最近,用户在支付宝在线购买保险被“远程录屏”的事情引起了广泛关注,各方说法相互抵牾,甚至连谁是适格被告、是不是录屏视频都成了疑问。但更关键的是,为啥有了《个人信息保护法》,用户数据隐私保护仍然如此困难。
案中案庭审罗生门
消费者张先生2022年初通过支付宝平台购买太平财险的“新冠肺炎·隔离津贴版”保险,同年12月,当张先生核酸检测结果为“阳性”并联系太平财险赔付时,却遭到了拒绝。2023年1月3日,张先生将太平财险起诉至长沙天心区人民法院。庭审中,太平财险提交了一段名为“承保回溯信息”的电话录屏视频,该视频时长共3分23秒,记录了张先生从进入支付宝页面浏览保险产品的介绍,到支付保险合同款的全过程。其中不仅涵盖张先生的姓名、身份证、健康信息,还包含手指触摸、滑动的位置和轨迹,均清晰可见。
张先生对此表示大为震惊。太平财险方面称,该视频是张先生购买保险时的操作过程。张先生则对此表示,自己从未授权任何一方对其手机操作进行录屏操作。
张先生展示被告向法庭提供的电话录屏
为此,张先生一纸诉状,将支付宝(杭州)信息技术有限公司(以下简称“支付宝”)、蚂蚁保保险代理有限公司(以下简称“蚂蚁保”)、太平财产保险有限公司浙江分公司(以下简称“太平财险”)三家公司告上法庭。12月3日,此案在北京互联网法院一审开庭审理。
庭审中,支付宝认为自己只是平台,不是案涉交易主体,也无法直接接触相关数据和信息,与“远程录屏”行为无关,其实不是适格被告。
蚂蚁保称该视频不是“录屏”而是“结构化存储”,一种符合监管要求的回溯记录方式,用于确保交易的透明和可追溯性;强调用户在进入投保页面时已经被告知操作会被记录,并点击了“明白了”。
太平财险则表示该视频经过技术处理,“只是看着是个视频”,但其实是回溯信息。
而张先生称其点击“明白了”之前,录屏便已经开始,且视频记录的内容包含手指的触摸轨迹和滑动位置。
根据中国银保监会的《关于规范互联网保险销售行为可回溯管理的公告》,保险机构应保护投保人信息安全,收集信息应合法、正当、必要。该事件是否符合规定成为争议焦点。
结构化贮存还是录屏?
根据蚂蚁保的说法,互联网保险的投保过程可回溯记录,是严格落实监管制度的合规合法程序。在此进程中,消费者的信息安全绝对有保障,手机也绝对不会被录屏。蚂蚁保称其作为互联网保险代理平台,对线上投保行为进行全程可回溯记录,最大水平减少销售纠纷,保护消费者权益。并且“可回溯记录”不是手机录屏,仅是投保页内容的结构化存储,且记录范围仅限投保操作,不会也无法涉及用户手机上其它信息,更不会侵犯隐私。
同时,蚂蚁保附上一份原中国银保监会于2020年发布的《关于规范互联网保险销售行为可回溯管理的公告》(以下简称“《通知》”),并标出“互联网保险销售行为可回溯,是指保险机构通过销售页面管理和销售过程记录等方式,对在自营网络平台上销售保险产品的交易行为进行记录和保存,使其可供检验。”
5月1日,支付宝转发该消息并发文称,网购保险不会被“录屏”。
一位不愿透露姓名的专家指出,录屏是一种直接记录屏幕上所显示的所有内容的技术。录屏会捕捉到屏幕上的每一个动作,包含用户的操作、界面变化、和所有视觉和听觉元素(如果有声),生成的是一个视频文件,可以完整重现用户操作过程。
结构化贮存是指将数据以一种有组织的形式存储,通常是通过数据库或类似数据结构来实现。它不直接记录屏幕上的视觉内容,而是记录用户操作的关键数据点。好比:用户点击了哪些按钮、输入了哪些文本、访问了哪些页面、操作的时间点等,这些数据可以是文本、数字或表格等形式,而不是视频格式。其目标是为了回溯和分析用户行为,而不是重现屏幕上的每一帧。
因此,当蚂蚁保提到“结构化存储”而不是“录屏”时,他们可能是在强调数据的处理方式更偏重于信息记录而非视觉内容的全程录制。
太平财险和蚂蚁保表示,所显现的内容经过“技术处理”,看起来像视频,但其实是基于结构化数据的回溯信息。这种处理方式允许将结构化数据转换为视觉化的形式,但不等于于实时录屏。
但站在用户角度,张先生看到了一个完整的操作过程,类似于录屏的效果,记录了张先生的所有操作步骤,包含手指的移动,这与传统意义上的录屏视频非常接近,甚至在功能上没有明显区别。
