見習記者/賈彥穎

一個賬號注冊、一次未曾深究的授權、一個搜索、一句留言、一個點贊、一次分享、一次購買、一條瀏覽記錄、一張自拍……數(shù)字化時代，每一天，每個人，都在線上“數(shù)據(jù)庫”留下了軌跡清晰的足跡。在所謂“沒有秘密”的大數(shù)據(jù)時代，個人信息“裸奔”早已見怪不怪。個人信息保護如此之難，究竟難在哪里？

個人：信息泄露自己卻感知不到

明明沒有用過這個App，卻收到了“××，你有一個通訊錄好友在某App上將你設置為心動對象。點擊http：//××××.com， 下 載 App作出你的選擇。回T退訂”。相信很多手機用戶都曾收到過類似的短信，看到自己的名字被準確叫出，大部分人都會立即察覺到自己的個人信息泄露了。

但究竟是誰在隱蔽收集著我們的信息？中國信息通信研究院安全所數(shù)據(jù)安全研究部副主任陳湉表示，人們可能生活在了一個被頻繁收集、反復收集、每時每刻收集(個人信息)的世界當中。

以App個人信息安全問題為例，目前App已經(jīng)普及成為生活中的必需品。據(jù)統(tǒng)計，2018年全國App市場規(guī)模為449萬款，從分發(fā)量來看，國內(nèi)第三方應用商店分發(fā)總量是1.8萬億次。

App隱蔽收集個人信息的常見方式為獲取系統(tǒng)高危權限?！按罅緼pp默認‘開機自啟動’高危權限，所以無論是否使用App，它均可以調(diào)動用戶已經(jīng)允許的權限收集個人信息、上傳遠程服務器，但用戶自己卻感知不到?！标悳徴f。

此外，某些App還會非法獲取超級權限行為(root權限)，可以對系統(tǒng)中任何文件執(zhí)行操作。部分App為了能夠收集更多的個人信息進行用戶畫像分析，會使用cookie及其同類技術隱蔽收集個人標識、個人行為記錄等信息。甚至，有些App為了盡可能地獲取更多個人信息，選擇欺騙、誘導等方式獲取用戶授權。

陳湉認為，身處大數(shù)據(jù)時代，我們在享受網(wǎng)絡技術給生活帶來的便利的同時，也面臨著個人信息泄露造成的各種負面影響。互聯(lián)網(wǎng)、智能識別等新興技術的高速發(fā)展，不僅促進了公共信息的快速傳播，同樣也將個人信息的傳播速度升級，個人信息和網(wǎng)絡應用平臺不斷深入交互，使隱私保護的壓力持續(xù)加碼。

企業(yè)：在合規(guī)過程中存在痛點

隨著網(wǎng)絡安全知識的普及與宣傳，用戶個人信息保護意識和防范意識逐漸增強，有人提出應該嚴格限制企業(yè)權限，一刀斬斷企業(yè)收集個人信息的渠道。

對此，中國電子技術標準化研究院信息安全研究中心審查部總監(jiān)何延哲認為，這種“一刀切”的做法并不可取?！皞€人信息保護的‘不可能三角’是廉價、方便和隱私保護，企業(yè)的產(chǎn)品經(jīng)理對這三點可能會有面面俱到的考量。但對于用戶而言，看到的永遠是這三個角當中的一個角，他不會從整體來看這個問題，如果隱私保護做得不好，他肯定關注隱私保護，他不會去想隱私保護做好了是不是影響收費的問題，是不是影響便捷的問題，這些其實都需要考慮?！焙窝诱芊治龅?。

對于企業(yè)來說，在合規(guī)過程中難免存在一些痛點，比如說隱私政策如何展示，權限目的如何告知，注銷機制如何設置。何延哲指出，這些功能的簡單實現(xiàn)都很好辦，但真正達到好的用戶體驗是比較難的。

