【电商快评】淘宝、京东等为何对隐私政策重大
一、事件背景
大学毕业生李文星因通过BOSS直聘求职、疑身陷传销组织后死亡事件既暴露了招聘网站对用人单位资质审核不严,同时也暴露了个人信息泄露危机。而近年来屡屡出现的网络诈骗事件,多数都起因于用户的信息泄露,遭不法分子利用。
7月26日,中央网信办、工信部、公安部、国家标准委四部门联合宣布启动隐私条款专项工作,并于8月24日结束隐私条款评审,首批被评审的网络产品和服务为:京东商城、航旅纵横、滴滴出行、携程网、淘宝、高德地图、新浪微博、支付宝、腾讯微信、百度地图。
近日,京东、淘宝、支付宝调整隐私政策,在对个人信息的使用上均作出相关规范,在个人信息收集和使用上,新版隐私条款均明确指出收集和使用信息的目的。新版隐私条款在描述上更为通俗化,可操性更强。如在用户管理个人信息方面,淘宝和京东的新版条款均详细写出操作路径,用户可根据指引管理个人信息,而不再是提纲要领式的文字。在个人信息共享方面,淘宝和京东的新版隐私条款明确点出第三方合作伙伴的类型以及共享的个人信息内容,但旧版中并无详细说明。具体如下:
京东:给用户30日注销后悔期
最新版《京东隐私政策》将于2017年8月27日起生效。主要调整如下:
1、明确了京东的产品与/或服务收集、使用及共享个人信息的类型方式和用途;
2、以增强告知或即时提示的方式在收集、使用及共享个人信息时给予用户明示选择权,并在产品设置中允许用户即时撤销授权;
3、明确了用户查询、更正和删除其个人信息的方式;
4、增加了用户账户的锁定/解锁和注销功能,并提供给用户了30日后悔期。京东、支付宝隐私政策大调整规范个人信息使用。
支付宝规定,连续12个月未登录账号将被注销支付宝也于8月23日(生效于9月22日)发布了《变更支付宝服务协议的公告》,将《支付宝服务协议》的附属协议《蚂蚁金服隐私权政策》更名为《支付宝隐私权政策》,并对相应内容进行了修订:
1、明确了支付宝的产品与/或服务收集、使用及共享个人信息的类型方式和用途;
2、以增强告知或即时提示的方式在收集、使用及共享个人信息时给予用户明示选择权。
3、如果需要使用个人信息,会及时告知用户并获得授权。
4、如果用户注销某支付宝账户后,该账户内的所有信息将被清空,支付宝将不会再收集、使用或共享与该账户相关的个人信息,但之前的信息支付宝仍需按照监管要求的时间进行保存,且在该依法保存的时间内有权机关仍有权依法查询。
二、相关数据
据中国电子商务研究中心(100EC.CN)此前对1000位用户在线调查显示,21.7%的用户曾因网购、论坛、微信等遭遇过信息泄露,并且11.2%的用户接到过疑似的诈骗电话;56.8%的用户表示对互联网信息安全担忧,并会对需要填写个人信息的互联网游戏,注册等保留一定的戒心,而仍有43.2%的用户认为互联网信息泄露与个人无关,不太关注。
此前,中国电子商务研究中心受国家工商有关部门委托,对包括以下四大类、38家平台:(1)零售电商(天猫/淘宝、京东、苏宁易购、亚马逊中国、唯品会、国美在线、当当、拼多多、贝贝网、蘑菇街、乐视商城、小米商城、有赞、银泰网);(2)跨境进口平台电商(聚美优品、洋码头、丰趣海淘、网易考拉海购、达令、小红书、海蜜、街蜜);(3)生活服务电商(美团、大众点评、百度糯米、携程、去哪儿、同程旅行网、阿里旅行、滴滴、神州专车、神州租车);(4)消费分期平台(趣分期、分期乐、爱学贷、人人分期、优分期、99分期)等网络交易平台用户合规条款进行审查。
据中国电子商务研究中心专业律师专家团审查结果显示,38家网络交易平台中,有86.84%存在信息安全问题,如涉嫌违规收集或免除自身对用户信息保护责任等。其中,当当、拼多多、洋码头、丰趣海淘、达令、小红书、聚美优品、蘑菇街、美团网、大众点评、百度糯米、携程、去哪儿等电商平台问题较为突出。
