源:中央紀委國家監委網站
中央紀委國家監委網站 陳瑤報道隨著移動互聯網的普及使用,應用商店上架推出和使用的APP數量呈井噴式增長,隨之而來的,還有日益泛濫的違法違規收集使用個人信息的情況。日前,工業和信息化部網站公布關于侵害用戶權益行為的App通報(2020年第七批)。截至通報發出時,尚有 63 款 App涉及“違規收集個人信息”尚未完成整改。
據悉,工信部已連續兩年組織開展移動應用程序(App)侵害用戶權益專項整治行動,已對52萬款App進行技術檢測,責令違規的1571款進行整改,公開通報500款,對120款整改不到位及拒不整改的責令下架。
你的個人信息安全可能正在受到威脅
上述通報所指App違法違規收集個人信息,主要表現為存在強制授權、過度索權、超范圍收集個人信息等。以超范圍收集個人信息為例,不少用戶可能會遇到這樣的情況,即在無十分必要的情況下,天氣類App要求訪問通訊錄,健身軟件要求授權手機相冊……若用戶拒絕接受授權,將無法下載或正常使用App。
事實上,不僅是部分App,對用戶個人信息安全造成威脅的還有SDK。這種在手機軟件中,提供某種功能或服務的插件可謂是隱形“竊賊”。據業內人士介紹,第三方SDK除了收集用戶手機號碼、設備信息之外,還會收集用戶手機通訊錄、短信信息、傳感器信息等隱私信息,在采集之后還會發送至指定服務器進行存儲。有的SDK甚至會收集并上傳用戶手機中的短信內容,帶有驗證碼的短信同樣會被采集上傳。
除了上述隱蔽手段,記者發現,還有不少明目張膽的威脅,將個人信息堂而皇之地擺上交易桌。
在一些知名的二手交易平臺,個人戶籍、名下房產、出行記錄等20多項個人隱私信息被公開售賣,根據信息的查詢等待時間及難度不同,費用也在幾百元到上千元浮動。不僅如此,一些信息關聯查詢在這里也變得唾手可得,“提供手機號碼可以查淘寶地址、美團地址、快遞地址,找人肯定沒問題。”
此外,隨著人臉識別技術被廣泛應用后,面部特征等生物特征信息收集使用不規范等問題也逐漸暴露,加劇了“人臉”信息泄露的風險。中消協律師團律師李斌表示,相比姓名、電話號碼、消費記錄等個人信息,人臉信息無疑更敏感,其泄露的后果也要嚴重得多。
保護公民隱私的相關立法在不斷完善
由中國消費者協會發布的《APP個人信息泄露情況》提到,個人信息被泄露后,約86.5%的受訪者曾收到推銷電話或短信的騷擾,約75.0%的受訪者接到詐騙電話,約63.4%的受訪者收到垃圾郵件。
根據我國《刑法》規定,違反國家有關規定,向他人出售或者提供公民個人信息,情節嚴重的,構成侵犯公民個人信息罪。根據相關司法解釋,非法獲取、出售通信信息、財產信息等50條以上,或者非法獲取、出售或提供通信信息、交易信息等公民個人信息500條以上的,或違法所得5000元以上的,均屬于情節嚴重的情形。
為保護個人信息權益,今年7月,中央網信辦、工信部、公安部、國家市場監管總局四部門啟動2020年App違法違規收集使用個人信息治理工作,重點打擊App后臺私自上傳個人信息等群眾反映強烈的問題。10月至12月,市場監管總局等14部門聯合開展2020網絡市場監管專項行動,重點任務之一是加強二手物品網絡交易平臺監管。
在制度建設方面,去年年初以來,國家四部委先后制定印發了《App違法違規收集使用個人信息行為認定方法》《App違法違規收集使用個人信息自評估指南》等政策規范。《民法典》在第四編第六章對隱私權的概念和保護范圍作出明確具體的規定,提到“信息處理者在進行個人信息的收集、存儲、使用、加工、傳輸等行為時,必須征得權利人同意,并明示處理信息的目的、方式和范圍,不違反法律、行政法規的規定和雙方的約定。”作為首部專門規定個人信息保護的法律,前不久提交審議的《中華人民共和國個人信息保護法(草案)》,對處理包括人臉等個人生物特征在內的敏感個人信息作出專門規定。
為落實《中華人民共和國網絡安全法》關于個人信息收集合法、正當、必要的原則,規范App個人信息收集行為,12月1日,國家互聯網信息辦公室印發關于《常見類型移動互聯網應用程序(App)必要個人信息范圍(征求意見稿)》的通知,提出網絡直播類、在線影音類、短視頻類等APP無須個人信息,即可用基本功能。此外,《征求意見稿》還規定了地圖導航、網絡約車、即時通信等38類常見類型App必要個人信息范圍。
遏制平臺違法交易應壓實監管責任
既然有主管部門的大力整治,又有法律制度的“加持”,為何個人信息泄露威脅仍然遲遲未能解除?
