本文系用户投稿,不代表机核网观点
⚠️ 未经作者授权 禁止转载
前言
前言
在各位大学生(或者社畜)的班级(工作)群里,是否常常会见到接连不断的问卷调查以及随之而来的群接龙?若是简短的问卷还好,如果是心理健康之类的巨长问卷,可能会使你的心态产生一点小小的变化。
在受到班级群问卷和群接龙的狂轰滥炸后,笔者心理产生了一点邪恶的念头——开盒,对象自然是我眼中“万恶不赦”的问卷星了。
一、我的疑惑
一、我的疑惑
首先,笔者提出的问题是:你(问卷星)是否能保护好我的个人隐私?
我们先来看看问卷收集的信息。除了问卷的问题外,问卷星还会收集一些其他信息。在后台可见的有答卷时间、来源、来源详细、以及IP地址,其中最少见的绝对是IP地址了。
笔者作为一个高数都不需要学的文科生也能轻松通过百度搜索到查询IP地址的网站。值得一提的是,除了校园网定位的范围较为准确(包住学校的一个圆),其他的Ip地址的定位范围十分不准确。以下结果来源于chaipip.com
由上面两张图可见定位精度完全不同。如果用户使用的是较小的城域网,比如校园网就可以定位的比较精确。
那又有问题来了,只知道地址有什么用?孤立的信息当然没用,那填写问卷需要微信登陆又如何呢
是的,作为问卷的填写者,需要点的只有一个一键登陆。
PS.(现在似乎连一键登陆也没了)
那作为问卷的收集者呢?
值得一提的是网页端登陆时并没有需要勾选的条款。
根据GB/T 35273-2020 信息安全技术:个人信息安全规范附录A中的表A.1,IP地址属于个人信息。
注意:IP地址虽然大概率被视为个人信息的一种,但在现在常用的TCP/IP网络中,是必不可少的,每个在TCP/IP网络中传输的数据包都必须包含发出者的IP地址和接受者的IP地址,就像邮件的发出地址和送达地址一样,所以任何的网络程序都必须得知访问者的IP地址以提供服务。
问卷星收集的是详细IP地址(而非IP归属地)并公开给问卷发布者,退一步来说,就算详细IP地址不算个人信息,就算问卷星没有获取微信的个人信息,其获取的详细IP地址对普通问卷填写者也仅仅是有利无害。关于IP地址主要有以下两个问题:
1、问卷星向问卷发布者提供的IP地址在绝大多数情况下并不是问卷发布者在问卷中需要收集的信息,问卷星将问卷填写者的IP地址向第三方(问卷发布者)提供时,并未获得问卷填写者的同意。
2、作为一款高校师生经常使用的程序,问卷星所收集的校园网IP地址和使用者的物理地址高度相关,完全可以视为较低精确度的位置信息。
问卷星在其《隐私协议》中对数据的使用有所提及:
在我们为您发布问卷时,您作为问卷发布方,是填写数据的收集者及控制者,且您回收的数据可能含有问卷填写方等其他主体的个人信息。您享有所收集问卷数据的使用和控制权,我们仅为您提供问卷数据回收、储存及统计的技术服务,以便于您随时调取分析使用,未经您及问卷数据相关个人信息主体的同意,我们不会超出法律法规的规定及本政策授权范围使用、处理、传输、共享您的问卷数据。
如您作为我们的注册用户,同时又作为问卷填写者填写了发布在我司平台的问卷,我们会记录您在使用问卷星时的行为相关信息(包括您在问卷星平台点击、发布、填写答卷、浏览、下载、分享等操作的相关内容记录),用于为您提供更契合您的服务,以便您更好的使用问卷星平台,除上述用途外,未经您的允许我司不会将上述信息提供给任何第三方
《未经允许不提供给任何第三方》
好像和下面不太一样
第四百九十八条对格式条款的理解发生争议的,应当按照通常理解予以解释。对格式条款有两种以上解释的,应当作出不利于提供格式条款一方的解释。格式条款和非格式条款不一致的,应当采用非格式条款。
条款并未对“第三方”的概念作出解释,前后不一致应当作出有利于用户的解释,可以理解为未经用户允许平台不得将既为问卷发布者又为问卷填写者的用户的行为信息提供给第三方。
即使对用户作出有利解释,但由于过多的限制词,恐怕也无法理解为平台未经用户不得将用户除行为信息以外的信息提供给第三方,与下面的条款并不完全矛盾。
信息的共享、转让、公开披露
信息的共享、转让、公开披露
1.我们可能将上述我们收集的个人信息提供给我们的关联方、合作伙伴及第三方服务提供方(包括第三方软件服务提供商),用作下列用途:1)根据您的授权协助您享受第三方的服务(包括根据您的授权向第三方软件的服务提供商传输您选择的问卷数据);2)向您提供更好的客户服务和用户体验;3)实现本政策第一条“我们如何收集和使用您的个人信息”部分所述目的;4)行使和履行在本政策及其它我们和您之间的合同或规则中的权利和义务;5)维护和改善我们的产品/服务。2.随着我们业务的持续发展,我们以及我们的关联公司有可能进行合并、收购、资产转让或类似的交易,您的个人信息有可能作为此类交易的一部分而被转移,我们将在转移前通知您,我们将按照法律法规及不低于本政策所要求的标准继续保护或要求新的控制者继续保护您的个人信息。
注意:如果仔细看该条文的话,其实可以理解为问卷星会将其收集到的个人信息提供给第三方、关联方。扫码填写问卷时不需要登陆,这极有可能成为服务提供方(问卷星)未向使用者尽到说明义务的证据。
