苏子汀 工业和信息化部电信研究院政策与经济研究所
2014年7月18日,iOS黑客专家乔纳森·扎德尔斯基(Jonathan Zdziarski)在世界黑客大会(HOPE/X 2014)上做了一个名为“确认iOS设备中的后门、攻击点和监督制度”的报告,宣称苹果iOS系统存在三个未经披露的可疑后台服务,可能涉及对用户个人信息的严重侵犯。此事一经曝光,立即引起轩然大波。国内权威媒体纷纷进行报道,指责苹果公司藐视用户个人信息权利。甚至有媒体怀疑iPhone的这些后台程序是苹果公司依据1994年《通信协助执法法案》为政府执法部门预留的后门。而本文的主要目的,是在确认该事件事实的基础之上,对其中所涉及的法律问题,特别是个人信息保护的法律问题进行尽可能客观的分析。苹果“后台程序”概况
综合扎德尔斯基的论文和博客所给出的信息,可以总结出三个程序的具体情况如下:
一是house_arrest服务。在进行备份时,iTunes会使用该服务从应用程序中拷入和拷出备份文件。而扎德尔斯基认为该服务可被利用来获取用户iPhone应用程序的沙盘文件(sandbox)并向沙盘中上传文件,这些文件包含了在设备备份时不会涉及的程序数据库、屏幕截图和程序缓存等。
二是pcapd服务。该服务可被用于帮助开发者编写基于网络的应用。一旦激活,就能够开启包嗅探器(packet sniffer),用来转储进出用户iPhone的网络通信和HTTP标头数据(HTTP Header Data)。但是,该服务并非仅仅安装在用于开发的iPhone上,而是安装在所有iPhone设备上。
三是file_relay服务。该服务的主要功能是,接受外界对特定数据源头的请求,并且提供相应的数据,包括账号、通信录、缓存、地理位置、照片、预置社交软件用户数据等44种数据。
对于这三个程序的存在,用户不仅毫不知情,而且无法通过操作将其禁用。另外,这三个程序在运行时都没有对用户进行界面提示。利用这三个程序,结合iPhone的配对功能,就能够实现获取用户个人信息的目的。iPhone的配对功能,是借助简单的协议,通过iPhone和电脑端各自产生和互换一系列密钥和证书建立起一个加密的SSL通道,继而实现通过电脑在iPhone上传输数据等活动的功能。而这一系列密钥和证书在iPhone和配对成功的电脑设备上都保存有备份。这意味着,如果有人用已经与特定iPhone配对过的电脑,或者持有复制了该备份文件的设备,就能在用户解锁手机的情况下连接到该手机。借助此种配对机制,运行house_arrest、pcapd、fire_relay三个服务,就能在用户不知情的情况下实现监控用户网络数据包以及获取用户个人信息的目的。
对此,苹果在两次声明中始终坚持,扎德尔斯基所谓的“后门”,是一种向企业的IT部门、开发者和苹果维修人员发现并解决技术问题提供信息的诊断功能,并不会侵犯用户隐私、损害用户安全。用户必须首先解锁他们的设备并且同意信任另一台电脑,这些诊断数据才能被分享。
对所曝光程序的法律分析
本文拟从两个方面对上述事件进行分析。一是,苹果这三个程序的性质是什么?苹果需要为这三个程序存在的问题承担何种法律上的责任?二是,苹果这三个程序的设置和运行是否符合个人信息保护的要求?具体来说,是否符合获取用户“同意”的标准、是否遵循“必要”的原则?
