南都個(gè)人信息保護(hù)研究中心測評18家互聯(lián)網(wǎng)金融獨(dú)角獸企業(yè)旗下APP隱私政策透明度，發(fā)現(xiàn)近半數(shù)幾無任何數(shù)據(jù)共享風(fēng)險(xiǎn)防控機(jī)制

　　近日，科技部火炬中心發(fā)布《2017年中國獨(dú)角獸企業(yè)發(fā)展報(bào)告》，共有164家企業(yè)入選。獨(dú)角獸企業(yè)需要滿足幾個(gè)基本標(biāo)準(zhǔn)：中國境內(nèi)注冊、成立時(shí)間不超過10年，獲得P E投資的非上市企業(yè)，且估值超過(含)10億美元。在估值超過100億美元的10家“超級獨(dú)角獸”企業(yè)中，有3家來自互聯(lián)網(wǎng)金融行業(yè)。

　　隨著互聯(lián)網(wǎng)金融行業(yè)的飛速發(fā)展，越來越多用戶個(gè)人信息在各類金融平臺聚集，其中大部分是與個(gè)人財(cái)產(chǎn)相關(guān)的敏感信息。在個(gè)人信息泄露事件頻發(fā)的嚴(yán)峻現(xiàn)狀下，互聯(lián)網(wǎng)金融平臺對用戶信息是否有足夠的保護(hù)力度？“臉書”(Facebook)5000萬用戶信息外泄的事件，是否也可能在國內(nèi)上演？

　　南都個(gè)人信息保護(hù)研究中心繼前不久公布200家互聯(lián)網(wǎng)金融類APP的測評結(jié)果之后，又交叉比對了164家獨(dú)角獸企業(yè)中的18家互聯(lián)網(wǎng)金融企業(yè)，對它們旗下APP的隱私政策透明度、尤其是數(shù)據(jù)共享?xiàng)l款進(jìn)行了測評。

　　測評結(jié)果顯示，近半數(shù)APP幾乎無任何數(shù)據(jù)共享的風(fēng)險(xiǎn)防控機(jī)制，用戶數(shù)據(jù)的共享安全毫無保障，存在發(fā)生類似“臉書”事件的風(fēng)險(xiǎn)隱患。

　　超半數(shù)隱私政策不及格

　　“隱私政策”，是企業(yè)與用戶之間關(guān)于如何處理和保護(hù)個(gè)人信息達(dá)成的協(xié)議，包括用戶個(gè)人信息如何被收集、使用或與第三方共享等內(nèi)容。南都個(gè)人信息保護(hù)研究中心遵循測評標(biāo)準(zhǔn)為18款A(yù)PP的隱私政策打分，并根據(jù)得分劃分為透明度高、透明度較高、透明度中等、透明度較低、透明度低等5個(gè)層級。

　　從測評結(jié)果看，在用戶注冊前，18款A(yù)PP均能做到主動(dòng)提供隱私條款，但是透明度差異明顯。隱私政策透明度高的僅有支付寶和京東金融；而未達(dá)到“及格線”、處在較低和低層級的超過半數(shù)，共有11款，包括微眾銀行、陸金所、51信用卡、團(tuán)貸網(wǎng)、有利網(wǎng)等。

　　前不久，南都個(gè)人信息保護(hù)研究中心發(fā)布了《移動(dòng)金融用戶個(gè)人信息安全測評報(bào)告》，對200款互聯(lián)網(wǎng)金融類A PP進(jìn)行了系列測評，其中14款也在此次測評之列。值得一提的是，有2家企業(yè)在兩次測評報(bào)告發(fā)布期間修訂了隱私政策，在此次測評中躍入前五。

　　比如借貸寶在隱私政策中增加了摘要、重要條款加粗、退訂商業(yè)推廣的具體操作步驟等，達(dá)到透明度較高的層級；點(diǎn)融網(wǎng)則將隱私政策從用戶協(xié)議中獨(dú)立出來并加以完善，得分從原來的透明度低層級升至中等。

