企业使用个人信息须经用户授权,有必要制定电商法加以规范】
近日,菜鸟网络与顺丰速运上演了一场“数据争夺战”。先是菜鸟指责顺丰突然关闭对菜鸟的数据接口,顺丰却称是对方率先发难。随后国家邮政局出面,两家终于握手言和。接着商务部电子商务和信息化司发函,要求组织调查该事件给生鲜农产品带来的影响。
国家相关部门的介入,看似平息了纷争,但也不过是治标举措,并不能完全杜绝类似纷争在其他行业和公司之间发生。
顺丰、菜鸟“数据大战”,到底争的是什么?像这种掌握海量用户信息的企业,是否可以将这些数据作为企业资产进行支配?该如何把握数据共享与个人隐私的界限?记者就这些问题采访了专家学者。
企业大战:本质是用户数据控制权之争
菜鸟、顺丰两家公司的核心争议点在于,双方是否有超越权限查询用户数据的行为,以及谁先关闭了互通数据接口。双方均指责对方调取的用户信息超过合理使用范围,存在泄露用户信息的安全隐患。直到宣布和解,外界仍然不知道两家谁最先关闭了互通数据接口,以及到底是否涉及用户个人信息安全。两家行业巨头争得如此惨烈,真的只是为了用户信息安全吗?
“用户信息安全是一方面,实质上两家争的是用户数据的控制权。”中国电子商务研究中心特约研究员、中国互联网协会信用评价中心法律顾问赵占领表示:“用户数据对顺丰公司的重要性不言而喻,这是他们的核心资源。而菜鸟属于新型物流平台,没有自己的物流实体,是以各个快递公司的物流数据为支撑的,用户数据也是它的生命线。”
据公开资料显示,菜鸟公司是阿里巴巴集团旗下的物流数据平台,旨在进行数据整合,对接买卖双方。买家在淘宝下单发货后,菜鸟向顺丰等快递公司提供买家手机号码等信息,快递公司则向菜鸟回传物流信息。这样在两家数据共享的基础上,卖家和买家都能够方便地在电商平台上追踪包裹轨迹。
“菜鸟就相当于一个大平台,通过提供淘宝买家信息,并从快递公司获取相关用户数据,最终为消费者提供更便利的服务。”赵占领进一步介绍,但长此以往,快递公司的用户数据一旦被菜鸟全部掌握,他们就可能沦为菜鸟的“打工仔”。“此次大战,就是顺丰感觉到了危机,它不愿意长期将核心数据与菜鸟共享,所以才会发生争端。”
北京邮电大学互联网治理与法律研究中心常务副主任谢永江认为:“此次事件中,两家企业的做法过于简单粗暴,没有充分考虑消费者利益。这会给用户造成不好的消费体验,也会使企业形象受损。”
他进一步指出,即使是两家企业要终止合作,也应当对消费者提前告知,让消费者有一个心理预期和选择余地。“企业在作出关于用户数据的相关决定时,应当特别慎重。尤其是这种行业巨头,用户涉及数量大,稍有不慎,可能会造成严重后果。”谢永江说。
隐私边界:企业可以支配哪些用户数据
有网友提出,不管顺丰、菜鸟合作还是大战,他们手中的“筹码”最终指向的是用户的个人信息。企业利用用户信息进行数据共享、交易,是否需要经过用户的授权?也有人认为,只要无害于个人、不涉及隐私,数据的获取、交易甚至开放,与现行法律的基本原则并不冲突。那么,企业可以支配哪些用户数据?大数据时代,该如何把握数据共享与用户隐私之间的界限?
记者查阅资料发现,对网络运营者或经营者如何收集、使用个人信息,网络安全法、消费者权益保护法、《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《电信和互联网用户个人信息保护规定》等都作出了规定。如网络安全法规定,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。依据《电信和互联网用户个人信息保护规定》规定,未经用户同意,电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。这是否意味着企业共享、交易所有的用户数据都需要授权呢?
