betway必威官网 > 法律看台 > 对用户的隐私安全保持敬畏,防火防盗防第三方

法律看台

对用户的隐私安全保持敬畏,防火防盗防第三方

2018年7月11日 ( 正文字号: 小 中 大 ) 文章标签:法律热点 网络安全 [ 导语 ] “在互联网上,没人知道你是一条狗”在今天看来就是个笑话,别人不仅知道你是谁,甚至很有可能比你自己更了解你的喜好。很多人认为交易不当会对用户造成各种影响,包括但不限于隐私和安全等问题。不过办法总比困难多,只要我们努力划定边界,那么就能在两者之间找到平衡,而不是一禁了之。[ 内容摘要 ] 很多人认为交易不当会对用户造成各种影响,包括但不限于隐私和安全等问题。不过办法总比困难多,只要我们努力划定边界,那么就能在两者之间找到平衡,而不是一禁了之。[ 内容 ]

01

图片 1

在网络这个虚拟世界中,用户数据就像是现实世界中的水和空气。谁拥有数量更多的用户数据,谁就有了更强大的竞争力。因此,在互联网企业的经营中,存在大量基于利益驱动突破底线的违法违规情形,问题突出,亟待解决。

谁能想到,在美国兴起怒删Facebook账户的运动后,推特居然受到了影响。此前很多人还以为它还会是受益者,毕竟它在美国社交媒体中仅次于Facebook,老大落难,总该老二出头吧?

如果要评选2018年互联网大事件,截至目前,我会把第一票投给“Facebook用户数据泄漏事件”。

新生事物的发展,往往都有一个蛮荒时代,那么我们看到互联网金融在被充分运用之后,我们的隐私也遭到史无前例的挑战。

2019年5月1日,据Politico杂志报道,Facebook正在和美国联邦贸易委员会(FTC)协商一份和解协议,Facebook预计将向FTC支付30—50亿美元的罚款。FTC将在Facebook内部建立一个独立的隐私监督委员会,CEO马克·扎克伯格将扮演负责执行公司隐私政策的“指定合规官”的角色,这将使他个人对Facebook处理该问题负责。

北京时间3月28日截至美股收盘,推特股价下挫12.03%,报收于28.07美元/股。直接的原因是知名做空机构香椽表示在做空推特,香椽周二发推文称:“香椽做空TWTR。近期目标25美元。他们最容易受到隐私监管的影响,就等参议院发现香椽发布的内容。”

事件的详细过程无需赘言。只是,Facebook用户泄露事件中的关键线索,还是应该梳理一下,也许能得到一些启示。

其实,工具或者技术本身没有好坏,主要看技术使用者是如何去使用。

Facebook侵犯用户隐私案是一起非常典型的互联网企业运营安全问题。在网络这个虚拟世界中,用户数据就像是现实世界中的水和空气。谁拥有数量更多的用户数据,谁就有了更强大的竞争力。但基于用户个人隐私这一基本人权,获取用户数据必须合法,即必须获得用户本人的同意和使用授权。同时,使用用户数据必须出于正当目的,而且应采取有效措施保管数据,防止数据泄露或被他人窃取。对Facebook这样一个超级互联网企业来说,在用户数据的获取、使用和管理各个环节,都需要采取大量的合规措施,此次FTC要在Facebook内部建立一个独立的隐私监督委员会,就是从企业组织架构上加强对用户数据保护的领导。这是一项根本性举措,对于我国互联网企业加强公民个人信息保护,具有重要的启示意义和借鉴价值。

香椽在其报告中指出,推特在隐私监管上有特殊弱点——该公司对数据销售的依赖。其表示:“推特今年将通过销售用户数据创造4亿美元的收入,而不是广告。”而从推特的财报来看,确实也是如此。在2017年,广告收入从去年的22.5亿美元降至21.1亿美元,而数据许可收入从去年的2.82亿美元增长至3.33亿美元。

Facebook用户数据之所以泄露,其中一个关键点是开放平台引入的第三方应用。Kogan设计了一个叫“thisismydigitallife”的Facebook第三方应用,邀请用户完成性格测试。因为开放平台允许第三方应用抓取用户数据,并且还允许抓取用户的关系链上的其他用户的数据,结果这个应用一共抓取了高达5000万用户的信息。然后就是大家都知道的,剑桥咨询利用这些信息帮助特朗普竞选,并且获得了胜利。