据中国电子商务研究中心(100EC.CN)统计表明,近年来互联网/电商行业“泄密”事件频频出现,其重大典型的包括:京东举报离职员工泄露50亿条公民信息、共享充电宝存信息泄露风险、5173中国网络服务网数次被“盗钱”、“1号店”员工内外勾结泄露客户信息、支付宝漏洞致用户信息泄露、如家、七天开房信息泄密、腾讯7000多万QQ群遭泄露、携程技术漏洞导致用户个人信息、银行卡信息等泄露、微信朋友圈小游戏窃取用户信息、快递单贩卖成“灰色产业链”、小米“泄密门”800万用户信息泄露、13万12306用户信息外泄事件等。
另据中国电子商务投诉与维权公共服务平台(www.100ec.cn/zt/315/)近年来接到的用户投诉案例表明,小红书、当当网、淘宝网、小米商城、1号店、聚美优品、凡客、优购网、大众点评、携程、去哪儿、拉手网、沱沱工社、55海淘网、大麦网等平台均曾出现用户信息泄露事件。
三、相关法律法规
《网络安全法》:网络运营者需明示收集、使用信息的目的、方式和范围。在互联网时代,个人信息的保护也被提升到前所未有的高度。除了上述内容,在《网络安全法》当中,共有6条是涉及个人信息保护领域。
《关于加强网络信息保护的决定》规定:任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。公民发现泄露个人身份、散布个人隐私等侵害其合法权益的网络信息,或者受到商业性电子信息侵扰的,有权要求网络服务提供者删除有关信息或者采取其他必要措施予以制止。网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。
《网络交易管理办法》第十八条规定:网络商品经营者、有关服务经营者在经营活动中收集、使用消费者或者经营者信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络商品经营者、有关服务经营者收集、使用消费者或者经营者信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。网络商品经营者、有关服务经营者及其工作人员对收集的消费者个人信息或者经营者商业秘密的数据信息必须严格保密,不得泄露、出售或者非法向他人提供。网络商品经营者、有关服务经营者应当采取技术措施和其他必要措施,确保信息安全,防止信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。
《快递市场管理办法》规定:快递企业、快递从业人员不得违法泄露在从事快递服务过程中知悉的用户信息。违反该条款的,按《邮政法》相关条文予以处罚,即邮政企业、快递企业违法提供用户使用邮政服务或者快递服务的信息,尚不构成犯罪的,由邮政管理部门责令改正,没收违法所得,并处1万元以上5万元以下的罚款;对邮政企业直接负责的主管人员和其他直接责任人员给予处分;对快递企业,邮政管理部门还可以责令停业整顿直至吊销其快递业务经营许可证。
《中华人民共和国电子商务法(草案)》:电子商务经营者要建立制度提升技术手段,防止信息泄露、丢失、毁损,确保电子商务数据信息安全;在发生或者可能发生用户个人信息泄露、丢失、毁损时,电子商务经营主体应当立即采取补救措施,及时告知用户,并向有关部门报告。
《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》也自今年6月1日起正式施行。
四、专家点评
对此,长期国内知名电商研究机构、互联网智库——中国电子商务研究中心发表本快评,供参考。
4.1互联网“泄密门”高发原因何在?