赵占领和谢永江均认为,要搞清楚这个问题,首先应当厘清“数据”与“个人信息”的界限。“‘数据’并不简单等同于‘个人信息’,前者范畴比后者更广,它既包括个人信息,如姓名、电话、住址等,也包括非个人信息,如消费者的购物偏好等。”
他们表示,非个人信息属于企业的商业秘密,企业拥有支配权,可以根据需要与第三方进行分享交易;但对于用户个人信息,企业进行数据共享需征得用户的许可。用户在网络平台进行注册时,企业一般会要求其签订用户协议,同意平台使用相关数据。
那么,像菜鸟、顺丰等掌握大量用户数据的企业,是否经过用户授权了呢?记者分别登录了菜鸟、顺丰等多家公司官方网站进行了查阅,发现各家公司在用户隐私政策上的规定差别较大。有的公司明确表示在授权情况下可与第三方分享,有的则规定了临时共享,而很多则没有相关的规定。
“如果用户协议的隐私条款里没有与第三方共享的规定,或明确规定不能与第三方进行用户信息共享,那企业就不能随意进行共享,必须获得用户授权才可以。”赵占领说。
公安部第三研究所网络安全法律研究中心主任黄道丽在接受记者采访时表示:“根据网络安全法规定,在数据交易前,如果对数据进行匿名、打码、隐去等脱敏处理,也可以对‘不具有个人识别性’的数据进行共享与使用,这是将来大数据应用的一种重要方式。”
记者在采访中获知,早在2014年,全国首家大数据交易所就在贵阳成立,来自全国各地的数据汇聚于此。其中的一部分被清洗、脱敏,在全球首家大数据交易中心挂牌售卖。不同企业、不同行业可通过数据交易来丰富自己的数据库,完善数据模型的科学性。在贵阳大数据交易所的带动下,不涉及用户隐私的大数据交易已经成为行业共识。
公众参与:用户信息权益如何保障
前几年发生的用户信息大规模泄露事件至今让人记忆犹新:2014年,12306网站用户信息;2015年2月,几家酒店大量房客开房信息;2015年10月,网易邮箱过亿用户敏感信息均遭大规模泄露……但无论是之前的用户信息泄露事件,还是当今的菜鸟、顺丰之争,作为数据提供者的公众都被搁置在一旁。公众的数据权益受到侵害,却缺乏权益保障的渠道。在自身数据权利受到侵害时,公众该如何寻求救济?
记者查阅资料发现,消费者权益保护法对此已有规定:对侵害众多消费者合法权益的行为,中国消费者协会以及在省、自治区、直辖市设立的消费者协会,可以向法院提起诉讼。
黄道丽认为大规模公益诉讼目前还不可行,主要是责任证明和损失金额无法确定,我国没有完善的惩罚性赔偿机制。
对此,赵占领表示:“举证确实非常困难。因为掌握用户信息的主体太多,同一个用户可能在很多家网站进行了注册;而且泄露渠道也会有多个,所以很难确定是哪个主体哪个渠道泄露的。”但是他对使用公益诉讼手段维权持积极的态度,“公益诉讼还在摸索阶段,虽然中消协没有提起过关于个人信息保护的公益诉讼,但在其他方面已经有相关的案例。”
“要从根本上解决这个问题,还得靠专门立法解决。”赵占领进一步解释,如何规范电子商务法律秩序、促进电商开展良性竞争,如何更好地保护公众的个人信息,这些都需要专门的电子商务法来进行规范。据悉,《中华人民共和国电子商务法(草案)》将于今年8月提交全国人大常委会二次审议。
谢永江则认为,在电子商务法出台之前,行政保护的手段可能更加直接有效。政府可以通过对企业定期进行执法检查进行事前预防,或者事后进行处罚。“另外,我们可以借鉴国外的一些成功做法。例如欧洲有专门的个人信息保护机构,还设置了个人信息保护官,来查处对消费者个人信息的侵害行为。美国则是通过民事诉讼的方式进行保护,而且事后的处罚非常严厉。”
在2013年底,美国曾发生过一起大规模的信息泄露事件。当时美国零售巨头塔吉特(Target)宣布公司被黑客入侵,7000万的用户个人信息和4000万的信用卡数据被盗,涉及用户名、电话号码、电子邮箱和信息卡信息等隐私数据。经过消费者提起集体诉讼,最终塔吉特公司同意支付1000万美元与消费者达成和解。根据和解协议,塔吉特将向个人受害者支付最高1万美元的损害赔偿,并将增加数据安全保护措施。
