南都個人信息保護(hù)研究中心測評18家互聯(lián)網(wǎng)金融獨角獸企業(yè)旗下APP隱私政策透明度，發(fā)現(xiàn)近半數(shù)幾無任何數(shù)據(jù)共享風(fēng)險防控機(jī)制

　　近日，科技部火炬中心發(fā)布《2017年中國獨角獸企業(yè)發(fā)展報告》，共有164家企業(yè)入選。獨角獸企業(yè)需要滿足幾個基本標(biāo)準(zhǔn)：中國境內(nèi)注冊、成立時間不超過10年，獲得P E投資的非上市企業(yè)，且估值超過(含)10億美元。在估值超過100億美元的10家“超級獨角獸”企業(yè)中，有3家來自互聯(lián)網(wǎng)金融行業(yè)。

　　隨著互聯(lián)網(wǎng)金融行業(yè)的飛速發(fā)展，越來越多用戶個人信息在各類金融平臺聚集，其中大部分是與個人財產(chǎn)相關(guān)的敏感信息。在個人信息泄露事件頻發(fā)的嚴(yán)峻現(xiàn)狀下，互聯(lián)網(wǎng)金融平臺對用戶信息是否有足夠的保護(hù)力度？“臉書”(Facebook)5000萬用戶信息外泄的事件，是否也可能在國內(nèi)上演？

　　南都個人信息保護(hù)研究中心繼前不久公布200家互聯(lián)網(wǎng)金融類APP的測評結(jié)果之后，又交叉比對了164家獨角獸企業(yè)中的18家互聯(lián)網(wǎng)金融企業(yè)，對它們旗下APP的隱私政策透明度、尤其是數(shù)據(jù)共享條款進(jìn)行了測評。

　　測評結(jié)果顯示，近半數(shù)APP幾乎無任何數(shù)據(jù)共享的風(fēng)險防控機(jī)制，用戶數(shù)據(jù)的共享安全毫無保障，存在發(fā)生類似“臉書”事件的風(fēng)險隱患。

　　超半數(shù)隱私政策不及格

　　“隱私政策”，是企業(yè)與用戶之間關(guān)于如何處理和保護(hù)個人信息達(dá)成的協(xié)議，包括用戶個人信息如何被收集、使用或與第三方共享等內(nèi)容。南都個人信息保護(hù)研究中心遵循測評標(biāo)準(zhǔn)為18款A(yù)PP的隱私政策打分，并根據(jù)得分劃分為透明度高、透明度較高、透明度中等、透明度較低、透明度低等5個層級。

　　從測評結(jié)果看，在用戶注冊前，18款A(yù)PP均能做到主動提供隱私條款，但是透明度差異明顯。隱私政策透明度高的僅有支付寶和京東金融；而未達(dá)到“及格線”、處在較低和低層級的超過半數(shù)，共有11款，包括微眾銀行、陸金所、51信用卡、團(tuán)貸網(wǎng)、有利網(wǎng)等。

　　前不久，南都個人信息保護(hù)研究中心發(fā)布了《移動金融用戶個人信息安全測評報告》，對200款互聯(lián)網(wǎng)金融類A PP進(jìn)行了系列測評，其中14款也在此次測評之列。值得一提的是，有2家企業(yè)在兩次測評報告發(fā)布期間修訂了隱私政策，在此次測評中躍入前五。

　　比如借貸寶在隱私政策中增加了摘要、重要條款加粗、退訂商業(yè)推廣的具體操作步驟等，達(dá)到透明度較高的層級；點融網(wǎng)則將隱私政策從用戶協(xié)議中獨立出來并加以完善，得分從原來的透明度低層級升至中等。

　　除了用戶的基本個人信息，互聯(lián)網(wǎng)金融類A PP還會收集身份證號、銀行卡信息等個人敏感信息?！秱€人信息安全規(guī)范》明確規(guī)定，收集個人敏感信息時，應(yīng)取得個人信息主體的明示同意。即個人信息主體通過書面聲明或主動做出肯定性動作，后者包括主動勾選、主動點擊“同意”等。

　　然而，18款A(yù) PP中，有12款均未在收集用戶銀行卡或身份證信息的頁面提供任何協(xié)議。即便有少數(shù)A P P提供了相關(guān)協(xié)議，也存在“不可勾選”和“已默認(rèn)勾選”的問題，未能給予用戶充分的選擇權(quán)。

　　以“51信用卡”A PP為例，當(dāng)用戶選擇開通銀行存管賬戶時，相關(guān)頁面自動跳出風(fēng)險提示書，并顯示《信息授權(quán)服務(wù)協(xié)議》。雖然在告知用戶注意相關(guān)協(xié)議方面，做法較為合規(guī)，但是給予用戶的選擇權(quán)較弱。