比如说,网络爬虫技术,作为一个自动抓取网络数据的程序,本身没有什么问题。但是,如果技术使用者在用户毫不知情的情况下去"爬","爬"到的数据也没有加密的话,就会涉及到个人信息泄露的问题。

APP收集使用个人信息违规现象频发

也正是如此,尽管在今年2月份推特发布了一份超过分析师预期的年度财报、且首度实现年度盈利后还是被香椽做空。原因就在于,目前监管机构可能会对数字交易实施最严格的监管。

在这个过程中,开放平台忽略了三件事:

1、APP才是问题的关键

2017年6月1日开始施行的《中华人民共和国网络安全法》,围绕保护“网络信息安全”这一目标,其中的第三章要求网络运营者建立健全用户信息保护制度,并确立了收集、使用用户个人信息的“合法、正当、必要”原则。同时,为帮助互联网企业管理者明晰用户个人信息保护的行为底线,《网络安全法》主要采用禁止性规范的立法技术设定行为的合法性边界,包括:1。不得收集与其提供的服务无关的个人信息;2。不得违反法律、行政法规的规定和双方的约定收集、使用个人信息;3。不得泄露、篡改、毁损其收集的个人信息;4。不得窃取或者以其他非法方式获取个人信息;5。不得非法出售或者非法向他人提供个人信息;6。发送的电子信息、提供的应用软件不得设置恶意程序等。

Facebook信息泄露可能是一个导火索,但公众对个人信息泄露的担忧却是由来已久。越来越多的人倾向于认为,在网络社会中,由于商家获得个人信息已经非常方便,因此有必要对个人信息的采集和使用等实施更为严格的管制,只有这样才能保护用户的利益。真的是如此吗?我们可能需要对网络社会中的隐私或者说个人信息制度做一个反思。

1)任凭第三方应用获取用户信息

我们日常生活中,屡见不鲜的"骚扰电话""电信诈骗"等,大多源于个人信息的泄露。即使,现在很多互联网公司会设置反爬虫机制,但对很多用户来说,也是形同虚设。

《网络安全法》设置的这些行为底线是比较原则的,所以在互联网企业的经营中,基于利益驱动仍大量发生突破底线的违法违规情形。为此,中央网信办、工信部、公安部、市场监管总局等四部门决定2019年1月至12月在全国范围组织开展App违法违规收集使用个人信息专项治理。为收集违法违规线索,专项治理工作组开通了举报渠道。截至2019年4月16日已反馈了3480多条举报信息,主要违规行为包括:26%的App没有隐私条款或未在隐私条款中明确收集个人信息的目的、方式、范围;31%的App在申请打开收集个人信息相关权限时,未明确告知用户;20%的App收集与业务功能无关的个人信息,如金融借贷App收集用户通信录;19%的App未经用户同意,向他人提供设备ID、应用程序列表等个人信息;13%的App强制索要与业务功能无关的权限,如计算器、手电筒App强制要求打开地理位置权限。还有一些App存在不支持用户注销账户、更正或删除信息等问题。归纳起来,App运营者的这些违规情形要么和用户没有事先约定收集信息规则,要么违反约定收集信息,要么超越自身业务范围收集信息。

1993年,漫画家彼得·施泰纳在《纽约客》发表了一幅漫画及流传至今的名言:“在互联网上,没人知道你是一条狗”。在后来相当长一段时间内,时不时有人以这句话来调侃网络社会中的各种角色,现在回过头来看,当时之所以对确定个人信息有着诸多疑难,很重要的一个原因是当时技术不发达,现在主流的搜索引擎在当时并未问世。尽管互联网上已经产生了一些信息,但由于没有合适的工具,绝大多数人都找不到自己想要的内容,在浏览网页的网友当然也就不知道是谁提供了这个信息。要知道雅虎是在1994年才诞生,而谷歌域名更是直到1997年才注册。

2)竟然允许第三方应用抓取用户的关系链,导致被获取信息的用户成指数级增长

根据中消协的数据显示,超八成受访者曾遭遇个人信息泄露,主要原因就是APP经营者未经授权收集个人信息和故意泄露信息。

作为互联网企业,如何与客户约定收集个人信息规则,已不单单是企业与用户之间的私事,必须上升到落实《网络安全法》加强用户个人信息保护的公共利益,从而为互联网企业的整体经营提供合规标准。2018年11月30日, 公安部网络安全保卫局发布了《互联网个人信息安全保护指引(征求意见稿)》(以下简称《征求意见稿》)。2019年4月10日, 公安部网络安全保卫局、北京网络行业协会、公安部第三研究所联合发布了《互联网个人信息安全保护指南》(以下简称《指南》)。《指南》是在《征求意见稿》的基础上修改而成的, 主要从管理机制、安全技术措施、业务流程和应急处置四个方面对个人信息持有者的个人信息安全保护工作提供了参考。

