本文首發於2019年4月18日期《中國戰略新興產業》
《中國戰略新興產業》雜誌記者 杜壯
當你註冊著各種App,享受著智能手機帶來便利的同時,騷擾電話、詐騙短信、精準的推送,讓你在不知不覺中也承擔著隱私信息洩露所帶來的風險。
最近,部分手機App通過不平等、不合理條款的授權協議,強制索取用戶個人信息的行為被曝光。在引發大眾廣泛關注的同時,也為不少App開發者和運營者敲響了一計警鐘。
如今,數據正成為數字化世界中的強大經濟引擎。如何確保數據安全,尤其涉及到用戶敏感的隱私信息,成為開發者和運營商在發展過程中亟待解決的問題。
隱私數據應當在用戶知情情況下調用
最近,一款名為“社保掌上通”的App被央視點名批評。經主持人測試,用戶填寫各種資料註冊這款App後,電腦就能夠遠程接收到用戶的所有信息。這款App通過隱藏的用戶條款竊取用戶社保信息,並且未得到官方授權。
消息發佈後第二天,工信部表示,立即啟動應用商店聯動處置機制,要求騰訊、百度、華為、小米、OPPO、vivo等國內主要應用商店全面下架“社保掌上通”App,對“社保掌上通”手機App的責任主體杭州遞金網絡科技有限公司進行核查處理,並全力組織對同類App進行排查檢測,對類似問題一併要求整改。
從2012年起,央視的315晚會就已經開始不斷曝出“個人信息安全”問題,7年間共被提及了11次。其中,三大運營商中國移動、中國電信、中國聯通都曾榜上有名;而中國銀行、招商銀行、農業銀行等也登過黑榜。此外,因洩露或竊取用戶隱私,有道科技、網易、高德地圖、高鴻股份也被央視點過名。
隨著互聯網經濟涉及社會深度和廣度的不斷髮展,各類用戶數據已成為互聯網企業趨之若鶩的商業資源,隨之而來的信息洩露、信息安全問題已成為全球性的重大挑戰。許多在享受手機App等應用帶來的便利的同時,一些隱私也可能暴露。互聯網時代真的需要通過隱私換取便利嗎?
百度創始人兼CEO李彥宏曾公開表示:“中國人對隱私問題的態度更加開放,相對來說也沒那麼敏感。如果他們可以用隱私換取便利、安全或者效率,在很多情況下他們就願意這麼做。當然我們也要遵循一些原則,如果這個數據能讓用戶受益,他們又願意給我們用,我們就會去使用它的。我想這就是我們能做什麼和不能做什麼的基本標準。”這一言論曾激起千層浪。
在北京浩天安理律師事務所高級合夥人王新銳的眼中,隱私數據並非不能調用,但需要讓用戶能夠明確知情。“比如,臉譜公司做的隱私錶盤,用可視化方法管理隱私,把隱私賦權給用戶。而中國很多互聯網產品特點是集成,裡面包含娛樂、支付、社交等很複雜,就更需要讓用戶直觀地知道到底用了哪些信息,讓他們更好地管理個人隱私。”王新銳說。
全國兩會期間,蘇寧董事長張近東指出,信息產業的快速發展造成大量從業者湧入,由於企業數據保護意識不足,加之我國相關立法滯後,個人信息的洩露與濫用層出不窮,嚴重侵犯了公民正當權利,要加快相關立法進程,改變目前數據安全領域的亂象。
個人信息保護規範體系正逐步完善
據統計,截至2018年12月,我國網民規模達8.29億,而諸如前程無憂的195萬條用戶求職簡歷洩露等海量的用戶信息洩露事件不斷髮生。App安全問題不容忽視,保護用戶信息安全刻不容緩。為此,監管部門接連推出相關舉措。
今年1月25日,中央網信辦、工信部、公安部、市場監管總局正式對外發布的《關於開展App違法違規收集使用個人信息專項治理的公告》指出,App運營者要採取有效措施加強個人信息保護;收集個人信息時要經個人信息主體自主選擇同意;不以默認、捆綁、停止安裝使用等手段變相強迫用戶授權;不得違反法律法規和與用戶的約定收集使用個人信息。
3月1日,《App違法違規收集使用個人信息自評估指南》發佈。App運營者可參照指南對其收集使用個人信息的情況進行自查自糾,主動提升個人信息保護水平。
3月15日,App安全認證工作開展。國家市場監管總局認證監管司副司長薄昱民表示,安全認證將針對App隱私政策和個人信息收集使用情況進行評估。通過鼓勵搜索引擎和應用商店優先推薦獲證App等方式,引導消費者選用安全的App產品,提升個人信息保護意識和能力。