　　除了用戶的基本個(gè)人信息，互聯(lián)網(wǎng)金融類A PP還會(huì)收集身份證號、銀行卡信息等個(gè)人敏感信息?！秱€(gè)人信息安全規(guī)范》明確規(guī)定，收集個(gè)人敏感信息時(shí)，應(yīng)取得個(gè)人信息主體的明示同意。即個(gè)人信息主體通過書面聲明或主動(dòng)做出肯定性動(dòng)作，后者包括主動(dòng)勾選、主動(dòng)點(diǎn)擊“同意”等。

　　然而，18款A(yù) PP中，有12款均未在收集用戶銀行卡或身份證信息的頁面提供任何協(xié)議。即便有少數(shù)A P P提供了相關(guān)協(xié)議，也存在“不可勾選”和“已默認(rèn)勾選”的問題，未能給予用戶充分的選擇權(quán)。

　　以“51信用卡”A PP為例，當(dāng)用戶選擇開通銀行存管賬戶時(shí)，相關(guān)頁面自動(dòng)跳出風(fēng)險(xiǎn)提示書，并顯示《信息授權(quán)服務(wù)協(xié)議》。雖然在告知用戶注意相關(guān)協(xié)議方面，做法較為合規(guī)，但是給予用戶的選擇權(quán)較弱。

　　富途證券旗下的“富途牛?！盇PP是相對符合合規(guī)要求，未默認(rèn)勾選相關(guān)協(xié)議，較好地保障了用戶的知情權(quán)和選擇權(quán)。

　　7家企業(yè)用戶數(shù)據(jù)共享安全無保障

　　上周，“臉書”由于第三方共享的風(fēng)險(xiǎn)防控問題被輿論推上了“審判臺”，因此南都個(gè)人信息保護(hù)研究中心還特別對這18款A(yù) PP的用戶數(shù)據(jù)共享機(jī)制進(jìn)行了測評。

　　測評將共享的情況分為三種：

　　第一種是經(jīng)過用戶授權(quán)同意才共享，或者只會(huì)應(yīng)司法、政府、學(xué)術(shù)等需要共享，以及通過共享才能實(shí)現(xiàn)上下游業(yè)務(wù)的情況，這類共享風(fēng)險(xiǎn)被認(rèn)為是直接關(guān)聯(lián)或可控的；

　　第二種是可能會(huì)將用戶信息提供給關(guān)聯(lián)公司，或者由于兼并重組產(chǎn)生的共享，這類共享可以通過安全測評或簽訂保密協(xié)議控制，但本身與用戶獲得服務(wù)沒有直接聯(lián)系，被認(rèn)為部分可控；

　　第三種是不經(jīng)過用戶同意，將信息共享給非業(yè)務(wù)需要的第三方，或者在隱私政策里要求用戶一攬子同意不合理的共享?xiàng)l款，盡管在形式上獲得了用戶同意，但實(shí)際上暗藏霸王條款，這類共享被認(rèn)為風(fēng)險(xiǎn)不可控。此外，沒有共享數(shù)據(jù)相關(guān)條款的也被歸為最后一種情況。

　　經(jīng)過測評發(fā)現(xiàn)，這18家獨(dú)角獸企業(yè)中，大部分企業(yè)的用戶個(gè)人信息第三方共享機(jī)制堪稱“千瘡百孔”。根據(jù)它們的隱私政策，大量用戶數(shù)據(jù)目前很有可能已經(jīng)流入到了一些安全技術(shù)能力不確定的第三方合作企業(yè)或機(jī)構(gòu)手中，存在發(fā)生類似“臉書”事件的風(fēng)險(xiǎn)隱患。

　　在18家金融類的獨(dú)角獸企業(yè)中，數(shù)據(jù)共享風(fēng)險(xiǎn)防控機(jī)制較為完善的有2家，分別為螞蟻金服旗下的支付寶與51信用卡；基本合理的有4家，包括京東金融、借貸寶、點(diǎn)融網(wǎng)與微眾銀行，它們一方面承諾不經(jīng)用戶同意不會(huì)與第三方共享用戶數(shù)據(jù)，另一方面對于共享數(shù)據(jù)的第三方有嚴(yán)格的要求，如政府、司法機(jī)關(guān)需要使用數(shù)據(jù)時(shí)，或者承諾會(huì)在共享前對第三方的信息保護(hù)能力做出評測。