(一)安全漏洞与恶意程序
针对第一个问题,iPhone三个后台程序的存在应当被认定为安全漏洞,而非恶意程序。苹果公司应当为这三个程序承担的法律责任视具体情况的不同而定。
安全漏洞和恶意程序实际上相当类似,两者都能被用来实现窃听通话、窃取数据等侵害用户权益的目的。但是,两者在产生原因和所需承担的法律后果上却截然不同。首先,安全漏洞的产生,源于当前的技术发展水平和人的思维局限,是由于技术限制或者开发者的疏漏而导致的。而恶意程序,则是有关组织或个人,为了实现盗取个人信息等非法目的,而故意编写的具有特定功能的程序。其次,利用安全漏洞进行非法活动的主体,通常是开发者所不知情的第三方,而利用恶意程序开展非法活动的通常是开发者、服务提供者本身或者得到允许使用其程序的第三方。最后,两者所需要承担的法律后果并不一样。法律虽然无特别规定,但可依据《民法通则》和《侵权责任法》以及目前的商业实践作出解释。对于安全漏洞来说,开发者或服务提供者所需承担的法律责任视它们所承担的注意义务和当前技术水平而定。如果在软件开发当时技术水平无法发现该漏洞,或者开发人员已经尽到了相应的注意义务而仍旧无法发现的,那么开发者或者服务提供商就不需要承担直接或者间接侵权责任,但是仍需要对发现的安全漏洞进行及时修补防止用户权益遭到损害。而如果开发人员没有尽到相应的注意义务,导致其产品出现了被认定为产品瑕疵或缺陷的安全漏洞,则需要承担相应的产品违约责任或者产品本身导致用户人身财产损失的侵权责任。但总的来说,开发者或者服务提供商并不需要对第三方利用该安全漏洞侵犯他人权益的行为承担共同责任,否则不仅不利于软件市场的发展,而且会使用户怠于履行合理的注意义务和采取适当的防范措施。而恶意程序的制造者如果将该程序提供给他人实施了侵犯他人权益的行为,则构成共同侵权,情节严重时,还要依法追究其刑事责任。
对此,我们认为,苹果的三个后台程序不具有恶意程序的属性。作为诊断功能的一部分,它们的功能和激活方法(即解锁并授权)符合诊断功能的一般要求和操作流程。在没有进一步证据证明苹果三个程序是为了协助执法或者其他非法因素而收集个人信息的情况下,将其认定为安全漏洞是较为恰当的做法。因此,未向用户公开且无法关闭的这三个后台程序属于安全漏洞,应由苹果尽快评估并采取补救措施。另一方面,如果这些漏洞确实造成了他人权益的损失,那么就应当通过具体情况的分析来确定:这三个安全漏洞的存在是由于技术条件所限,还是苹果公司技术人员的疏漏所造成的可以构成产品“瑕疵”或“缺陷”的问题?对苹果应当为此承担的责任应根据认定情况做出判断。
(二)收集个人数据的合法性
其次,这三个后台程序的存在和运行涉及个人信息的收集,那么它们是否遵循了个人信息保护的法律法规?这也是用户关注的焦点。目前来看,主要涉及的是两个具体问题:一是,这三个后台程序在运行中收集用户信息是否取得了用户的同意,是否符合国内立法规定的知情同意规则?二是file_relay程序所能够搜集的数据是否符合“必要”的原则?
(1)法律适用问题
此次事件主体为美国苹果公司。苹果公司是一个境外公司,而且兼具iOS系统的设计者和苹果手机的生产者和销售者等身份。首先,对境外公司的适用,根据属地和属人管辖原则,苹果公司在我国有商业存在,并且收集我国公民的个人信息,因此即便是境外公司,也应当遵守我国法律法规,受我国法律法规的管辖。其次,苹果公司也符合具体的法律规制对象。《全国人大决定》关于个人信息保护的法律规定规范的主体是“网络服务提供者和企事业单位”。如果说“企事业单位”这种具有中国特色的表述还让人对其是否适用苹果公司产生疑虑的话,工信部的规章则一锤定音。工信部规章适用用范围为:“在中华人民共和国境内提供电信服务和互联网信息服务过程中收集、使用用户个人信息的活动,使用本规定。”尽管苹果公司自称是一家硬件制造公司,但是其通过iTunes和App Store向用户提供信息服务,且此次曝光的后门程序中,部分程序是通过iTunes实现对于用户个人信息的收集。因此,上述法律法规都能够适用。
(2)是否符合“同意”原则?
