对企业来说,用户的浏览痕迹、消费记录、个人信息是宝贵的数据,企业有获取它们的冲动。加之法律对违法收集用户信息的规制不够完善,在手机、互联网等领域,通过安插软件等方式获取用户信息,几乎成为公开的秘密。
最近喜欢网购的小李遇上了闹心事。他从国内知名电子商务网站京东商城上购买了几包八宝茶。产品收到后,小李还分给了亲朋好友和同事几小包。不料几天后,当他再打开一小包八宝茶时,令人震惊地发现,这个袋子里居然有黄色活蛆虫在蠕动。愤怒的小李向京东客服投诉,得到的回答竟然只是冷冰冰的“我们给你办理退货好了”。
万般无奈下,小李将带蛆虫的茶叶视频上传到网上,并在一些知名论坛上上传相关图片和文字,希望能够引起京东方面的重视。其后不久,京东果然重视起来,不过却是以一种让小李更难以接受的方式。
“他们(京东商城该地区的营销经理)直接跑到我单位来了,而且指名道姓就是找我。让我觉得奇怪的是,我又没告诉他们我单位,他们是如何知道我单位的?”小李质疑。由于担心一些喝过八宝茶的同事知道后影响不好,小李被迫同意了京东商城方面赔款和解的要求。
事实上,有类似遭遇的不止小李一人,最近因为怀疑自己家的西门子冰箱有质量问题而怒砸冰箱的名人罗永浩也深受其害。在一些人看来,西门子方面在处理冰箱质量问题上还是较为积极的。但西门子公司动用私人关系弄到罗永浩的联系方式并主动派售后上门服务的做法,让罗永浩勃然大怒,并导致事件进一步升级。
iPhone等电子设备均涉嫌违法收集隐私
如果说电子商务网站侵犯个人隐私还有迹可循,那么一些移动终端,如手机、平板电脑等,则更像潜伏在用户身边的“间谍”,无时无刻不在秘密上传用户的个人信息。
今年4月份,美国两名程序员发现,自从苹果iPhone推出iOS4后,基于该系统的苹果产品就开始跟踪并存储用户的地理位置信息,并带有时间戳。该行为完全是在后台进行的,因此用户毫不知情。更加糟糕的是,在这两名程序员看来,这些被存储的数据并未加密,毫无保护。这意味着用户在与其他设备同步时,这些数据完全面向同步设备开放的,因此他人很容易知道你在哪里居住、就餐、工作和游玩。
其后,在巨大的舆论压力下,苹果发布声明称,将在下一次iOS更新中“不再备份该缓存数据,关闭定位服务时彻底删除该缓存”。
一波未平一波又起,11月底,苹果iPhone又曝出了采用Carrier IQ监测应用手机用户短信、邮件、图片,甚至是语音信息的丑闻。这一次,苹果再次发表声明:“我们已经在iOS5的大部分设备中停止了对Carrier IQ的支持,而且将会在下一次升级中完全移除该应用。另外只有在用户选择同意分享的情况下,诊断信息才会被传回苹果服务器。即便用户选择了同意分享,这些数据的发送也会被加密和作匿名处理。我们从来没有在诊断信息中记录用户的按键、短信或者其他任何私人信息,而且未来也不会有这样的计划。”
此次Carrier IQ“隐私门”涉及的范围极广,摩托罗拉、三星、HTC等Android手机巨头都在内。为此,一些手机安全厂商奇虎360、金山等都纷纷推出删除工具,专门用于对付Carrier IQ应用。
一位国内知名智能手机论坛的版主告诉记者,现在智能手机、平板电脑等集成化程度非常高,不足千元的Android智能手机就能实现GPS定位、3G高速上网等需求。“像Android手机中都喜欢提到‘权限’一词,很多软件都兼具了访问GPS、短信、通讯录、网络等服务的权限,这些软件要掌握用户的私人信息简直易如反掌。”
滥用隐私背后的商业链条
为何互联网企业会对用户的隐私如此热衷?“在数以亿计的用户面前,蕴藏的巨大商业利益可能会让互联网服务的提供者铤而走险。”中国政法大学知识产权研究中心特约研究员、知名网络法律人士赵占领告诉记者。“用户在电子商务网站的浏览痕迹、消费记录、个人信息等,对电子商务企业来说都是宝贵的数据。”
而对于一些互联网巨头来说,更是如此。记者曾参加过一次由国内某门户网站教育频道组织的中小培训机构推介。在此次活动的最后,该门户网站一位营销总监的话令记者印象深刻,他提到,在他们网站的营销平台上,用户浏览过的空间(博客)内容、所需的新闻服务都是可量化的,甚至有必要的情况下,可以向固定区域的固定人群推送定制的精准服务。
无独有偶,在今年4月底,苹果向用户解释为何搜集用户地理信息和兴趣信息时,也曾提到:“我们的iAd广告系统可以使用定位信息,实现定向广告。除非用户明确同意对当前广告提供位置,否则定位信息不会与任何第三方或广告共享(比如,广告会请求你提供位置,以给出最近的Target店铺地址)。”通过用户的地理位置信息或者兴趣信息,产生巨大的商业利益似乎已经成为了互联网行业的不成文的“行规”。
