這兩天,最火爆的行業新聞莫過于GDPR生效。GDPR(General Data Protection Regulation,通用數據保護條例 ),是由歐盟起草的史上最嚴格的公民隱私數據保護條例,旨在保護人們的個人隱私數據。在新的條例下,不光用戶的姓名、身份證號、郵箱等常規數據受到保護,用戶的位置、DNA信息等也算個人數據,互聯網企業要收集這些數據,必須經過用戶明確同意,不能偷偷使用或者儲存。毫無疑問,GDPR的出臺,為國內日益嚴重的移動互聯網應用(APP)過度收集用戶信息敲響了警鐘。
(資料圖片 來源互聯網)
隨著移動互聯網的快速發展,各種手機應用軟件呈爆發式增長,越來越多的消費者在驚嘆其所帶來的各種便利之余,也越發擔心自己的個人信息安全。
APP玩套路:不授權不給用
不久前,北京市消協發布手機APP(應用軟件)個人信息安全調查報告,顯示部分手機APP存在過度收集、違規使用個人信息的現象。
“我想掌握自己的流量使用情況,所以下載了一個某運營商營業廳APP,結果要使用它我還得授權它讀取我的通話記錄,允許它撥打電話,甚至允許它修改我的通話記錄。”提到新近下載的這款掌上營業廳,杭州的胡先生顯得非常生氣。記者調查發現,安裝此APP時,應用程序將訪問傳輸手機號碼、IMSI、IMEI、MEID、手機型號等設備信息,系統驗證通過后提供安全免密登錄、讀取用戶位置信息、讀取手機通訊錄、獲取通話記錄、撥打電話、發短信、修改聯系人、調用攝像頭、改變WLAN狀態及錄音等權限。如用戶點擊不同意,則自動退出該應用。
其實這只是當下APP越權過度搜集手機用戶信息,并導致一系列侵權、信息泄露事件發生的一個縮影。北京市消協報告顯示,部分手機APP過度收集、違規使用個人信息,可能導致個人隱私信息泄露或被竊取。問卷調查顯示,有89.62%的被調查者認為手機APP存在過度采集個人信息的問題,41.16%的被調查者在安裝或使用手機APP之前不看授權須知等。被調查者最擔心的是身份證號和銀行賬號被采集,最擔心的問題是個人信息被販賣或交換給第三方以及被利用從事詐騙等。但是,消費者對個人信息泄露的維權意識薄弱,個人信息遭到侵害時,選擇向消協或主管部門投訴的僅占35.00%。
3月29日,央視《經濟半小時》欄目對WiFi萬能鑰匙APP作了深度報道,揭露了其帶來的安全隱患。節目稱,“從個人到商場,從外交大樓到金融重地,萬能鑰匙統統可以輕松竊取密碼”,多個國家機關、多個金融機構和9億用戶如同“裸奔”。
1月3日,支付寶推出2017賬單查閱活動,不少消費者紛紛曬出2017年支付寶年度賬單及關鍵詞。但與此同時,很少有消費者意識到自己“被”簽了一份《芝麻服務協議》。有用戶發現,首次勾選后,再次點進賬單頁面,這個選項就會消失。對此,不少網友表示,打開授權管理后,發現會被捆綁共享單車、打車軟件、銀行等諸多授權。
2017年12月25日,由全國人大常委會執法檢查組委托中國青年報社社會調查中心所做的“萬人調查報告”顯示:有49.6%的受訪者曾遇到過度收集用戶信息現象,其中18.3%的受訪者經常遇到過度采集用戶信息現象;有61.2%的人遇到過有關企業利用自己的優勢地位強制收集、使用用戶信息,如果不接受就不能使用該產品或接受服務的“霸王條款”;有52.5%的人認為執法部門保護用戶信息的成效一般或者不好,不少人反映,在發現本人信息被泄露或者被濫用后,舉報難、投訴難、立案難現象比較普遍。許多受訪者反映,當前免費應用程序普遍存在過度收集用戶信息、侵犯個人隱私問題,但幾乎沒有受到任何監管和依法懲處。
造成這一現象的原因在于,在當前互聯網服務中,服務提供商和用戶之間存在明顯不對等的關系。相對于用戶,服務提供商明顯占據優勢地位,其在服務協議中事先設置“默認同意”,如果用戶取消勾選同意,將不能享有該項服務內容,用戶處于被動的地位,缺乏充分的自主選擇權。另外,“默認同意”的法律定性及相應法律責任并不明晰,這給網絡服務提供商“鉆空子”“打擦邊球”造成了可乘之機。
“強制授權”折射行業“數據之爭”
《人民郵電》報記者就上述“強制授權”的技術問題采訪了四葉草安全移動安全專家田銘。田銘認為,某些強制授權存在一定的必要性,例如基于位置服務的交友軟件必須開啟定位功能才可以正常使用,電商類軟件則需要獲取用戶設備的唯一ID,來控制優惠券的發放范圍。
田銘說,對一些企業而言,強制授權雖是一種必需行為,但也是一項風險行為。在大數據時代,獲取更多的用戶信息是一個趨勢,例如通過“獲取設備安裝軟件列表”權限了解用戶的手機中同時安裝了哪些軟件,既可以了解競爭對手產品的市場占有率,還可以實現對該用戶的標簽化,可應用在之后推廣營銷信息的分發中。
