包中又至少向安卓系統(tǒng)申請(qǐng)了21項(xiàng)權(quán)限的許可。

雙刃劍：數(shù)據(jù)安全與流通之間的矛盾

雖然“知情同意”被視為網(wǎng)絡(luò)數(shù)據(jù)安全的基本原則之一，但在實(shí)際商業(yè)應(yīng)用中，這一權(quán)利經(jīng)常被網(wǎng)絡(luò)平臺(tái)經(jīng)營(yíng)者濫用。用戶(hù)點(diǎn)擊同意服務(wù)協(xié)議后，往往并不知道涉及個(gè)人信息的數(shù)據(jù)有可能被分享和流通給哪些第三方機(jī)構(gòu)。流通出去的數(shù)據(jù)將被如何利用、有沒(méi)有使用年限、如何終止數(shù)據(jù)使用授權(quán)等細(xì)節(jié)問(wèn)題，往往也沒(méi)有確切答案。

芝麻信用的《芝麻服務(wù)協(xié)議》中寫(xiě)到，其可以直接向第三方提供用戶(hù)信息，且在用戶(hù)與第三方的業(yè)務(wù)關(guān)系尚未終結(jié)的情況下，用戶(hù)無(wú)權(quán)撤銷(xiāo)第三方的信息查詢(xún)授權(quán)。在當(dāng)前的大數(shù)據(jù)產(chǎn)業(yè)中，“一次授權(quán)等于終身授權(quán)”早已是一種普遍做法，由此引發(fā)的網(wǎng)絡(luò)平臺(tái)之間的數(shù)據(jù)分享、流通如何才能合理合規(guī)的爭(zhēng)議屢見(jiàn)報(bào)端。

根據(jù)現(xiàn)行法律，網(wǎng)絡(luò)平臺(tái)經(jīng)營(yíng)者向第三方提供平臺(tái)用戶(hù)的數(shù)據(jù)，主要有兩種合法途徑：一是用戶(hù)的同意，二是個(gè)人信息“經(jīng)過(guò)處理無(wú)法識(shí)別特定個(gè)人且不能復(fù)原”的情形下。

但這兩個(gè)合法途徑有許多解釋空間。“例如，用戶(hù)最初的概括式同意算不算數(shù)？什么是‘無(wú)法識(shí)別’‘不能復(fù)原’？這些并不清晰。”據(jù)高富平介紹，當(dāng)前何謂“合法向第三方提供數(shù)據(jù)”并沒(méi)有明確的法律規(guī)定，沒(méi)有明確的規(guī)則指引擁有數(shù)據(jù)的人向他人合法提供數(shù)據(jù)。

芝麻信用《芝麻服務(wù)協(xié)議》要求用戶(hù)同意在服務(wù)終止后，芝麻信用仍可繼續(xù)保留和使用雙方服務(wù)期間形成的信息和數(shù)據(jù)，但芝麻信用不會(huì)再主動(dòng)收集用戶(hù)的任何信息。

用戶(hù)終止使用網(wǎng)絡(luò)平臺(tái)的服務(wù)后，數(shù)據(jù)該繼續(xù)保留和利用，還是刪除？上述《報(bào)告》指出，在網(wǎng)絡(luò)創(chuàng)業(yè)風(fēng)潮中衰亡的企業(yè)，遺留了大量的用戶(hù)數(shù)據(jù)，對(duì)這些用戶(hù)數(shù)據(jù)該如何處理，目前行業(yè)還沒(méi)有達(dá)成共識(shí)，政府的監(jiān)管也仍然處于模糊地帶。如果這些數(shù)據(jù)被濫用，不亞于一顆潛藏的“定時(shí)炸彈”。

從征信業(yè)的監(jiān)管要求來(lái)看，繼續(xù)保留是合規(guī)的，但也有特定條件?！墩餍艠I(yè)管理?xiàng)l例》第十六條規(guī)定：征信機(jī)構(gòu)對(duì)個(gè)人不良信息的保存期限，自不良行為或者事件終止之日起為5年；超過(guò)5年的，應(yīng)當(dāng)予以刪除。

觀韜中茂(上海)律師事務(wù)所合伙人、律師王渝偉表示，在除征信業(yè)以外的大多數(shù)行業(yè)，用戶(hù)終止使用網(wǎng)絡(luò)服務(wù)后，平臺(tái)都應(yīng)該及時(shí)刪除數(shù)據(jù)，但在現(xiàn)實(shí)情況中，這一要求往往難以落實(shí)。網(wǎng)絡(luò)平臺(tái)到底有沒(méi)有數(shù)據(jù)備份和恢復(fù)？外界有沒(méi)有足夠的能力和人員去監(jiān)督？這些問(wèn)題并沒(méi)有確切答案。