超八成个人遭遇过信息泄露 个人信息保护阀需拧紧

2019年01月18日 08:59   来源:人民日报   

  拧紧个人信息保护阀(民生视线)

  齐志明 陈星月

  《 人民日报 》( 2019年01月18日 19 版)

  85.2%

  超八成个人遭遇过信息泄露

  40+30

  我国有近40部法律、30余部法规涉及个人信息保护

  3C原则

  获取信息应取得用户同意、让用户了解隐私政策、给用户对个人信息利用的控制权

  核心阅读

  中消协日前发布的《100款APP个人信息收集与隐私政策测评报告》显示,91款APP存在过度收集用户个人信息的问题,近半数APP的隐私条款内容不达标。

  保护公民个人信息安全,需要进一步完善立法,监管要多出实招,行业、企业应加强自律,全面行动起来,对泄露盗卖信息者严惩不贷,对黑色产业形成围追堵截。

  最近一段时间,由腾讯发布的《2018微信年度数据报告》被朋友圈热转。从交通出行习惯、生活作息规律到常用表情符号,各个人群的“微信画像”跃然纸上。这份报告“火了”,但也招来很多质疑:微信不会是在窥探用户的隐私吧?

  虽然腾讯马上回应“所有数据均已匿名及脱敏化处理”,但许多人还是心里犯嘀咕。中国消费者协会联合人民网舆情数据中心日前发布的《2018年十大消费维权舆情热点》显示,“个人信息保护缺失”高居当年维权舆情热点排行榜第二位——你在看手机,而屏幕那边,不知有多少只眼睛盯着你哩!

  目前,个人信息被泄露的情况有哪些种类?会对个人和社会造成哪些损害?增强个人信息安全、避免人人成为“透明人”,我们该如何行动起来?

  超八成消费者个人信息被泄露过,近半数APP的隐私条款内容不达标

  生活在互联网时代的人们是幸运的:一键下单,可口的饭菜就能送到家里;刮风下雨,出租车可以开到门口;预约挂号,一个软件连着多家医院,再不用披星戴月排长队;家有年长老人,可用手机实时查看其坐卧起居;或者美图软件来个自拍,就能给自己换个发型……不过短短10多年,我们的生活已经处处“互联网+”,经济社会管理很多难题迎刃而解,日常生活的方便、舒适程度大大提升,而且催生了很多新业态、新行当,挖掘百姓消费新潜力、增添经济新动能。

  然而,“发展的烦恼”也如影随形——

  “您好!我是教初二数学的马老师,您家小孩儿需要期末考前辅导吗?”“这里是某医院某科室,您最近身体是否不适?”……从理财、培训到装修、出游,对方似乎有“未卜先知”的超能力,准确知晓你的某些关键信息与近期需求。这说明,你的个人信息被泄露了。

  这种情况有多严重呢?中消协发布的《APP个人信息泄露情况调查报告》(后简称《调查报告》)显示,当前我国遭遇过个人信息泄露情况的人数占比为85.2%。当消费者个人信息泄露后,约86.5%的受访者曾收到推销电话或短信的骚扰,约75%的受访者接到诈骗电话,约63.4%的受访者收到垃圾邮件。

  中消协发布的另一份调研报告《100款APP个人信息收集与隐私政策测评报告》(后简称《测评报告》)显示,91款APP存在过度收集用户个人信息的问题,近半数APP的隐私条款内容不达标,位置信息、通讯录信息、身份信息、手机号码这几项高居涉嫌过度收集或使用信息清单中的前四名,部分APP还涉嫌过度收集个人财产信息、生物识别信息等敏感信息。

  47款“劣迹”突出的APP中,侵犯用户隐私的典型问题包括:

  ——隐私条款笼统不清,对收集、使用个人信息的目的、方式、范围、类型、保存期限、地点等没有明确说明,收集敏感信息时未明确告知用户信息的用途。比如,被测评的10款交易支付类APP中,即便是唯一被评为四星的那一款,在收集个人敏感信息时,也未对核心和附加功能进行区分,导致用户容易认为所收集的信息均为必需项。

  ——没有或未明确用户更正、撤回同意、删除个人信息的途径。比如爱抢购APP不支持账号退出功能,手机解绑需向客服申请,方法过于繁琐。

  ——对外提供个人信息时不单独告知并征得用户同意。有些应用以提升产品或服务质量的需要为名,在传播用户信息时越界。比如,ofo小黄车向关联公司及第三方分享相关信息时,未单独征得用户同意,且对外提供行为未体现其必要性,其存在的风险不得而知。

