个人信息安全受威胁
手机APP窃取用户个人信息的新闻并不少见。比如外卖APP通过获取麦克风授权,听见你说想吃什么就会推荐你对应的美食信息;再如网购 APP,就算你是在其他平台查询某种产品信息,你会发现隔壁其他几个网购 APP 也在推荐你差不多的产品。
据了解,目前我国境内APP上架数量已超过350万款。工信部在连续两年的APP侵害用户权益专项整治过程中,发现很多企业对监管规则理解存在偏差,政策标准认知与APP的技术实现之间没有很好衔接。加快制定出台相关标准,将用户权益保护和收集使用个人信息最小必要等原则转化为APP开发运营者可理解执行的具体要求,成为产业发展的迫切需求。
2019年3月4日,十三届全国人大二次会议举行新闻发布会。大会发言人张业遂在回答记者提问时表示,全国人大常委会已将制定个人信息保护法列入本届立法规划,相关部门正在抓紧研究和起草,争取早日出台。个人信息保护的话题又一次占据了社会瞩目的焦点,而在个人信息保护体系下的隐私政策设计也是当前网络运营者关注的重点。隐私政策无疑成为监管机构对网络运营者进行个人信息合规审查的重点。
工信部四年来公布的违规App所涉问题情况 信息及图片来源:工信部
人民数据(国家大数据灾备中心)在2020年推出的《大数据风控与权益保护研究报告》中指出,《个人信息保护法》、《数据安全法》已列入全国人大常委会立法工作计划。2019年12月,国家互联网信息办公室、工业和信息化部、公安部、市场监管总局联合印发《App违法违规收集使用个人信息行为认定方法》,将共31种违法违规收集使用个人信息行为分为未公开收集使用规则、未明示收集使用个人信息的目的方式和范围、未经用户同意收集使用个人信息、违反必要原则收集与其提供的服务无关的个人信息、未经同意向他人提供个人信息、未按法律规定提供删除或更正个人信息功能或未公布投诉举报方式等六大类。
个人信息泄露 这些数据说明原因
网民在享受移动互联网快速发展带来的各种利好的同时,个人隐私信息被泄露、盗用、贩卖事件也困扰着部分网民,骚扰、诈骗电话和邮件仍然肆虐,成为广大消费者及全社会普遍担忧的问题。有报道称,中国网民在网络遭遇诈骗等问题上的经济权益损失超过千亿人民币。中国消费者协会曾经组织开展 “APP个人信息泄露情况”问卷调查,调查采取在线网络调查方式,共计回收有效问卷5,458份,调查结果显示,个人信息泄露总体情况比较严重。
根据调查结果,遭遇过个人信息泄露情况的人数占比为85.2%,没有遇到过个人信息泄露情况的人数占比为14.8%。
调查结果显示,当消费者个人信息泄露后,约86.5%的受访者曾收到推销电话或短信的骚扰,约75.0%的受访者接到诈骗电话,约63.4%的受访者收到垃圾邮件,排名位居前三位。此外,部分受访者曾收到违法信息如非法链接等,更有甚者出现个人账户密码被盗的情况。
调查结果指出,如果手机APP导致个人信息泄露,用户最担心的问题是被利用从事诈骗窃取活动,占70.5%;其次是贩卖或交换给第三方约占52.4%;被推销广告骚扰占比约为37.7%;名誉受损约占6.6%。
从调查结果看,个人信息泄露的主要途径主要有以下几种。一是经营者未经本人同意收集个人信息,约占调查总样本的62.2%;二是经营者或不法分子故意泄露、出售或者非法向他人提供个人信息,约占调查总样本的60.6%;三是网络服务系统存有漏洞造成个人信息泄露57.4%;还有不法分子通过木马病毒、钓鱼网站等手段盗取、骗取个人信息和经营者收集不必要的个人信息分别占34.4%和26.2%。
根据调查结果,用户在安装和使用手机APP时很少有人阅读应用权限和用户协议或隐私政策,偶尔阅读和从不阅读者居多。总是阅读占18.1%,经常阅读8.2%,有时阅读16.4%,偶尔阅读31.2%,从不阅读26.2%。
调查结果表明,在占比73.8%的曾阅读过应用权限和用户协议或隐私政策的受访者中,能够认真阅读完应用权限和用户协议或隐私政策文字说明的受访者仅占26.7%,不到三成;将近四成的受访者会大概阅读有关政策,占比最高;约20.0%的受访者会选择阅读重点章节说明;还有部分受访者会在使用过程中偶尔查看应用权限和用户协议或隐私政策文字说明。