但是后来随着网民人数增加,网络搜索技术的增强,尤其是互联网被广泛应用于商业活动,“在互联网上,没人知道你是一条狗”在今天看来就是一个笑话了:别人不仅知道你是谁,甚至很有可能比你自己更了解你的喜好。你在很多网站购物时,是不是曾遇到它推荐给你的产品正是你当时想买的?或者是你没想到但是比你自己想得更为周全?商家之所以能够比你想得更为周全,很重要的一个原因是它通过各种手段获知了你在互联网上的各种轨迹,因此能够给你提供各种周到的服务。而在1993年的时候,我们几乎无法在互联网上获得商业服务,更无法想像它有朝一日会和我们的生活如此紧密地联系在一起。

3)没有对第三方应用数据的使用进行严格的监控,最后导致信息被滥用,甚至非法使用。

而中消协的另一份有关《100款APP个人信息收集与隐私政策测评报告》更让人触目惊心,被评测的100款APP中,多达91款存在过度收集个人信息的问题,典型方式包括:隐蔽收集用户信息、误导用户同意,强制授权、过度索权等。

管理机制方面,《指南》明确个人信息持有者需要履行网络安全等级保护定级备案手续,同时在安全管理制度、组织架构及人员配备、培训等方面提出了具体要求。

从这个角度看,我们今天之所以能够在互联网上获得这么便利的服务,很大程度上是个人向平台———主要是各大互联网公司让渡了部分用户信息或者个人隐私,从而平台可以借助用户提供的信息向用户提供更为便捷的服务。

开放平台作为对第三方应用的唯一界面,充当着门户的作用,应该起到看门者的作用。在Facebook事件中,这个看门者可谓极其不称职,过于开放,导致Facebook一度陷入舆论和法律危机。

以上的每一条,都已经涉及到侵犯公民隐私了。但这在互金风控圈看来,或许还只是小儿科,他们更隐蔽的手段是,通过下载一个贷款APP,薅光你的通讯录。

技术措施方面,《指南》为满足个人信息保护的技术需要,从通用网络、区域边界、计算环境、应用和数据等方面明确企业采取的技术措施内容;同时在持有个人信息数量达到一定程度时,进一步提出了云计算安全、物联网安全的技术措施要求。

事实上,我们在互联网上的很多信息如果在线下就是我们的隐私———比如说,你并不想让别人知道你经常光顾哪家餐厅、点了什么菜、花了多少钱,但是在互联网上的你却会将这些信息公开出来,而公开的原因并不是为了炫耀,而是为了让评价更有公信力,为了更加便利别人的消费。当然,你也会从他人的信息中受益,比如你一定不想去那些经常被差评的商家。

这使我想起一个有意思的事情,那就是网络的组网模型。一般对一个企业来说,分为内网和外网。内网以内,一般不设定过于严格的限制,数据访问相对比较自由一点。但是一旦外网要访问数据,那规则是相当的严格,对于外网的访问权限,以及访问数据的范围,往往需要给予严格的限制。在外网访问处于企业内部的数据的时候,通常需要通过一个“防火墙”,它无比重要,起着守护者的作用,是企业安全策略中一个非常重要的部分。

根据媒体调查发现,几乎所有的贷款APP,一旦用户下载,首次打开时,对屏幕上弹出的"隐私访问权限",选择同意的话,用户的的通信录、通话记录、短信、照片等,都会被贷款公司爬个遍。

业务流程方面,《指南》对网络运营者的收集、保存、应用、删除、第三方委托处理、共享和转让、公开披露用户个人信息等环节的经营行为提出了具体要求。

这种现象在移动互联网时代表现得更为明显。如果说PC机时代的互联网服务只是通过用户在互联网上留下的痕迹来画像,而移动互联网时代我们则是将很多信息开放给了服务商,包括但不限于通讯录和地理位置等,然后服务商会根据你现在所处的位置给你推送相关服务。

