21世纪经济报道见习记者钟雨欣特约记者尤为北京报道
近日,有网友爆料称,在知乎App和网页端的截图中均发现了盲水印。据了解,盲水印用肉眼难以分辨,需要在特定的图片显示效果下才能看到,经检测工具测试后,网友发现盲水印疑似包括用户UID等信息。
无独有偶,今年2月,豆瓣App也曾因给用户截图设置盲水印而引发热议。相关平台为什么选择设置盲水印?盲水印是否会造成隐私泄露的风险?这些都是网民讨论中颇受关注的问题。
对此,受访专家表示,相关平台使用盲水印主要是为了使信息可溯源,在发生问题时可以方便追责,但平台方应充分保护用户的知情权,在上线功能之前应尽到相应的告知义务,同时做好数据安全和个人信息保护措施。
盲水印肉眼难以识别主要用于溯源追责
据了解,网友在知乎截图中发现的盲水印很难通过肉眼识别,在截图过程中也不会出现提醒,但经过检测工具测试或使用图片处理软件调整色调之后,相关信息就会显现。经过处理后的截图会出现一串串数字,疑似截图用户的UID。还有人做了插件,用来屏蔽知乎的盲水印。
(知乎截图盲水印,图源网络)
此前据多家媒体报道,有网友在社交媒体上指出,豆瓣应用在页面中嵌入了难以察觉的水印,如果用户是处于登录状态,那么水印会包含用户UID,如果没有登录,水印会包含TID和时间等信息。水印信息使用的颜色与网页背景色相同难以看到,但开启夜间模式可以看见。如果使用鼠标全选区域则可以透过高亮背景发现水印,通过调色软件对截图颜色进行调整也可以发现水印。
(豆瓣截图盲水印,图源网络)
对此,豆瓣回应称这是新增的“小组内容防搬运功能”,小组组长可以在“小组管理-小组内容防搬运设置”开启或关闭,开启后,对该小组内容进行截图时,截图上将自动生成经加密的截图用户ID、被截图帖子ID、截图时间等信息。已开启该功能的小组,在小组帖子下方可以看到“内容出自xxx小组,该小组已开启防搬运功能”的提示。
据了解,除了面向用户的场景之外,部分企业也会在内网设置截图盲水印,防止员工泄露内部信息。
上海观安信息技术股份有限公司CTO胡绍勇认为,相关平台设置截图盲水印可能出于三方面的考虑,一是企业有保密需求,如发生信息泄露的情况,水印可以帮助溯源追责;二是出于知识产权保护的目的,比如起点之类的小说网站也采用过类似的手段;三是如果出现安全事件,可以通过这种方式进行取证。
“如部分平台指出的,设置盲水印有防搬运等知识产权保护方面的考虑。”大成律师事务所高级合伙人邓志松表示,目前诸多技术措施已被广泛应用于互联网版权保护,较为常见的如平台原创检测机制、网页内容防复制机制等。不过,与传统技术手段相比,盲水印具有难以通过肉眼发现的高隐蔽性特点,但通过技术手段可以轻松识别并读取水印信息,部分新型盲水印在经过多次压缩、复制甚至复印后仍具有可识别性,这可能是一些平台选择盲水印的原因。另一方面,设置盲水印也在一定程度上有助于平台及时识别违反法律法规或平台规则的行为和实施相关行为的特定用户,满足平台治理需求。
在网络实名制背景下,用户可以实现“后台实名”,平台为什么还要设置盲水印?胡绍勇告诉21世纪经济报道记者,“后台实名”更多地是对信息发布人的管理,要求用户对其发布的信息负责,不能发布违法违规内容,而设置水印主要针对信息传播的过程,便于找到谁在传播,重点在于溯源。
邓志松认为,网络实名制的落地使网络信息都具备了理论上的可追溯性。但相比其他形式的信息,截图的获取与编辑难度较低,经过特定技术手段处理的截图信息溯源难度较大,平台方可能为此耗费大量技术资源与时间成本。因此,从平台的角度而言,设置具有较强隐蔽性且难以被常规技术手段破坏的盲水印,可以极大地节省这一领域的成本,这也是促使各平台尝试使用该技术的原因之一。
平台应履行告知义务完善数据安全措施
如果是出于防搬运、版权保护等目的,平台对用户设置盲水印的行为是否合理正当?对此,胡绍勇表示,判断其合理正当性首先需要看水印中包含了哪些内容,平台在搜集信息时是否符合《个人信息保护法》《数据安全法》等相关法律要求;其次,需要看平台是否尽到了告知义务,告知用户信息采集的范围和用途等等;此外需要看企业是否具备完善的数据安全保护措施,防止相关信息泄露。
邓志松表示,根据《个人信息保护法》规定,个人信息的处理应当遵循合法、正当、必要和诚信原则,且应符合特定情形。防搬运、版权保护等目的具有正当性,但平台对用户设置盲水印的行为是否合理还需要从以下两个角度来考虑。
第一,需要判断设置特定类型的盲水印是否构成对个人信息的处理,即水印内容是否足以单独或与其他信息相结合识别特定自然人从而构成《个人信息保护法》意义上的个人信息,以及水印的使用方式是否属于“收集、存储、使用、加工、传输、提供、公开、删除”等个人信息处理行为。
第二,如若构成对个人信息的处理,结合《个人信息保护法》规定与社交平台中盲水印的常见应用场景,应当征得用户“在充分知情前提下自愿、明确作出的同意”,且信息处理者在处理目的、处理的个人信息种类等事项发生变更时应当将变更部分告知个人。如平台所设置的盲水印可以用于追踪用户个人信息,而未提前告知用户,则可能违反法律规定。
盲水印是否存在个人信息泄露的风险?胡绍勇表示,如果盲水印中仅包含了用户UID,相对来说风险性较小,但如果包含了姓名、手机号等更多明文个人敏感信息,会存在较大的隐患。
邓志松也向记者表达了相似看法,他认为存在的风险主要取决于盲水印所包含的信息类型。例如,如果仅包含虚拟用户ID、昵称,则泄露个人信息的风险较小;如果包含用户的真实姓名、身份信息,或通过水印中的内容可以识别出个人的,则可能会涉及到个人信息泄露问题。
如发生信息泄露的情况,用户可以如何维权?邓志松表示,一方面,用户在使用前应当仔细阅读平台使用协议、个人信息保护政策等内容,查看平台处理个人信息的方式和目的,如认为其侵犯隐私或个人信息,可以拒绝盲水印等特定技术手段的使用。同时,也可联系平台客服要求其告知目前所收集、使用的个人信息及其处理方式,并撤回同意、取消相关权限。另一方面,如果用户发现平台私自应用盲水印等技术手段,有涉嫌违法违规收集使用个人信息的行为,可以向网信办等监管部门投诉,也可向人民法院提起诉讼。
(作者:钟雨欣编辑:王俊)