调研了45台大学校园内的自动售卖机,有40台存在过度索取个人信息情况。这是由上海一名高校教师刘杰指导,七名法学生自发组建了“银河信息警备队”,聚焦无人消费场景下的个人信息保护问题,从身边常见的自动售卖机为切入口,进行实地体验和调查研究的结果。
近日,刘杰在接受记者采访时表示,通过对上海28所高校内的45台自动售卖机实地测试发现,仅有5台未收集消费者的个人信息,另外40台中,多数需要绑定手机号码,有的要在关注公众号的同时,还需要绑定微信号,有的还存在诱导消费者使用微信或支付宝刷脸支付的情况。
该如何保护大学生的个人信息?刘杰及其调研团队认为,首先,完善相关立法,加强法律宣传教育。其次,督促企业履责,并加大监管执法力度。同时,指导制定“用户友好型”隐私保护指引和分级服务政策。最后,吸纳社会力量,推进舆论监督。
“越无感隐患越大”
这次走访多个高校的调研,起源于一次消费经历。因为赶“早八点”的课,来不及在家里吃饭的刘杰,第一次在学校的自动售卖机上买东西。而当他扫码支付时,机器弹出了两个选项,一个是绑定手机号码,一个是不绑定手机号,当他选择不绑定后发现,页面自动跳回前一页,也就是说,如果不绑定手机号,就无法完成付款,无法购买。
“试了两次都是这样,看来是个假选项。”刘杰称,当时他着急去上课,就不得已绑定了手机号码。
联想到此前他接到的疑似诈骗电话,对方曾准确说出他的姓名等个人信息。由此,自动售卖机索取个人信息问题,让刘杰陷入了思考。当天晚上,他又来到办公室旁的另一个牌子的自动售卖机,结果这台机器同样要索取消费者的个人信息。
到底多少台自动售卖机在索取个人信息?自动售卖机一定要获取手机号码、微信号等隐私信息吗?刘杰想搞清楚。经查证,该行为确实违反了《个人信息保护法》关于“两个最小”的规定:处理个人信息应当采取对个人权益影响最小的方式,应当限于实现处理目的的最小范围,从而避免过度收集个人信息。
元气森林的自动售卖机获取手机号码
“生活中,大家对于这种信息收集已经无感了,但是我觉得越无感,可能隐含的隐患越大。”于是,他带着6名学生开展了调研。
在针对上海市内28所高校校区内的45台自动售卖机进行实地测试发现,仅有5台未索取消费者个人信息,可直接扫码付款,而另外40台中,多数需要绑定手机号码,有的要在关注公众号的同时,还需要绑定微信号,有的还存在诱导消费者使用微信或支付宝刷脸支付的情况。
“绝大多数都是必须获取个人信息才能够消费的。”刘杰有些无奈。
六成学生认为,App、小程序会强制或频繁索取个人信息
作为消费者的大学生们,是否具备个人信息保护意识和能力?如今针对个人信息安全的保护效果如何?带着这样的疑问,刘杰团队开展了针对大学生群体的问卷调研。
此次调研问卷共收集有效样本1000份,涵盖各专业本硕博学生。调研结果显示,大部分受访者对个人隐私信息具有一定的鉴别能力,其中,对姓名、身份证号等传统隐私信息的关注度最高,达59.29%,而新业态下的声音、人脸等生物信息已成为关注度第二的隐私信息,其比例已高于家庭和工作情况、手机号码等。由此可见,在信息化和智能化趋势下,保护个人生物信息已成为网民们的重要需求以及网络治理的重要内容。
在这1000名学生中,有57.82%的学生,经历过被骚扰或收到不期望的推销电话、短信、邮件,52.21%经历过大数据杀熟,33.24%遭遇过电信诈骗,只有5.01%的学生表示从未有过前述经历。