專家指出,在“大數據決勝”的背景下,一些互聯網企業將線上消費者視為大數據掠奪的重要資源,超范圍攫取用戶隱私已成為行業潛規則。
上海信息安全行業協會專委會副主任張威表示,除手機APP主動索權外,一些企業利用格式條款將諸多索權隱匿在連篇累牘的用戶協議中,這樣的做法也已是行業內“公開的秘密”。獲取的消費者信息越多,能繪制的消費者畫像越精準,從而達到流量變現的目的。
360企業安全研究院院長裴智勇認為,企業通過索權在取得消費者信息后,數據保存和利用也存在安全隱患。一些企業的數據庫缺乏有力的安全防護,在遭遇網絡攻擊時容易造成用戶數據的泄露。他指出,企業內部對數據查詢、輸出的授權也存有安全隱患,近年來多次出現知名互聯網企業“內鬼”泄露消費者隱私事件。
“九龍治水”不知向哪個部門舉報和投訴
專家認為,針對互聯網企業線上侵權形式日益多樣化,有關部門可通過落實監管、細化法律法規、提高行業準入門檻等方式維護消費者合法權益。
1.及時出臺相關法律法規監管APP行為
當前,手機APP過度采集個人信息已經成為網絡詐騙的源頭之一。但是,目前法律法規的原則多、細則少,自律規范多、監管規制少,而且消費者個人信息保護的職責分散,權益受到侵害后,救濟渠道不暢通。
2017年6月1日,國家《網絡安全法》正式實施,針對個人信息保護明確規定:網絡產品、服務具有收集用戶信息功能的,其提供者應當向用戶明示并取得同意;涉及用戶個人信息的,還應當遵守本法和有關法律、行政法規關于個人信息保護的規定。此外,《互聯網交易管理辦法》《移動互聯網應用程序信息服務管理規定》等均對個人信息保護作出了規定。建議對APP過度搜集用戶信息行為,制定專門的法律法規予以規范。
2.與APP相關的監管部門應明確職責
如今,網絡安全監管“九龍治水”現象仍然存在,權責不清、各自為政、執法推諉、效率低下等問題尚未有效解決。一些地方網絡信息安全多頭管理問題比較突出,但在發生信息泄露、濫用用戶個人信息等信息安全事件后,用戶又經常遇到投訴無門、部門之間推諉扯皮的問題。專家認為,相關監管部門應合理定位,準確厘清部門之間的職責,形成分工明確、共同發力的監管格局。
3.可適當引入第三方評估機制
盡管美國、歐盟等發達國家對于個人數據權益的保護出臺了更為系統的法律,但在實際中,互聯網公司的自身發展與用戶隱私保護之間的紛爭一直存在。業內人士指出,個人數據權益的保護可以說是在互聯網公司與用戶等各方的博弈中不斷前進。
在歐盟,存在通用的數據信息保護條款,相應權利的保護也更加嚴格。最廣為人知的是數據的遺忘權,即用戶在某平臺注銷了賬戶,其留在該平臺上的所有歷史數據記錄需要被同步消除,后期在沒有得到該用戶授權的情況下,平臺不能繼續給該用戶提供相應的服務。
美國對于隱私權的理解與歐盟不同,更多地建立在自由的基礎上,以行業自律為主導。對于個人數據權益保護,美國有多種形式的行業自律組織。其中,網絡隱私認證計劃頗具特色:網站提出申請,經過第三方隱私認證機構認證后,可以在其網頁上放置“信任標志”,以此表示將遵守網絡隱私保護和數據收集的原則,以及接受相應的監督。
在國內,若有第三方評估機構對互聯網企業、對個人信息保護等行為進行評測,會給用戶以提醒和支持作用。
4. 加大對APP違法行為處罰力度
調查顯示,要對APP進行監管,62.1%的受訪者認為應加強對違規APP的處罰力度,51.4%的受訪者希望提高行業準入門檻,39.4%的受訪者希望健全對APP的投訴制度,30.4%的受訪者認為應對手機APP權限進行明確界定。
手機APP雖然發展很快,但大部分依托的都是背后的網站。對APP的監管可以借鑒桌面互聯網的監管體系,即從“備案”“許可”和“特殊證照”這三個層級對APP進行監管。其中,應用商店對APP上架負有把關責任,應該對APP進行全程的追蹤監督。
對手機APP的管理應“適中”。同時應有法必依、執法必嚴,加大對違規APP的處罰力度,提高企業違法的成本,這樣才能使企業不敢去觸碰法律的底線。(記者 徐勇)
轉自:人民郵電報
【版權及免責聲明】凡本網所屬版權作品,轉載時須獲得授權并注明來源“中國產業經濟信息網”,違者本網將保留追究其相關法律責任的權力。凡轉載文章及企業宣傳資訊,僅代表作者個人觀點,不代表本網觀點和立場。版權事宜請聯系:010-65363056。
延伸閱讀
上半年汽車工業多項經濟指標創新高