　　富途證券旗下的“富途牛?！盇PP是相對符合合規(guī)要求，未默認(rèn)勾選相關(guān)協(xié)議，較好地保障了用戶的知情權(quán)和選擇權(quán)。

　　7家企業(yè)用戶數(shù)據(jù)共享安全無保障

　　上周，“臉書”由于第三方共享的風(fēng)險防控問題被輿論推上了“審判臺”，因此南都個人信息保護(hù)研究中心還特別對這18款A(yù) PP的用戶數(shù)據(jù)共享機(jī)制進(jìn)行了測評。

　　測評將共享的情況分為三種：

　　第一種是經(jīng)過用戶授權(quán)同意才共享，或者只會應(yīng)司法、政府、學(xué)術(shù)等需要共享，以及通過共享才能實現(xiàn)上下游業(yè)務(wù)的情況，這類共享風(fēng)險被認(rèn)為是直接關(guān)聯(lián)或可控的；

　　第二種是可能會將用戶信息提供給關(guān)聯(lián)公司，或者由于兼并重組產(chǎn)生的共享，這類共享可以通過安全測評或簽訂保密協(xié)議控制，但本身與用戶獲得服務(wù)沒有直接聯(lián)系，被認(rèn)為部分可控；

　　第三種是不經(jīng)過用戶同意，將信息共享給非業(yè)務(wù)需要的第三方，或者在隱私政策里要求用戶一攬子同意不合理的共享條款，盡管在形式上獲得了用戶同意，但實際上暗藏霸王條款，這類共享被認(rèn)為風(fēng)險不可控。此外，沒有共享數(shù)據(jù)相關(guān)條款的也被歸為最后一種情況。

　　經(jīng)過測評發(fā)現(xiàn)，這18家獨角獸企業(yè)中，大部分企業(yè)的用戶個人信息第三方共享機(jī)制堪稱“千瘡百孔”。根據(jù)它們的隱私政策，大量用戶數(shù)據(jù)目前很有可能已經(jīng)流入到了一些安全技術(shù)能力不確定的第三方合作企業(yè)或機(jī)構(gòu)手中，存在發(fā)生類似“臉書”事件的風(fēng)險隱患。

　　在18家金融類的獨角獸企業(yè)中，數(shù)據(jù)共享風(fēng)險防控機(jī)制較為完善的有2家，分別為螞蟻金服旗下的支付寶與51信用卡；基本合理的有4家，包括京東金融、借貸寶、點融網(wǎng)與微眾銀行，它們一方面承諾不經(jīng)用戶同意不會與第三方共享用戶數(shù)據(jù)，另一方面對于共享數(shù)據(jù)的第三方有嚴(yán)格的要求，如政府、司法機(jī)關(guān)需要使用數(shù)據(jù)時，或者承諾會在共享前對第三方的信息保護(hù)能力做出評測。

　　令人擔(dān)憂的是，18家金融類獨角獸企業(yè)中，有7家的數(shù)據(jù)共享風(fēng)險防控機(jī)制極差。如團(tuán)貸網(wǎng)、陸金所等，它們的隱私政策中明文寫道：“平臺無需用戶同意即可向第三方轉(zhuǎn)讓與平臺有關(guān)的全部或部分權(quán)利和義務(wù)”；還有的企業(yè)根本沒有與共享數(shù)據(jù)相關(guān)隱私條款，如有利網(wǎng)。

　　值得注意的是，在這18家金融類獨角獸企業(yè)中，一種常見的規(guī)避責(zé)任的方式是，運營商在用戶協(xié)議中要求用戶一攬子同意一些敏感信息的收集與共享要求，例如“隨手科技”的隱私政策中提到：“您授權(quán)并同意我們通過與第三方機(jī)構(gòu)合作的方式，使用攝像頭以及通過技術(shù)手段獲取您的個人信息和設(shè)備信息。”或“您授權(quán)并同意隨手科技與第三方機(jī)構(gòu)合作(如芝麻信用、白騎士、曠世科技等)通過向其提供本協(xié)議第二條約定的個人信息的方式，采集、查詢您的信用信息……”

　　一方面，用戶常常不會仔細(xì)查看就點擊注冊，糊里糊涂授權(quán)平臺收集大量本不需要的個人信息，甚至允許平臺把個人信息隨手共享給任意第三方，而不用考慮個人信息的安全性。另一方面，數(shù)據(jù)一旦泄露，面對用戶維權(quán)，平臺就可以搬出注冊時的一攬子協(xié)議向用戶表示，“你曾經(jīng)已經(jīng)授權(quán)并同意我們這樣做了”，使用戶投訴維權(quán)無門。