个人隐私信息泄露无处不在
中国消费者协会专家委员会委员、国家网信办专家、中国政法大学流传法研究中心副主任朱巍对北青报评论此案说,未经当事人同意的情景下,三个被告做了超范围的信息收集,违反个人信息保护法。“根据‘上位法优于下位法的准则’,即便银保监会有规定,也不能和个人信息保护法相冲突,不能和民法典相冲突,因为这两部法律是更高位阶的法律。”
朱巍表示,平台在投保页面提示张先生“会安全记录你的操作”,这不属于安全告知,“记录用途是啥?用什么方式记录?保存期限是多少?这是个人信息保护法明确规定的安全告知事项。”
朱巍认为,“结构化贮存”是一种类似Excel表格的贮存方式,“在此进程中被告也应履行等级保护责任,进行脱敏处理”。
目前,案件仍在北京互联网法院审理中,关于“远程录屏”还是“结构化存储”的争议仍未有定论,这引发了对在线平台隐私保护和用户知情权的广泛讨论。
2024年,中国发生了多起严峻的个人隐私信息泄露事件,这些事件引发了对个人数据保护和 网络安全 的广泛关注。
南方航空 (600029)乘客信息泄露:有一位站长曝光了中国 南方航空 的乘客个人隐私信息泄露事件。通过同程旅行等平台利用南航的漏洞,可以不经过用户授权直接登陆其它用户的南航App,将用户个人信息添加为对方亲属购买特价票。
“母数据泄露”事件:科研人员汇总了一个超级巨型数据泄露集,被称为“泄露之母”(Mother of all breaches),包含12TB、260亿条个人信息记录。在这些泄露的数据中,腾讯公司(00700)的泄露数量最多,达到了15亿条,其次是微博(WB),泄露了5亿条。这起事件揭示了数据保护的严重缺陷。
超级巨型数据泄露集,被称为“泄漏之母”(Mother of all breaches),包含12TB、260亿条个人信息记录。
2024年第壹季度,数据泄露风险态势报告指出,泄露事件主要聚焦在企业数据,尤其是那些掌握大量个人信息和关键数据的企业。国家金融监管总局对我国银行(601988)、 中信银行 (601998)处以罚款,因为他们未能保护客户数据。还有一家科技公司因泄露公民个人信息而被罚款10万元。
2024年12月6日,国家计算机病毒应急处理中心公布12款违规App,包含《医家助手》、《乐护》、《异乡好居》等,主要问题聚焦在隐私政策不明确、未经用户同意收集个人信息等方面。
App违规收集用户数据的“传统”由来已久。早在2018年11月,猎豹浏览器App就被曝出默认开通监听用户外拨电话、位置信息、发送手机短信的权限。
数据隐私保护困难重重
上述事件凸显了 网络安全 和个人隐私保护领域的挑战。尽管《个人信息保护法》(PIPL)已于2021年11月1日起施行,但其执行和监管的力度还需巩固。法律框架尚在发展中,某些条款的解释和执行可能存在模糊性,造成隐私保护的实际效果不如预期。
数据收集与利用的企业文化。企业经常被鼓励收集大量数据以优化服务和推动科技创新,造成数据搜集行为普遍且深入。用户习惯了在使用服务时提供个人信息,而这些信息经常被用于营销和分析,用户隐私意识相对较低。
技术和基础设施问题。一些公司可能出于技术限制或成本考虑,未能充分实施高效的数据保障措施。同时,数据存储和传输的安全性也有可能存在漏洞。
企业的商业模式。众多互联网公司依赖于用户数据进行广告投放和个性化服务,这驱动公司收集尽可能多的用户数据。有些公司可能在隐私保护上不够透明或缺乏严格的内部管理。
用户教育和意识。公众对数据隐私的关注度和理解水平在不同群体中不同明显。部分用户可能不了解如何保护自己的隐私,或认为隐私保护不如方便快捷的服务重要。
隐私政策的复杂性。App里的隐私政策条款通常冗长且复杂,用户可能不会仔细阅读或理解这些条款,从而无意中同意了广泛的数据收集和使用权限。
更关键的是,泄露用户隐私违规成本过低。对于违反隐私保护的企业,相较于违规所得利益,支付成本相对偏轻,造成企业在隐私保护上的投入不足。
上述因素共同作用,使得我国手机用户数据隐私保护直到今天仍面临诸多困难,仍需不断努力。