此外，個性化推送、對外提供個人信息以及平臺嵌入第三方服務這三個問題對于企業(yè)而言，也很難完全合規(guī)，現(xiàn)實和合規(guī)之間存在割裂。對此，何延哲給出的建議是，企業(yè)在考慮這些問題時要有Plan B的思路，可以從功能實現(xiàn)、盈利、創(chuàng)新和社會責任四方面來對具體業(yè)務的合規(guī)程度進行判斷。

“個人信息安全不是一方的問題，對于個人來說，確實需要重塑數(shù)據(jù)時代的價值觀，一分為二看待個人信息，了解它帶來的好處，也了解它帶來的危害；對于企業(yè)來說，要具備價值驅(qū)動，可以在個性化推送上彰顯更多社會責任；對于監(jiān)管部門來說，需要多方共擔、形成默契?！焙窝诱苷f。

法官：個人信息案件審理有難度

如今，面對個人信息泄露，也有少數(shù)受害者選擇起訴，但往往會面臨舉證難等窘境。北京海淀法院中關村法庭庭長陳昶屹表示，不光是起訴者覺得難，法官審理此類案件時也會覺得有難點。

據(jù)陳昶屹介紹，由于案由的限制，目前以侵犯個人信息安全或個人信息保護為由進入訴訟程序的案件非常少。但此類糾紛在生活中又非常常見，所以社會關注度很高。審理研究這類案件的難點具體體現(xiàn)在：

第一，此類案件沒有專門的案由。目前，一般都是以其他相關案由起訴，比如告隱私權、一般人格權、網(wǎng)絡侵權這樣的路徑。這些與個人信息安全有交叉，但是不等同，因此在法律適用方面還不夠明確，甚至存有爭議。

第二，網(wǎng)絡服務披露的義務問題。在實踐當中要找匿名侵權人是非常困難的，這個過程就涉及從電信運營商、網(wǎng)絡服務公司等獲取用戶信息的問題。在司法實踐中，民事案件的調(diào)查取證很難獲得他們的配合。

第三，涉及App的用戶協(xié)議和隱私政策效力認定的問題。App在升級迭代的過程中，隱私政策條款往往也跟著改變，這些改變通常是有利于開發(fā)運營者的，甚至很多是“霸王條款”，這就造成用戶舉證困難。此外，隱私政策版本升級后，它的休約和續(xù)約是否要遵從傳統(tǒng)的合同法經(jīng)過對方的同意也值得商榷。目前，這種籠統(tǒng)的授權和續(xù)約規(guī)定，能否認定它屬于格式條款，把它無效掉，這些也是在實踐當中尚存有爭議的部分。

第四，關于個人信息存儲泄露的問題?，F(xiàn)在App、各個平臺都會收集用戶的個人信息，個人信息泄露的幾率大大提高。數(shù)據(jù)的采集者、持有者、處理者等，到底是哪個環(huán)節(jié)泄露了信息？如何證明？雖然可以使用蓋然性的標準，但這個證明標準要求非常高，否則就會變成主觀性很強的個人判斷，單憑法官或合議庭的主觀判斷很難統(tǒng)一裁判標準。

第五，此類案件會涉及很多新訴求、新技術。如果借鑒審理知識產(chǎn)權案件的方法，引入技術調(diào)查官，未來可能還要涉及技術審計和技術鑒定的問題。目前在司法實踐中，這種業(yè)務還沒有作為一個專項提出來。

陳昶屹認為，未來此類案件的審理理念還要考慮到個人信息安全保護和保障數(shù)據(jù)產(chǎn)業(yè)發(fā)展的平衡。應該加強司法調(diào)研，通過司法建議的方法引導行業(yè)有序發(fā)展。我們國家是人口大國、數(shù)據(jù)大國，未來一定會有更多的司法案例和司法實踐出現(xiàn)，為我們個人信息保護規(guī)則體系的建立貢獻力量。

我們可以看到，個人數(shù)據(jù)安全保護正逐漸被提上議程，但如何在數(shù)字時代真正落實“個人信息保護”，還有很長一段路要走。