  ——大量收集与所提供服务无直接关联的个人信息。一些应用未遵守行业标准中关于最小化收集个人信息的规定,像天气预报、手电筒这类功能单一的APP,在安装协议中竟然都提出要读取通讯录。

  “总体来看,由于网络空间具有即时性与虚拟性,公民个人信息一旦遭泄露普遍存在举证难、损失认定难等问题,需进行更加有效的治理,目前侵犯公民个人信息等违法犯罪问题仍呈高发态势。”中国法学会消费者权益保护法研究会副秘书长陈音江说。

  非法信息买卖形成黑色产业链,涉事主体缺乏法律与责任意识,事前保护和监管亟待加强

  不少受访者都有这样的困惑:个人信息曾被多个单位、机构或企业采集过,信息到底是怎么被泄露、买卖的?究竟谁是“元凶”?

  其实,信息泄露有迹可循。《调查报告》发现了两条最主要的途径:

  一是经营者未经本人同意擅自收集客户信息,也就是《测评报告》指出的隐私政策不合理导致的诸多乱象,最典型的是部分记账理财APP会通过留存消费者的个人网银登录账号、密码等信息,并模仿消费者网银登录的方式,获取账户交易明细及余额等信息,某些小额贷款APP的开发商甚至能通过技术手段获得用户手机系统最高管理权限。

  二是经营者或不法分子故意泄露、出售或者非法向他人提供个人信息,这两者均超过调查总样本的60%。业内人士指出,这已形成一条规模庞大、利益巨大的产业链,上游环节负责“源头供货”,中游负责“包装易货”,下游负责“应用变现”。公开数据显示,我国网络安全产业规模仅为450多亿元,但据推测,国内网络非法从业人员已超150万人,互联网黑色产业链早已达千亿元规模。

  其他被泄露方式还包括:网络服务系统存有漏洞造成个人信息泄露,不法分子通过木马病毒、钓鱼网站等手段盗取、骗取个人信息;经营者收集不必要的个人信息,这些经营者包括手机应用程序APP、网络服务提供商、“云”服务等。

  一直以来,国家重拳出击整治网络个人信息泄露乱象,为广大网民营造安全放心的网络环境。公安部2018年开展“净网”专项行动,严厉打击侵犯公民个人信息、黑客攻击破坏等犯罪行为,仅半年内,就抓获犯罪嫌疑人8000余名,其中涉及电信服务商、互联网企业、银行等行业内部人员300余名,黑客1200余名,缴获“黑卡”270余万张。

  不过,总体上当前我国网络个人信息泄露情况仍不容乐观。陈音江指出,当前个人信息买卖之所以呈现利益化、复杂化、常态化的特点,原因有多方面,其中最主要的,是采集或储存企业缺乏保护个人信息的法律意识和责任意识,有的企业过度采集用户个人信息,目的就是根据用户的消费行为分析,精准投放商业广告;有的企业采集公民个人信息以后,由于安保防范措施不到位、内控制度不完善,个别企业的“内鬼”与不法分子勾结。另外,目前个人信息保护主要依赖事后监管,缺少事前保护和监管,公民个人信息保护职责分散且呈现边缘化,受害人维权渠道不通畅,经济补偿难落地。

  监管严起来,标准强起来,形成监管合力,打好“技术”补丁

  保护公民信息不受侵害,当务之急是完善法律法规——

  目前我国有近40部法律、30余部法规涉及个人信息保护,比如《民法总则》《刑法修正案》《消费者权益保护法》《网络安全法》《电子商务法》等等。中消协商品服务监督部主任皮小林认为,要真正保护好“大数据时代”的个人隐私,需要进一步提高法律的操作性,能比较全面地覆盖目前信息侵权行为的各种表现,减少法律盲区,同时应提高对于个人信息侵权行为的制裁力度,“要给互联网企业收集用户信息等行为戴上‘紧箍’。”

  据悉,2018年9月,十三届全国人大常委会立法规划公布,旨在强化企业主体责任的《个人信息保护法》与《数据安全法》已被列入第一类项目,有望使个人信息保护早日进入法制化轨道。