至于信息泄露的方式,有66.57%的人认为主要是因为“使用App、小程序时被强制或频繁索取个人信息”。虽然普遍感知到隐私泄露问题,但并未引起消费者的重视。有44.35%的人表示还可以接受目前的泄露程度,无法接受的比例仅36.48%。
以自动售卖机为例,调研问卷作了进一步的验证。在校使用过自动售卖机的学生占比为74.04%,他们在面对“必须关注公众号或绑定手机号或刷脸,才能消费”的情况时,有85.5%的人选择接受,如此做的原因包括:1.认为该要求合理;2.虽然觉得不合理,但无关紧要;3.虽然拿不准,但是其他人都如此,我也照做了。只有51人表示会向客服反映情况或依法举报。
使用某高校内的“福柜”购物时,会被获取手机号码
刘杰表示,数据可见,消费者对自动售卖机侵害个人信息安全的行为有较高容忍度,且这与社会整体的个人信息保护环境高度相关。
调研数据还显示,在面对用户协议或隐私政策时,仅188名学生会仔细浏览并注意到其不太合理的地方,仔细思考是否同意。在选择忽略隐私政策的学生中,超过59%认为反正要同意后才能使用,阅读隐私政策与否并无意义。
此外,在这1000名学生中,有308名学生认为,当前个人信息保护的整体效果一般,这也说明当今的社会环境还未完全形成有利于个人信息保护的良好社会风气。调研团队认为,尽管有关个人信息保护的法律法规正在逐步完善,但尚未达到善治的状态。
消费者的个人信息,谁来保护?
该如何保护大学生的个人信息?更大意义上来讲,如何保障无人场景消费中的个人信息权益?经过此次调研,刘杰及调研团队认为,这项复杂的工作需要加强综合治理。
首先,完善相关立法,加强法律宣传教育。我国《网络安全法》《民法典》《个人信息保护法》等都对个人信息的使用规定了“合法性、正当性、必要性”的基本原则,但缺乏具体标准,这也容易使权责边界模糊化。因此需要完善相关立法细则,如《个人信息保护合规审计管理办法》,及时扩大法律保护范围,涵盖更多个人信息类型以及新兴消费领域和场景。此外,还要加强法律宣传教育,普及个人信息保护知识,如投放公益广告、播放纪录片等,营造良好的个人信息保护社会环境。
其次,督促企业履责与加大监管执法力度。企业应履行个人信息保护的主体责任,依法依规处理个人信息,加强企业内部和外部信息安全管理,充分利用互联网和大数据等手段,降低个人信息泄露的风险。政府执法部门承担管理责任。以负面清单为抓手,制定“纯净版”个人信息保护执法的合规指引,开展事前审查与检测、加强日常主动监督、加大惩罚力度和警示宣传,从而引导企业依法依规处理个人信息。
同时,指导制定“用户友好型”隐私保护指引和分级服务政策。由国家相关部门牵头,联合行业协会,指导网络信息服务提供者按照《个人信息保护法》“两个最小”规定,制定“用户友好型”隐私保护指引和分级服务政策,确保消费者方便、准确地知晓和理解个人信息处理情况,享有基本的信息服务及功能。
最后,吸纳社会力量,推进舆论监督。无人消费场景下的个人信息保护需要动员更多力量参与。建立便捷的公众举报和监督平台机制;联合行业协会制定相关合规标准或行业指南,如《上海市移动互联网应用程序个人信息和用户权益保护合规指南》,定期开展个人信息保护专业培训;邀请独立第三方机构或专家对企业的隐私保护措施进行定期评估和审计,通过媒体对侵犯个人隐私的事件进行曝光,形成舆论压力,引导公众关注和讨论,推动个人信息保护的社会共识的形成。鼓励和支持公益组织、律师事务所、高校和研究机构等多方合作,共同推动个人信息保护领域的公益诉讼。建立公益诉讼联盟,集中各方资源和力量,提高诉讼的效率和效果等。
还没有评论,快来发表第一个评论!