​本文首发于2019年4月18日期《中国战略新兴产业》

《中国战略新兴产业》杂志记者 杜壮

当你注册着各种App,享受着智能手机带来便利的同时,骚扰电话、诈骗短信、精准的推送,让你在不知不觉中也承担着隐私信息泄露所带来的风险。

最近,部分手机App通过不平等、不合理条款的授权协议,强制索取用户个人信息的行为被曝光。在引发大众广泛关注的同时,也为不少App开发者和运营者敲响了一计警钟。

如今,数据正成为数字化世界中的强大经济引擎。如何确保数据安全,尤其涉及到用户敏感的隐私信息,成为开发者和运营商在发展过程中亟待解决的问题。

隐私数据应当在用户知情情况下调用

最近,一款名为“社保掌上通”的App被央视点名批评。经主持人测试,用户填写各种资料注册这款App后,电脑就能够远程接收到用户的所有信息。这款App通过隐藏的用户条款窃取用户社保信息,并且未得到官方授权。

消息发布后第二天,工信部表示,立即启动应用商店联动处置机制,要求腾讯、百度、华为、小米、OPPO、vivo等国内主要应用商店全面下架“社保掌上通”App,对“社保掌上通”手机App的责任主体杭州递金网络科技有限公司进行核查处理,并全力组织对同类App进行排查检测,对类似问题一并要求整改。

百度创始人兼CEO李彦宏曾公开表示:“中国人对隐私问题的态度更加开放,相对来说也没那么敏感。如果他们可以用隐私换取便利、安全或者效率,在很多情况下他们就愿意这么做。当然我们也要遵循一些原则,如果这个数据能让用户受益,他们又愿意给我们用,我们就会去使用它的。我想这就是我们能做什么和不能做什么的基本标准。”这一言论曾激起千层浪。

在北京浩天安理律师事务所高级合伙人王新锐的眼中,隐私数据并非不能调用,但需要让用户能够明确知情。“比如,脸谱公司做的隐私表盘,用可视化方法管理隐私,把隐私赋权给用户。而中国很多互联网产品特点是集成,里面包含娱乐、支付、社交等很复杂,就更需要让用户直观地知道到底用了哪些信息,让他们更好地管理个人隐私。”王新锐说。

全国两会期间,苏宁董事长张近东指出,信息产业的快速发展造成大量从业者涌入,由于企业数据保护意识不足,加之我国相关立法滞后,个人信息的泄露与滥用层出不穷,严重侵犯了公民正当权利,要加快相关立法进程,改变目前数据安全领域的乱象。

个人信息保护规范体系正逐步完善

据统计,截至2018年12月,我国网民规模达8.29亿,而诸如前程无忧的195万条用户求职简历泄露等海量的用户信息泄露事件不断发生。App安全问题不容忽视,保护用户信息安全刻不容缓。为此,监管部门接连推出相关举措。

今年1月25日,中央网信办、工信部、公安部、市场监管总局正式对外发布的《关于开展App违法违规收集使用个人信息专项治理的公告》指出,App运营者要采取有效措施加强个人信息保护;收集个人信息时要经个人信息主体自主选择同意;不以默认、捆绑、停止安装使用等手段变相强迫用户授权;不得违反法律法规和与用户的约定收集使用个人信息。

3月1日,《App违法违规收集使用个人信息自评估指南》发布。App运营者可参照指南对其收集使用个人信息的情况进行自查自纠,主动提升个人信息保护水平。

3月15日,App安全认证工作开展。国家市场监管总局认证监管司副司长薄昱民表示,安全认证将针对App隐私政策和个人信息收集使用情况进行评估。通过鼓励搜索引擎和应用商店优先推荐获证App等方式,引导消费者选用安全的App产品,提升个人信息保护意识和能力。

