A3:聚焦
对于很多人来说,移动互联网应用程序(App)几乎已成为生活中不可替代的一部分,但同时违法违规收集和使用个人信息的问题也十分突出。
日前,中央网信办、工信部、公安部、国家市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》(以下简称《公告》),决定自2019年1—12月,在全国范围内组织开展App违法违规收集使用个人信息专项治理行动。在一系列治理行动和监管条例护航之际,用户信息安全将如何得到保障?
过度收集个人信息现象普遍
ofo小黄车向关联公司及第三方分享相关信息时,未单独征得用户同意;网易彩票App收集个人财产证明、个人上网记录、通讯信息、位置信息等信息涉嫌过度收集或使用……
这是中国消费者协会去年11月发布的《100款App个人信息收集与隐私政策测评报告》中涉嫌过度收集个人信息的典型案例。
《报告》指出,App普遍存在涉嫌过度收集个人信息的情况,其中有59款App涉嫌过度收集“位置信息”,28款App涉嫌过度收集“通讯录信息”,23款App涉嫌过度收集“身份信息”,22款App涉嫌过度收集“手机号码”等。
在隐私政策方面,有47款App隐私条款内容不达标,其中34款App没有隐私条款。其主要问题是:未明确告知收集个人信息类型;未明确告知用户个人信息使用方式;对外提供个人信息时不单独告知并征得用户同意;隐私条款未在明显位置公示;隐私政策存在默认同意或未提示阅读等问题;存在“自行承担风险”不合理免责条款等。
为何热衷收集个人信息
App经营者为何热衷大量采集个人信息呢?对此,中国法学会消费者权益保护法研究会副秘书长陈音江表示,个人信息可用于用户分析,从而用于App产品的优化升级。但一些企业过度采集用户个人信息,目的就是根据用户的消费行为分析,精准匹配投放商业广告。
有业内人士也指出,当前各大App热衷于“个性化推荐服务”,而要想做到精准就必须尽可能多掌握用户数据,不管有用没用,多收集一点总没坏处。大数据时代,没人知道哪些数据会成为重点,足够多的数据才是重点。
App过度收集个人信息又有什么危害呢?中消协律师团律师李斌告诉记者,一些企业收集到消费者个人信息之后,可能没有按照法律规定的要求,采取相关保密措施,以及技术措施不过关导致消费者个人信息泄露。同时,还有企业内部人员非法转让、出售、牟利,导致消费者个人隐私遭受威胁。
利益带来黑色产业链
就当下而言,一些互联网企业将线上消费者视为大数据掠夺的重要资源,超范围攫取用户隐私已成为行业潜规则。360企业安全研究院院长裴智勇此前表示,企业通过索权在取得消费者信息后,数据保存和利用存在安全隐患。一些企业的数据库缺乏有力的安全防护,在遭遇网络攻击时容易造成用户数据的泄露。此外,企业内部对数据查询、输出的授权也存有安全隐患,近年来已多次出现知名互联网企业“内鬼”泄露消费者隐私事件。
实际上,个人信息买卖目前已形成一条规模大、链条长、利益大的黑色产业链。“这条产业链结构完整、分工细化,个人信息被明码标价,流通变现环节主要包含三个方面。”据中国人民大学法学院博士后刘笑岑介绍,上游环节负责“源头供货”,非法获取或向他人提供个人信息,主要来自于黑客攻击和“内鬼”外泄;中游环节负责对从上游处获取的个人信息进行处理与再加工,通过买卖、交换等形式形成规模化市场;下游环节负责“应用变现”,将所获个人信息应用于电信诈骗、恶意营销等不法渠道以牟取高额利润。
政策护航维护用户权益
移动互联网安全事件频发,暴露出当前消费者个人信息保护工作存在着不足。2017年,中国国家标准化管理委员会正式发布《信息安全技术个人信息安全规范》,并于2018年5月1日起实施。该政策明确了个人信息收集、保存、使用、共享的合规要求,为网络运营者制定隐私政策及完善内控提供了指引。
就规范的实施要点,中国电子技术标准化研究院安全审查部技术总监何延哲介绍,规范不仅首次对个人信息和个人敏感信息做了区分,还在对个人信息的处理上做了限制和规范。比如,进一步规范了个人信息的使用限制,即只有当企业的数据用途更改后超出合理关联的目的时,才需重新申请用户授权。
不过,由于市场上存在太多的App应用和应用分发平台,相关监管部门不具备完善监管能力、监管部门众多、职责权限分配不明确等问题的存在,导致App监管处置管理工作并不如意,仍然有非常多的恶意第三方App应用在浑水摸鱼。
对此,何延哲提到,有些企业虽然有技术、有能力,但是对个人信息保护不够重视;还有一些机构、组织、企业技术薄弱,甚至不具备技术队伍,达不到规范要求,这就需要专门的技术企业帮助。
而在个人层面,中消协建议,尽量选择知名App商店下载应用软件,同时下载后对App做好权限管理,一般情况下,关闭App“资费相关”和“隐私相关”的大部分权限并不影响App正常使用。此外,中消协方面还呼吁应完善消费者个人信息安全问题的投诉举报制度,严肃查处侵权行为。
专家建议分级分类保护体系
据统计,目前有近40部法律、30余部法规涉及个人信息保护,包括民法总则、刑法、消费者权益保护法、网络安全法以及新近通过的电子商务法。
中国人民大学法学院教授杨立新认为,现有的法律法规已经足以保护个人信息,问题在于,侵害个人信息构成犯罪的,能够追究其刑事责任,但对于侵权行为,仍然制裁不力。“重点是加强司法上的民法保护,在惩戒手段、赔偿问题上落实落细,加强对侵害个人信息权行为的打击力度,承担赔偿责任。”“个人信息保护的主管机关还未确定,目前公安、工信、网信、司法等多家部门都在管,需拧成监管合力。”中国人民大学法学院博士后刘笑岑认为,还处于立法计划当中的个人信息保护法,将来应致力于解决这些问题。
个人信息泄露的源头是什么?“问题出在过度采集上。”中国法学会消费者权益保护法研究会副秘书长陈音江说,“合法、正当、必要”六字是目前相关法律对个人信息采集和使用的规定,必须贯彻落实,同时要尽快明确,哪些事项必须通过实名制注册或办理,哪些事项无需实名,避免信息采集主体过多、实名登记事项过度。“如何引导行业对于个人信息进行分类,构建分级分类保护体系,这是当前个人信息防泄露问题要着重考虑的一项。”腾讯守护者计划安全专家马瑞凯说。
受访专家表示,个人信息获取、存储和利用的环节众多,许多信息的传播又具有隐蔽性和复杂性,做到切实保障公民个人信息安全,需要公民、信息采集机构、技术人员和有关部门协同共治。就企业管理层面而言,要推动数据防窃密、防篡改、防泄露等安全技术的研发和部署,有效降低不法分子窃密风险;就监管部门而言,要进一步加大对电信诈骗、网络诈骗等违法犯罪活动的打击力度,持续形成高压态势,保护消费者的合法权益。(综 合)
(消费日报 www.xfrb.com.cn)