AD
首页 > 头条 > 正文

App信息收集乱象-科技频道-金鱼财经网

[2021-02-28 05:44:20] 来源: 编辑:wangjia 点击量:
评论 点击收藏
导读:□法制日报 记者 侯建斌截至6月初,因存在违规违法收集个人信息等问题,“社保掌上通”App遭下架已两月有余。让不少人心有余悸的是,当用户使用这款App时,被默认同意一份授权协议,如“您在此充分地、有效

□法制日报 记者 侯建斌

截至6月初,因存在违规违法收集个人信息等问题,“社保掌上通”App遭下架已两月有余。

让不少人心有余悸的是,当用户使用这款App时,被默认同意一份授权协议,如“您在此充分地、有效地、不可撤销地、明示同意并授权我们使用您的社保账户密码为您提供服务”,以及“在遵循本协议的条件下,对您的信息进行采集、分析、处理和模拟您登录人行征信、学信网、社保、公积金、运营商网站等获取您的个人信息”等条款。

互联网消费时代,类似的情形并不鲜见。

如今,这一现状有望得以扭转。近日,由中央网信办、工信部、公安部、市场监管总局指导成立的App专项治理工作组,起草了《App违法违规收集使用个人信息行为认定方法》(征求意见稿)》(以下简称《认定办法》),“未经同意收集使用个人信息行为”纳入规制范围。

中国信息安全研究院副院长左晓栋告诉《法制日报》记者,网络安全法对保护个人信息的规定较为原则,尽管《个人信息安全规范》细化了法律的要求,但从实践看,仍有大量App在打法律擦边球。因此,及时出台《认定办法》,明确违规App行为的具体认定标准,有助于网络安全法的相关要求真正落地并见实效。

过度收集乱象触目惊心

据工信部统计,截至2017年底,我国三大运营商移动电话用户总数14.03亿户,移动宽带用户(3G和4G用户)总数11.01亿户,占移动电话用户的78.5%。

随着网络消费时代的到来,一部手机即可享受各类线上线下服务成为现实。

然而,消费者在享受移动互联网带来的便利时,个人隐私信息泄露、盗用、贩卖事件屡屡发生。

最为典型莫过于华住酒店用户信息被售卖事件,以及12306平台旅客信息泄露事件等。

个人信息频频泄露的背后有哪些玄机?2018年8月29日,中国消费者协会发布的《App个人信息泄露情况调查报告》(以下简称《报告》)给出了答案。

《报告》调查发现,超八成受访者曾遭遇个人信息泄露。其中,经营者未经授权收集个人信息和故意泄露信息是造成消费者个人信息泄露的主要途径。

统计显示,个人信息泄露后遭遇推销电话或短信骚扰的占86.5%,占比最高,接到诈骗电话的占75.0%,收到垃圾邮件的占63.4%。

“个人安全意识薄弱和监管不到位是手机App出现个人信息安全问题的主要原因。”《报告》分析指出,一方面,消费者与手机App服务提供商之间往往处于不对等的地位,只能同意或被迫同意格式条款和信息获取权限;另一方面,消费者虽有自我保护的意识,但不知如何更有效地保护自己,难以有效应对。

三个月后,中消协发布的另一份报告更触目惊心。2018年11月28日,中消协发布《100款App个人信息收集与隐私政策测评报告》,100款中多达91款存在过度收集用户个人信息。

其中,有59款App涉嫌过度收集“位置信息”,有28 款App涉嫌过度收集“通信录信息”,有23 款App涉嫌过度收集“身份信息”,有22款App涉嫌过度收集“手机号码”等。

治理过度收集步伐加快

面对愈演愈烈的个人信息过度收集乱象,官方动作频频。

2017年,我国正式颁布《中华人民共和国网络安全法》。网络安全法一方面明确提出要求,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

为确保这一内容落地,2017年12月29日,中国国家标准化管理委员会正式发布GB/T 35273-2017《信息安全技术个人信息安全规范》(以下简称《个人信息安全规范》),这一规范已于2018年5月1日起实施。

专家认为,《个人信息安全规范》以国家标准的形式,明确了个人信息的收集、保存、使用、共享的合规要求,为网络运营者制定隐私政策及完善内控提供了指引。

今年以来,国家治理App过度收集个人信息的步伐在加快。

1月初,中央网信办、工业和信息化部、公安部、市场监管总局发布《关于在全国范围开展App违法违规收集使用个人信息专项治理公告》(以下简称《公告》)。

根据《公告》要求,App运营者收集使用个人信息时要严格履行网络安全法规定的责任义务,对获取的个人信息安全负责,采取有效措施加强个人信息保护。不以默认、捆绑、停止安装使用等手段变相强迫用户授权,不得违反法律法规和与用户的约定收集使用个人信息。

3月15日,个人信息安全认证工作迈出实质性一步。市场监管总局、中央网信办联合发文,决定开展App安全认证工作。按照相关要求,从事App安全认证的认证机构为中国网络安全审查技术与认证中心,检测机构由认证机构根据认证业务需要和技术能力确定 。