苹果公司认为这三个后台程序只有在用户解锁手机并且同意信任另一个设备的时候才能运行,暗含了用户已经做出“同意授权”的意思,因此它已经获得了用户对个人数据传输的同意;而扎德尔斯基则认为这三个程序中的任何一个在运行时都没有对用户进行明确的界面提示,而且即便AppleCare工作人员在收集数据前进行了口头询问,也不能称得上获得用户“真正”的同意,因为用户根本无法准确知道此种口头询问所涉及的是何种数据。这两种说法背后,实际上反映了不同利益主体对待个人信息保护的不同态度。收集、使用个人信息的商业主体,希望尽量避免繁琐的、十分具体化的方式,而是通过一种概括性的、原则性的告知和请求来获得用户的同意;而作为数据主体的个人,则希望最大化自己的个人信息安全度,这种理性推到极致便是扎德尔斯基所称的每一次收集用户信息都应当有明确的、具体的界面提示。
那么,对“同意”应当采取何种理解?首先,我国法律规定并没有对“同意”的内涵和界定方式进行规定,也不存在可参照的司法判例。在此情况下,我们尝试着合理地结合国内外的立法和商业实践来解释“同意”。
在此情况下,我们尝试着合理地结合国内外的立法和商业实践来解释“同意”。欧盟1995年《个人数据保护指令》第2条h款规定,数据主体的同意,是指任何自由做出的(freely-given)、特定的(specific)以及知情的(informed)意思表示,数据主体借此表达了(signify)接受其个人数据被处理的同意。且该同意应当是不含糊地(unambiguously)做出的。同时,在1995年指令和最新的修改草案中都规定了对如种族、民族、宗教或哲学信仰、商会成员资格、健康信息、性生活信息以及犯罪记录等敏感、信息的特别要求,即对处理这些信息的同意应当是明示(explicit)做出的。
可见,欧盟指令意义上的“同意”必须满足三个条件。第一,同意应当是自由做出的,这就排除了用户受到胁迫或者欺诈而不得不做出同意的情况;第二,同意应当是特定的,即用户所给出的同意只是针对该特定处理目的而做出的,不能涵盖所有未经同意的目的。第三,同意应当在知情的情况下做出,即数据主体应当在充分了解个人数据处理活动的目的、方式和数据类型之后做出同意。不过,对于一般个人信息和敏感个人信息,知情的程度是不同的。一般个人信息的收集需要获得“不含糊的同意”(unambiguous consent),而对如种族、民族、宗教或哲学信仰、商会成员资格、健康信息、性生活信息以及犯罪记录等敏感信息的收集,则应当是明示(explicit)做出的同意。这就意味着用户的同意应当是清晰明了的,该同意应当是在充分掌握具体处理细节,如数据的类型、处理的程序、信息披露的可能性以及任何可能影响到该个人的情况之后做出的。第四,不管是“不含糊地”或者是“明示地”,用户的同意至少应当通过一种积极性的行为来做出,因此在用户没有或者拒不回应收集数据的请求时,第三方就不能推定用户同意。
值得注意的是,欧盟指令并没有对获取用户同意的方式进行统一强制规定,而是赋予相关主体以充分的自主裁量权。最新的草案延续了1995年指令的规定,并且对征求同意的具体方式给予了提示,即意思表示的方式可以“通过一个书面、口头或者电子声明或者通过一次明确的肯定性行动(affirmative action)”,“这包括在访问一个网站时点击一个弹出框或者能够清楚表明数据主体接受数据处理的任何其他声明或者行为”。同时,“在技术允许和保证效率的情况下,数据主体的同意可以通过一个适当的浏览器设置或者其他程序设置来做出。同意的范围应当包含了所有为得到数据主体同意的同一目的所进行的数据处理活动”。也即欧盟并不否认可以通过一种概括性的浏览器或者程序设置,来征求用户为了同一目的而进行的数据处理活动。同时,为了保证效率,“如果要通过一个电子化的请求来获得数据主体的同意,那么该请求必须是清楚、精确的请求,并且不能对数据主体使用所接受的服务造成不必要的干扰。”需要注意的是,草案中这些规定如果最终得到通过,那么它不仅适用于一般个人信息,也适用于敏感个人信息的处理。虽然敏感个人信息牵涉较大的个人利益,在处理时可能需要数据处理方履行更严格的告知、注意和保护义务。但是,数据处理方为了履行更严格的告知、注意和保护义务而采取的措施,也不应当对“数据主体使用所接受的服务造成不必要的干扰”。
