日前,APP专项治理工作组在中央网信办、工信部、公安部、市场监管总局指导下,开展了APP违法违规收集使用个人信息安全评估,发现一些APP存在强制授权、过度索权、超范围收集个人信息等问题。
近日,为了明确界定APP收集使用个人信息方面的违法违规行为,APP专项治理工作组起草的《APP违法违规收集使用个人信息行为认定方法(征求意见稿)》向社会公开征求意见,为APP运营者自查自纠提供指引,为APP评估和处置提供参考。
如今,人们的生活越来越离不开网络,用户的在线行为被不断观察和记录,由此形成了海量个人数据,但这也给当前个人信息保护带来不小挑战,广大网民对此反映强烈。
“越界”收集用户数据现象令人担忧
记者在手机上打开一款新安装的旅游类APP,还未进入程序,启动页面上首先就接连跳出多项权限申请。然而,即使全部选择禁止,要想进一步使用该APP,在用户注册时必须一并同意其附带的《隐私政策》。细读这些条款不难发现,其在描述信息收集类别上不仅比较笼统,而且充斥大量技术专用名词。
2018年底,中国消费者协会发布的《100款APP个人信息收集与隐私政策测评报告》显示,10类100款APP中,多达91款APP列出的权限存在涉嫌“越界”过度收集用户个人信息的问题。特别是在有关隐私条款上,报告显示当前许多手机APP存在诸如隐私条款笼统不清,不主动向用户展示或展示内容晦涩冗长,没有为用户提供访问、更正、删除个人信息的途径,大量收集与所提供服务无直接关联的个人信息等典型问题。
“在我们对安卓手机APP的检测中,可能涉及获取的隐私权限包括读取位置信息、手机号码、联系人、通话记录,打开摄像头、使用话筒录音等共16项权限。”360公司安全专家介绍,通过连续几年对手机安全生态的跟踪研究显示,对“读取联系人”权限的申请占比从2017年的3.5%攀升至2018年的29.3%,同时2018年申请录音权限的APP数量则最多,有47%的APP申请用户手机的录音权限,较2017年的28.6%出现了较大增长。
收集个人信息的“边界”在哪里,什么样的行为又算是“越界”?浙江大学光华法学院教授朱新力介绍,根据网络安全法确立的规则,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
“净网”!治理整顿,堵住违法源头
“情节严重的,依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。”今年1月,中央网信办等四部委联合发布的《关于开展APP违法违规收集使用个人信息专项治理的公告》强调,有关主管部门要加强对违法违规收集使用个人信息行为的监管和处罚。今年3月,为规范APP收集、使用用户信息特别是个人信息的行为,市场监管总局、中央网信办决定开展APP安全认证工作,并鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的APP。
事实上,治理整顿违规收集个人信息的行为,也是切断背后“黑灰”产业链的一剂猛药。
2018年8月,一网民出售上海某酒店集团旗下5亿条酒店会员数据,引起社会广泛关注。上海公安成立专案组开展侦查,经过12个昼夜的连续奋战,成功打掉该窃取公民个人信息并实施敲诈的职业黑客犯罪团伙。
侵犯个人信息,常常是电信诈骗、敲诈勒索、恶意注册账号等一系列违法犯罪的源头。“数据泄露会造成用户人身财产受到威胁,不法分子通过各种途径收集人们被泄露出去的个人信息,经过筛选分析用户特征,从事电信诈骗、非法讨债甚至绑架勒索等精准犯罪活动。”360安全专家表示,如果是国家重点行业、领域的数据被泄露,那不仅对企业来说是致命的,还会对国家安全造成严重威胁。
围绕侵犯公民个人信息的犯罪行为,公安部、工信部、中央网信办等部门加大与最高人民法院、最高人民检察院协作配合力度,形成治理合力。2018年以来,公安部等部门持续开展打击整治网络侵犯公民个人信息安全的“净网”专项行动,有力筑牢公民个人信息防护墙。
制定与时代发展相适应的数据治理政策
打开手机上的导航软件,红色、黄色、绿色等标识出了每条道路的拥堵状况,整个城市交通状况一目了然,出行有了不错的参考;今天的人工智能也越来越聪明,智慧商业、智慧医疗、智慧城市等日新月异,正在迅速改变人们的生活——这些科技创新依赖对用户数据的海量收集。同时,在线购买机票时疑似出现的“大数据杀熟”,一旦搜索过某商品就会不断遭遇的“精准营销”,这背后站着的也是大数据。
“如今,数据已成为重要生产要素,我们需要制定与时代发展相适应的数据治理政策。”朱新力表示,数据安全治理涉及三个维度,包括个体层面的隐私保护,产业层面的科技竞争、创新和发展,以及国家层面的数据安全和全球数字竞争力。
“数据采集并不是数据安全和隐私侵害的‘原罪’,近年来诸如徐玉玉电信诈骗案等社会热点,暴露出数据安全能力薄弱是数据泄露和隐私侵害的重要原因。”朱新力认为,应当扩大数据拥有者的责任边界,规定在数据共享、转移、交易中,数据拥有者应保证数据接受者具备足够的数据安全能力、履行同等的保护义务,确保数据流通全过程的安全,并借以提高整个行业的保护水平。
华东政法大学数据法律研究中心主任高富平教授认为,对个人数据保护的正当性不是个人提供或创制了个人数据,而是因为这些数据与个人有联系。“当今社会,个人数据保护已经成为共识,在保护个人权利前提下利用数据成为数据驱动型经济最基本的制度需求。”
兼顾发展与安全,激励社会更好使用数据
从立法角度来看,关于公民个人信息保护的规定散见于网络安全法、电子商务法、民法总则、刑法等多部法律中,但尚未出台专门法律加以保护。目前,根据十三届全国人大常委会立法规划,个人信息保护法已被纳入第一类项目,即“条件比较成熟、任期内拟提请审议的法律草案”。
中央财经大学法学院教授吴韬认为,在个人数据保护标准和制度设计上不能照搬照抄,应结合我国实际情况,推进数字产业规范发展和个人数据保护立法工作,兼顾个人数据保护、创新、效率和安全几个价值目标。
朱新力认为立法应该实现发展与安全之间的平衡,在保护个人权利的同时激励社会更好地沉淀和使用数据。对此他建议,立法中可以对“个人数据”加以分类,比如以敏感或不敏感为标准,集中力量对敏感个人数据加以保护,对不敏感个人数据则侧重流通利用;也可以导入“风险”理念,根据个人数据的性质、使用场景以及产生的风险,来限定用户同意的范围和数据二次利用的风险管理机制。
对于如何正当配置数据权利,高富平表示,一个良好的数据经济基本秩序除了要防止个人数据的滥用行为,也应当确认和保护数据生产者的权利。“一方面,数据持有者对数据的财产化利用必须尊重个人权利,同时也应该激励数据持有者开放自己的数据供其他主体使用,由此实现数据高效的社会化利用。”高富平说。