第四百九十六条格式条款是当事人为了重复使用而预先拟定,并在订立合同时未与对方协商的条款。 采用格式条款订立合同的,提供格式条款的一方应当遵循公平原则确定当事人之间的权利和义务,并采取合理的方式提示对方注意免除或者减轻其责任等与对方有重大利害关系的条款,按照对方的要求,对该条款予以说明。提供格式条款的一方未履行提示或者说明义务,致使对方没有注意或者理解与其有重大利害关系的条款的,对方可以主张该条款不成为合同的内容。
根据民法典四百九十六条,用户可以以其未能尽到说明义务为由主张该条款无效。
以及免责条款
以及免责条款
4.您应当理解,您在使用问卷星服务中主动共享、披露行为导致您个人信息被他人知晓的,问卷星不承担相关责任。
明显的无效条款,不合理地排除了自身责任
没有正当理由时,“XX不承担相关责任”、“解释权归活动方所有”,这些常见的免责条款基本上不会被法院承认。
打个比方:学校让学生填写安全承诺书,除此之外未进行相关(防溺水等)安全教育,在出现相关事故时,学校往往会因未尽到教育义务而承担相关责任,安全承诺书是为了“所有责任由本人承担”这碟醋而包的饺子,也是法盲校领导一厢情愿。
该走的环节(教育、勾选同意)还是要走。
二、挑刺
二、挑刺
让我们从头到尾来看看《个人信息保护法》
(一)提供撤回同意的方式
(一)提供撤回同意的方式
对于问卷调查来说,填写问卷即可视为填写者已经授予问卷发布者使用其信息的同意,但无论是问卷发布者也好,问卷星也好,都没有提供撤回同意的方式。问卷星应当有相应的删除自己问卷回答的功能,而非让填写者的信息永远被保存。
第十五条基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。 个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。
(二)问卷目的的说明
(二)问卷目的的说明
问卷星应当在问卷的开头将问卷目的作为问卷发布者的必填选项,仅仅是标题是不够的。在此仅指出问卷目的的缺失,其实关于第十七条还有许多没有达标的地方,例如问卷信息使用的时间,问卷发布者的信息等。
第十七条个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(一)个人信息处理者的名称或者姓名和联系方式;(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(三)个人行使本法规定权利的方式和程序;(四)法律、行政法规规定应当告知的其他事项。 前款规定事项发生变更的,应当将变更部分告知个人。个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。
(三)些许苛求
(三)些许苛求
问卷发布者将数据给除平台其他接收方时,应当向问卷填写者告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。 不过,对于许多简陋的问卷调查来说,是遥不可及的事情,这很容易使问卷结果提不出去,许多人说不定还得拍屏才能勉强绕过限制。
第二十三条个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
(四)敏感信息的处理
(四)敏感信息的处理
让我们先来看看敏感信息的定义
第二十八条敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。 只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
根据 GB/T 35273-2020 信息安全技术:个人信息安全规范,敏感信息的举例如下
值得一提的是,根据二十八条,十四岁以下的未成年人的(一般)个人信息也属于敏感信息。问卷调查时还需要确定问卷填写者年满14岁,否则麻烦多多。
第三十一条个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。 个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。
我想问卷星是没有办法在中小学的问卷调查中取得监护人同意的,也没有相关功能。但我想现在有很多中小学生有自己的手机、手机号等,许多账户用的都是自己的信息。除此之外也问卷星也没有制定针对不满十四岁未成年人个人信息的专门处理规则。
除此之外,问卷星还可以用来考试,身份信息往社工库一丢应该可以查到挺多东西的。
(五)问卷填写者的权利
(五)问卷填写者的权利
问卷填写者应当有查阅自己填写记录的权利,因为在填写问卷时需要登陆,那么就不能用游客登陆作挡箭牌。
第四十五条个人有权向个人信息处理者查阅、复制其个人信息;有本法第十八条第一款、第三十五条规定情形的除外。 个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。 个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。
除此之外你还可以向法院起诉
第五十条个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。 个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。
客服的理由是问卷星只提供平台,无权限查看数据,请联系问卷发布者。
那问卷发布者该如何让填写者查看答卷呢?