賽迪顧問數字經濟產業研究中心高級分析師劉浩然告訴本刊記者,相比美國、歐盟等國家和地區,我國對於個人信息保護的規範和法律制定起步較晚,相較互聯網的發展速度也較為落後。但自2017年起,國家和政府開始高度重視,相關規範和法律頻出,個人信息保護規範體系逐漸搭建完成。
正如劉浩然所說,從法律上來看,2017年5月最高人民法院、最高人民檢察院就發佈了《關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》。這是兩高首次出臺關於對侵犯公民個人信息犯罪的司法解釋,對於侵犯公民個人信息犯罪的定罪量刑標準進行了系統全面的規定。
2017年6月,《中華人民共和國網絡安全法》正式實施,這是中國在網絡安全治理方面重要的里程碑,其中第四章節《網絡信息安全》概述了個人信息的保護與收集、信息的使用與分發,重點闡述了對個人信息保護,明確了網絡運營者在保護個人信息安全方面應承擔的義務。
從規範和標準來看,2018年5月,《信息安全技術個人信息安全規範》正式實施,雖然該規範為推薦性國家標準,並非強制執行性標準,但填補了我國在個人信息保護標準上的空白。該規範將《網絡安全法》中的原則性規定進一步落地,規範了網絡運營商對個人信息處理應遵循的原則和安全要求,為主管部門、評估機構等提供了較為具體的監管和評估依據。
2018年11月,公安部網絡安全保衛局發佈《互聯網個人信息安全保護指引(徵求意見稿)》,在《個人信息安全規範》的基礎上規範了個人信息全生命週期的保護工作,並且明確指出該指引適用於網絡安全監管職能部門依法進行個人信息保護監督檢查時參考使用,說明該文件在今後可作為相關部門在執法工作中的判定依據。
使用App不要隨意輸入個人信息
如今,大量手機應用App在安裝使用時,都需要申請通訊錄、攝像頭、短信、錄音、位置等多項與其核心功能無關的權限,若用戶拒絕某些權限的申請,應用則無法正常使用。
2018年,中消協公佈了20類普遍存在涉嫌過度收集或使用個人信息的App,涉及金融理財,購物,視頻,旅遊出行,新聞等眾多領域。
騰訊社會研究中心和市場研究機構DCCI互聯網數據研究中心聯合發佈的《網絡隱私安全及網絡欺詐行為研究分析報告(2018年上半年)》,通過對1144款手機App獲取用戶隱私權限情況的統計發現,在2018年上半年,獲取“打開攝像頭”權限的App比例達到89.9%,獲取“使用話筒錄音”權限的App比例達到86.2%。
《2017年度隱私安全及網絡欺詐行為分析報告》則顯示,2017年下半年,852個Android手機App中有98.5%都要獲取用戶隱私權限,這比2017年一季度增長了2%。
作為App開發者和運營者,如何確保App隱私合規,保障用戶個人信息安全成為其發展過程中亟待解決的問題。
針對這一問題,劉浩然給出了三點“良方”。劉浩然告訴記者,首先要做到合法、合規、自律。不調用與本App所提供服務無關的用戶權限,不獲取超出App功能所需的用戶信息,同時對用戶信息嚴格保密,不向任何第三方公司或個人洩露用戶數據。其次,在後端對服務器和數據庫採取加密保護措施,防止被惡意攻擊導致用戶個人信息洩露。最後,在前端加強用戶身份驗證程序,分層次明確用戶隱私協議,在可能公開顯示用戶信息的地方(例如快遞單、信用卡賬單等)隱去關鍵字段,從而保護用戶個人信息安全。
那麼,用戶下載App時如何保護自己的隱私信息?劉浩然認為,一方面,要選擇正規App應用商店下載,仔細閱讀用戶隱私協議,並對App權限進行管理,在保證基本功能可以使用的情況下關閉不必要的權限,需要時再開啟。另一方面,不要隨意在來路不明的網站和不常用的App中輸入身份證號、家庭住址、銀行卡號等個人敏感信息,同時對索要個人信息的網站及App保持警惕,瞭解索取方主體和數據用途再提供個人信息。
閱讀更多 中國戰略新興產業 的文章