　　《網(wǎng)絡(luò)安全法》第四十二條規(guī)定：未經(jīng)被收集者同意，不得向他人提供個人信息。將于今年5月1日實施的《個人信息安全規(guī)范》則要求，在共享用戶敏感信息時，需要事先對用戶進(jìn)行二次提醒，并獲得用戶的授權(quán)同意。因此，握有身份證信息、銀行卡信息等大量用戶敏感數(shù)據(jù)的APP通過一攬子獲得授權(quán)的辦法，是無法保護(hù)用戶個人信息的，可以說發(fā)生用戶信息通過第三方泄露的風(fēng)險極大，毫無安全保障。

　　“李彥宏稱中國用戶愿意用隱私換效率”引爭議

　　百度回應(yīng)：

　　不會利用用戶隱私數(shù)據(jù)做出損害用戶的事情

　　南都訊　3月26日，中國發(fā)展高層論壇在北京舉行。據(jù)媒體報道，百度董事長兼首席執(zhí)行官李彥宏在論壇上表示，中國人對隱私問題沒那么敏感，很多情況下愿意用隱私交換便捷性?！袄顝┖攴Q中國用戶愿意用隱私換效率”隨之登上眾多媒體頭條，引發(fā)爭議。

　　據(jù)了解，李彥宏是在參與論壇討論時發(fā)表相關(guān)言論的。談到數(shù)據(jù)利用時，他說，百度非常重視隱私問題。在過去幾年中，中國也越來越認(rèn)識到這一問題的重要性。但是在這個過程中，中國人更加開放或者說對隱私問題沒那么敏感，很多情況下愿意用隱私來交換便捷性或者效率。他同時強(qiáng)調(diào)，百度在這一過程中要遵循一系列原則，如果百度認(rèn)為使用某一數(shù)據(jù)會讓所有者受益，所有者也愿意讓百度使用的話，百度就會去用。

　　南都記者注意到，“李彥宏稱中國用戶愿意用隱私換效率”的相關(guān)報道招致了大量網(wǎng)友的不滿?！笆且驗楸荒銈兘壖芰撕脝?，效率和隱私是矛盾的嗎！”“我們不愿意泄露隱私，隱私和效率同步并不沖突，提高效率的同時為什么不能保護(hù)隱私?！币恍┪⒉┰u論道。

　　針對此事，百度相關(guān)人士向南都記者表示，李彥宏說中國用戶愿用隱私換效率，并不是說隱私不重要。“從任何角度，百度不可能贊同侵犯別人隱私的行為。李彥宏是想表達(dá)，在遵循一系列的數(shù)據(jù)保護(hù)原則，如何更合理更有效率使用數(shù)據(jù)，讓社會、企業(yè)和用戶都比現(xiàn)在更受益?！痹撊耸空f。

　　上述人士表示，非常理解網(wǎng)民對于個人隱私問題的焦慮。在享受互聯(lián)網(wǎng)產(chǎn)品或者服務(wù)時，用戶需要授權(quán)使用相關(guān)隱私信息來提升服務(wù)體驗。我們不會利用用戶的隱私數(shù)據(jù)，做出損害用戶的事情?！彼麖?qiáng)調(diào)，百度很注重隱私問題。

　　觀察

　　“愿用隱私換效率”某種程度上是令人尷尬的事實

　　互聯(lián)網(wǎng)已滲透到生活的每個角落，從訂餐、出行到支付、社交，甚至連傳統(tǒng)意義上最為隱私的居家場所都有智能設(shè)備的身影。人們的言行無時無刻不在被記錄和傳輸，便捷性大大提高的同時，隱私泄露的風(fēng)險也如影隨行。

　　李彥宏表示，中國人對隱私問題沒那么敏感，很多情況下愿意用隱私交換便捷性。這一言論引來一片聲討，但在某種程度上是令人尷尬的事實。

　　在強(qiáng)勢的企業(yè)面前，民眾的選擇權(quán)非常有限

　　互聯(lián)網(wǎng)行業(yè)的發(fā)展以數(shù)據(jù)為基礎(chǔ)，用戶想使用互聯(lián)網(wǎng)服務(wù)就需要交出部分?jǐn)?shù)據(jù)。在這一過程中，企業(yè)應(yīng)與用戶達(dá)成協(xié)議，并對用戶數(shù)據(jù)采取有效的保護(hù)。用戶如果不同意企業(yè)提供的方案，可以不使用該企業(yè)的服務(wù)，轉(zhuǎn)而選擇別家的服務(wù)。

　　但實際情況往往沒有那么理想。縱觀互聯(lián)網(wǎng)行業(yè)，基本上每個領(lǐng)域內(nèi)都已形成一家獨大之勢，領(lǐng)頭羊也不過兩三家。在強(qiáng)勢的企業(yè)面前，民眾的選擇權(quán)非常有限。據(jù)南都記者調(diào)查，目前絕大多數(shù)網(wǎng)站和APP都有隱私政策，用戶不同意就無法使用。