其实对开放平台而言,也需要一个这样的“防火墙”。而且这个“防火墙”还必须无比健壮,还需要复杂的规则,对第三方应用访问用户数据给予严格的限制。

这还不是最关键的!最关键的是,有些公司直接把借款用户的通讯录,以两毛钱一条的价格贩卖给催收公司。当然了,这种贩卖个人信息的现象不仅存在于互金领域,整个大数据行业从诞生以来就一直处在"野蛮生长"的状态中。

应急处置方面,《指南》对应急机制和预案、处置和响应措施等提出了具体要求。

用让渡一词,意味着平台和用户的法律地位是平等的。交易要达成,两个主体之间就会设定权利义务关系,类似的权利义务关系往往会以用户协议的方式存在。由于商家要和海量用户打交道,一对一地商议合同条款既不可能也无必要,因而此类用户协议往往是由商家制定的格式条款。而绝大多数用户对格式条款往往表示同意,甚至不会认真看条款内容。既然用户协议由商家制定,合同条款中必然会存在一些偏向于商家利益的部分。

Facebook事件正是由于这个防火墙的规则不够严格,导致让第三方应用钻了空子,最后让自己陷入了危机。虽然真正的“始作俑者”是剑桥咨询公司,但是广大Facebook用户舆论的矛头却都指向了Facebook。道理很简单:你收集了我们的信息,你保存了我们的数据,那么你就要对我们的信息负全盘的责任。至于第三方的行为,我们无法知道,也无法管控,那是你的责任。

此前,"大数据行业第一股"——数据堂员工贩卖公民信息案轰动全国,这家公司在过去8个月内,日均传输公民个人信息超过1亿3千万余条,累计传输数据压缩后达4000G左右。之后,又有巧达科技被曝出贩卖8亿份个人简历。

虽然《指南》不属于立法体系中的“部门规章”,但作为网络安全的执法部门、行业监管部门以及技术部门共同颁布的规范性文件,《指南》无论对于收集使用个人信息的互联网企业,还是对于网络监管部门的监管行为,都有重要的指导意义和规范引领作用。

于是,我们就遇到了这样的问题,用户在网络上留下的信息归谁?谁可以使用?我们不妨先来看看法律的规定。《网络安全法》确定了网络运营者使用用户信息的一个基本原则,即第四十一条:“应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”同时第四十二条还规定,如果“未经被收集者同意,不得向他人提供个人信息”,这就在根本上明确了用户信息的使用范围,避免了用户信息被网络运营者用于其不愿意使用的领域。

这个理儿,还无可挑剔。

2、丰富"供养"正被堵死

制度、技术、团队、问责

由此可见,《网络安全法》确定了用户信息采集和使用的原则,那就是合法、正当和必要。不过,如果要大力发展数字经济,仅仅这样做还不够,同时还应该鼓励合法交易。现代社会很多机构耗费巨资收集了很多个人信息,但是绝大多数信息都没有发挥应有的作用,这既是机构的损失,也是用户个人福利的受损。因此,还应该考虑在保护好具体个人的信息以外,同时通过多种渠道促进各种信息的交易——只有更多的交易发生,包括用户和机构在内的参与者才能从中受益。

几乎所有的互联网巨头都会有开放平台。那么,发生在Facebook身上的事,会不会也在其他的开放平台上发生?

在这种行业氛围下,有人甚至认为,中国的互联网行业,尤其是金融科技和人工智能,之所以发展迅速,正是得益于这种丰富大数据的"供养"。

加强个人信息保护的四个重点

说起来,这个道理也不难理解。我们设想一下,如果一个不能交易的财产那又有什么价值呢?最简单的例子就是中国的城乡二元的土地制度,城市里国有土地的使用权可以转让,因此在城市里拥有房产的居民收获了城市化的红利;而农村的集体用地由于不能在集体经济组织之外流转,因此价值大受影响。

当然有这种可能性,如果不对用户数据建立健壮的“防火墙”的话。

但眼下,这种丰富的"供养"正在被堵死。12月4日,国家网络安全通报中心在发布《公安机关开展APP违法采集个人信息集中整治》一文中称,自2019年11月以来,公安部门便加大了打击整治侵犯公民个人信息违法犯罪力度,并对违法违规采集个人信息的APP进行集中整治,查处整改100款违法违规APP及其运营的互联网企业。

根据《网络安全法》设定的底线条款和《指南》明确的行为标准,我们可以看出,互联网企业要加强对用户个人信息的保护,需要考虑全面完善自身合规管理体系。在通常意义上,一个企业完备的合规体系包含六个要素:一是制度机制、二是检查评估、三是举报渠道、四是独立调查、五是外部监测、六是合规承诺。