　　令人擔(dān)憂的是，18家金融類獨(dú)角獸企業(yè)中，有7家的數(shù)據(jù)共享風(fēng)險(xiǎn)防控機(jī)制極差。如團(tuán)貸網(wǎng)、陸金所等，它們的隱私政策中明文寫道：“平臺無需用戶同意即可向第三方轉(zhuǎn)讓與平臺有關(guān)的全部或部分權(quán)利和義務(wù)”；還有的企業(yè)根本沒有與共享數(shù)據(jù)相關(guān)隱私條款，如有利網(wǎng)。

　　值得注意的是，在這18家金融類獨(dú)角獸企業(yè)中，一種常見的規(guī)避責(zé)任的方式是，運(yùn)營商在用戶協(xié)議中要求用戶一攬子同意一些敏感信息的收集與共享要求，例如“隨手科技”的隱私政策中提到：“您授權(quán)并同意我們通過與第三方機(jī)構(gòu)合作的方式，使用攝像頭以及通過技術(shù)手段獲取您的個(gè)人信息和設(shè)備信息?！被颉澳跈?quán)并同意隨手科技與第三方機(jī)構(gòu)合作(如芝麻信用、白騎士、曠世科技等)通過向其提供本協(xié)議第二條約定的個(gè)人信息的方式，采集、查詢您的信用信息……”

　　一方面，用戶常常不會(huì)仔細(xì)查看就點(diǎn)擊注冊，糊里糊涂授權(quán)平臺收集大量本不需要的個(gè)人信息，甚至允許平臺把個(gè)人信息隨手共享給任意第三方，而不用考慮個(gè)人信息的安全性。另一方面，數(shù)據(jù)一旦泄露，面對用戶維權(quán)，平臺就可以搬出注冊時(shí)的一攬子協(xié)議向用戶表示，“你曾經(jīng)已經(jīng)授權(quán)并同意我們這樣做了”，使用戶投訴維權(quán)無門。

　　《網(wǎng)絡(luò)安全法》第四十二條規(guī)定：未經(jīng)被收集者同意，不得向他人提供個(gè)人信息。將于今年5月1日實(shí)施的《個(gè)人信息安全規(guī)范》則要求，在共享用戶敏感信息時(shí)，需要事先對用戶進(jìn)行二次提醒，并獲得用戶的授權(quán)同意。因此，握有身份證信息、銀行卡信息等大量用戶敏感數(shù)據(jù)的APP通過一攬子獲得授權(quán)的辦法，是無法保護(hù)用戶個(gè)人信息的，可以說發(fā)生用戶信息通過第三方泄露的風(fēng)險(xiǎn)極大，毫無安全保障。

　　“李彥宏稱中國用戶愿意用隱私換效率”引爭議

　　百度回應(yīng)：

　　不會(huì)利用用戶隱私數(shù)據(jù)做出損害用戶的事情

　　南都訊　3月26日，中國發(fā)展高層論壇在北京舉行。據(jù)媒體報(bào)道，百度董事長兼首席執(zhí)行官李彥宏在論壇上表示，中國人對隱私問題沒那么敏感，很多情況下愿意用隱私交換便捷性?！袄顝┖攴Q中國用戶愿意用隱私換效率”隨之登上眾多媒體頭條，引發(fā)爭議。

　　據(jù)了解，李彥宏是在參與論壇討論時(shí)發(fā)表相關(guān)言論的。談到數(shù)據(jù)利用時(shí)，他說，百度非常重視隱私問題。在過去幾年中，中國也越來越認(rèn)識到這一問題的重要性。但是在這個(gè)過程中，中國人更加開放或者說對隱私問題沒那么敏感，很多情況下愿意用隱私來交換便捷性或者效率。他同時(shí)強(qiáng)調(diào)，百度在這一過程中要遵循一系列原則，如果百度認(rèn)為使用某一數(shù)據(jù)會(huì)讓所有者受益，所有者也愿意讓百度使用的話，百度就會(huì)去用。