中國電子技術標準化研究院信安中心測評實驗室副主任何延哲表示,當前,部分平臺的應用程序接口存在安全漏洞,容易被黑客攻擊。不法分子通過一些平臺的信息接口,非法訪問其數據庫,繼而造成了信息泄露。
防止個人信息泄露,應壓實各方主體責任。切實解決責任落實不到位,監管不力、整改不到位的問題。
對于二手交易平臺售賣個人信息的情況,北京孟真律師事務所律師胡佳成認為,雖然部分平臺用戶協議中有所謂的“免責聲明”,平臺方也不直接參與用戶之間的交易,但平臺方對平臺上的違法行為有著不可推卸的監管責任,應主動履行遏制平臺違法交易的義務。
通過專項整治行動,工信部信息通信管理局副局長魯春叢發現,有一些企業經過多次整改仍存在問題,有的企業找不到管理層或者管理層互相推諉,這體現部分頭部企業APP在個人信息保護的整改上存在思想漠視、抱有僥幸心理、甚至技術對抗等問題。他還提到,中小APP開發企業整改應對能力不足,出現了管理短板、技改短板、經驗短板。
有關專家提到,個人信息保護法(草案)明確 “誰處理誰負責”原則,這對采集個人信息的企業來說,健全的內部管理制度和科學的操作規程乃當務之急。除了實施個人信息分級分類管理、完善安全技術措施之外,有必要合理規劃內部操作權限配置。
此外,為保障國家數據安全、加強個人信息保護,工信部正著力研究制定APP個人信息保護暫行規定,并繼續推動行業標準的制定,完善APP檢測技術平臺系統功能。原定于今年12月結束的APP侵害用戶權益專項整治將再延長半年到明年年中。
公民個人信息,簡稱個人信息,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息,包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。2021年3月,國家互聯網信息辦公室等四部門聯合發布《常見類型移動互聯網應用程序必要個人信息范圍規定》,落實《中華人民共和國網絡安全法》關于個人信息收集合法、正當、必要的原則,規范移動互聯網應用程序(App)個人信息收集行為,保障公民個人信息安全。 2021年8月20日,十三屆全國人大常委會第三十次會議表決通過《中華人民共和國個人信息保護法》。
個人信息泄露可能會引發以下困擾:
1. 賬戶被盜用:黑客通過獲取個人信息,可以盜取賬戶信息進行非法操作和交易,導致財產損失。
2. 個人隱私泄露:個人信息泄露后可能被用于進行各種形式的騷擾、詐騙等行為,侵犯個人隱私權。
3. 信用記錄受損:個人信息泄露后,黑客可以利用這些信息進行信用卡套現、貸款欺詐等行為,造成個人信用記錄受損。
4. 身份盜用:泄露的個人信息可能被用于冒充他人身份,進行欺詐或犯罪行為。
1.處理含有個人信息的文件要謹慎。例如,在丟棄文件前徹底抹去個人信息。
2.使用公共網絡時要清理痕跡。例如,下線時確保清除瀏覽記錄,或開啟隱私模式。
3.不要隨意留下個人信息。例如,在網上活動時避免不必要的信息公開。
4.妥善處理個人信息。例如,在網上留電話號碼時,使用“-”分隔數字以降低被搜索到的風險。
5.謹慎發布社交動態。例如,在朋友圈曬照片時,避免包含敏感信息。
6.使用復雜密碼。例如,在注冊社交平臺、網購平臺等時,使用復雜且獨特的密碼。
7.慎用公共場所的免費WiFi。例如,避免在公共WiFi下進行涉及敏感信息的操作。
8.不隨意點擊不明鏈接。例如,不點擊來歷不明的短信、郵件鏈接或不明網站的支付鏈接。
9.慎重授權App使用權限。例如,在授予App權限前,仔細閱讀隱私政策和權限要求。
10.妥善處理廢棄的電子產品。例如,徹底銷毀存儲有個人信息的設備。
通過這些措施,可以有效地保護個人信息安全,減少信息泄露的風險。
來源:澎湃新聞