萬(wàn)牧昆

摘 要 2018年4月23日，新京報(bào)首先曝光美團(tuán)等O2O平臺(tái)用戶信息的大規(guī)模泄露事件，倒賣信息的黑色利益鏈條浮出水面，隨后各大媒體紛紛跟進(jìn)，一時(shí)間，相關(guān)用戶信息保護(hù)機(jī)制的缺失和補(bǔ)救措施的遲緩成為輿論關(guān)注的焦點(diǎn)。事實(shí)上，這一惡性事件的發(fā)生不僅是美團(tuán)自身的問題，更是長(zhǎng)期以來O2O行業(yè)信息安全責(zé)任缺位所導(dǎo)致的必然結(jié)果，因此，加快O2O平臺(tái)信息安全責(zé)任的重建已是大勢(shì)所趨。

關(guān)鍵詞 “互聯(lián)網(wǎng)+”；信息安全；O2O平臺(tái)

中圖分類號(hào) TP3 文獻(xiàn)標(biāo)識(shí)碼 A 文章編號(hào) 1674-6708（2018）215-0152-02

1 O2O平臺(tái)信息安全責(zé)任缺位的表征研究

“互聯(lián)網(wǎng)+”時(shí)代，O2O平臺(tái)通過對(duì)接各大傳統(tǒng)行業(yè)的產(chǎn)品生產(chǎn)與線上用戶的個(gè)性化需求，對(duì)民眾生活的影響逐漸覆蓋到衣食住行各個(gè)方面。然而，隨著數(shù)年來這一互聯(lián)網(wǎng)新業(yè)態(tài)的蓬勃發(fā)展，面對(duì)數(shù)以億計(jì)的用戶規(guī)模，各大平臺(tái)在享受作為服務(wù)提供者的流量紅利的同時(shí)，卻忽視了身為信道管理者和“把關(guān)人”所應(yīng)該承擔(dān)的義務(wù)與責(zé)任。

1.1 罔顧信息敏感度的越權(quán)收集

網(wǎng)絡(luò)用戶在享受服務(wù)時(shí)，需要向網(wǎng)站或平臺(tái)提交各項(xiàng)個(gè)人信息，其中，不同信息的敏感度和重要程度不同。Ackerman，Cranor&Reagle;經(jīng)調(diào)查認(rèn)為，社會(huì)保障號(hào)碼和信用卡號(hào)敏感程度最高，個(gè)人偏好信息則相對(duì)較低[1]。Hui，Teo&Lee;的研究也發(fā)現(xiàn)，網(wǎng)絡(luò)用戶的銀行存款、個(gè)人債務(wù)和身份證號(hào)是非常敏感的信息，而婚姻狀況等信息則不敏感?？偠灾c財(cái)務(wù)安全關(guān)聯(lián)度越高，越是私密的信息敏感程度也就越高。就當(dāng)事人來說，敏感信息泄露所造成的影響遠(yuǎn)大于一般信息。

然而大多數(shù)平臺(tái)作為O2O服務(wù)提供方，都強(qiáng)制要求用戶提交超過實(shí)際所需的敏感信息，從支付賬戶，到短信內(nèi)容，手機(jī)通訊錄名單，電話號(hào)碼，各大社交平臺(tái)賬號(hào)，甚至詳細(xì)到了門牌號(hào)的住址信息都要求提供，其中大部分信息根本與使用過程毫無關(guān)聯(lián)，于是，用戶在平臺(tái)數(shù)據(jù)庫(kù)中成為敏感信息一覽無余的透明人。

1.2 罔顧信息泄露風(fēng)險(xiǎn)的低準(zhǔn)入門檻

當(dāng)前，網(wǎng)絡(luò)服務(wù)提供商的“把關(guān)人”身份已無須更多論辯[2]。作為信道管理者，平臺(tái)有責(zé)任凈化用戶信息的流通環(huán)境，然而，就目前而言，大多數(shù)O2O平臺(tái)都存在產(chǎn)業(yè)鏈復(fù)雜，各利益相關(guān)方良莠不齊的局面。以訂餐平臺(tái)為例，商家，騎手兩方群體都缺乏有效的過濾機(jī)制，準(zhǔn)入門檻形同虛設(shè)，商家提交幾張照片就能堂而皇之的出現(xiàn)在搜索甚至推薦頁(yè)面，更有些平臺(tái)為降低成本，優(yōu)化配送效率，采用“眾包”的模式進(jìn)行配送，一個(gè)陌生人只需下載一個(gè)App就能成為“騎手”，掌握用戶的所有信息。用戶信息在這些使用群體之間傳遞，安全性可謂毫無保障，形同“裸奔”。