可以看到,欧盟的立法并没有对征求用户同意的方式进行一刀切的规定,而是综合考虑了个人数据的保护和商业效率、用户体验。同时,结合我国立法条文的字面意思和上下文来看,我国立法也并没有强调应当在每次收集、使用个人信息的时候都必须通过某种特定手段征求被收集者同意,从某种程度上,这也反映了立法者不愿意为经营者增加不合理负担的意图。而且,从当前的行业实践来看,收集个人信息的互联网企业,都是通过官方网站声明、用户使用须知、隐私政策等统一方式来向用户告知并征得用户同意;收集个人信息的程序应用,也都会在安装时予以统一提示。中国法学会和北大法学院联合发布的《互联网企业个人信息保护测评标准》中也明确肯定这样一种模式:互联网企业应在网站、软件或服务的适当位置公开其个人信息保护政策,并以适当方式提醒用户注意相关政策并告知不同意个人信息保护政策的可能后果。在互联网企业履行其告知义务后,用户开始或持续使用技术服务或内容服务的行为视为同意互联网企业处理其个人信息。因此,我们认为,更合理的一种理解是,企业应当对其业务范围中涉及到的收集、使用个人信息环节予以统一公示,使消费者在使用其服务的时候能够充分理解和选择。但同时,我们也应当看到,由于邮件、短信息、照片、地理位置等特殊的个人信息涉及到个人隐私、人格尊严以及生命、财产安全,那么数据处理主体在进行处理时理应承担更高的告知和注意义务,采取一定方式详细地告知用户手机数据的类型、数据的处理方式等来获知用户明示同意,而不应当仅仅通过统一的公示来履行告知义务。
按照上述理解,苹果的这三个诊断程序的运行一般来说能够被认定为获得了用户的同意,但是在涉及某一些敏感数据的处理时,并没有达到获取用户知情同意的标准。首先,这三个程序作为诊断功能的一部分,需通过配对功能与其他终端连接才能使用,而这就需要用户解锁手机并且信任另一终端。对于开发者而言、企业IT人员和AppleCare工作人员来说,他们在使用这三个程序对iPhone进行诊断时,具有正常认知和理解能力的用户本身能够意识到诊断功能的进行可能会收集iPhone里的特定信息,在这种意识下,用户通过解锁手机并且信任另一台终端的行为,可以视为一种“肯定性行动”(affirmative action),表示了其愿意接受收集诊断和可能的诊断信息的收集的意愿。另外,AppleCare工作人员在进行诊断时的口头询问,只要口头询问的内容能够充分地告知用户,也属于征求用户同意的范畴。没有采取界面提示征求用户同意的方法并不妨碍获取用户同意活动的进行。另一方面,由于这三个后台程序可能会涉及特定类型的敏感个人数据,对于这些数据的收集和使用,iPhone是不宜通过统一的、概括性的通知或者用户的“肯定性行动”来征求用户同意的。因此,我们认为,苹果可以做得更好。
(3)是否符合“必要”原则?
关于第二个问题:file_relay程序所预设收集的个人数据类型是否超过了诊断功能的需要?根据扎德尔斯基的报告,在苹果iOS2的系统版本中,file_relay程序的数据仅局限在AppleSupport、Network、WiFi、UserDatabases、CrashReporter、SystemConfiguration这六种类型日志文件,而到了iOS7版本中,就扩大到了44种,包括了相册、语音邮箱、位置信息和缓存文件等非常私人的信息。如果苹果的诊断功能确实不需要某些类型的个人数据,而这些类型又包括在诊断程序的数据来源中,那么就可以合理推断出苹果设置这些程序别有用心,违反了“必要”的原则。
关于收集个人信息的必要原则,我国法律只是进行了原则性的规定。实际上在欧盟立法中也采取了此种做法。归根结底,是因为信息应用技术在不断更新,多样化的信息利用价值被不断发掘,而与之相应的诊断技术和所需数据也在与时俱进。随着App应用的丰富化,App应用采集的用户信息的类型也会越来越多样化,甚至包括地理位置、照片、通信录等敏感信息。那么,涉及此类信息的应用如果出现故障,在诊断时可能就需要作出基本判断:该故障是应用程序本身存在漏洞(bug),还是应用程序所处理数据的问题而引起的。因此,我们不能一概而论地认为file_relay目前已被曝光的私人信息数据来源不符合必要的原则,而需要通过技术的验证来确定诊断功能运行所需要的数据。另一方面,正如前文所说的,某些关乎个人隐私和财产安全的特定个人数据,如邮箱账号、社交网络账号、邮件等,不论其是否为诊断功能所必要,不论其是否符合 “必要”的原则,企业在进行收集时理应对用户予以明确告知并充分提示其风险。
小结
通过上述分析,可以得出结论,即苹果这三个程序在很大程度上是符合个人信息保护的“同意”和“必要”原则的,但是其收集账号、照片和短信等关键个人信息的行为却有不当。这也反映大数据时代企业、消费者和立法者都不得不面临的一种矛盾。一方面,互联网已经成为对国民经济具有巨大推动的产业。大数据和云计算技术往往需要收集比以往更大范围的、更多类型的个人信息,以便服务提供商能够提供快速、高效、准确的服务。为了促进产业的发展和服务的质量,对服务提供商不宜施加太大的限制,否则可能阻碍其发展,因噎废食。因此,对个人信息收集所应遵循的方式和程序,可以赋予企业在现实情况中因地制宜、因时制宜地进行选择的自主权。但同时,对某些关键个人信息的保护却是在任何时候都不应偏废的。这些关键的个人信息,直接涉及到个人的隐私、健康和财产安全,因此更重要的是保证所有第三方在收集这些关键个人信息的时候都能够向相关主体作出充分的告知并获取其真实同意。为此,由法律进行强制规定,详细规定其在收集敏感个人信息时的程序、方式和义务。这样一种区分对待、实事求是的做法能够较好地平衡促进互联网发展和保护个人信息安全之间的矛盾,也是将来我国在进行细化的个人信息保护立法时具有参考意义的借鉴。
更多精彩内容
欢迎搜索关注微信公众号
腾讯研究院