调查结果还显示,受访者认为当前手机APP在保护用户个人信息方面需要加强,有62.3%的受访者认为非常有必要,23.0%有必要,占比超过调查总样本的八成。认为不需要、没有必要、完全没必要的比例相对较少。
以上调查结果表明,移动终端是个人信息泄露的重灾区,而个人信息被泄露的情况多与因外部的诈骗和怂恿而受骗相关,在这些信息未被授权使用的过程中,多数是由于没有认真阅读信息安全协议造成的。因此,有62%以上的被调查者认为,很有必要加强APP个人信息监管。
专家:个人信息安全到了设置红线的时候
2019年12月30日,国家网信办、工信部、公安部、国家市场监管总局等四部门联合发布《APP违法违规收集使用个人信息行为认定方法》,旨在为监督管理部门认定APP违法违规收集使用个人信息行为提供参考,为APP运营者自查自纠和网民社会监督提供指引。
图片来源:工信部
以影音播放类App为例,中消协《100款App个人信息收集与隐私政策测评报告》显示,其进行测评的100款App中100%的影音播放类App对用户的位置信息进行收集,调用用户的位置信息对于这些服务的提供非必需信息,存在过度收集或使用的嫌疑。
针对上述问题,北京市法学会电子商务法治研究会会长邱宝昌律师在接受媒体采访时表示,此次出台的《方法》采用罗列的方式,明确了6大类31种行为属APP违法违规收集使用个人信息,这为APP经营者设定了收集使用个人信息的红线,同时也为政府职能部门执法提供了操作指南。
浙江传媒学院互联网与社会研究院院长方兴东接受媒体采访时提到,业界对于输入法App涉嫌侵犯用户隐私的问题一直存在讨论,目前输入法App搜集用户信息的情况超过基本规定。此前,全国信息安全标准化技术委员会秘书处组织起草了《信息安全技术 移动互联网应用(App)收集个人信息基本规范(草案)》的国家标准,其中提到输入法类App的最小必要权限范围(收集某一服务类型最小必要信息且需要个人信息主体主动授予的智能移动终端操作系统权限)是“无”。
“现在很多App在安装时,会要求用户授予一些权限。对于要隐私还是要便利,往往消费者是没有选择权的,如果你不同意的话,很多功能无法使用”,数字经济智库执行院长黄日涵对人民数据(国家大数据灾备中心)表示,但同时,很多个人信息被采集后从外部泄露,被不法分子获得。
黄日涵认为,相关企业以匿名化等方式保护用户隐私是比较困难的,“通过算法是可以了解大概的用户群进行定向匹配,包括进行商业上广告推送,‘匿名’在整个传播过程中是会‘打折扣’的。”黄日涵建议,为更好地保护用户隐私,有关部门应该加强监管和执法。2016年出台的《中华人民共和国网络安全法》距今已有4年多时间,原有法律的很多内容已经跟不上互联网快速发展的需求,需要再出台一些相应的细则或对《网络安全法》进行修订补充,用更完善的条款来保护用户的权益。
对于和个人信息关系紧密的市场主体来说,他们对于根据自身平台如何保护产品使用者的个人信息的体会也许更有体会。如搜狗输入法相关负责人对人民数据表示,搜狗输入法极为重视对用户个人信息及个人隐私的保护,对用户数据的采集和使用恪守国家相关法律法规。搜狗采用符合业界标准的安全防护手段,包括建立合理的制度规范、有效的安全技术措施来防止用户的个人信息遭到未经授权的访问、修改、泄露,或数据损坏及丢失。针对由于技术限制及可能存在的各种恶意手段造成的可能风险,搜狗公司建立了专门的应急响应团队,按照公司有关安全事件处置规范要求,针对不同安全事件启动安全预案,进行止损、分析、制定补救措施,联合相关部门进行溯源和打击。
随着数字经济市场竞争主体的逐渐增多以及消费者对网络个人隐私保护和个人信息控制意识的加强,消费者个人的隐私偏好成为产品差异化新趋势。产品或服务隐私政策对用户个人隐私保护的重视程度,可能会对网络产品或服务的竞争优势产生持续而深远的影响;同时,主动提升和优化自身产品或服务的隐私政策,也是应对个人信息保护监管收紧的重要途径。