AD
原题:“我知道哪天是你生日”
生日管家软件被疑泄露个人信息
质疑一:生日管家将个人生日与手机号信息相匹配使用,使其能够与其他信息结合而识别用户,一旦被广泛得知,不排除他人滥用该项信息、做出干扰用户个人生活安宁等行为
质疑二:用户未获得权利人授权就对他人的生日信息进行标注、关联他人手机号码,并上传至网络与其他用户共享,由于涉及人数较多,软件很可能构成系统性的辅助侵权行为,这种商业模式存在巨大法律风险
法治周末见习记者 李含
“王丽,你的生日是不是10月17日呀?祝你生日快乐!”
正在与朋友庆祝自己的27岁生日,收到了这样一条并不相熟的合作单位联络员张丹的祝福短信,对方是北京某国企职员王丽(化名),这让王丽诧异不已:自己并未告诉过张丹自己的生日,身边的人也与她并无交集,她是如何得知自己生日的呢?
“我是从生日管家上看见的,今天生日管家还特意提醒我了呢。”张丹回答。
这番话让王丽心中不知是何滋味:“我没用过生日管家这款软件,从未将自己的信息上传到软件中给他人共享,生日管家从哪里得知了我的生日信息、并共享给他人呢,这难道不是侵犯了我的权利么?”
王丽的这种质疑,在网上早有出现,而生日管家软件自2011年上线以后,却一直以此为经营模式。
这是一个如何“神通广大”的软件?
没用过生日管家也有生日记录
据生日管家软件的官网介绍,生日管家是北京十月逸栈科技有限公司推出的生日服务软件,以生日记录、提醒为切入点,同时打造生日消费平台,聚合合作商家资源,为用户提供手机端的生日蛋糕、鲜花以及礼品订购服务。
法治周末记者也下载了该软件进行体验。安装完成后,点击进入,在登录软件的过程中,生日管家会提醒用户是否开启通讯录授权,以便通过手机号码进行匹配、给用户推荐好友生日,进而可以获得精准的好友生日。
生日管家还提醒,授权给生日管家的这些手机号码,会进行不可逆加密,因而不必担心隐私泄露的风险。
在开启通讯录授权后,生日管家便会帮助用户找到通讯录中好友的生日信息。法治周末记者发现,在使用过程中,生日管家通过对记者的通讯录匹配,一共找到了215位联系人的生日信息,并且记录了详细的出生年月;询问之后,这其中很多人并没有使用过生日管家软件,但其生日信息依然被记录、并与其手机号码相关联。
对于这种情况,生日管家软件客服告诉法治周末记者,生日管家所记录的生日信息,主要有几个途径:一种是用户自己上传了自己的生日,或者授权生日管家软件从该用户注册过的一些社交软件上获取生日信息;此外,用户也可以给自己的好友标注生日信息。
“通过通讯录匹配找到好友的生日,主要是因为在标注生日信息的时候,将生日信息与手机号码进行了关联,并且上传到了系统的云端服务器。这样,其他使用生日管家软件、同时拥有相关手机号码的用户,就都能通过通讯录来匹配、获取好友的生日信息了。”生日管家软件客服说,那些没有使用过生日管家、却也能在软件中被别人通过手机号码找到生日信息的人,应该是被他的朋友标注了生日信息并关联了手机号码,上传到了云端服务器上。
法治周末记者询问,当生日信息并非手机号码使用者本人上传的情况下,是否会对其进行提醒、以便获得同意,生日管家软件客服表示,目前生日管家不会对被标注的手机号码使用者进行提醒。
海量生日信息共享存隐患
据生日管家软件所提供的数据,截至2014年3月,生日管家已经为1000多万用户解决了生日记录的烦恼,每天有近30万的用户体验生日管家提供的各类服务,用户在生日管家的云端生日库中记录了超过3000万人的生日。
某安全软件工程师告诉法治周末记者,生日管家的这种模式,实际上就是利用云计算技术,集合了大量用户所贡献的生日数据和通讯录数据,是大数据技术的运用。
然而,如此庞大的数据量,也引来了对于个人信息滥用与保护的担忧。上述安全软件工程师就表示,由于匹配了手机号码,可能还会有一些其他数据,因而从个人信息保护的角度来说,不推荐使用这样的软件。
北京市威宇律师事务所合伙人、互联网法律专家滕立章表示,生日信息属于个人信息,而且属于法律明确规定予以保护的电信及互联网用户个人信息——《电信和互联网用户个人信息保护规定》第4条规定,用户个人信息是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。
“生日信息的泄露会产生很多问题,比如出生年份就会透露一个人的实际年龄,对于那些不想公开自己真实年龄的人来说,实际上也是对隐私的一种侵犯。”滕立章说,生日信息与手机号码绑定,还可能会出现被推广和营销人员利用、进行骚扰营销。此外,很多人在设置密码时喜欢用出生日期,一旦泄露就会给当事人的财产安全造成隐患。
北京市盛峰律师事务所主任律师于国富在接受法治周末记者采访时表示,个人信息之所以受到法律的特殊保护,是因为其往往涉及到个人的人身安全、安宁和人格保护等。
