万牧昆
摘要208年4月23日,新京报首先曝光美团等O2O平台用户信息的大规模泄露事件,倒卖信息的黑色利益链条浮出水面,随后各大媒体纷纷跟进,一时间,相关用户信息保护机制的缺失和补救措施的迟缓成为舆论关注的焦点。事实上,这一恶性事件的发生不仅是美团自身的问题,更是长期以来O2O行业信息安全责任缺位所导致的必然结果,因此,加快O2O平台信息安全责任的重建已是大势所趋。
关键词“互联网+”;信息安全;O2O平台
中图分类号TP3文献标识码A文章编号674-6708(208)25-052-02
O2O平台信息安全责任缺位的表征研究
“互联网+”时代,O2O平台通过对接各大传统行业的产品生产与线上用户的个性化需求,对民众生活的影响逐渐覆盖到衣食住行各个方面。然而,随着数年来这一互联网新业态的蓬勃发展,面对数以亿计的用户规模,各大平台在享受作为服务提供者的流量红利的同时,却忽视了身为信道管理者和“把关人”所应该承担的义务与责任。
罔顾信息敏感度的越权收集
网络用户在享受服务时,需要向网站或平台提交各项个人信息,其中,不同信息的敏感度和重要程度不同。Ar,Crr&p;Rl;经调查认为,社会保障号码和信用卡号敏感程度最高,个人偏好信息则相对较低[]。Hu,T&p;L;的研究也发现,网络用户的银行存款、个人债务和身份证号是非常敏感的信息,而婚姻状况等信息则不敏感。总而言之,与财务安全关联度越高,越是私密的信息敏感程度也就越高。就当事人来说,敏感信息泄露所造成的影响远大于一般信息。
然而大多数平台作为O2O服务提供方,都强制要求用户提交超过实际所需的敏感信息,从支付账户,到短信内容,手机通讯录名单,电话号码,各大社交平台账号,甚至详细到了门牌号的住址信息都要求提供,其中大部分信息根本与使用过程毫无关联,于是,用户在平台数据库中成为敏感信息一览无余的透明人。
2罔顾信息泄露风险的低准入门槛
当前,网络服务提供商的“把关人”身份已无须更多论辩[2]。作为信道管理者,平台有责任净化用户信息的流通环境,然而,就目前而言,大多数O2O平台都存在产业链复杂,各利益相关方良莠不齐的局面。以订餐平台为例,商家,骑手两方群体都缺乏有效的过滤机制,准入门槛形同虚设,商家提交几张照片就能堂而皇之的出现在搜索甚至推荐页面,更有些平台为降低成本,优化配送效率,采用“众包”的模式进行配送,一个陌生人只需下载一个App就能成为“骑手”,掌握用户的所有信息。用户信息在这些使用群体之間传递,安全性可谓毫无保障,形同“裸奔”。
3罔顾用户权益的低效补救措施
一旦发现信息泄露,平台作为责任承担者,本应该第一时间对泄露源展开调查,并对相关人员进行严肃处理。但令人失望的是,在近年来多次发生的O2O平台信息泄露事件中,其事后补救措施的匮乏和低效一直广为媒体和民众所诟病。事发后,平台内部各相关事业群之间相互推诿,扯皮甚至已经成为常态,形成“喊得凶,做得少”的现象。比如,这次美团大规模信息泄露事件中,在明知有“内鬼”倒卖信息的情况下,公司清查半月却一无所获,引起舆论哗然,出现了严重的信任危机。此外,调查清楚后,也大多是辞退相关人员了事,根本不追究其法律责任。
2O2O平台信息安全责任缺位的内在逻辑
2话语权失衡致使平台越权
用户初入平台时,对敏感信息的保护还处于懵懂状态,平台协同拥有广告需求的商家设置多样化的流量诱导机制将其吸引,并牢牢绑定,一旦用户觉察其敏感信息被记录,想要离开平台时,这些机制就摇身一变,成为坚不可摧的转换壁垒,用户使用过程中所积累的会员等级,积分,乃至红包代金券等都使其不得不考虑转换所需要承担的必然损失。因此,非不为也,实不能也,在平台重新界定用户生活方式的前提下,除了在多达数十项的敏感信息授权协议前低头之外,深陷其中的用户已无从选择。
越权的高级阶段为垄断越权,O2O行业由于利润池的趋同性和网络效应,极易形成赢家通吃的市场格局,而一旦某一平台垄断市场,则在用户面前拥有了无与伦比的话语权,轻易就能使用户在隐私权和使用权的权衡中做出让步。以滴滴为例,据CNIT的报告称,其在专车市场已拥有946%的市场份额[3],于是,在几乎没有其他选择的情况下,面临其多达22项的信息授权清单,用户唯有在同意按钮上轻敲手指。