浙江京衡律师事务所律师李健勇告诉记者:“在苹果等厂商冗长的用户协议中,大部分用户根本就看不到自己的个人信息将会被用于哪些方面,所谓的‘明确同意’有信息不对称之嫌。”
赵占领则认为:“互联网平台商利用用户个人信息的行为是否合法合理需要综合判断。如果事先告知用户收集的范围包括哪些个人信息,收集的用途是用于改进服务、提高用户体验,并且明确告知用户,对个人信息的使用也没有超出之前告知的范围,那么收集和使用这些个人信息一般是合法的。否则,互联网平台商的行为就涉嫌侵犯用户个人信息,甚至侵犯用户的隐私权。”
打着云服务旗号收集隐私信息
事实上,秘密收集信息不仅仅是存在用户隐私权被侵害的风险,对于一些特定人群来说,一些隐私信息甚至关乎国家安全。
今年5月14日,知名电信专家项立刚在其微博中提道:“最近,跟朋友聊天,我听说了这样一个事,说某军方工作人员也买了iPhone玩得挺高兴。说实话我很震惊。不知道这些特殊身份的人员最初设置时,是不是设置了自己的名字?我觉得什么人用都行,这些人真是不能用iPhone的,有关部门应该出台文件禁止特定人群使用iPhone。这事绝不是小事。”该条微博引起了相当多网友的围观。
一个月后,项立刚又发表题为《呼吁:尽快出台智能手机安全管理办法》的博文,在文章中,项立刚明确指出,“对于拥有永远在线、身份识别、位置和电子支付能力的智能手机来说,它的安全性远比PC时代复杂和严重。”项立刚以几种常见的隐私信息,如“身份的等级”、“电话号码自动备份”、“短信、图片、视频都有可能上传”、“自动位置跟踪”、“电子账户”等,阐明了智能手机尽管打着“云服务”(“云服务”又称为“云端服务”,分为企业级和消费级两种,后者指的是用户使用任何一台电子设备通过网络均可访问通讯录、文档、照片、音乐、邮件等信息。目前流行的消费级云服务有iPhone的iCloud服务、QQ同步助手等)的旗号,但用户的隐私信息并没有得到应有的重视和保护。
知名互联网产权律师周宾卿认为,对于特定人群,如军队、国家机关工作人员,他们的隐私信息具有独特的价值,因此在保护的时候要加以区别对待。“类似于奥巴马入主白宫后就被停止使用黑莓手机。”
互联网隐私行业标准有待立法推动
据上述几位专家介绍,目前在我国,保护公民隐私方面的法律,主要以民事侵权法律为主。刑事方面,今年6月20日,“两高”曾出台《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下称《解释》)。
不过,在公安部第三研究所信息网络安全技术领域首席科学家金波看来,这份《解释》调整的主要是“入侵网银”的黑客行为,以及以入侵计算机信息系统为目的的制售木马、传播病毒行为。既然收集用户网银信息已作为一种犯罪行为进入到刑事领域,那么对于一些滥用用户隐私牟利的行为是否可以通过立法加以限制?
周宾卿对立法前景表示了担忧:“要限制这种情况当然需要立法的跟进,不过,立法跟进的前提是立法者对于该领域是熟悉的,但从目前来讲,立法者精通计算机和互联网领域的比较稀少,所以,立法进程恐很难加速。”
而在赵占领看来,目前对互联网用户的隐私保护,中国已经具备了立法推动的条件。“首先,通过立法明确界定个人信息和隐私的范围,目前只有《互联网终端软件服务行业自律公约》对个人信息作了初步界定,但属于行业自律规范,不具有法律约束力。工信部正在制定《信息安全技术信息系统个人信息保护指南》,这个属于个人信息保护的国家标准,仍在制定之中。其次,要防止互联网平台商滥用个人信息,至少需要通过立法确立几项制度或者原则:收集、处理个人信息需要获得个人的明确同意才可进行;收集个人信息时需要明确告知收集的个人信息的范围、收集的用途;处理个人信息具有特定、明确、合理的目的,不扩大使用范围,不改变处理个人信息的目的。最后,《刑法修正案(七)》通过刑事手段规范了两类行为:出售、非法提供公民个人信息;窃取、非法获取公民个人信息。除此之外,还需要把非法采集、非法存储、非法处理以及非法使用等侵犯公民个人信息安全的行为方式纳入刑法调整的范围,加大保护力度。”
近日,智能手机监测应用Carrier IQ因涉嫌违法收集用户的按键记录、短信内容、E-mail及语音信息遭遇集体诉讼。据了解Carrier IQ被广泛应用在苹果、摩托罗拉、HTC、三星和AT&T等通讯巨头的手机或者网络服务中。电子商务、云服务、智能手机、平板电脑等互联网服务和电子设备的大量普及给消费者的日常生活带来了极大便利,但这些便利的背后,却隐藏着对用户隐私的巨大威胁。