个人信息泄露为何频频出现

2020-12-30 16:49   中央纪委国家监委网站  

中央纪委国家监委网站 陈瑶

随着移动互联网的普及使用,应用商店上架推出和使用的APP数量呈井喷式增长,随之而来的,还有日益泛滥的违法违规收集使用个人信息的情况。日前,工业和信息化部网站公布关于侵害用户权益行为的App通报(2020年第七批)。截至通报发出时,尚有 63 款 App涉及“违规收集个人信息”尚未完成整改。

据悉,工信部已连续两年组织开展移动应用程序(App)侵害用户权益专项整治行动,已对52万款App进行技术检测,责令违规的1571款进行整改,公开通报500款,对120款整改不到位及拒不整改的责令下架。

你的个人信息安全可能正在受到威胁

上述通报所指App违法违规收集个人信息,主要表现为存在强制授权、过度索权、超范围收集个人信息等。以超范围收集个人信息为例,不少用户可能会遇到这样的情况,即在无十分必要的情况下,天气类App要求访问通讯录,健身软件要求授权手机相册……若用户拒绝接受授权,将无法下载或正常使用App。

事实上,不仅是部分App,对用户个人信息安全造成威胁的还有SDK。这种在手机软件中,提供某种功能或服务的插件可谓是隐形“窃贼”。据业内人士介绍,第三方SDK除了收集用户手机号码、设备信息之外,还会收集用户手机通讯录、短信信息、传感器信息等隐私信息,在采集之后还会发送至指定服务器进行存储。有的SDK甚至会收集并上传用户手机中的短信内容,带有验证码的短信同样会被采集上传。

除了上述隐蔽手段,记者发现,还有不少明目张胆的威胁,将个人信息堂而皇之地摆上交易桌。

在一些知名的二手交易平台,个人户籍、名下房产、出行记录等20多项个人隐私信息被公开售卖,根据信息的查询等待时间及难度不同,费用也在几百元到上千元浮动。不仅如此,一些信息关联查询在这里也变得唾手可得,“提供手机号码可以查淘宝地址、美团地址、快递地址,找人肯定没问题。”

此外,随着人脸识别技术被广泛应用后,面部特征等生物特征信息收集使用不规范等问题也逐渐暴露,加剧了“人脸”信息泄露的风险。中消协律师团律师李斌表示,相比姓名、电话号码、消费记录等个人信息,人脸信息无疑更敏感,其泄露的后果也要严重得多。

保护公民隐私的相关立法在不断完善

由中国消费者协会发布的《APP个人信息泄露情况》提到,个人信息被泄露后,约86.5%的受访者曾收到推销电话或短信的骚扰,约75.0%的受访者接到诈骗电话,约63.4%的受访者收到垃圾邮件。

根据我国《刑法》规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,构成侵犯公民个人信息罪。根据相关司法解释,非法获取、出售通信信息、财产信息等50条以上,或者非法获取、出售或提供通信信息、交易信息等公民个人信息500条以上的,或违法所得5000元以上的,均属于情节严重的情形。

为保护个人信息权益,今年7月,中央网信办、工信部、公安部、国家市场监管总局四部门启动2020年App违法违规收集使用个人信息治理工作,重点打击App后台私自上传个人信息等群众反映强烈的问题。10月至12月,市场监管总局等14部门联合开展2020网络市场监管专项行动,重点任务之一是加强二手物品网络交易平台监管。

在制度建设方面,去年年初以来,国家四部委先后制定印发了《App违法违规收集使用个人信息行为认定方法》《App违法违规收集使用个人信息自评估指南》等政策规范。《民法典》在第四编第六章对隐私权的概念和保护范围作出明确具体的规定,提到“信息处理者在进行个人信息的收集、存储、使用、加工、传输等行为时,必须征得权利人同意,并明示处理信息的目的、方式和范围,不违反法律、行政法规的规定和双方的约定。”作为首部专门规定个人信息保护的法律,前不久提交审议的《中华人民共和国个人信息保护法(草案)》,对处理包括人脸等个人生物特征在内的敏感个人信息作出专门规定。

为落实《中华人民共和国网络安全法》关于个人信息收集合法、正当、必要的原则,规范App个人信息收集行为,12月1日,国家互联网信息办公室印发关于《常见类型移动互联网应用程序(App)必要个人信息范围(征求意见稿)》的通知,提出网络直播类、在线影音类、短视频类等APP无须个人信息,即可用基本功能。此外,《征求意见稿》还规定了地图导航、网络约车、即时通信等38类常见类型App必要个人信息范围。

遏制平台违法交易应压实监管责任

既然有主管部门的大力整治,又有法律制度的“加持”,为何个人信息泄露威胁仍然迟迟未能解除?

中国电子技术标准化研究院信安中心测评实验室副主任何延哲表示,当前,部分平台的应用程序接口存在安全漏洞,容易被黑客攻击。不法分子通过一些平台的信息接口,非法访问其数据库,继而造成了信息泄露。

防止个人信息泄露,应压实各方主体责任。切实解决责任落实不到位,监管不力、整改不到位的问题。

对于二手交易平台售卖个人信息的情况,北京孟真律师事务所律师胡佳成认为,虽然部分平台用户协议中有所谓的“免责声明”,平台方也不直接参与用户之间的交易,但平台方对平台上的违法行为有着不可推卸的监管责任,应主动履行遏制平台违法交易的义务。

通过专项整治行动,工信部信息通信管理局副局长鲁春丛发现,有一些企业经过多次整改仍存在问题,有的企业找不到管理层或者管理层互相推诿,这体现部分头部企业APP在个人信息保护的整改上存在思想漠视、抱有侥幸心理、甚至技术对抗等问题。他还提到,中小APP开发企业整改应对能力不足,出现了管理短板、技改短板、经验短板。

有关专家提到,个人信息保护法(草案)明确 “谁处理谁负责”原则,这对采集个人信息的企业来说,健全的内部管理制度和科学的操作规程乃当务之急。除了实施个人信息分级分类管理、完善安全技术措施之外,有必要合理规划内部操作权限配置。

此外,为保障国家数据安全、加强个人信息保护,工信部正着力研究制定APP个人信息保护暂行规定,并继续推动行业标准的制定,完善APP检测技术平台系统功能。原定于今年12月结束的APP侵害用户权益专项整治将再延长半年到明年年中。

相关阅读