網絡信息安全需要一條法律紅線

前不久，AI換臉軟件ZAO因其用戶協議和隱私協議被指“霸王條款”而備受輿論關注。盡管ZAO所屬北京陌陌科技有限公司相關負責人已被監管部門約談，該公司也很快作出回應，向公眾致歉，并修改了涉及用戶隱私、肖像權使用等方面的條款，但民眾對由ZAO及類似App在用戶信息索取及私隱權益保障上暴露出的網絡信息安全問題，仍不放心，疑慮難消。

法律人士表示，從ZAO犯眾怒的規定看，其對用戶上傳內容“有權在全球范圍內完全免費、不可撤銷、永久、可轉授權和可再許可地使用、修改、編輯”，明顯存在過度攫取用戶授權的嫌疑，這會讓用戶無形中將自己的肖像權拱手讓人。其可能的嚴重后果之一，是在人臉識別技術日益普及的當下，傳統運用人臉識別或生物識別技術的應用面臨被突破的風險。此前曾有報道稱，有研究團隊將照片變成了可眨眼、可動嘴的動態照片，成功實現刷臉登錄，并多次攻破活體檢測這一人臉識別中的重要環節。

當然，App過度索取用戶信息并不一定就是用來進行侵入用戶賬戶等直接損害用戶利益的惡意活動，它們多是希望通過更多地獲取用戶信息掌握足夠豐富的數據，以實現信息溢價。某種意義上說，數據的多寡直接關系到互聯網企業的資本估值。正是基于對數據價值的重視，現在很多互聯網企業將萃取匯集大數據作為企業的核心資本。這些數據包括消費者的隱私信息或個人信息集成，比如財產收入狀況、居住地址、年齡、消費偏好、每日活動軌跡等。企業利用黏性設計，把眾多的消費人群吸引住，然后再萃取更多數據。借助這些數據，企業可以給用戶精準“畫像”，并向其推送廣告等獲取收益。

不過，正如有學者指出，上述做法雖然可為企業提供可觀的回報，卻形成了對用戶信息乃至個人隱私的侵入。有互聯網企業曾打出“比你的父母更了解你”的對外宣傳口號，以彰顯公司擁有的大數據能力，但這種深入全面的“了解”讓人害怕。用戶擔心，自己的隱私成為互聯網企業海量數據的組成單元，被無節制地轉讓給其他企業，隨意應用于商業化變現，最終形成用戶信息的“流通黑洞”。實際上，不少互聯網企業已經在做著違背用戶意愿，同時侵犯其權益的事。這些事并不止于擅自使用用戶信息來幫助實現企業自身的推廣、經營，有的企業將用戶信息打包出售，這種情況也時有發生。而隨著追蹤功能的日益強大，數字用戶個人信息遭泄露、隱私被侵犯的事件也越來越多。

面對用戶網絡信息安全日益受到威脅的現狀，不少人建議應盡快完善相關法律，對互聯網企業索取及利用用戶信息行為嚴加監管。但法律紅線怎么劃，需要慎重考慮。首先要理清用戶個人信息權、隱私權與企業獲取大數據資源之間的關系。若片面強調用戶個人信息權和隱私權而過多限制，甚至不允許企業獲得用戶信息，企業就無法開發適合用戶使用的App及其他程序，壓抑企業開發大數據的積極性和創造性。而企業也不能因為追求大數據這一核心資產，而忽視用戶個人隱私權和信息權。企業的大數據與用戶的隱私權應并行不悖，關鍵是要找到中間的契合點。

全國信息安全標準化技術委員會不久前發布《互聯網應用收集個人信息基本規范（草案）》，明確了App收集個人信息應滿足的管理要求和技術要求，這實質上就是通過標準手段尋找契合點?！兑幏丁愤€要求，對外共享、轉讓個人信息前，App應事先征得用戶明示同意，這其實也是在試圖劃一條保障信息安全的邊界。

除了完善法規標準，并通過全方位監管打擊侵犯用戶隱私行為，還可以考慮引入“三方制衡原則”，即將涉隱私的個人數據所有者、運營者和管理者相分離，避免一個主體既是裁判又是運動員。要把這種制衡的能力商業化，鼓勵一種能夠制衡企業利用用戶數據的產業快速發展，從而形成長期持續的市場化監管。