22追求网络效应致使准入门槛虚设
网络效应指产品的价值会随着用户规模的扩大而增加,就O2O平台而言,商家,物流等服务提供方的规模越大,其能吸引的流量也就越多,自身也能有更大的交叉补贴空间和广告收入。因此,对商家采取宽松的准入门槛,执行开放式策略是其在日益激烈的竞争环境中生存与发展的必由之路。此外,采取这一模式也可以做到轻资产运营,一方面削减了平台的管理成本,一方面也转嫁了经营风险。然而,在轻松坐享流量红利的同时,大多数平台都忽略了权责的统一性,对应该承担的用户信息安全保护的责任与信息失守的风险置若罔闻,最终酿成恶果。
23业务链庞杂致使补救措施低效
互联网的交互性是其基本特征之一,随着“互联网+”的不断深入,平台业务体系不断扩张,同一用户的信息往往存在于多个领域事业群的数据库中,且不存在地域限制。因此,一旦信息泄露,追溯其源头将变得困难重重,也给不法分子涂上了最好的保护色。此外,过长的业务链也给平台的事后补救措施增加了难度,从产品生产,到物流配送,到平台支付和服务,业务链的每一个环节都能获取用户的所有信息,因此,泄密渠道具有很强的隐匿性,这也使得事后追查力不从心。
3O2O平台信息安全责任的重建措施
3依法收集管理敏感信息,加快建设数据库安保体系
按照国家标准化管理委员会公告,自208年5月日起,实行《个人信息安全规范》,其中强调,个人信息的控制者需遵循以下几个原则:)权责一致;2)目的明确;3)选择同意;4)最少够用;5)公开透明;6)确保安全。在法律的面前,O2O平台必须依据最少够用原则,对用户信息,尤其是敏感信息的收集,其次,尊重用户的合法权益,充分保障用户选择同意和不同意的权力。
此外,加快数据库的安保体系建设是不可或缺的一环。平台要借助数字防火墙,数据漏扫,数据脱敏等技术进行数据库建设,谨防用户个人信息的泄露。尤其是数据脱敏,对用户敏感信息的保护作用显而易见。数据脱敏是指对某些敏感信息通过脱敏规则进行数据的变形,实现敏感隐私数据的可靠保护[4]。简而言之,就是对敏感信息进行部分加密而使其无法识别。在大数据时代,数据脱敏已成為数据安全技术一个重要的组成部分,日常生活中常见的中奖号码大部分都采取了此种技术。
32勇于承担“把关人”责任,筑起商家过滤机制
O2O平台作为用户信息流通渠道的把关人,不只要考虑商业利益,更要承担起应有的社会责任,具体而言,就是严格准入条件,筑起商家过滤机制。在这一过程中,要遵循两个原则,一个是弹性原则,一方面不能损害平台的活力,对有保障,可靠性强的商家打开欢迎之门,另一方面,对妄图凭借几张照片就想浑水摸鱼的不良商家进行严格规范的资格审查。另一个是权责一致原则,在商家进入平台时就明确其权利与责任,表明自身的态度,以对其产生事前警示效应。
33完善事后补救体系,设置专门信息监管部门
就隐藏在平台内部的信息泄露获益者而言,其不仅对用户信息的安全构成了强烈威胁,也是阻碍平台健康发展的“拦路虎”,在经济利益前,他们毫不犹豫的用平台集体的信誉换取自身的财富。平台对此应该成立专门的信息监管和调查部门,认真建设和执行内部管理条例,对信息泄露展开严肃的审查和惩处。对业务链中的信息泄露者,则应追究其法律责任,交由相关部门处理,以作为后来者的前车之鉴。
4结论
相较于以往多发于社交媒体的个人信息安全问题而言,O2O平台由于其个人信息敏感程度更高,事后处理更为困难,因此,其安全责任也就更为重大。在“互联网加”环境下,如何保护自身的信息安全,也成为民众应该考虑的问题。
参考文献
[]王晗,秦克飞网络用户个人信息的敏感度研究[J]情报杂志,202,3(2):7-75
[2]冯哲,秦平山法治视阈下网络服务提供商社会责任的缺位与重建——以“快播案”为例[J]传媒,206(9):74-75
[3]中国IT研究中心:206中国专车市场研究报告[R]北京,206:
[4]尹雯玉数据脱敏:数据大爆炸时代的隐私保护利器[EB/OL]99IT205
文章来源于:科技传播