中国电子商务研究中心主任曹磊认为,用户信息泄露有多种可能性途径,互联网信息泄露隐形风险重重。现在很多网民拥有多个账号,注册时网站一般都需要填写一些个人信息,如常见的账号、密码、邮箱等,有的网站甚至要实名认证,信息泄露注意有三种原因:(1)拥有个人信息资料的商业机构被外部窃取或内部泄露;(2)技术漏洞所致,造成用户大量隐私内容曝光;(3)用户个人由于信息保管不当,被不法分子获得等。
1、违法成本低,法律监管缺失是根源。中国电子商务研究中心特约研究员、广州金鹏律师事务所合伙人詹朝霞律师认为:违法成本低,法律监管缺失是“泄密”事件再三出现的根源。从法律层面来看,各类服务提供商,基于提供服务所采集的用户信息数据,具有严格保密的法律义务,类似的规定散见于国家工商总局发布的《网络交易管理办法》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》等相关法律法规规章中,虽然规定不少,但相关规定中却没有设置任何对应的处罚措施,违法成本极低。
在日益繁杂多变的网络交易中,服务商们忙于应付各种生意,对于用户信息保密仅仅是基于商业道德或品牌荣誉的角度,其实施力度可想而知。法律监管的缺失是类似事件一而再再而三爆发的根本。行政主管部门,比如工商局、银监会、证监会、通管局等相关部门应该形成联动机制,对泄露用户信息的行为甚至是“出卖”用户信息的行为进行狠狠打击,还消费者以安全,还消费者以放心。
中国电子商务研究中心特约研究员、上海达晨律师事务所主任高兴发认为,近年来,利用技术手段滥用个人信息侵犯个人利益的事件日益增多,而我国目前并没有专门的个人信息保护法,对个人信息的保护主要基于法律对公民一般人格权和隐私权的保护。从各大型互联网企业调整后的隐私政策可以看出,互联网经营者侧重于在收集、处理众多消费者个人信息中的应履行的义务,如依法收集、合理使用、安全防护、禁止或者限制披露等,调整后的隐私政策也更加符合法律法规的规定和要求。
2、平台过度搜集用户隐私信息埋下隐患。中国电子商务研究中心特约研究员、浙江垦丁律师事务所联合创始人律师麻策认为,目前仍存在一些不太注重保护个人信息的用户,如注册时不阅读相关条款,随意授权网站利用个人信息等。广大用户网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。网络服务提供者和其他企业事业单位收集、使用公民个人电子信息,应当公开其收集、使用规则。而此次淘宝、京东、支付宝、滴滴、携程等互联网平台的隐私政策调整能提升网站使用个人信息的透明度。
3、黑客、木马等因素是外部原因。中国电子商务研究中心特约研究员、北京盈科(杭州)律师事务所吴旭华律师认为:电商账号信息泄密存在外部和内部原因。在电商账号信息泄密事件中,按原因分类,可以分为外部原因和内部原因,外部原因就如黑客、木马等因素造成的账户被盗。对于外部原因,可以采取的措施有加强电脑防火墙,升级电脑的杀毒软件,抵御外部黑客、木马等破坏者的侵害。
4、平台技术漏洞、管理疏漏致使员工“监守自盗”是内部原因。吴旭华律师进而指出,内部原因指的是一些平台管理疏漏,内部员工不小心的资料外泄和一些不怀好意者的刻意盗取出售导致泄密。对于内部原因需要企业做好安全措施保护用户的个人信息、密码信息、账户财产,保护消费者的利益不受损害。
4.2互联网信息泄露责任如何鉴定?
中国电子商务研究中心特约研究员、北京盈科(杭州)律师事务所方超强律师认为,电商平台在获取个人信息的同时,就有保护个人信息的义务。信息泄露存在不同的情况,如果电商平台提供了符合其规模的保护措施,但在这种情况之下还是被黑客入侵了系统,这种情况属于不可抗力,电商不用承担责任,但如果最终发现因平台存在漏洞而导致信息泄露,那么平台就要负责。
若盗号者是利用技术手段从电商平台上盗取数据,获得相关账号密码,则需要进一步考虑电商平台在数据保密层面上技术保护水平是否足够高,有无明显漏洞;若一些初学者黑客也可以攻破平台的安全保护措施,可以认为平台没有给予与其规模相匹配的保护,这样的情况下可以认为平台存在漏洞,需要承担责任。根据《网络交易管理办法》第25条第二款规定:第三方交易平台经营者应当采取必要的技术手段和管理措施保证平台的正常运行,提供必要、可靠的交易环境和交易服务,维护网络交易秩序。