赛迪顾问数字经济产业研究中心高级分析师刘浩然告诉本刊记者,相比美国、欧盟等国家和地区,我国对于个人信息保护的规范和法律制定起步较晚,相较互联网的发展速度也较为落后。但自2017年起,国家和政府开始高度重视,相关规范和法律频出,个人信息保护规范体系逐渐搭建完成。

正如刘浩然所说,从法律上来看,2017年5月最高人民法院、最高人民检察院就发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。这是两高首次出台关于对侵犯公民个人信息犯罪的司法解释,对于侵犯公民个人信息犯罪的定罪量刑标准进行了系统全面的规定。

2017年6月,《中华人民共和国网络安全法》正式实施,这是中国在网络安全治理方面重要的里程碑,其中第四章节《网络信息安全》概述了个人信息的保护与收集、信息的使用与分发,重点阐述了对个人信息保护,明确了网络运营者在保护个人信息安全方面应承担的义务。

从规范和标准来看,2018年5月,《信息安全技术个人信息安全规范》正式实施,虽然该规范为推荐性国家标准,并非强制执行性标准,但填补了我国在个人信息保护标准上的空白。该规范将《网络安全法》中的原则性规定进一步落地,规范了网络运营商对个人信息处理应遵循的原则和安全要求,为主管部门、评估机构等提供了较为具体的监管和评估依据。

2018年11月,公安部网络安全保卫局发布《互联网个人信息安全保护指引(征求意见稿)》,在《个人信息安全规范》的基础上规范了个人信息全生命周期的保护工作,并且明确指出该指引适用于网络安全监管职能部门依法进行个人信息保护监督检查时参考使用,说明该文件在今后可作为相关部门在执法工作中的判定依据。

使用App不要随意输入个人信息

如今,大量手机应用App在安装使用时,都需要申请通讯录、摄像头、短信、录音、位置等多项与其核心功能无关的权限,若用户拒绝某些权限的申请,应用则无法正常使用。

2018年,中消协公布了20类普遍存在涉嫌过度收集或使用个人信息的App,涉及金融理财,购物,视频,旅游出行,新闻等众多领域。

腾讯社会研究中心和市场研究机构DCCI互联网数据研究中心联合发布的《网络隐私安全及网络欺诈行为研究分析报告(2018年上半年)》,通过对1144款手机App获取用户隐私权限情况的统计发现,在2018年上半年,获取“打开摄像头”权限的App比例达到89.9%,获取“使用话筒录音”权限的App比例达到86.2%。

《2017年度隐私安全及网络欺诈行为分析报告》则显示,2017年下半年,852个Android手机App中有98.5%都要获取用户隐私权限,这比2017年一季度增长了2%。

作为App开发者和运营者,如何确保App隐私合规,保障用户个人信息安全成为其发展过程中亟待解决的问题。

针对这一问题,刘浩然给出了三点“良方”。刘浩然告诉记者,首先要做到合法、合规、自律。不调用与本App所提供服务无关的用户权限,不获取超出App功能所需的用户信息,同时对用户信息严格保密,不向任何第三方公司或个人泄露用户数据。其次,在后端对服务器和数据库采取加密保护措施,防止被恶意攻击导致用户个人信息泄露。最后,在前端加强用户身份验证程序,分层次明确用户隐私协议,在可能公开显示用户信息的地方(例如快递单、信用卡账单等)隐去关键字段,从而保护用户个人信息安全。

那么,用户下载App时如何保护自己的隐私信息?刘浩然认为,一方面,要选择正规App应用商店下载,仔细阅读用户隐私协议,并对App权限进行管理,在保证基本功能可以使用的情况下关闭不必要的权限,需要时再开启。另一方面,不要随意在来路不明的网站和不常用的App中输入身份证号、家庭住址、银行卡号等个人敏感信息,同时对索要个人信息的网站及App保持警惕,了解索取方主体和数据用途再提供个人信息。

隐私窃取是什么意思(你的隐私正在被窃取)(1)

隐私窃取是什么意思(你的隐私正在被窃取)(2)

编辑:艾丽

,