  监管力量还需“拧成一股绳”——

  目前,有关个人信息保护的主管机关还未确定,相关职责分散于公安、工信、网信、司法等多家部门,如何在实际工作中形成监管合力,还需进一步探索。

  中国人民大学法学院教授刘俊海指出,个人信息获取、存储和利用的环节众多,流通传播又兼具隐蔽性和复杂性,强化公民个人信息安全,须得多方联动、协同共治。

  “首要的是,监管部门必须利剑高悬,加强监督执法。”陈音江指出,有关部门要对网络攻击、网络诈骗、网络有害信息等违法犯罪活动加大打击力度,切断网络犯罪利益链条,持续形成高压态势,使广大消费者的合法权益免受侵害。

  “下一步,重点加强对当事人的民事权益保护,充分调动法院的积极性,在惩戒手段、赔偿问题上落实落细,强化侵害个人信息权行为的赔偿责任,比如建议立法上增加最低赔偿额规定,借鉴消法500元或者食品安全法1000元最低赔偿数额规定。”中国人民大学法学院教授杨立新说。

  中国政法大学传播法中心研究员朱巍建议设立黑名单制度,将违规企业、个人纳入黑名单,越界侵权APP在应用市场下架,同时追根溯源找到发布者,从重处罚。“民事上,要对消费者进行赔偿,消协要发挥积极作用;行政上,可对涉事机构处以吊销执照等处罚;刑事上,主要负责人应被诉以侵害公民个人信息犯罪等。”

  行业企业标准强起来——

  专家建议,行业要建立网络个人信息分类标准,企业要建立健全内部管理制度,推动数据防窃密、防篡改、防泄露等安全技术的研发和部署,对数据库、服务器、服务器网络、客户端网络、客户端等关键节点做好防护工作,有效降低“内鬼”和不法分子窃密风险。

  事实上,面对“信息保护缺失”的风险隐患,一些大型互联网企业正在通过筑牢制度“防火墙”、打好技术“补丁”,加宽个人信息保护的“护城河”。

  一位业内人士认为,互联网公司在数据隐私保护工作中应始终遵守“三C”原则:取得用户同意(Consent)、让用户充分、全面了解隐私政策 (Clarity)、给予用户对其个人信息利用的控制权(Control)。比如在产品中增加隐私偏好设置选项,让用户可以动态开启或关闭个人信息的应用场景,也可轻松访问被采集的数据以便审核,同时给用户请求和申诉渠道,以便用户更新、修改或删除数据。再如,对收集的个人信息按照敏感程度进行分类分级,采取不同的管理策略和安全防护策略,确保用户信息安全。

  防APP窥探隐私,你能做点啥?

  如何防止APP过度摄取个人隐私,避免个人信息被滥用?以下是几条小贴士:

  下载手机APP时:最好通过手机“应用商店”等正规平台下载、安装。在安装过程中,留心阅读相关信息权限提示。比如,现在很多主流品牌手机“应用商店”里的APP,在进行安装之前,都会在介绍页面展示该APP与隐私相关的权限详情,告知用户该APP需要读取位置、读取通讯录、检索正在运行的其他应用等。如果你觉得授权这些信息对你不利,你可以放弃安装。

  打开APP界面时:APP往往会提示用户开启相关权限许可,这时你应当谨慎授予APP打开摄像头和麦克风、读取短信、读取联系人、读取位置信息等权限。除非是必不可少的权限,那些你认为APP不必获取的权限都可先选择否定。此外,还可在安全软件或系统设置中关闭某些APP的自启动功能,如不能关闭,可以卸载。

  使用APP一段时间后:定期用手机管家、杀毒软件等对手机里的APP进行全面检查。同时,对社交类、支付类、出行类、网购电商类等涉及个人财产、生活圈子、行踪轨迹的APP,你应当多加留意,最好设置不同类型的账号和密码,防止其他APP擅自开启或出现账号被盗等情况,以免给自己或家人、朋友带来财产等损失。

  不再用旧手机时:建议把重要数据做备份,然后多次存取一些无关紧要的内容或者大型视频文件,直至将存储空间全部占满。还可以给手机安装一个“文件粉碎机”,进行信息擦除。最后,将旧手机低价转卖或扔掉前,请确保隐私信息已经妥善处理。

(责任编辑:杨淼)

精彩图片