今天,工信部一口气下架了106个应用软件。据官方发布的通告,这些应用软件涉及“超范围、高频次索取权限、非服务场景所必需收集用户个人信息”,以及“欺骗误导用户下载”。
工信部公布的部分违规名单 | 工信微报
而下架这些应用软件的法律依据主要来自于《个人信息保护法》。
一切还要从一年前说起。
2020年,携程“钻石会员”胡女士在携程上花2889元定了一间房,在退房时她发现,同样的房子,其他人定只要1300元。胡女士越想越生气,随后把携程公司告上法庭,理由是携程“采集非必要个人信息,进行大数据杀熟”。
“大数据杀熟”这几个字出现在判决文书里,让律师和法官尤其头疼。怎么界定大数据杀熟?又如何判罚?
两个朋友定同一个酒店,价格不一样;前脚买房,后脚电话打来问你装修吗;上午考完驾照,下午接到电话问你买车吗;昨天报名考试,今天收到短信问你上补习班吗……这到底是“无微不至”还是侵犯隐私?法律上又有什么相应的规定吗?
今年11月,一部 专注保护个人网络隐私的《个人信息保护法》终于填补了这方面空白,我们的数字生活将得到法律保护。
余盛峰是北京航空航天大学法学院副教授,同时兼任中国法学会比较法学研究会理事。他的研究集中在法律社会理论领域和网络信息安全领域。 《保护法》实施之后,还会有哪些即将到来的转变?《保护法》的严格规定有多重要?余教授为我们带来了第一手解读。
11月开始,第一次登陆社交软件时,大家都会看到一个“个人信息保护政策有更新”的弹窗。很多人直接跳过了这个弹窗,但这其实是《保护法》已经生效的标志。
点进查看详情可以看到,现在的应用软件必须公布用户信息的去向,而且不能拒绝向用户提供服务。
隐私政策的详情页
软件修改隐私政策只是《保护法》带来的改变之一,接下来我们可能还会迎来更多改变。
第二, 公共场所的监控设备会出现明显标识。现在大量的监控摄像头都是藏在暗处、没有标识的,有时候不注意就看不到,依据《保护法》,摄像头都需要加上统一标牌。
第三, 大数据杀熟现象会被制裁,互联网公司必须依法对自己的算法自动化决策给出解释说明,而不能再把定价依据藏在黑箱里。
拒绝算法杀熟,欢迎明码标价
11月《保护法》正式施行之后,人民检察院,特别是最高检很有可能 会主动选取一些典型性的案件进行公益诉讼。
比如说大数据杀熟,接下来可能会有案例针对打车、外卖平台的 双标定价问题。也可能会有与 滥用用户信息相关的案例。比如某音乐平台,号称收集数据是为了推荐更符合用户口味的音乐,结果转手就把信息卖给广告商,这属于违反了目的明确性和目的限定性的侵权行为。还会有 数据存储期限过长的侵权问题。原来你把我的信息收集走,可能只能存储一年,但是我现在通过一些手段发现,我的账号已经过期或注销了,但平台还保存着我的数据,这方面也可能有新鲜的案例出来。
此外,《个人信息保护法》还明确了纠正信息的权利。比如说你五年前把我信息收集走,但这五年间我的个人信息早就发生了变化,但是你一直不更正,给我带来了潜在的危害,这个权利也应该被激活。还有 删除信息的权利,比如有些不愿意让他人看到的隐私信息,十年过去了还是一搜就能搜出来,现在我有权要求删除。
彻底清除“黑历史”也是我们的权利
再比如 数据携带权,假设我现在要注销抖音账号,把所有个人信息迁移到快手,抖音就需要为我提供技术支持。
11月之后,大家的数据生活会得到强力保护,这种变化是可以感知的。
大数据如何锁定你?没有姓名长相也可以
《个人信息保护法》对我们的保护看似无微不至,但不意味着我们已经绝对安全了。问题就出在法律里对“个人信息”的定义上。
到底什么是“个人信息”?曾经,这是一个再简单不过的问题。
欧盟《通用数据保护条例》和我们现在的《个人信息保护法》都采取了这种定义。这种定义最初,也正是从欧洲发源的。
上世纪60年代到70年代,欧洲开始从二战中复苏,为了建立福利国家,政府开始利用电子数据库搜集和存储大量的公民个人信息。针对公民信息,欧盟提出了 “公平信息实践原则”,原则的核心是赋予每个数据主体个人信息的控制权。
依据这个原则,政府必须告知公民哪些信息被收集,公民反过来也拥有各类纠正信息、删除数据、获得通知的权利。