　　“雖然法律明確規(guī)定用戶享有選擇權(quán)，但選擇權(quán)在哪？比如我所有的同事和朋友都用微信，甚至我的工作都離不開微信，那我只能同意企業(yè)的隱私政策才能使用微信。未來互聯(lián)網(wǎng)服務(wù)提供方肯定會越來越集中，消費者的選擇權(quán)也就會慢慢消失。”北京璽澤律師事務(wù)所高級合伙人劉新焱指出。

　　測評結(jié)果顯示隱私政策合規(guī)度高的平臺極少

　　事實上，就算用戶有充分的選擇權(quán)，國內(nèi)的隱私保護(hù)現(xiàn)狀也不容樂觀。南都記者曾經(jīng)測評過共計1550家網(wǎng)站和APP，結(jié)果顯示，隱私政策合規(guī)度高的平臺極少，合規(guī)度低的超過總數(shù)的80%?；ヂ?lián)網(wǎng)金融類和購物類的合規(guī)度低的網(wǎng)站和APP占比甚至高于90%。

　　合規(guī)度低，意味著企業(yè)無法為用戶數(shù)據(jù)提供充分保護(hù)。一方面，數(shù)據(jù)流動的問題非常復(fù)雜，一些企業(yè)確實能力有限，無法應(yīng)對來自黑客的網(wǎng)絡(luò)攻擊，這屬于“心有余而力不足”型。

　　但另一方面，許多企業(yè)根本不愿意為用戶數(shù)據(jù)保護(hù)付出成本，屬于“漠視”型。這類企業(yè)中甚至不乏一些知名度較高的企業(yè)。南都記者在回顧測評中發(fā)現(xiàn)，麥包包、美囤媽媽等17家互聯(lián)網(wǎng)產(chǎn)品遭到曝光后仍然“我行我素”，沒有任何個人信息保護(hù)相關(guān)的隱私政策。

　　隱私與個人信息邊界劃分非常艱難

　　互聯(lián)網(wǎng)時代的隱私保護(hù)的另一個難點，即邊界問題。每個人對隱私的理解不同，愿意讓渡隱私的邊界也不盡相同。例如，一些人認(rèn)為手機(jī)號碼是隱私，另一些人卻不這么認(rèn)為，因此，隱私常常是一個相對私人的抉擇，制定出一個適用于所有人的規(guī)則并非易事。

　　在學(xué)術(shù)界，隱私與個人信息也不能完全等同，這其中的邊界劃分卻非常艱難。享受互聯(lián)網(wǎng)服務(wù)，通常需要用戶讓渡部分個人信息，但是在多大范圍內(nèi)讓渡？其中的平衡點在哪里？用戶不知道，企業(yè)似乎也很頭疼。

　　因此，當(dāng)用戶遇到相關(guān)問題時，除非是出現(xiàn)了人身和財產(chǎn)的重大損失，否則一般很難維權(quán)。大多數(shù)情況下，面對隱私泄露帶來的騷擾和詐騙，公眾處于求告無門的尷尬境地，除了親友之間互相提醒謹(jǐn)防上當(dāng)，也沒有什么更好的解決辦法。

　　有用戶在蠅頭小利面前交出自己的隱私

　　此外，不少用戶擁抱互聯(lián)網(wǎng)帶來的便利，卻沒有注意到其中的風(fēng)險。他們不重視隱私保護(hù)，在便捷性甚至是一些蠅頭小利面前交出了自己的隱私。

　　南都個人信息保護(hù)研究中心曾在北京舉辦一次體驗活動，觀察體驗者是否愿意用隱私信息交換帽衫、充電寶等禮品。讓人哭笑不得的是，一位男士一邊念叨著自己曾因電話號碼泄露遭遇電信詐騙，一邊毫不猶豫地用電話號碼換走了帽衫?，F(xiàn)實中類似這位男士的用戶，估計還不在少數(shù)。

　　技術(shù)進(jìn)步的過程中一定會出現(xiàn)利益的撕扯，用戶隱私和數(shù)據(jù)整合便是典型。為了技術(shù)和社會的發(fā)展進(jìn)步，隱私保護(hù)固然應(yīng)該保持在適當(dāng)限度，但企業(yè)絕不能漠視用戶的選擇權(quán)。用戶到底是真的不敏感，還是被逼得不再敏感？這是一個值得思考的問題。而就用戶本身來說，也不能把隱私保護(hù)的責(zé)任全部推給企業(yè)，必要時需要站出來，勇敢維護(hù)自己的權(quán)益。

　　采寫：南都記者 李玲娜 迪婭 蔣琳 馮群星 實習(xí)生 尤一煒