文 | 何海华 CEO法律参考
美团、饿了么再次上热搜,这次终于不是因为融资收购,而是因"紧跟"Facebook步伐——多家外卖平台用户信息严重泄露,而一条用户信息可能只值一毛钱。
前段时间Facebook数千万用户信息泄露,引起了轩然大波:用户发起卸载Facebook行动;发射火箭的特斯拉创始人埃隆马斯克高调删除Facebook帐号;同是社交巨头的Twitter高高兴兴地接收"投诚"用户; CEO扎克伯格上国会报到接受质询,还可能面临2万亿美元的天价罚单,听证会上小扎苦哈哈的表情让人们津津乐道......
与此同时,国内某知名互联网公司的CEO却在公开场合大谈中国人对隐私不敏感。有Facebook的例子在先,这番言论毫无悬念地引起了国人的不满,网民对该CEO及其公司展开了言论上的反击。毕竟,经过近20年互联网生活的洗礼,许多网友都已经开始重视自身的信息安全。
美团、饿了么这次的回应倒是比较积极。相比以往互联网公司的推诿或装傻,这次两家外卖平台在及时发布情况说明的同时,也表示将配合有关部门进行排查。可以发现,国内互联网公司在一次又一次的信息安全事件中逐步接受了教育,而网络安全的相关法律法规也逐渐现出效果。
以下为美团、饿了么的回应全文——
美团外卖回应全文:
有关媒体报道的用户信息被倒卖一事,美团外卖高度重视,目前已启动了相关信息的核实排查,同时已向警方报案,感谢媒体和用户的监督。
美团点评一直视信息安全为发展历程中最重要的事情之一,公司信息安全中心、安全监察、内控内审等部门组建了安全委员会,并在业务及技术流程上加强了多道防线。由于外卖配送链条长,涉及平台、商家、三方配送等多个环节,因此可能有不法分子在其中获取信息。对于此类事件,我们始终坚持严惩不贷、坚决打击的原则,我们将与公安机关一起,全力打击盗取、倒卖用户信息的不法行为,尽全力保护每一位用户的信息安全,保障行业健康、良性发展。
饿了么回应全文:
饿了么把信息安全作为头等大事之一。看到相关报道后,我们第一时间就开始全力排查,并一直和有关部门保持着积极协作。由于目前全社会的信息安全环境复杂,此类恶意的数据安全事件时有发生,令消费者蒙受损失,对饿了么和整个餐饮外卖行业来说,大家也都是受害者。我们将在政府有关部门的指导下,和行业友商联手应对,一定会及时揪出那些害群之马。
饿了么的外卖平台及物流系统都通过了公安部《信息系统安全等级保护》的评估认证(三级),严格按照国家主管部门的要求来开展信息安全工作,并成立了由CEO担任负责人的信息安全委员会,有200人的团队负责信息安全工作,保障商户和个人用户的信息安全。
饿了么相信,有法律和政府部门的支持,通过自身持续、快速的技术进步,必能引领全行业实现对信息安全的有效保障。
信息泄露非小事,轻视问题或酿成大祸
过去大部分公司对于用户信息泄露问题的态度比较含糊。从信息泄露事件中,我们很少能看到来自平台方的有力声明,也不清楚平台针对泄露事件本身是否有全面调查,是否会对后续风险加强防范。在互联网住民的记忆里,这些问题似乎只会在一开始引起愤怒或惊讶,随着各方的冷淡处理,大家慢慢也就忘记了。之后信息该收集的继续收集,只待下一次信息泄露的发生。
归根结底,人们轻视某件事情,是因为对象并没有带来足够的回报,更没有意识到问题带来的损害。但互联网发展到今天,人们有了更多的选择,如果互联网平台或公司继续漠视用户信息安全,其带来的损害是巨大的:
1、信息大规模泄露会损害品牌和口碑:用户信息大规模泄露,充分反映出公司在态度和能力上的不足。无论公司在品牌公关活动砸多少钱,短期内很难弥补其受损商誉。