在现实中很难有一个标准去判断什么叫做“平台存在漏洞导致信息泄露”,若消费者向法院投诉平台,平台只要举证证明其尽到了安全责任保护义务,就很难对平台进行追责。同时,对于消费者因为在不同电商平台使用相同的账号密码,以致遭到“撞库”盗号,所有账号密码一同被盗,造成自身重大损失,此类情形,应当由谁承担责任要视账号泄密的不同情况分而论之。
而对于社交网络信息泄露,方超强认为社交网络信息泄露追溯案源难各地法院判例不一。社交网络信息泄露问题较为普遍,之前他曾经就代理过此类案件,也是财务被一个跟她老板一模一样的QQ诈骗了几十万,到目前刑事案件基本没进展。民事案件在处理过程中,各地法院判例不一,有以劳动争议判的,也有以一般民事财产损害判的,以劳动争议判的,员工承担责任一般不超过20%。这类欺诈案件实际办案过程确实很难,因为收款帐号都是马甲号,连帐号开户人自己也不知道。
董毅智认为,信息泄漏问题不能只归责于电商企业。个人信息有可能通过多种渠道遭到泄露,如在购物、支付等过程中登记的信息;在“云服务”中存储的数据;在浏览网站、玩网游时产生的大量上网行为数据;在手机上储存的通讯录、通话短信记录、位置信息等……每一次点击鼠标,每一次刷卡消费,每一次拨打电话,每一次驾车出行,数据便已生成。只要一上网,基本上等同于“裸奔”。消费者在享受互联网生活的同时,理应对自身信息进行保护,如不明链接不点、谨慎使用免费wifi、密码分级管理等。很多消费者安全意识淡薄,甚至在多个购物网站使用相同的账户密码,无疑增大了信息泄露的风险。在这种情况下,要电商企业承担消费者信息泄露的直接责任,未免强人所难。
麻策认为用户需要对注册帐户以及密码下的行为承担法律责任。网络交易蓬勃发展之下,消费者网络账号被盗导致损失事件也层出不穷,究竟是网络平台责任还是消费者个人责任总显得扑朔迷离。
虽然我国法律规定网络交易平台须采取措施保障网络交易的安全性,但作为消费者,更要提高安全意识防范网络购物风险,实践中很多盗刷事件的发生也是由于消费者安全意识不足而导致的。比如说消费者随意登录假Wifi,随意刷二维码,不经查核就登录钓鱼网站,以及图贪便宜购买假冒的移动终端硬件,如手机等,该类高风险行为就极易给不法分子可乘之机套取消费者账号信息。另外,消费者使用同样的账号和密码登录不同网站,也极易给不法分子提供连环盗号的便利性。
不论从司法实践还是普遍适用的网站注册协议来看,消费者用户都有责任妥善保管注册帐户信息及帐户密码的安全,用户需要对注册帐户以及密码下的行为承担法律责任。
4.3如何防范、打击个人信息被泄露?
信息泄露带来的危害毋庸置疑,那么如何保护用户的个人信息安全,对此,中国电子商务研究中心主任曹磊给出了如下四点建议:
第一,网站用户信息泄露有多种可能性途径。现在许多APP、网站、公众号、小程序都需要用户注册账号后才能正常使用。因此,每个网民拥有多个账号是很平常的事情。在注册时,网站一般都需要填写一些个人信息,如常见的账号、密码、邮箱等,像一些电子商务、婚恋、交友网站等还需要实名认证,要求填写的信息更加详细。平台上的用户数据泄露主要有以下几种方式:黑客利用平台存在的安全漏洞入侵网站,盗取用户数据库;网站内部工作人员倒卖用户信息;通过撞库攻击,窃取用户数据;利用钓鱼攻击窃取用户信息;通过木马、病毒窃取用户隐私信息。
第二,法律条文需细化,相关部门应适时介入。我国关于网络信息安全方面的法律条文不够明确,适用范围尚且不够精准,相关条文必须得到进一步细化、规范,以此更加公平公正地惩治网络信息安全事故的造成者,保护公民切身利益。此类信息泄露事件不适用“不告不处理的”的原则,相反,执法部门应主动积极介入案件调查,并对实施者进行追责处理。
第三,信息安全无小事,用户必须增强信息保护意识。警惕要求重新输入账号信息,否则将停掉信用卡账号之类的邮件,不要回复或者点击邮件的链接,以免落入圈套。同时,避免开启来路不明的电子邮件及文件,安装杀毒软件并及时升级病毒知识库和操作系统补丁,将敏感信息输入隐私保护,打开个人防火墙。网络银行时,选择使用网络凭证及约定账户方式进行转账交易,不要在网吧、公用计算机上和不明的地下网站做在线交易或转账。不要在多个网站使用相同的注册账户名以及登录密码,防止网络黑客有意盗取,造成多个网站个人信息的连环失窃。
第四,要求网站平台收集和使用用户信息应当遵循“合法、正当、必要”三原则。对收集到的用户信息应当采取安全保护措施,一旦发生泄密,必须及时采取补救措施,否则都可能面临行政处罚或者用户的诉讼。