当然,很多人认为交易不当会对用户造成各种影响,包括但不限于隐私和安全等问题。不过在我看来,办法总比困难多,只要我们努力划定边界,那么就能在两者之间找到平衡,而不是一禁了之。

02

其实,早在2017年我国就出台了有关网络运营者采集用户信息的规定。根据《网络安全法》规定,未经被收集者同意,不得向他人提供个人信息;也不得收集与其提供的服务无关的个人信息,不得违反法律、法规的规定和双方的约定收集、使用个人信息;而对于被收集者同意的,网络运营方也需要明示收集、使用信息的目的、方式和范围。

围绕这六个要素,互联网企业加强个人信息保护的重点工作是:

作者:傅蔚冈,上海金融与法律研究员执行院长

在过去的二十年,互联网和移动互联网先后两波浪潮,在改变世界的同时,也改变着个人。

对此,大多数运营方确实会在协议中注明对用户个人信息的使用用途,但很少有运营者会提及,用户的个人信息会被商业化输出。

一是严格遵守网络安全等级保护制度。按照安全等级要求开展合规管理,全面提升管理的标准化水平。App运营者要结合此次四部委开展的专项治理行动,坚持问题导向进行整改,着力纠偏和改正。

稿件来源:北大法律信息网

从前,没有网络,用户的数据只会在一个极小的封闭的环境中可见。互联网和移动互联网改变了这一切。用户的信息在网络上以光速传播,传播的范围是全国甚至是全世界,如果不加以限制的话。在如今这个社会,只有那些山里头从不上网的老人是有隐私的。

所以啊,就算数据被称为未来时代的"石油",但它一旦触碰到公民隐私,那它所引发的网络安全问题,就不得不提醒我们警惕了。

二是加大对个人信息保护的技术投入。这是互联网企业加强用户个人信息保护最核心的管理措施,也是最重要的成本投入。用户数据信息是互联网经营环境的基本单元要素,作为互联网企业必须构建一个安全的数据存储和使用环境,在此基础上进一步提供安全便捷的信息使用技术。所以互联网企业保护个人信息的技术措施涵盖网络环境技术、边界技术、计算技术、应用技术等,这些技术在不同安全等级中有不同的标准和要求。

责任编辑:李萌 助理编辑:贺舒宇

各个手机应用,用到的权限多则20多个,少则10多个。如果全部开放,手机通信录、照片、视频、地理位置、手机号码、手机型号……这些都对应用开放了,想想其实蛮可怕的。然而事实上,很多人没有注意到这些,想都不想就把App安装了。

三是要建立健全个人信息保护的合规团队。无论是制度层面,还是技术层面,互联网企业保护个人信息的合规力量应涵盖公司经营的各个方面。借鉴FTC将在Facebook内部建立独立的隐私监督委员会的合规整改要求,在互联网企业的合规管理机构中,最高层级的管理机构要设立专门的用户个人信息保护机构。该机构可以是合规管理领导机构的内设机构,也可以是独立的特别机构。

发表评论

然后,这些信息就可能被应用所收集。然后,就不知道了。

四是加大对侵犯用户个人信息舞弊行为的问责。随着公民个人信息保护力度的不断加大,互联网企业发生的侵犯公民个人信息的案件,很容易出现员工个人行为与单位行为的责任混同。根本原因在于《网络安全法》出台后,并没有明确划定互联网企业保护用户个人信息的行为合规边界,作为企业的注意义务和管理责任范围是什么并不清晰。这种情况下企业很容易无所适从,所以个人责任和单位责任容易发生混淆。随着《指南》的出台,企业在履行好自身合规责任时,还要加大对员工侵犯用户个人信息舞弊行为的问责,这样才能确保制度有效落地,同时避免单位被监管部门甚至执法机关错误追责。

在这种背景之下,如何在收集数据的同时,保护用户信息不被泄漏,不被非法使用,成为了这些应用的一个非常重要的课题。

因为一旦发生类似于Facebook的事情,直接收集用户信息的公司就是第一责任人。

我国《网络安全法》明确规定:

第四十条网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。

第四十一条网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。

第四十二条网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。

网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

03

那么,我们不妨探讨一下,作为一个互联网企业,如何在用户数据这件事上构筑自己的“防火墙”,避免陷入Facebook式危机?