2、有更多选择的用户或会选择离开:用户信息大规模泄露,会引发用户流失,甚至是大规模的弃用,如Facebook事件中的卸载行动。同时,用户信息对于很多公司来说是重要商机,如不加以慎重保护甚至被竞争对手获取,相当于为他人作嫁衣裳。
3、带来极大的合规风险和诉讼风险:
网信办等相关部门对互联网信息安全问题的管理力度正逐步加大,配套的法律法规及其他措施也正逐步完善。除了去年6月1日生效的《网络安全法》外,从今年5月1日起,推荐性国家标准《信息安全技术个人信息安全规范》也将正式实施。前不久,国务院在3月27日发布的《快递暂行条例》中,专门针对快递行业中"出售、泄露或者非法提供快递服务过程中知悉的用户信息"的行为,作出了明确的处罚规定。
其次,互联网用户的信息安全意识也在逐步增强,被泄露隐私数据的用户可以提起集体诉讼,甚至要求"泄密"公司作出天价赔付。同时,消费者权益保护协会也可以通过公益诉讼等方式,维护用户合法权益,通过司法途径制裁侵权公司。
用户信息成重要议题,公司应如何未雨绸缪
越来越多公司意识到用户信息对于商业利益及合规经营的重要性,但对这一块应该怎么做?法小淘将从信息保护、信息兜售及信息获取几个角度提供建议。
一、对于已收集的用户信息,应如何保护?
首先,公司应当加强岗位培训,增强员工保密意识。
其次,完善公司制度,比如规定不得随意出借钥匙、不可告知他人的计算机开机密码等行为。若有公司内部OA系统,则对其加密管理,并且需使用密钥登录。
另外,加强系统监控与预警机制,监控不明的复制和删除行为,使异常操作可以第一时间被发现。同时,可以与接触核心数据的员工签署保密协议。
二、用户信息是重要资源,能否对外兜售?
法律规定,以下行为皆构成侵犯公民个人信息罪:
(1)出售行踪轨迹信息、通信内容、征信信息50条以上;
(2)通信记录、交易信息等500条以上;
(3)其他公民信息5000条以上;
(4)违法所得五千元以上。
若被追责,公司将面临高额罚金,负责人也可能面临牢狱之灾。
因此,公司须慎重使用用户个人信息。即使不是出于营利的目的对外提供用户信息,也需要征得用户的同意,否则将可能面临巨大的刑事处罚风险。
三、公司能否通过购买获取用户信息?
很多公司为挖掘商机、扩大销售渠道,通过网上一些平台和服务商购买用户的手机号、家庭住址等个人信息,进行电话销售、短信营销或网络营销。作为行业内的"潜规则",很多老板以为只有卖个人信息的一方违法犯罪,作为买方没有法律风险,实际上公司未经个人允许,购买个人信息也是非法获取公民个人信息的行为,除公司要缴罚金外,老板个人还可能被拘役或判处3年有期徒刑。
如果公司确实需要获取更多的用户信息资源,应合法合规收集;或与已获得客户授权,有权使用客户信息的渠道公司合作,合法取得客户信息。
四、如何收集用户信息才合法合规?
1、网站收集用户信息,需符合法律规定、符合与用户的协议约定,并且经过用户的同意。
2、收集信息不能超出《网络安全法》、《信息安全技术个人信息安全规范》规定的目的范围,也不能超出与用户协议确定的目的。比如健身软件收集用户摄入卡路里的信息合法。
3、收集的个人信息必须是提供服务所必要的信息,比如叫车软件需要收集定位信息,这对于提供叫车服务为必要,但对于在线阅读类软件则不一定为必要。
4、网站应当公开收集的规则和使用的目的等,保证用户的知情权。
5、用户协议、隐私政策的勾选框设置为让用户自己勾选,而非默认被勾选的;使用明确字眼如"我已知悉xxx",确保用户自愿。
来源:知乎 www.zhihu.com
作者:无讼
【知乎日报】千万用户的选择,做朋友圈里的新鲜事分享大牛。 点击下载
没有评论:
发表评论