　　南都記者注意到，“李彥宏稱中國用戶愿意用隱私換效率”的相關(guān)報(bào)道招致了大量網(wǎng)友的不滿?！笆且?yàn)楸荒銈兘壖芰撕脝幔屎碗[私是矛盾的嗎！”“我們不愿意泄露隱私，隱私和效率同步并不沖突，提高效率的同時(shí)為什么不能保護(hù)隱私?！币恍┪⒉┰u論道。

　　針對此事，百度相關(guān)人士向南都記者表示，李彥宏說中國用戶愿用隱私換效率，并不是說隱私不重要?！皬娜魏谓嵌龋俣炔豢赡苜澩址竸e人隱私的行為。李彥宏是想表達(dá)，在遵循一系列的數(shù)據(jù)保護(hù)原則，如何更合理更有效率使用數(shù)據(jù)，讓社會(huì)、企業(yè)和用戶都比現(xiàn)在更受益?！痹撊耸空f。

　　上述人士表示，非常理解網(wǎng)民對于個(gè)人隱私問題的焦慮。在享受互聯(lián)網(wǎng)產(chǎn)品或者服務(wù)時(shí)，用戶需要授權(quán)使用相關(guān)隱私信息來提升服務(wù)體驗(yàn)。我們不會(huì)利用用戶的隱私數(shù)據(jù)，做出損害用戶的事情。”他強(qiáng)調(diào)，百度很注重隱私問題。

　　觀察

　　“愿用隱私換效率”某種程度上是令人尷尬的事實(shí)

　　互聯(lián)網(wǎng)已滲透到生活的每個(gè)角落，從訂餐、出行到支付、社交，甚至連傳統(tǒng)意義上最為隱私的居家場所都有智能設(shè)備的身影。人們的言行無時(shí)無刻不在被記錄和傳輸，便捷性大大提高的同時(shí)，隱私泄露的風(fēng)險(xiǎn)也如影隨行。

　　李彥宏表示，中國人對隱私問題沒那么敏感，很多情況下愿意用隱私交換便捷性。這一言論引來一片聲討，但在某種程度上是令人尷尬的事實(shí)。

　　在強(qiáng)勢的企業(yè)面前，民眾的選擇權(quán)非常有限

　　互聯(lián)網(wǎng)行業(yè)的發(fā)展以數(shù)據(jù)為基礎(chǔ)，用戶想使用互聯(lián)網(wǎng)服務(wù)就需要交出部分?jǐn)?shù)據(jù)。在這一過程中，企業(yè)應(yīng)與用戶達(dá)成協(xié)議，并對用戶數(shù)據(jù)采取有效的保護(hù)。用戶如果不同意企業(yè)提供的方案，可以不使用該企業(yè)的服務(wù)，轉(zhuǎn)而選擇別家的服務(wù)。

　　但實(shí)際情況往往沒有那么理想?？v觀互聯(lián)網(wǎng)行業(yè)，基本上每個(gè)領(lǐng)域內(nèi)都已形成一家獨(dú)大之勢，領(lǐng)頭羊也不過兩三家。在強(qiáng)勢的企業(yè)面前，民眾的選擇權(quán)非常有限。據(jù)南都記者調(diào)查，目前絕大多數(shù)網(wǎng)站和APP都有隱私政策，用戶不同意就無法使用。

　　“雖然法律明確規(guī)定用戶享有選擇權(quán)，但選擇權(quán)在哪？比如我所有的同事和朋友都用微信，甚至我的工作都離不開微信，那我只能同意企業(yè)的隱私政策才能使用微信。未來互聯(lián)網(wǎng)服務(wù)提供方肯定會(huì)越來越集中，消費(fèi)者的選擇權(quán)也就會(huì)慢慢消失。”北京璽澤律師事務(wù)所高級合伙人劉新焱指出。

　　測評結(jié)果顯示隱私政策合規(guī)度高的平臺極少

　　事實(shí)上，就算用戶有充分的選擇權(quán)，國內(nèi)的隱私保護(hù)現(xiàn)狀也不容樂觀。南都記者曾經(jīng)測評過共計(jì)1550家網(wǎng)站和APP，結(jié)果顯示，隱私政策合規(guī)度高的平臺極少，合規(guī)度低的超過總數(shù)的80%?；ヂ?lián)網(wǎng)金融類和購物類的合規(guī)度低的網(wǎng)站和APP占比甚至高于90%。