1.3 罔顧用戶權(quán)益的低效補(bǔ)救措施

一旦發(fā)現(xiàn)信息泄露，平臺(tái)作為責(zé)任承擔(dān)者，本應(yīng)該第一時(shí)間對(duì)泄露源展開調(diào)查，并對(duì)相關(guān)人員進(jìn)行嚴(yán)肅處理。但令人失望的是，在近年來多次發(fā)生的O2O平臺(tái)信息泄露事件中，其事后補(bǔ)救措施的匱乏和低效一直廣為媒體和民眾所詬病。事發(fā)后，平臺(tái)內(nèi)部各相關(guān)事業(yè)群之間相互推諉，扯皮甚至已經(jīng)成為常態(tài)，形成“喊得兇，做得少”的現(xiàn)象。比如，這次美團(tuán)大規(guī)模信息泄露事件中，在明知有“內(nèi)鬼”倒賣信息的情況下，公司清查半月卻一無所獲，引起輿論嘩然，出現(xiàn)了嚴(yán)重的信任危機(jī)。此外，調(diào)查清楚后，也大多是辭退相關(guān)人員了事，根本不追究其法律責(zé)任。

2 O2O平臺(tái)信息安全責(zé)任缺位的內(nèi)在邏輯

2.1 話語(yǔ)權(quán)失衡致使平臺(tái)越權(quán)

用戶初入平臺(tái)時(shí)，對(duì)敏感信息的保護(hù)還處于懵懂狀態(tài)，平臺(tái)協(xié)同擁有廣告需求的商家設(shè)置多樣化的流量誘導(dǎo)機(jī)制將其吸引，并牢牢綁定，一旦用戶覺察其敏感信息被記錄，想要離開平臺(tái)時(shí)，這些機(jī)制就搖身一變，成為堅(jiān)不可摧的轉(zhuǎn)換壁壘，用戶使用過程中所積累的會(huì)員等級(jí)，積分，乃至紅包代金券等都使其不得不考慮轉(zhuǎn)換所需要承擔(dān)的必然損失。因此，非不為也，實(shí)不能也，在平臺(tái)重新界定用戶生活方式的前提下，除了在多達(dá)數(shù)十項(xiàng)的敏感信息授權(quán)協(xié)議前低頭之外，深陷其中的用戶已無從選擇。

越權(quán)的高級(jí)階段為壟斷越權(quán)，O2O行業(yè)由于利潤(rùn)池的趨同性和網(wǎng)絡(luò)效應(yīng)，極易形成贏家通吃的市場(chǎng)格局，而一旦某一平臺(tái)壟斷市場(chǎng)，則在用戶面前擁有了無與倫比的話語(yǔ)權(quán)，輕易就能使用戶在隱私權(quán)和使用權(quán)的權(quán)衡中做出讓步。以滴滴為例，據(jù)CNIT的報(bào)告稱，其在專車市場(chǎng)已擁有94.6%的市場(chǎng)份額[3]，于是，在幾乎沒有其他選擇的情況下，面臨其多達(dá)22項(xiàng)的信息授權(quán)清單，用戶唯有在同意按鈕上輕敲手指。

2.2 追求網(wǎng)絡(luò)效應(yīng)致使準(zhǔn)入門檻虛設(shè)

網(wǎng)絡(luò)效應(yīng)指產(chǎn)品的價(jià)值會(huì)隨著用戶規(guī)模的擴(kuò)大而增加，就O2O平臺(tái)而言，商家，物流等服務(wù)提供方的規(guī)模越大，其能吸引的流量也就越多，自身也能有更大的交叉補(bǔ)貼空間和廣告收入。因此，對(duì)商家采取寬松的準(zhǔn)入門檻，執(zhí)行開放式策略是其在日益激烈的競(jìng)爭(zhēng)環(huán)境中生存與發(fā)展的必由之路。此外，采取這一模式也可以做到輕資產(chǎn)運(yùn)營(yíng)，一方面削減了平臺(tái)的管理成本，一方面也轉(zhuǎn)嫁了經(jīng)營(yíng)風(fēng)險(xiǎn)。然而，在輕松坐享流量紅利的同時(shí)，大多數(shù)平臺(tái)都忽略了權(quán)責(zé)的統(tǒng)一性，對(duì)應(yīng)該承擔(dān)的用戶信息安全保護(hù)的責(zé)任與信息失守的風(fēng)險(xiǎn)置若罔聞，最終釀成惡果。

2.3 業(yè)務(wù)鏈龐雜致使補(bǔ)救措施低效

互聯(lián)網(wǎng)的交互性是其基本特征之一，隨著“互聯(lián)網(wǎng)+”的不斷深入，平臺(tái)業(yè)務(wù)體系不斷擴(kuò)張，同一用戶的信息往往存在于多個(gè)領(lǐng)域事業(yè)群的數(shù)據(jù)庫(kù)中，且不存在地域限制。因此，一旦信息泄露，追溯其源頭將變得困難重重，也給不法分子涂上了最好的保護(hù)色。此外，過長(zhǎng)的業(yè)務(wù)鏈也給平臺(tái)的事后補(bǔ)救措施增加了難度，從產(chǎn)品生產(chǎn)，到物流配送，到平臺(tái)支付和服務(wù)，業(yè)務(wù)鏈的每一個(gè)環(huán)節(jié)都能獲取用戶的所有信息，因此，泄密渠道具有很強(qiáng)的隱匿性，這也使得事后追查力不從心。