近日,App专项治理工作组就《认定方法》公开征求意见,意在为App运营者自查自纠提供指引,为App评估和处置提供参考。

北京师范大学互联网发展研究院院长助理、中国互联网协会研究中心秘书长吴沈括教授告诉记者,《认定方法》的出台,将使得监管部门可有针对性地对App违规行为予以治理,也为平衡技术发展与个人信息安全问题提供了有效依据。

新规有望弥补治理短板

记者注意到,《认定方法》将App违法违规收集使用个人信息共分为7种情形:没有公开收集使用规则;没有明示收集使用个人信息的目的、方式和范围;未经同意收集使用个人信息;违反必要性原则收集与其提供的服务无关的个人信息;未经同意向他人提供个人信息;未按法律规定提供删除或更正个人信息功能;侵犯未成年人在网络空间合法权益,均出现在意见稿内。

针对上述7种情形,意见稿进一步将App没有隐私政策、用户协议情形,进入App主功能界面后,多于4次点击、滑动才能访问到隐私政策,在App安装、使用等过程中均未通过弹窗、链接等方式提示用户阅读隐私政策等纳入违法违规行为。

“可以说,认定办法对App隐私政策的规定非常细致。”令吴沈括欣慰的是,认定办法对隐私政策的内容设定、访问形式等都做了明确要求,这意味着隐私政策不再是徒有其表的虚设,用户对App中的收集行为更加明确,利于增强其对网络空间的信心。

记者注意到,征求意见稿还提出其他一些违法违规情形,如App收集使用信息的目的违反合法、正当、必要原则,仅仅以改善程序功能、提高用户体验、定向推送等为目的收集用户个人信息;在申请可收集个人信息的权限时,未告知收集使用的目的,如在申请调阅通信录时没有说明原因等;每次要求用户提供个人敏感信息时,如身份证号、银行卡号等,未同步实时说明原因等。

“认定办法出台后,在一定意义上,将弥补对App治理的短板。”在吴沈括看来,尽管我国个人信息管理体系以及技术标准等逐渐完备,但对于App违法违规收集个人信息的行为并未有专项规定予以规制,而认定办法着重加强了对App的管制,一定程度上也有利于该行业的有序健康发展。

中国社科院国家文化安全与意识形态建设研究中心副主任兼秘书长朱继东告诉记者,对有关部门而言,对认定某个App是否构成非法收集个人信息行为,有了科学依据;对广大App用户而言,可以清晰了解App是否在违规收集个人信息,可以有针对性地利用这些维护自己的权益,同时向有关部门举报。

“个别App会钻法律的空子,比如用户如果不同意隐私政策,则拒绝正常使用,逼迫用户同意不合理的隐私政策,而且难以留存证据。”朱继东坦言,仅仅依靠认定办法,还难以对个人信息保护问题进行周延性保护,后续需要将办法上升到法律层面,严厉打击违规App的非法收集行为。

加大对违规App打击力度

始于今年1月的App违法违规收集使用个人信息专项治理已有四月有余,在推进此项专项治理中是否还存在一些短板?

吴沈括对专项治理中开展自愿性App个人信息安全认证的内容给予了更多关注。他认为,自愿性App个人信息安全认证实际效果有待验证。对大部分App服务提供者而言,在尚未确定该行为的最大利益时,主动实行安全认证积极性并不高。

为此,吴沈括建议,采取鼓励措施以及实际利益等提高服务提供者的积极性。

前不久,App违法违规收集个人信息专项治理工作组通报称,App收集使用个人信息评估工作取得阶段性进展。

今年3月份,四部门联合工作组开通微信公众号“App个人信息举报”和举报专用邮箱,便于用户举报App违法违规收集使用个人信息行为。

截至4月16日,工作组共收到举报信息超过3480条,其中实名举报1040余条,涉及1300余款App。被举报App主要集中在金融借贷、网上购物、短视频与直播、即时通信等领域。

此外,工作组还针对30款用户量大、问题严重的App向其运营者发送了整改通知,要求App运营者认真整改、举一反三,及时纠正个人信息收集使用方面存在的问题。

在左晓栋看来,这种整改效果不容乐观。“专项治理开展后,有些App确实按照要求进行了整改,隐私政策也做了重新修订,但违法违规收集个人信息方式更加隐蔽。”

左晓栋举例说,按照要求,App需要明示收集使用个人信息的目的、方式和范围,许多App把使用范围扩大至公司及关联企业,究竟哪些属于关联企业,往往没有明示。依照现有规定,又很难界定其是否违规。

中国网信网发布数据显示,去年12月到今年4月中旬,国家网信办会同有关部门关停下架违法违规App3.3万款,拦截恶意网站链接234万余个,清理社交平台低俗不良信息2474万余条、封禁违规账号364万余个。

朱继东认为,成绩有目共睹,但要看到专项治理工作仍存在一些难点。比如在打击App违规收集行为中,经常出现依据比较模糊或是难以找到相应的法律依据,甚至是无法可依情形,对非法收集个人信息的相关规定有待进一步细化。

对此,朱继东建议:一要加快立法进度,立法层面加大对违规App的打击力度;二要常态化公布App违规收集个人信息的典型案例,对其他企业起到警示作用;三要站在维护国家网络安全的高度,推进网络安全建设,重视对App非法收集个人信息的治理。(编辑:吕斌)

查看更多:

为您推荐