　　合規(guī)度低，意味著企業(yè)無法為用戶數(shù)據(jù)提供充分保護(hù)。一方面，數(shù)據(jù)流動(dòng)的問題非常復(fù)雜，一些企業(yè)確實(shí)能力有限，無法應(yīng)對來自黑客的網(wǎng)絡(luò)攻擊，這屬于“心有余而力不足”型。

　　但另一方面，許多企業(yè)根本不愿意為用戶數(shù)據(jù)保護(hù)付出成本，屬于“漠視”型。這類企業(yè)中甚至不乏一些知名度較高的企業(yè)。南都記者在回顧測評中發(fā)現(xiàn)，麥包包、美囤媽媽等17家互聯(lián)網(wǎng)產(chǎn)品遭到曝光后仍然“我行我素”，沒有任何個(gè)人信息保護(hù)相關(guān)的隱私政策。

　　隱私與個(gè)人信息邊界劃分非常艱難

　　互聯(lián)網(wǎng)時(shí)代的隱私保護(hù)的另一個(gè)難點(diǎn)，即邊界問題。每個(gè)人對隱私的理解不同，愿意讓渡隱私的邊界也不盡相同。例如，一些人認(rèn)為手機(jī)號碼是隱私，另一些人卻不這么認(rèn)為，因此，隱私常常是一個(gè)相對私人的抉擇，制定出一個(gè)適用于所有人的規(guī)則并非易事。

　　在學(xué)術(shù)界，隱私與個(gè)人信息也不能完全等同，這其中的邊界劃分卻非常艱難。享受互聯(lián)網(wǎng)服務(wù)，通常需要用戶讓渡部分個(gè)人信息，但是在多大范圍內(nèi)讓渡？其中的平衡點(diǎn)在哪里？用戶不知道，企業(yè)似乎也很頭疼。

　　因此，當(dāng)用戶遇到相關(guān)問題時(shí)，除非是出現(xiàn)了人身和財(cái)產(chǎn)的重大損失，否則一般很難維權(quán)。大多數(shù)情況下，面對隱私泄露帶來的騷擾和詐騙，公眾處于求告無門的尷尬境地，除了親友之間互相提醒謹(jǐn)防上當(dāng)，也沒有什么更好的解決辦法。

　　有用戶在蠅頭小利面前交出自己的隱私

　　此外，不少用戶擁抱互聯(lián)網(wǎng)帶來的便利，卻沒有注意到其中的風(fēng)險(xiǎn)。他們不重視隱私保護(hù)，在便捷性甚至是一些蠅頭小利面前交出了自己的隱私。

　　南都個(gè)人信息保護(hù)研究中心曾在北京舉辦一次體驗(yàn)活動(dòng)，觀察體驗(yàn)者是否愿意用隱私信息交換帽衫、充電寶等禮品。讓人哭笑不得的是，一位男士一邊念叨著自己曾因電話號碼泄露遭遇電信詐騙，一邊毫不猶豫地用電話號碼換走了帽衫。現(xiàn)實(shí)中類似這位男士的用戶，估計(jì)還不在少數(shù)。

　　技術(shù)進(jìn)步的過程中一定會(huì)出現(xiàn)利益的撕扯，用戶隱私和數(shù)據(jù)整合便是典型。為了技術(shù)和社會(huì)的發(fā)展進(jìn)步，隱私保護(hù)固然應(yīng)該保持在適當(dāng)限度，但企業(yè)絕不能漠視用戶的選擇權(quán)。用戶到底是真的不敏感，還是被逼得不再敏感？這是一個(gè)值得思考的問題。而就用戶本身來說，也不能把隱私保護(hù)的責(zé)任全部推給企業(yè)，必要時(shí)需要站出來，勇敢維護(hù)自己的權(quán)益。

　　采寫：南都記者 李玲娜 迪婭 蔣琳 馮群星 實(shí)習(xí)生 尤一煒