3 O2O平臺(tái)信息安全責(zé)任的重建措施

3.1 依法收集管理敏感信息，加快建設(shè)數(shù)據(jù)庫(kù)安保體系

按照國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)公告，自2018年5月1日起，實(shí)行《個(gè)人信息安全規(guī)范》，其中強(qiáng)調(diào)，個(gè)人信息的控制者需遵循以下幾個(gè)原則：1）權(quán)責(zé)一致；2）目的明確；3）選擇同意；4）最少夠用；5）公開透明；6）確保安全。在法律的面前，O2O平臺(tái)必須依據(jù)最少夠用原則，對(duì)用戶信息，尤其是敏感信息的收集，其次，尊重用戶的合法權(quán)益，充分保障用戶選擇同意和不同意的權(quán)力。

此外，加快數(shù)據(jù)庫(kù)的安保體系建設(shè)是不可或缺的一環(huán)。平臺(tái)要借助數(shù)字防火墻，數(shù)據(jù)漏掃，數(shù)據(jù)脫敏等技術(shù)進(jìn)行數(shù)據(jù)庫(kù)建設(shè)，謹(jǐn)防用戶個(gè)人信息的泄露。尤其是數(shù)據(jù)脫敏，對(duì)用戶敏感信息的保護(hù)作用顯而易見。數(shù)據(jù)脫敏是指對(duì)某些敏感信息通過脫敏規(guī)則進(jìn)行數(shù)據(jù)的變形，實(shí)現(xiàn)敏感隱私數(shù)據(jù)的可靠保護(hù)[4]。簡(jiǎn)而言之，就是對(duì)敏感信息進(jìn)行部分加密而使其無法識(shí)別。在大數(shù)據(jù)時(shí)代，數(shù)據(jù)脫敏已成為數(shù)據(jù)安全技術(shù)一個(gè)重要的組成部分，日常生活中常見的中獎(jiǎng)號(hào)碼大部分都采取了此種技術(shù)。

3.2 勇于承擔(dān)“把關(guān)人”責(zé)任，筑起商家過濾機(jī)制

O2O平臺(tái)作為用戶信息流通渠道的把關(guān)人，不只要考慮商業(yè)利益，更要承擔(dān)起應(yīng)有的社會(huì)責(zé)任，具體而言，就是嚴(yán)格準(zhǔn)入條件，筑起商家過濾機(jī)制。在這一過程中，要遵循兩個(gè)原則，一個(gè)是彈性原則，一方面不能損害平臺(tái)的活力，對(duì)有保障，可靠性強(qiáng)的商家打開歡迎之門，另一方面，對(duì)妄圖憑借幾張照片就想渾水摸魚的不良商家進(jìn)行嚴(yán)格規(guī)范的資格審查。另一個(gè)是權(quán)責(zé)一致原則，在商家進(jìn)入平臺(tái)時(shí)就明確其權(quán)利與責(zé)任，表明自身的態(tài)度，以對(duì)其產(chǎn)生事前警示效應(yīng)。

3.3 完善事后補(bǔ)救體系，設(shè)置專門信息監(jiān)管部門

就隱藏在平臺(tái)內(nèi)部的信息泄露獲益者而言，其不僅對(duì)用戶信息的安全構(gòu)成了強(qiáng)烈威脅，也是阻礙平臺(tái)健康發(fā)展的“攔路虎”，在經(jīng)濟(jì)利益前，他們毫不猶豫的用平臺(tái)集體的信譽(yù)換取自身的財(cái)富。平臺(tái)對(duì)此應(yīng)該成立專門的信息監(jiān)管和調(diào)查部門，認(rèn)真建設(shè)和執(zhí)行內(nèi)部管理?xiàng)l例，對(duì)信息泄露展開嚴(yán)肅的審查和懲處。對(duì)業(yè)務(wù)鏈中的信息泄露者，則應(yīng)追究其法律責(zé)任，交由相關(guān)部門處理，以作為后來者的前車之鑒。

4 結(jié)論

相較于以往多發(fā)于社交媒體的個(gè)人信息安全問題而言，O2O平臺(tái)由于其個(gè)人信息敏感程度更高，事后處理更為困難，因此，其安全責(zé)任也就更為重大。在“互聯(lián)網(wǎng)加”環(huán)境下，如何保護(hù)自身的信息安全，也成為民眾應(yīng)該考慮的問題。

參考文獻(xiàn)

[1]王晗，秦克飛.網(wǎng)絡(luò)用戶個(gè)人信息的敏感度研究[J].情報(bào)雜志，2012，31（12）：171-175.

[2]馮哲，秦平山.法治視閾下網(wǎng)絡(luò)服務(wù)提供商社會(huì)責(zé)任的缺位與重建——以“快播案”為例[J].傳媒，2016（9）：74-75.

[3]中國(guó)IT研究中心：2016中國(guó)專車市場(chǎng)研究報(bào)告[R].北京，2016：11.

[4]尹雯玉.數(shù)據(jù)脫敏：數(shù)據(jù)大爆炸時(shí)代的隱私保護(hù)利器[EB/ OL].199IT.2015.