60年代的数据储存设备,数据大多存在本地,与今天完全不同 | Computer History Museum
然而在大数据时代,个人信息的传统定义和保护受到了很大的挑战。
如今的数字技术不需要知道姓名长相也可以触及(access)你。一些似乎跟本人关联不大的信息,通过去匿名化技术和大数据挖掘的处理,又可以通过意想不到的方式定位到你。比如说,一个35岁的程序员去贷款买房,却发现自己的贷款额度比别人低很多,可能就是因为大数据发现35岁以上的程序员失业风险非常高,自动为你降低了额度。
这样的案例算不算个人信息泄露?不完全算。但是否对人造成了真实的影响?是的。
猜我想买什么?对不起,这也侵犯了我的隐私
在很多人看来,个人信息的泄露算不得什么大事,很多APP服务本身就基于我们提供的大量信息。如果不挖掘大数据,外卖的价格不可能那么便宜,如果不开启定位服务,叫车软件的算法也无法快速调配运力。所以在某种程度上,我们作为互联网的消费者,从一开始就和这些互联网企业做了一笔交易,而且是一次性的交易——把自己的信息一次性地授权给了它们,从而享受它们的服务。
交出信息,获得服务 |《智能陷阱》剧照
但互联网对我们隐私的剥夺其实比很多人注意到的还要更狠。
隐私可以被分为几个维度。首先最传统的,也是大家都能意识到的隐私,是 空间隐私。就像英国格言所说的,“每个人的家庭就是他的堡垒”,每个人的房屋和住宅,是他最基本的隐私。
人脸数据被录入、收集 |《智能陷阱》剧照
第三种是 决策隐私。当时美国堕胎案的主要争执点就在于此,起诉方认为,个人的性行为也好,之后决定堕胎也好,这都是一种决策的隐私。就是说我自己的决策自己做主,其他的人和组织没有权力来干涉、旁观我的决策。购物软件记录我们的购物习惯,然后依据大数据推荐商品,看似给了我们方便,其实是侵犯了我们的决策隐私。
还有一种很多人意识不到,但非常重要的隐私,是 精神隐私:我个人的思维,个人的思想决策的自由。这些平台给我推荐很多东西,当然给我很多便利,但同时也阻止了我接触新的事物。我会自己判断我喜欢什么书、什么音乐,算法的推荐其实在无形中干涉了这种自由,侵犯了我的精神隐私。
用“深度不学习”的法律管理“深度学习”的AI,是前所未有的大挑战
互联网不是法外之地,但互联网确实不断在挑战法律。
截至2011年,全球信息网络已经成长为一个由10亿台中央处理器组成的超级有机体。每一秒都有10万亿比特信息通过,每一年产生的数据量接近20艾字节,整个网络约有1万亿网页。另外,这个有机体还包括27亿部手机、13亿部固定电话和2700万台数据服务器。
这一切的总和,再加上近几年出现的“深度学习”,挑战了法律的独特功能。
法律最为核心的特征是“深度不学习”,也就是法律的“规范性”。简而言之,当社会期望失落,当他人未能按照预期相应做出行动,没能按照法律规定执行的时候,法律一定要通过暴力威慑或制裁机制,强行维持规范性权威。法律不学习的根本目的,是为了把高度复杂的社会简化成法条,将学习带来的没有止境的认知链条暂时切断。
随着智能社会的崛起,人类法律正出现一个 从“大定律——小数据”向“大数据——小定律”模式演变的趋势 。
传统的法律根据统一化的“大法律”来整齐划一地规范各种“小事件”,它需要通过简化和收敛各种复杂场景,收束复杂的社会沟通。而智能化的机器学习则开始从海量的“大数据”中根据特定的场景、语境和实用的需要,提取特定的“小法律”来形成反馈机制。不学习的法律可以应对一个具有高度确定性的社会,但是伴随着风险社会的到来,法律也必须做出相应的改变。
《保护法》的落地是一个积极的信号。以前如果遇到了个人信息泄露,不管是起诉还是追责都很困难,一来没有明确的投诉机构,二来没有专门的法律规定。但现在个人信息保护已经写进了法律,如果再遇到信息泄露的情况,那就和侵权的公司在法庭上见吧。
作者:余盛峰,翻翻
编辑:odette
一个AI
虽然隐私条例更改了,但有几个人会去认真读呢?
如有需要请联系sns@guokr.com返回搜狐,查看更多
责任编辑:
文章投诉热线:156 0057 2229 投诉邮箱:29132 36@qq.com