逗谁呢。
仅仅把自己当作工具来逃避责任,只能作为一时用来搪塞普通人的借口。
对此我的理解是:问卷星将自己视为仅仅保存数据的工具,而未对数据作任何“处理”,所以问卷星自然不具有个人信息处理者的身份,也凭此规避了相关的义务。所以在问卷星的使用中,并没有两个个人信息处理者,也不需要适用三重授权规则(简而言之就是,问卷填写者对平台和问卷发布者授权的同时,也需要问卷发布者向平台授权),问卷发布者是唯一的个人信息处理者。
那问卷填写者的权利谁来实现呢?仅仅靠问卷发布者在后台所有的那一点点权限吗?哦,对了,这一点点权限还需要付费的企业版用户才有。
也许才平台眼中,网络问卷调查和在现实中一样,填写者写完问卷后,信息就不属于填写者了,无论问卷中有什么敏感的问题。将现实中的问卷调查生搬硬套到网络平台上,再加一点依托于网络的付费功能,真方便啊,不过仅仅是针对于平台和问卷发布者罢了。
三、对问卷星的浅挖(简单的背景调查)
三、对问卷星的浅挖(简单的背景调查)
爱企查显示,问卷星背后的公司叫做长沙冉星信息科技有限公司,法定代表人为戴科彬,最大股东为猎道信息技术有限公司(持股66.6%),法定代表人相同。
通过微信的信息以及IP定位,问卷星也许能通过问卷调查里的信息(手机号、职业、专业)等获得个人的的学历、职业等信息,用以提供人力资源服务。以上仅为个人猜测,并不代表真实情况。
问卷星的托管(阿里云),应该仅仅是托管,不涉及数据的处理吧?
结语
结语
以上仅仅是笔者在红温之余的胡思乱想罢了,全依据对法律的机械理解,可能有许多法规给问卷调查特殊对待,亦或者问卷调查中的平台和问卷发布者和以上个人信息处理者的定义有所不同。但从中我们可以看到,作为看似纯洁无暇的问卷调查程序,问卷星猫腻很多,同时我们也应该看到问卷星使用体验流畅,没有广告。如果问卷调查严格遵守相关法律,那问卷星一定会面目全非。过宽的管制也会使原本简单的活动变得举步维艰,所谓“一刀切”在立法与管理中可能才是常态。
在网络上我们经常看到“给你免费用就不要挑剔了”这种言论,虽然免费应用的用户看起来是在白嫖,但大多数情况下还是在资本用各种隐蔽的手段被榨取利益,即使真的是白嫖,那也不该成为侵权的借口。在个人信息日益透明的网络时代,这种话越来越站不住脚,资本的一切馈赠,都早已在暗中标好了价格。
除此之外,在生活中,有太多责任裹挟着我们,如同班级群里的问卷调查,明明是班委的上头的强制要求,与普通班级成员无关,却通过团体的压力将责任甩给了无关紧要的人,学会拒绝不合理的事,学会指出他人的不合理,也许一时会麻烦缠身,但也可能会有如释重负的感受,就如同写完此文的笔者
吧。
引用文献
《 中华人民共和国个人信息保护法》
GB/T 35273-2020 信息安全技术:个人信息安全规范
《 中华人民共和国民法典》
评论区
共 4 条评论热门最新