企业在用户数据的事上大致分为四个方面:收集、保存、使用、授权。下面就从这四个方面去分析。

在收集阶段,第一,要让用户有知情权,明确告知会收集那些数据,会拿数据做些什么,给出简洁而清晰的提醒,而不是给一个长达数页的一般人不会看,即使看也不太看得懂的条款。让用户完全知情,才是对用户的尊重,对法律的尊重;第二,要“有所收有所不收”,切忌贪婪,贪婪是魔鬼,有些信息不能收集的不要去收集,今天你收了,用得爽了,说不定哪天就会成为一个炸死自己的地雷;第三,给予用户对权限授权的绝对控制权,可以授权,也可以关闭授权,给予用户“反悔”的机会。当用户担心隐私暴露,他可以关闭授权。

在存储阶段,要保证数据的安全,不让数据被窃取。要给予存储的硬件给予足够的保护,防失窃,防丢失。要从软件上保护,不能被黑客从网络上窃取,篡改。

在使用阶段,要建立企业的使用规范,不违法,不触红线。严格的说,企业应该有一套完整的对于数据使用的规范和流程,而这些规范和流程应该由权威的机构进行审计监督的。在大数据驱动的大背景下,数据的使用越来越重要,为了达到商业目的,如果不对数据的使用进行严格监督,冲动的魔鬼无时不在诱惑着企业去犯错。在现有的商业环境下,企业非常重视财务的审计,合规的审计,那么对于掌握大量数据并且使用这些数据的公司,是不是可以引入数据审计?

在数据转让阶段,要有限授权,充分评估授权的范围和使用权限,授权的时候就要考虑到如何去监督第三方按照授权的条款执行,还要考虑到一旦第三方不遵守条款的约定擅自使用或者再转让,该如何去应对。建立用户举报机制和举报的渠道,一旦用户怀疑数据被第三方滥用,可以对第三方进行举报,及时发现第三方的违规行为。数据授权的公司一定要非常清楚一点,保护数据不被第三方公司滥用,是自己的天职所在。如果没有这种意识,那么很可能像Facebook那样麻痹大意,最后把自己也带到泥潭里去了。

04

去年8月24日,中央网信办、工信部、公安部、国家标准委等四部门组成的专家工作组结束对首批10款网络产品和服务的隐私条款评审,规范其收集、保存、使用、转让用户个人信息的行为,督促整改不合法的条款。通过这次评审,10款产品和服务在隐私政策方面均有不同程度的提升,做到明示其收集、使用个人信息的规则,并征求用户的明确授权。其中,有5款产品和服务除了做到向用户主动提示、并提供更多选择权外,还提供了更便利的在线“一站式”撤回和关闭授权,在线访问、更正、删除其个人信息,在线注销账户等功能。

为了加强对第三方应用授权的控制,有的App还让用户通过自己的账号来查看授权应用的清单,并且用户还可以任意的取消对第三方的授权。这种让用户参与到对第三方应用使用数据来管理中,是个积极的探索,值得借鉴。

对于企业而言,管理第三方的难度大于管理自己的难度,和自己人相比,企业外部更难以控制,尤其是在当今这个数据的价值无穷而且也很容易拿来做恶的大背景之下。

我们没少被电话骚扰,有统计数据表明,每六个骚扰电话中就有一个是诈骗电话,而诈骗短信更是一年数千万条。这些电话号码和用户信息是那些恶人通过非法或者“合法”的渠道获取到的。其中有些就是通过授权得到的,或者通过层层授权,或者通过层层转让得到。

虽然我国有法律对于泄漏隐私所承担的后果有着明确的规定,但是往往处罚的时候,受害者已经遭受损失了,而且难以弥补。

所以主动预防要优先,而这种让用户自己参与第三方授权的方法,发动了群众,更利于防患于未然。

05

对于掌握大量数据的互联网公司,如何建立保护用户数据的“防火墙”呢?我的建议是三点:

左一点:主动而不是被动。

不是因为法律和舆论的压力而保护用户数据,而是自觉的去保护。一定要意识到保护用户数据,其实也是保护自己,避免自己陷入到Facebook那样的危机。

右一点:建立数据风险管理团队。

从策略、规划、执行、监督、审计多个方面对数据进行管理,并且有预警机制和危机处理能力,将损失减到最小。

下一点:发动群众,让用户参与到第三方授权的管理中来。

用户可以举报第三方的不合理行为,也可以随时关闭对第三方的授权。群众的力量,永远是不可估量的。