標籤:

用戶評價與個人信息,從滴滴事件說起

06-05
用戶評價與個人信息,從滴滴事件說起

來自專欄個人信息與網路安全法實務研究

本月初,空姐打滴滴順風車被害事件(以下簡稱「滴滴事件」)使得滴滴被迫上了頭條,引發了社會對順風車業務的高度關注。從情感上來說,筆者聽聞滴滴事件後,內心無比悲痛(尤其是據報道稱被害人為獨女)。我相信很多法律人和我一樣,都是懷著悲憤的心情,對各方的責任進行了一番評說。心情平復些許後,筆者忽然發現了一個細節,即滴滴順風車的車主可以看到此前車主對乘客的評價。據報道,遇害空姐的評價中存在諸如「這個美女不一般」的標籤。這樣的評價和標籤功能使得滴滴順風車具有了一定的社交功能,但從直觀感受來看,其似乎存在較大的安全隱患。滴滴順風車整改第一項措施就是下線了所有個性化標籤和評價功能可能也是基於安全的考量。

以下是網友分享的整改前滴滴順風車車主接單的界面及滴滴整改的措施截圖,供參考。(圖片僅供學習交流,如有侵權,請聯繫作者刪除,謝謝!)

網友分享的順風車車主接單界面(如有侵權,請聯繫作者刪除)。

滴滴整改措施截圖

除了直觀的安全考量,筆者認為從個人信息保護角度而言,此種針對個人的評價功能和服務亦存在合規的必要。就此,筆者在下文主要探討兩個問題:第一,用戶評價是否屬於個人信息?第二,如果屬於個人信息,在現行法下,如何進行有效合規?

用戶評價是否屬於個人信息?

個人信息是什麼?雖然各國法律在個人信息定義上存在差異,但目前普遍接受的觀點認為,個人信息界定的核心在於「識別」。就識別而言,《網路安全法》認為「識別自然人個人身份的各種信息」為個人信息,但兩高發布的《關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》則認為「反映特定自然人活動情況的各種信息」也屬於個人信息。綜合我國立法和其他國際立法來看,可識別特定自然人身份和特徵的信息均屬於個人信息的範疇。筆者也支持此種觀點。

但筆者在此想強調的是,個人信息的界定並非一層不變。譬如,筆者是一個法律從業者,這一標籤反映了筆者的工作屬性,似乎屬於個人信息。但如果不結合其他信息,單純將「筆者是一個法律從業者」這一表述放在空白的文檔中,其很難識別筆者本人或者說與筆者本人產生實質聯繫,那麼在該場景下此種信息則不屬於個人信息。但該信息置於本文所在的網頁時,他人完全可以通過結合筆者的姓名、頭像、主頁信息等其他信息對筆者進行識別,那麼在本文所在的網頁環境下,該信息則屬於個人信息。因此,個人信息的界定不能脫離場景進行抽象分析。

按照此邏輯,界定用戶評價是否屬於個人信息需要結合場景判定其是否具有「可識別」的特徵。以滴滴順風車車主對乘客的評價為例,如車主評價某乘客「性格開朗,愛聊天」。這樣的評價非常普通,如單純獲取該信息,完全無法識別特定自然人,但在順風車的場景下,筆者認為該信息對滴滴平台和車主而言均屬於個人信息。

對於平台而言,其掌握了乘客的手機號,甚至姓名和身份證號碼等信息,只要結合此類信息,其可以對乘客進行識別,由此平台收集的一切其他描述乘客特徵的信息原則上都應屬於個人信息(在分類存管的情況下,可能不構成個人信息)。對於車主而言,可能車主無法了解乘客的姓名等身份信息,但通常可以獲取電話號碼,即便認為電話號碼可以不顯示真實號碼,但不可否認的是,順風車交易必然會見面。一旦見面,毋庸置疑車主可以識別該個人了。也就是說,順風車服務存在著互相識別的必然性,車主有絕對的識別預期。因此,筆者認為順風車服務中,車主對乘客的評價屬於個人信息的範疇。

用戶評價如何有效合規?

滴滴順風車通過將個性化標籤和評價功能下線迴避了合規的問題。從優化服務質量和構建服務信用體系的角度來看,評價服務還是存在一定的必要性的。但如何在現行的法律框架下實現合法和安全是企業未來最需要深思的問題。對於用戶評價服務合規,筆者簡要的談幾點想法:

第一,評價匿名是安全的首要保障。這也是目前實踐的普遍做法,筆者不贅述。

第二,應充分告知用戶,其是否會被進行評價以及該評價會被用於何種用途。這是目前諸多企業忽視的一個實務要點。(筆者也十分驚訝,竟然不知道自己會被順風車車主評價且其他車主會看到之前的評價信息。)從合規的角度來說,無論是《消費者權益保護法》還是《網路安全法》都要求個人信息收集者明示信息收集的方式、目的和範圍。在評價服務場景下,雖然平台並非直接從用戶處收集其個人信息,但筆者認為平台依舊有義務向用戶告知其收集個人信息的行為,並明示收集的方式、目的和範圍。這也是保障消費者知情權的必要措施。

第三,如果要向第三人披露屬於個人信息的評價,應徵得信息主體(用戶)的同意。在用戶評價場景中,雖然個人信息是從其他主體處收集,但平台在向第三人展示此種評價時(構成個人信息的前提下),應徵得用戶的同意。這是目前《消費者權益保護法》和《網路安全法》的一致要求。

筆者認為,忽視第二、第三點合規,未來很有可能面臨被訴侵權的風險。

第四,從安全形度出發,應對評價信息的呈現方式進行優化。以何種方式呈現評價信息,以避免安全隱患,實現對個人的有效保護是筆者一直以來都在思考的問題,限於篇幅,本文不作詳述。從滴滴順風車下線評價服務來看,似乎滴滴內部也沒有更好的解決方案。對此有想法的各界同仁,歡迎進一步交流。

---------------------------------------

推薦閱讀:

關於侵犯公民個人信息罪辯護總結
今年11月後去美國要注意了 須在EVUS系統更新個人信息
最高院裁定「開機提醒」屬個人信息:評「用戶使用狀態」產品功能的合規
販賣個人信息可入罪:「亮出利劍」不等於一勞永逸?
人民日報:大量個人信息來自「內鬼」

TAG:個人信息 | 合規服務 | 滴滴出行 |