“不容否认,个人的生日是特定的日子,生日管家将该信息与手机号信息相匹配使用,使其能够与其他信息结合而识别用户,一旦被广泛得知,不排除他人滥用该项信息、做出干扰用户个人生活安宁等行为。值得注意的是,个人信息的泄露和滥用,无需造成侵权的既成事实,只需要出现了一定的危险就已经侵权成立了。”于国富说。
收集、使用生日信息须明确授权
中国互联网协会研究中心秘书长胡钢向法治周末记者介绍,根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》和《电信和互联网用户个人信息保护规定》的相关规定,对个人信息的利用,必须遵循合法、正当、必要的原则;而符合“合法”原则的首要条件,就是个人信息的收集与使用应当征得相关当事人的许可,并且必须是明确的授权。
“这种授权,不应当被杂糅在冗长的用户注册协议中、藏在某个不易被发现的角落,而应当是由权利人主动通过设置去操作的。”胡钢说。
然而,法治周末记者在使用生日管家的过程中,并未收到是否同意其共享生日信息的提示;生日管家默认开启了“存我手机号的人可见我生日”“存我手机号的人可见我出生年份”两项功能;法治周末记者在标记他人生日信息、开启云端服务上传至网络的过程中,也并未收到任何需要获得当事人授权的提示。
在生日管家的用户注册协议中,法治周末记者看到了这样的条款:“您可以选择公开或者不公开您的生日信息及其他个人信息……您通讯录中的信息……您所上传的信息。如果您未明确选择不公开前述信息,则视为您同意公开前述信息。”
胡钢认为,这种默认公开的做法是值得商榷的,“严格来说,软件开发商应当设置为默认不公开,只有在获得权利人授权的情况下才能公开”。
胡钢强调,特别是利用手机号码对他人生日信息进行标注的情况,问题更大:“生日管家软件是生日信息的展示平台、标注平台,其用户在未获得权利人授权的情况下就对他人的生日信息进行标注、关联他人的手机号码,并上传至网络与其他用户共享,由于涉及人数较多,生日管家软件很可能构成系统性的辅助侵权行为。这种商业模式存在巨大的法律风险。”
滕立章也表示,不征求权利人同意默认收集生日信息、对他人公开,这些都明显违反了法律的规定,对此电信管理部门可以责令改正并处以罚款。
事后弥补无法替代事先合规
生日管家软件客服告诉法治周末记者,如果该手机号码使用者不同意公开其信息,可致电生日管家客服,将信息进行屏蔽以避免继续向他人开放共享。
胡钢分析称,这实际上是生日管家软件为用户提供的一个救济渠道,即对于生日管家软件所收集、共享信息的退出机制,“但这种做法只是事后被动的弥补措施”。
但在滕立章看来,这种事后的弥补手段替代不了生日管家软件事先的合法收集义务:“要收集公民个人的信息,必须事先明示收集、使用信息的目的、方式和范围,征得被收集者的同意,而不能先非法收集利用、等被发现了才进行屏蔽处理。单纯依靠这种手段,对于消费者权益保护起不了什么作用。”
于国富向法治周末记者介绍,生日管家不同于论坛、博客、微博等互联网平台——后者的经营者通常对于用户所发布、上传内容的法律性质无法明确得知,因此可以使用“通知删除原则”,在当事人投诉不当内容后及时予以删除就可以免责;但生日管家从其名称和产品设计角度来看,其收集、使用用户个人信息的目的明确,内容单一,其主张使用“通知删除原则”处理侵权问题就无法免责了。
胡钢表示,生日管家软件可以通过一些改进,来规范自身和用户的行为、一定程度上减轻自己的责任:“通过更加清晰、明确的提示,告知标注、上传他人生日信息的用户,在标注、上传之前应当获得他人的许可。”
胡钢建议,比如在用户标注、上传他人生日信息时,可以通过弹窗的形式,提醒用户这种行为应当得到他人的授权许可,方可进行;而对于生日信息被标注、被共享的权利人,则可以对其进行提醒,有人在软件上标注、共享了其生日信息,以便获得其授权,或者让权利人可以退出。
生日管家软件客服表示,对于被标注者的提醒,实际上在生日管家软件之前的几个版本中有过尝试,当一些人被朋友标注了生日、关联了手机号之后,会对当事人进行短信提醒;但由于这种做法也给用户造成了一定的困扰,最后取消了。
法治周末记者了解到,此前,生日管家软件确实存在这种短信提醒功能,但这种做法曾被质疑是垃圾短信而被中央电视台曝光。
在中央电视台新闻频道《新闻直播间》今年5月7日播出的有关节目中,法治周末记者看到,生日管家软件所发送的提醒短信内容是“有人悄悄在生日管家记录了您的生日,点击查看http://http://shengri.cn/c?11685606”,其中包含了生日管家的下载链接,从而被认定为携带恶意软件、存在安全隐患,被很多收到该短信的人举报。
